Bruxelles, den 5. november – På sit seneste plenarmøde vedtog Det Europæiske Databeskyttelsesråd en rapport om den første revision* af EU's og USA's databeskyttelsesramme samt en erklæring om henstillingerne fra gruppen på højt plan** om adgang til data med henblik på effektiv retshåndhævelse.
Databeskyttelsesrådet glæder sig over de amerikanske myndigheders og Europa-Kommissionens bestræbelser på at gennemføre databeskyttelsesrammen og noterer sig flere udviklinger, der har fundet sted siden vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet i juli 2023.
Med hensyntil kommercielle aspekter, dvs. anvendelsen og håndhævelsen af de krav, der gælder for virksomheder, der er selvcertificeret i henhold til denne ramme, bemærker Databeskyttelsesrådet, at det amerikanske handelsministerium har taget alle relevante skridt til at gennemføre certificeringsprocessen. Dette omfatter udvikling af et nyt websted, opdatering af procedurer, samarbejde med virksomheder og gennemførelse af oplysningsaktiviteter.
Desuden er klagemekanismen for EU-borgere blevet gennemført, og der er offentliggjort omfattende retningslinjer for klagebehandling på begge sider af Atlanten. Det lave antal klager, der indtil videre er modtaget under databeskyttelsesrammen, understreger imidlertid betydningen af, at de amerikanske myndigheder indleder overvågningsaktiviteter vedrørende DPF-certificerede virksomheders overholdelse af de materielle principper i databeskyttelsesrammen.
Databeskyttelsesrådet tilskynder de amerikanske myndigheder til at udarbejde retningslinjer, der præciserer de krav, som virksomheder, der er certificeret i henhold til databeskyttelsesrammen, skal opfylde, når de overfører personoplysninger, som de har modtaget fra EU-eksportører. Vejledning fra de amerikanske myndigheder om data om menneskelige ressourcer ville også være velkommen. Databeskyttelsesrådet giver udtryk for, at det er parat til at give feedback på disse vejledninger.
Med hensyn til amerikanske offentlige myndigheders adgang til personoplysninger, der overføres fra EU til certificerede organisationer, fokuserede Databeskyttelsesrådet på en effektiv gennemførelse af de garantier, der blev indført ved Executive Order 14086 i den amerikanske retlige ramme, såsom nødvendigheds- og proportionalitetsprincipperne og den nye klagemekanisme. Databeskyttelsesrådet mener, at elementerne i klagemekanismen er på plads. Udvalget gentager samtidig opfordringen til Kommissionen om at overvåge, hvordan de forskellige beskyttelsesforanstaltninger fungerer i praksis, f.eks. gennemførelsen af principperne om nødvendighed og proportionalitet. Databeskyttelsesrådet anbefaler også, at Kommissionen overvåger den fremtidige udvikling i forbindelse med den amerikanske Foreign Intelligence Surveillance Act, navnlig i betragtning af den udvidede rækkevidde af Section 702 efter den amerikanske kongres' fornyede godkendelse tidligere på året.
Næstformand for Databeskyttelsesrådet, Zdravko Vukić, udtaler: "Vier glade for, at der er gjort fremskridt siden vedtagelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet takket være det frugtbare samarbejde mellem de amerikanske myndigheder, Kommissionen og Det Europæiske Databeskyttelsesråd. Samtidig er der stadig plads til forbedringer, og vi bør fortsat arbejde sammen om at opretholde et højt databeskyttelsesniveau og beskytte EU-borgernes rettigheder og frihedsrettigheder."
Endelig anbefaler Databeskyttelsesrådet, at den næste revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet mellem EU og USA bør finde sted inden for tre år eller mindre.
Erklæringen om henstillingerne fra gruppen på højt plan om adgang til data med henblik på effektiv retshåndhævelse understreger, at de grundlæggende rettigheder skal sikres, når retshåndhævende myndigheder får adgang til enkeltpersoners personoplysninger. Selv om Databeskyttelsesrådet støtter målet om effektiv retshåndhævelse, påpeger det, at nogle af Gruppen på Højt Plans anbefalinger kan forårsage alvorlig indgriben i de grundlæggende rettigheder, navnlig respekten for privatlivets fred og familielivet.
Selv om Databeskyttelsesrådet positivt bemærker, at henstillingen kan føre til etablering af lige vilkår for datalagring, mener det, at en bred og generel forpligtelse for alle tjenesteudbydere til at lagre data i elektronisk form vil skabe et betydeligt indgreb i enkeltpersoners rettigheder. Databeskyttelsesrådet sætter derfor spørgsmålstegn ved, om dette vil opfylde kravene om nødvendighed og proportionalitet i EU's charter om grundlæggende rettigheder og EU-Domstolens retspraksis.
I sin erklæring understreger Databeskyttelsesrådet også, at anbefalingerne vedrørende kryptering ikke bør forhindre brugen heraf eller svække effektiviteten af den beskyttelse, den yder. For eksempel vil indførelsen af en klientsideproces, der giver fjernadgang til data, før de krypteres og sendes på en kommunikationskanal, eller efter at de er dekrypteret hos modtageren, i praksis svække krypteringen. Det er vigtigt at bevare krypteringens beskyttelse og effektivitet for at undgå, at respekten for privatlivets fred og fortroligheden påvirkes negativt, og for at sikre, at ytringsfriheden og den økonomiske vækst, som er afhængig af pålidelige teknologier, beskyttes.
Bemærkning til redaktører
* I overensstemmelse med artikel 3 i afgørelsen om tilstrækkeligheden af beskyttelsesniveauet mellem EU og USA skal EU-Kommissionen tage afgørelsen om tilstrækkeligheden af beskyttelsesniveauet op til fornyet overvejelse et år efter dens vedtagelse. Revisionsmødet blev afholdt i Washington D.C. den 18.-19. juli 2024, og Kommissionen blev ledsaget af fem repræsentanter for Databeskyttelsesrådet.
** Gruppen på højt plan blev lanceret af Europa-Kommissionen i juni 2023 og ledes i fællesskab af Kommissionen og det roterende formandskab for Rådet. Den blev lanceret med det formål at undersøge udfordringer for retshåndhævende myndigheder i forbindelse med adgang til data og foreslå løsninger og anbefalinger.
I juni 2024 offentliggjorde gruppen på højt plan 42 anbefalinger til videreudvikling af EU's politikker og lovgivning struktureret som "kapacitetsopbyggende foranstaltninger", "samarbejde med industrien og standardisering" og "lovgivningsmæssige foranstaltninger". Anbefalingerne omfatter navnlig kryptering, samarbejde med industrien og mellem retshåndhævende myndigheder og behovet for harmoniserede regler om lagring af data.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.