Bryssel den 9 oktober – Under sin senaste plenarsession antog Europeiska dataskyddsstyrelsen (EDPB) ett yttrande om vissa skyldigheter till följd av beroendet av personuppgiftsbiträden och underbiträden, riktlinjer om berättigat intresse, ett uttalande om fastställande av ytterligare förfaranderegler för efterlevnad av den allmänna dataskyddsförordningen och EDPB:s arbetsprogram 2024–2025.
För det första antog EDPB ett yttrande om vissa skyldigheter till följd av beroendet av personuppgiftsbiträden och underbiträden efter en begäran enligt artikel 64.2 i dataskyddsförordningen till dataskyddsstyrelsen från den danska dataskyddsmyndigheten. Enligt artikel 64.2 i dataskyddsförordningen kan varje dataskyddsmyndighet begära att dataskyddsstyrelsen avger ett yttrande i frågor med allmän räckvidd eller som har verkan i mer än en medlemsstat.
Yttrandet handlar om situationer där personuppgiftsansvariga förlitar sig på en eller flera personuppgiftsbiträden och underbiträden. I synnerhet behandlas åtta frågor om tolkningen av vissa skyldigheter för personuppgiftsansvariga som förlitar sig på personuppgiftsbiträden och underentreprenörer samt ordalydelsen i avtal mellan personuppgiftsansvariga och personuppgiftsbiträden, som särskilt följer av artikel 28 i dataskyddsförordningen.
I yttrandet förklaras att personuppgiftsansvariga alltid bör ha information om identiteten (dvs. namn, adress, kontaktperson) för alla personuppgiftsbiträden, underbiträden osv. lättillgänglig så att de på bästa sätt kan fullgöra sina skyldigheter enligt artikel 28 i den allmänna dataskyddsförordningen. Dessutom bör den personuppgiftsansvariges skyldighet att kontrollera om (under)biträdena har ”tillräckliga garantier” gälla oavsett risken för de registrerades rättigheter och friheter, även om omfattningen av en sådan kontroll kan variera, särskilt på grundval av de risker som är förknippade med behandlingen.
I yttrandet anges också att även om det ursprungliga personuppgiftsbiträdet bör se till att det föreslår underentreprenörer med tillräckliga garantier, ligger det slutliga beslutet och ansvaret för att anlita en viss underentreprenör kvar hos den personuppgiftsansvarige.
Dataskyddsstyrelsen anser att den personuppgiftsansvarige enligt den allmänna dataskyddsförordningen inte har någon skyldighet att systematiskt begära att underleverantörsavtalen kontrollerar om dataskyddsskyldigheterna har förts vidare i behandlingskedjan. Den personuppgiftsansvarige bör bedöma om det är nödvändigt att begära en kopia av sådana avtal eller att granska dem för att kunna visa att den allmänna dataskyddsförordningen efterlevs.
Om överföringar av personuppgifter utanför Europeiska ekonomiska samarbetsområdet sker mellan två (under)processorer bör dessutom processorn i egenskap av uppgiftsutförare utarbeta relevant dokumentation, t.ex. om skälet till överföringen, konsekvensbedömningen av överföringen och eventuella kompletterande åtgärder. Eftersom den personuppgiftsansvarige fortfarande omfattas av skyldigheterna enligt artikel 28.1 i dataskyddsförordningen om ”tillräckliga garantier”, utöver dem enligt artikel 44 för att säkerställa att skyddsnivån inte undergrävs av överföringar av personuppgifter, bör den dock bedöma denna dokumentation och kunna visa den för den behöriga dataskyddsmyndigheten.
Nämnden antog därefter riktlinjer för behandling av personuppgifter på grundval av ett berättigat intresse.
Personuppgiftsansvariga behöver en rättslig grund för att behandla personuppgifter på ett lagligt sätt. Berättigat intresse är en av de sex möjliga rättsliga grunderna.
I dessa riktlinjer analyseras de kriterier som fastställs i artikel 6.1 f i dataskyddsförordningen och som personuppgiftsansvariga måste uppfylla för att lagligen behandla personuppgifter på grundval av ett berättigat intresse. Den tar också hänsyn till EU-domstolens nyligen avkunnade dom i denna fråga (C-621/22, 4 oktober 2024).
För att kunna åberopa ett berättigat intresse måste den personuppgiftsansvarige uppfylla tre kumulativa villkor:
-
Den personuppgiftsansvariges eller en tredje parts utövande av ett berättigat intresse.
-
Behovet av att behandla personuppgifter i syfte att tillgodose det berättigade intresset.
-
Enskilda personers intressen eller grundläggande friheter och rättigheter har inte företräde framför den personuppgiftsansvariges eller en tredje parts berättigade intressen (balansering).
För det första kan endast de intressen som är lagliga, klart och tydligt formulerade, verkliga och aktuella anses vara legitima. Sådana berättigade intressen kan till exempel föreligga i en situation där den enskilde är kund eller i den personuppgiftsansvariges tjänst.
För det andra, om det finns rimliga, lika effektiva men mindre ingripande alternativ för att uppnå de eftersträvade intressena, kan behandlingen inte anses vara nödvändig. Behovet av en behandling bör också undersökas enligt principen om uppgiftsminimering.
För det tredje måste den personuppgiftsansvarige se till att dennes berättigade intresse inte väger tyngre än den enskildes intressen och grundläggande friheter. Vid denna avvägning måste den personuppgiftsansvarige ta hänsyn till de enskilda personernas intressen, behandlingens inverkan och deras rimliga förväntningar samt förekomsten av ytterligare skyddsåtgärder som skulle kunna begränsa inverkan på den enskilda personen.
I dessa riktlinjer förklaras dessutom hur denna bedömning bör utföras i praktiken, bland annat i ett antal specifika sammanhang såsom förebyggande av bedrägerier, direktmarknadsföring och informationssäkerhet. I dokumentet förklaras också förhållandet mellan denna rättsliga grund och ett antal registrerades rättigheter enligt den allmänna dataskyddsförordningen.
Riktlinjerna kommer att bli föremål för offentligt samråd till och med den 20 november 2024.
Nämnden antog därefter ett uttalande till följd av Europaparlamentets och rådets ändringar av Europeiska kommissionens förslag till förordning om fastställande av ytterligare förfaranderegler avseende tillämpningen av den allmänna dataskyddsförordningen.
I uttalandet välkomnas generellt de ändringar som införts av Europaparlamentet och rådet, och det rekommenderas att man ytterligare tar itu med specifika delar för att den nya förordningen ska uppnå målen att rationalisera samarbetet mellan myndigheter och förbättra efterlevnaden av den allmänna dataskyddsförordningen.
Uttalandet innehåller praktiska rekommendationer som kan användas i samband med de kommande trepartsmötena. EDPB upprepar särskilt behovet av en rättslig grund och ett harmoniserat förfarande för uppgörelser i godo och utfärdar rekommendationer i syfte att säkerställa att konsensus om sammanfattningen av viktiga frågor uppnås på effektivast möjliga sätt. Nämnden välkomnar också införandet av ytterligare tidsfrister samtidigt som den påminner om att de måste vara realistiska och uppmanar medlagstiftarna att ta bort bestämmelserna om relevanta och motiverade invändningar och ”motiveringen” i tvistlösningsförfarandet.
I uttalandet välkomnas målet att uppnå ökad öppenhet, men införandet av en gemensam ärendeakt, i enlighet med Europaparlamentets förslag, skulle kräva komplexa ändringar av de dokumenthanterings- och kommunikationssystem som används på europeisk och nationell nivå. De tekniska lösningarna för dess genomförande bör utvärderas noggrant, och formerna för att bevilja tillgång till den bör förtydligas ytterligare.
EDPB välkomnar rådets ändring som gör det möjligt för den ledande dataskyddsmyndigheten att välja bort det så kallade fördjupade samarbetet i enkla och okomplicerade fall, men betonar behovet av att ytterligare klargöra tillämpningsområdet för detta undantag.
EDPB:s ordförande Anu Talus sade: ”Utkastet till förordning har potential att i hög grad effektivisera genomförandet av den allmänna dataskyddsförordningen genom att effektivisera ärendehanteringen. Mer harmonisering behövs på EU-nivå för att den allmänna dataskyddsförordningens mekanismer för samarbete och enhetlighet ska bli så effektiva som möjligt.”
Vid sin senaste plenarsession antog nämnden sitt arbetsprogram för 2024–2025. Detta är det första av två arbetsprogram som kommer att genomföra Europeiska dataskyddsstyrelsens strategi för 2024–2027 som antogs i april 2024. Den bygger på de prioriteringar som fastställs i EDPB:s strategi och tar också hänsyn till de behov som identifierats som viktigast för berörda parter.
Slutligen enades EDPB:s medlemmar om att bevilja Kosovos informations- och integritetsmyndighet (Kosovan DPA) observatörsstatus i EDPB:s verksamhet, i enlighet med artikel 8 i EDPB:s arbetsordning.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.