Bruxelles, den 28. februar — Det Europæiske Databeskyttelsesråd vedtog en udtalelse om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's databeskyttelsesramme. Databeskyttelsesrådet glæder sig over væsentlige forbedringer såsom indførelsen af krav, der omfatter principperne om nødvendighed og proportionalitet for USA's efterretningsindsamling af data og den nye klagemekanisme for registrerede i EU. Samtidig udtrykkes bekymring, og der anmodes om præciseringer på flere punkter. Navnlig gælder det visse af de registreredes rettigheder, videreoverførsler, omfanget af undtagelser, midlertidig masseindsamling af oplysninger og klagemekanismens praktiske funktion. Det ville glæde Databeskyttelsesrådet, hvis ikke kun ikrafttrædelsen, men også vedtagelsen af afgørelsen var betinget af, at alle amerikanske efterretningstjenester vedtager ajourførte politikker og procedurer til gennemførelse af Executive Order 14086. Databeskyttelsesrådet anbefaler Kommissionen at vurdere disse ajourførte politikker og procedurer og dele denne vurdering med Databeskyttelsesrådet.
Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Et højt databeskyttelsesniveau er afgørende for at sikre EU-borgernes rettigheder og frihedsrettigheder. Selv om vi anerkender de betydelige forbedringer, der er foretaget i USA's retlige ramme, anbefaler vi, at der tages hånd om de nævnte betænkeligheder og foretages de nævnte præciseringer for at sikre, at afgørelsen om tilstrækkeligheden af beskyttelsesniveauet er holdbar. Af samme grund mener vi, at der efter den første revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet bør foretages efterfølgende revisioner mindst hvert tredje år, og vi er fast besluttet på at bidrage hertil."
Udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet, der blev offentliggjort af Europa-Kommissionen den 13. december 2022, er baseret på EU's og USA's databeskyttelsesramme, der skal erstatte privatlivsskjoldet, der blev erklæret ugyldigt af EU-Domstolen ved Schrems II-dommen. Det centrale element i databeskyttelsesrammen er principperne i EU's og USA's databeskyttelsesramme fra det amerikanske handelsministerium. Databeskyttelsesrammen finder kun anvendelse på amerikanske foretagender, der er selvcertificerede. Databeskyttelsesrådet har nu vedtaget en udtalelse om udkastet til afgørelse, som tager hensyn til både de kommercielle aspekter og de amerikanske offentlige myndigheders adgang til og anvendelse af data.
Med hensyn til kommercielle aspekter glæder Databeskyttelsesrådet sig over en række ajourføringer af principperne i databeskyttelsesrammen. Det bemærker også, at en række principper i det væsentlige er de samme som i privatlivsskjoldet. Der er derfor fortsat visse betænkeligheder, f.eks. vedrørende visse undtagelser fra indsigtsretten, manglen på helt centrale definitioner, manglen på klarhed med hensyn til anvendelsen af principperne i databeskyttelsesrammen på databehandlere, den brede undtagelse fra retten til adgang til offentligt tilgængelige oplysninger og manglen på specifikke regler om automatisk beslutningstagning og profilering. Databeskyttelsesrådet gentager endvidere, at beskyttelsesniveauet ikke må undermineres af videreoverførsler. Det opfordrer derfor Kommissionen til at præcisere, at de garantier, som den oprindelige modtager pålægger importøren i tredjelandet, skal være effektive i lyset af tredjelandets lovgivning, inden en videreoverførsel finder sted.
Desuden anmoder Databeskyttelsesrådet Kommissionen om at præcisere omfanget af undtagelserne vedrørende forpligtelsen til at overholde principperne i databeskyttelsesrammen og understreger betydningen af et effektivt tilsyn med og håndhævelse af databeskyttelsesrammen. Databeskyttelsesrådet vil nøje overvåge både disse aspekter og hvorvidt registrerede i EU har effektive klagemuligheder, hvis deres oplysninger behandles i strid med databeskyttelsesrammen.
Med hensyn til statslig adgang til data, der overføres til USA, anerkender Databeskyttelsesrådet de betydelige forbedringer, som Executive Order 14086 har medført. Ved Executive Order 14086 indføres begreberne nødvendighed og proportionalitet med hensyn til USA's efterretningsindsamling af data (signalefterretninger).
Desuden skaber den nye klagemekanisme rettigheder for enkeltpersoner i EU, og mekanismen skal evalueres af rådet for tilsyn med privatlivets fred og borgerlige rettigheder (PCLOB). Ved Executive Order 14086 fastsættes også flere garantier for at sikre databeskyttelsesappelrettens ("Data Protection Review Court") uafhængighed sammenlignet med den tidligere ombudsmandsmekanisme, og der indføres mere effektive beføjelser til at afhjælpe overtrædelser, herunder yderligere garantier for registrerede.
Databeskyttelsesrådet fremhæver, at der er behov for tæt overvågning af den praktiske anvendelse af de nyligt indførte principper om nødvendighed og proportionalitet. Der er også behov for yderligere klarhed med hensyn til midlertidig masseindsamling og yderligere opbevaring og formidling af masseindsamlede data.
Databeskyttelsesrådet udtrykker også bekymring over manglen på et krav om forudgående tilladelse fra en uafhængig myndighed til masseindsamling, jf. Executive Order 12333, samt manglen på systematisk uafhængig efterfølgende kontrol foretaget af en domstol eller et tilsvarende uafhængigt organ. Med hensyn til forudgående uafhængig tilladelse til overvågning, jf. afsnit 702 i FISA, beklager Databeskyttelsesrådet, at FISA-domstolen ikke kontrollerer overholdelsen af Executive Order 14086, når den certificerer programmer, der tillader målretning mod ikkeamerikanske personer, selv om de efterretningsmyndigheder, der gennemfører programmet, er bundet heraf. Det ville være særligt nyttigt med rapporter fra rådet for tilsyn med privatlivets fred og borgerlige rettigheder om, hvordan garantierne i Executive Order 14086 vil blive gennemført, og hvordan disse garantier anvendes, når der indsamles data i henhold til afsnit 702 i FISA og Executive Order 12333. Med hensyn til klagemekanismen anerkender Databeskyttelsesrådet de yderligere garantier, der er givet, såsom de særlige advokaters rolle og evalueringen af klagemekanismen foretaget af rådet for tilsyn med privatlivets fred og borgerlige rettigheder. Samtidig er Databeskyttelsesrådet bekymret over databeskyttelsesappelrettens generelle anvendelse af standardsvar, hvori klageren underrettes om, at der enten ikke er konstateret nogen omfattede overtrædelser, eller at der er truffet en afgørelse, der kræver passende afhjælpning, navnlig fordi en sådan afgørelse ikke kan appelleres. Databeskyttelsesrådet opfordrer derfor Kommissionen til nøje at overvåge, hvordan denne mekanisme fungerer i praksis.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.