Bruxelles, den 9. oktober – På sit seneste plenarmøde vedtog Det Europæiske Databeskyttelsesråd en udtalelse om visse forpligtelser som følge af afhængigheden af databehandler(e) og underdatabehandler(e), retningslinjer for legitim interesse, en erklæring om fastsættelse af yderligere procedureregler for håndhævelse af GDPR og Det Europæiske Databeskyttelsesråds arbejdsprogram for 2024-2025.
For det første vedtog Databeskyttelsesrådet en udtalelse om visse forpligtelser som følge af afhængigheden af databehandler(e) og underdatabehandler(e) efter en anmodning i henhold til artikel 64, stk. 2, i GDPR fra den danske databeskyttelsesmyndighed til Databeskyttelsesrådet. I henhold til artikel 64, stk. 2, i GDPR kan enhver databeskyttelsesmyndighed anmode Databeskyttelsesrådet om at afgive en udtalelse om spørgsmål, der finder generel anvendelse eller har virkninger i mere end én medlemsstat.
Udtalelsen omhandler situationer, hvor dataansvarlige er afhængige af en eller flere databehandlere og underdatabehandlere. Den behandler navnlig otte spørgsmål om fortolkningen af visse forpligtelser for dataansvarlige, der er afhængige af databehandlere og underdatabehandlere, samt ordlyden af kontrakter mellem dataansvarlige og databehandlere, der navnlig følger af artikel 28 i GDPR.
I udtalelsen forklares det, at dataansvarlige til enhver tid bør have lettilgængelige oplysninger om identiteten (dvs. navn, adresse, kontaktperson) af alle databehandlere, underdatabehandlere osv., så de bedst muligt kan opfylde deres forpligtelser i henhold til artikel 28 i GDPR. Desuden bør den dataansvarliges forpligtelse til at kontrollere, om (under)databehandlerne frembyder "tilstrækkelige garantier", gælde uanset risikoen for registreredes rettigheder og frihedsrettigheder, selv om omfanget af en sådan kontrol kan variere, navnlig på grundlag af de risici, der er forbundet med behandlingen.
Det fremgår også af udtalelsen, at selv om den oprindelige databehandler bør sikre, at den foreslår underdatabehandlere med tilstrækkelige garantier, ligger den endelige beslutning om og ansvaret for at ansætte en specifik underdatabehandler fortsat hos den dataansvarlige.
Databeskyttelsesrådet mener, at den dataansvarlige i henhold til GDPR ikke har pligt til systematisk at anmode om udliciteringskontrakterne for at kontrollere, om databeskyttelsesforpligtelserne er blevet videregivet i hele behandlingskæden. Den dataansvarlige bør vurdere, om det er nødvendigt at anmode om en kopi af sådanne kontrakter eller gennemgå dem for at kunne påvise overholdelse af GDPR.
Hvis overførsler af personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde finder sted mellem to (under)databehandlere, bør databehandleren som dataeksportør desuden udarbejde den relevante dokumentation, f.eks. vedrørende grundlaget for den anvendte overførsel, konsekvensanalysen af overførslen og eventuelle supplerende foranstaltninger. Da den dataansvarlige imidlertid stadig er underlagt de forpligtelser, der følger af artikel 28, stk. 1, i GDPR om "tilstrækkelige garantier", ud over forpligtelserne i artikel 44 for at sikre, at beskyttelsesniveauet ikke undermineres af overførsler af personoplysninger, bør den pågældende vurdere denne dokumentation og kunne vise den til den kompetente databeskyttelsesmyndighed.
Dernæst vedtog Databeskyttelsesrådet retningslinjer for behandling af personoplysninger på grundlag af en legitim interesse.
Dataansvarlige har brug for et retsgrundlag for at behandle personoplysninger lovligt. Legitim interesse er et af de seks mulige retsgrundlag.
Disse retningslinjer analyserer de kriterier, der er fastsat i artikel 6, stk. 1, litra f), i GDPR, som dataansvarlige skal opfylde for lovligt at behandle personoplysninger på grundlag af legitim interesse. Den tager også hensyn til EU-Domstolens nylige afgørelse i denne sag (C-621/22 af 4. oktober 2024).
For at kunne påberåbe sig en legitim interesse skal den dataansvarlige opfylde tre kumulative betingelser:
-
den dataansvarliges eller tredjemands forfølgelse af en legitim interesse
-
Nødvendigheden af at behandle personoplysninger med henblik på at forfølge den legitime interesse;
-
Fysiske personers interesser eller grundlæggende frihedsrettigheder og rettigheder går ikke forud for den dataansvarliges eller tredjemands legitime interesser (afvejning).
For det første er det kun de interesser, der er lovlige, klart og præcist formuleret, reelle og aktuelle, der kan anses for legitime. Sådanne legitime interesser kan f.eks. eksistere i en situation, hvor den fysiske person er en kunde eller i den dataansvarliges tjeneste.
For det andet kan behandlingen ikke anses for nødvendig, hvis der findes rimelige, lige så effektive, men mindre indgribende alternativer til at opfylde de forfulgte interesser. Nødvendigheden af en behandling bør også undersøges ud fra princippet om dataminimering.
For det tredje skal den dataansvarlige sikre, at dennes legitime interesse ikke går forud for den enkeltes interesser, grundlæggende frihedsrettigheder. I forbindelse med denne afvejning skal den dataansvarlige tage hensyn til fysiske personers interesser, virkningen af behandlingen og deres rimelige forventninger samt eksistensen af yderligere garantier, der kan begrænse indvirkningen på den fysiske person.
Desuden forklares det i disse retningslinjer, hvordan denne vurdering bør foretages i praksis, herunder i en række specifikke sammenhænge såsom forebyggelse af svig, direkte markedsføring og informationssikkerhed. Dokumentet forklarer også forholdet mellem dette retsgrundlag og en række registreredes rettigheder i henhold til GDPR.
Retningslinjerne vil være genstand for offentlig høring indtil den 20. november 2024.
Dernæst vedtog Databeskyttelsesrådet en erklæring efter Europa-Parlamentets og Rådets ændringer af Europa-Kommissionens forslag til forordning om supplerende procedureregler vedrørende håndhævelsen af databeskyttelsesforordningen.
Erklæringen hilser generelt de ændringer velkommen, som Europa-Parlamentet og Rådet har indført, og anbefaler, at der tages yderligere fat på specifikke elementer, således at den nye forordning kan nå målene om at strømline samarbejdet mellem myndighederne og forbedre håndhævelsen af GDPR.
Erklæringen indeholder praktiske anbefalinger, der kan anvendes i forbindelse med de kommende triloger. Databeskyttelsesrådet gentager navnlig behovet for et retsgrundlag og en harmoniseret procedure for mindelige løsninger og fremsætter henstillinger med henblik på at sikre, at der opnås konsensus om sammenfatningen af centrale spørgsmål på den mest effektive måde. Databeskyttelsesrådet glæder sig også over medtagelsen af yderligere frister, men minder samtidig om, at de skal være realistiske, og opfordrer indtrængende medlovgiverne til at fjerne bestemmelserne vedrørende de relevante og begrundede indsigelser og "begrundelsen" i tvistbilæggelsesproceduren.
Selv om erklæringen bifalder målet om at opnå øget gennemsigtighed, vil indførelsen af en fælles sagsmappe som foreslået af Europa-Parlamentet kræve komplekse ændringer af de dokumentforvaltnings- og kommunikationssystemer, der anvendes på europæisk og nationalt plan. De tekniske løsninger for dens gennemførelse bør vurderes nøje, og de nærmere bestemmelser for at give adgang til den bør præciseres yderligere.
Databeskyttelsesrådet glæder sig over Rådets ændring, der gør det muligt for den ledende databeskyttelsesmyndighed at fravælge det såkaldte forstærkede samarbejde i enkle og enkle tilfælde, men det fremhæver behovet for yderligere at præcisere anvendelsesområdet for denne fravalgsordning.
Databeskyttelsesrådets formand, Anu Talus, udtaler: "Forordningsudkastet har potentiale til i høj grad at strømline håndhævelsen af den generelle forordning om databeskyttelse ved at øge effektiviteten af sagsbehandlingen. Der er behov for mere harmonisering på EU-plan for at maksimere den fulde effektivitet af GDPR's samarbejds- og sammenhængsmekanismer."
På sit seneste plenarmøde vedtog Afviklingsinstansen sit arbejdsprogram for 2024-2025. Dette er det første af to arbejdsprogrammer, som vil gennemføre Databeskyttelsesrådets strategi for 2024-2027, der blev vedtaget i april 2024. Den er baseret på de prioriteter, der er fastsat i Databeskyttelsesrådets strategi, og den tager også hensyn til de behov, der er udpeget som de vigtigste for interessenterne.
Endelig indvilligede Databeskyttelsesrådets medlemmer i at give status som observatør til Databeskyttelsesrådets aktiviteter til Kosovas informations- og databeskyttelsesmyndighed (Kosovan DPA) i overensstemmelse med artikel 8 i Databeskyttelsesrådets forretningsorden.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.