Bruxelles, den 14. april — På sin plenarforsamling vedtog Databeskyttelsesrådet to udtalelser om udkast til afgørelser om tilstrækkeligheden af Det Forenede Kongeriges beskyttelsesniveau. Udtalelse 14/2021 bygger på GDPR og vurderer såvel generelle databeskyttelsesaspekter som statslig adgang til personoplysninger, der overføres fra EØS med henblik på retshåndhævelse og national sikkerhed, som indgår i udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Vurderingen er foretaget på grundlag af GDPR Adequacy Referential WP254. Udtalelse 15/2021 bygger på direktivet om retshåndhævelse og analyserer udkastet til afgørelsen om et tilstrækkeligt beskyttelsesniveau i lyset af Henstilling 01/2021 om henvisning til tilstrækkelighed i henhold til direktivet om retshåndhævelse og i den relevante retspraksis, som fremgår af Henstilling 02/2020 om europæiske væsentlige garantier for overvågningsforanstaltninger. Dette er det første udkast til gennemførelsesafgørelse om et tredjelands tilstrækkelighed i henhold til direktivet om retshåndhævelse, der nogensinde er blevet forelagt af Europa-Kommissionen og vurderet af Databeskyttelsesrådet.
Databeskyttelsesrådet noterer sig, at der på centrale områder er en høj grad af overensstemmelse mellem EU's og Det Forenede Kongeriges databeskyttelsesrammer for så vidt angår nogle centrale bestemmelser såsom: grundlag for lovlig og rimelig behandling til legitime formål formålsafgrænsning datakvalitet og -proportionalitet datalagring, -sikkerhed og -fortrolighed gennemsigtighed særlige kategorier af data og om automatiseret beslutningstagning og profilering.
Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Det Forenede Kongeriges databeskyttelseslovgivning bygger i vidt omfang på EU's databeskyttelseslovgivning. I Det Forenede Kongeriges Data Protection Act af 2018 præciseres anvendelsen af GDPR i Det Forenede Kongeriges lovgivning, og direktivet om databeskyttelse gennemføres. Desuden får den nationale tilsynsmyndighed for databeskyttelse, ICO, tildelt beføjelser og pålagt opgaver. Databeskyttelsesrådet anerkender derfor, at Det Forenede Kongeriges databeskyttelsesramme for størstedelens vedkommende er i overensstemmelse med GDPR og direktivet om databeskyttelse, og Databeskyttelsesrådets påviste i sin analyse af landets lovgivning og praksis mange aspekter, der i det væsentlige er ækvivalente. Lovgivningen kan ændres med tiden, men denne overensstemmelse bør opretholdes. Vi glæder os derfor over Kommissionens afgørelse om tidsmæssigt at begrænse den anerkendte tilstrækkelighed og dens hensigt om nøje at overvåge udviklingen i Det Forenede Kongerige."
Databeskyttelsesrådet understreger, at flere punkter bør vurderes yderligere og/eller overvåges nøje af Europa-Kommissionen i forbindelse med dens afgørelse baseret på GDPR, som f.eks.:
- undtagelsen i henseende til indvandring ("immigration exemption") og dens følger med hensyn til at begrænse registreredes rettigheder
- anvendelse af begrænsninger for videreoverførsel af EØS-personoplysninger, der overføres til Det Forenede Kongerige, på grundlag af f.eks. fremtidige afgørelser om tilstrækkeligheden af det beskyttelsesniveau, Det Forenede Kongerige har vedtaget, internationale aftaler indgået mellem Det Forenede Kongerige og tredjelande eller undtagelser.
For så vidt angår offentlige myndigheders adgang med national sikkerhed for øje til personoplysninger, som overføres til Det Forenede Kongerige, glæder Databeskyttelsesrådet sig over oprettelsen af IPT (Investigatory Powers Tribunal — domstol for efterforskningsbeføjelser) med henblik på at imødegå udfordringerne i forbindelse med klageadgang på området national sikkerhed, og indførelsen af judicielle kommissærer i IPA (Investigatory Powers Act — lov om efterforskningsbeføjelser) af 2016 for at sikre et bedre tilsyn på området. Databeskyttelsesrådet påpeger fortsat en række punkter, hvor yderligere præciseringer og/eller overvågning er påkrævet:
- masseovervågning
- uafhængig vurdering af og tilsyn med brugen af automatiserede databehandlingsværktøjer
- beskyttelsesforanstaltninger i medfør af Det Forenede Kongeriges lovgivning, når det drejer sig om videregivelse i udlandet, navnlig i lyset af anvendelsen af undtagelser, som begrundes med hensynet til den nationale sikkerhed.
Rådet vedtog Retningslinjer for anvendelsen af artikel 65, stk. 1, litra a), i GDPR for at markere procedurens hovedfaser og præcisere Det Europæiske Databeskyttelsesråds kompetencer i forbindelse med vedtagelsen af en retligt bindende afgørelse med artikel 65, stk. 1, litra a), i GDPR som grundlag. Retningslinjerne indeholder også en beskrivelse af de gældende proceduremæssige beskyttelsesforanstaltninger og retsmidler. Retningslinjerne vil være genstand for en offentlig høring i en periode på seks uger.
Efter en offentlig høring vedtog databeskyttelsesrådet en endelig udgave af Retningslinjerne for målretning mod brugere af sociale medier. Retningslinjerne har til formål at præcisere rollerne og ansvarsområderne for udbydere af sociale medier henholdsvis målpersoner. Den endelige udgave integrerer den ajourførte ordlyd for at tage hensyn til bemærkninger og feedback, der er modtaget under den offentlige høring.
Databeskyttelsesrådet vedtog en Erklæring om internationale aftaler, herunder overførsler. Databeskyttelsesrådet opfordrer EU-medlemsstaterne til at vurdere og om nødvendigt revidere deres internationale aftaler, som omfatter internationale overførsler af personoplysninger, og som blev indgået inden den 24. maj 2016 (for oplysninger af relevans for GDPR) og den 6. maj 2016 (for oplysninger af relevans for direktivet om retshåndhævelse), for om nødvendigt at bringe dem i overensstemmelse med EU's databeskyttelseslovgivning.
Baggrundsoplysninger:
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.
EDPB_Press Release_2021_03