Bruxelles,den 14. februar — Databeskyttelsesrådet vedtog på sit seneste plenarmødeen udtalelse om begrebet hovedvirksomhed og om kriterierne for anvendelsen af one-stop-shop-mekanismenefter en anmodning fra den franske databeskyttelsesmyndighed i henhold til artikel 64, stk. 2, i databeskyttelsesforordningen. Udtalelsen præciserer begrebet en registeransvarligs "hovedvirksomhed" i EU, navnlig i tilfælde, hvor afgørelser vedrørende behandling træffes uden for EU.
Databeskyttelsesrådets formand, Anu Talus, sagde: "Begrebet hovedvirksomhed er en af hjørnestenene i one-stop-shoppen. Det er afgørende for at afgøre, hvilken eventuel databeskyttelsesmyndighed der er den ledende tilsynsmyndighed i grænseoverskridende databeskyttelsessager. Databeskyttelsesrådets udtalelse kaster yderligere lys over betingelserne for, at dataansvarlige kan få adgang til one-stop-shoppen, og giver yderligere vejledning til databeskyttelsesmyndighederne ved fastlæggelsen af, hvilken databeskyttelsesmyndighed der står i spidsen."
Databeskyttelsesrådet mener i sin udtalelse, at en registeransvarligs "centraladministrationssted" i EU kun kan betragtes som en hovedvirksomhed i henhold til artikel 4, stk. 16, litra a), i GDPR, hvis det træffer afgørelser om formålene med og midlerne til behandling af personoplysninger, og hvis det har beføjelse til at få sådanne afgørelser gennemført. Databeskyttelsesrådet forklarer endvidere, at one-stop-shop-mekanismen kun kan finde anvendelse, hvis der er dokumentation for, at en af den dataansvarliges virksomheder i Unionen træffer afgørelse om formålene og midlerne til de relevante behandlingsaktiviteter og har beføjelse til at få disse afgørelser gennemført. Det betyder, at når afgørelserne om formålet med og hjælpemidlerne til behandlingen træffes uden for EU, bør der ikke være nogen hovedvirksomhed for den dataansvarlige i Unionen, og derfor bør one-stop-shoppen ikke finde anvendelse.
Denne udtalelse er den seneste i en række konkrete foranstaltninger, som Databeskyttelsesrådet har truffet efter Wienererklæringen om grænseoverskridende håndhævelse, og som har til formål at strømline håndhævelsen og samarbejdet mellem databeskyttelsesmyndighederne.
Dernæst vedtog Databeskyttelsesrådet en erklæring om den lovgivningsmæssige udvikling vedrørende forslaget til forordning om regler til forebyggelse og bekæmpelse af seksuelt misbrug af børn. Erklæringen følger den fælles udtalelse fra Det Europæiske Databeskyttelsesråd og Det Europæiske Databeskyttelsesråd om Europa- Kommissionens forslag til forordning og fokuserer på den seneste lovgivningsmæssige udvikling, navnlig Europa-Parlamentets holdning fra november 2023.
Databeskyttelsesrådet glæder sig over de mange forbedringer, som Parlamentet har foreslået, såsom at fritage end-to-end-krypteret kommunikation fra afsløringsordrer. Databeskyttelsesrådet beklager imidlertid, at den tekst, som Parlamentet har foreslået, ikke synes at løse vigtige spørgsmål, som Det Europæiske Databeskyttelsesråd og EDPS har påpeget, vedrørende generel og vilkårlig overvågning af privat kommunikation, navnlig i forbindelse med udstedelse af påbud om afsløring.
Databeskyttelsesrådets formand, Anu Talus, sagde: "Seksuelt misbrug af børn er en særlig afskyelig forbrydelse og kræver effektive løsninger. Det er vigtigt, at ethvert nyt retligt instrument er utvetydigt og respekterer de grundlæggende rettigheder til privatlivets fred og databeskyttelse. En overdreven grad af adgang til onlinekommunikation ville underminere disse vigtige principper og kan i sig selv have negative konsekvenser for både voksnes og børns rettigheder og sikkerhed; vi skal være meget forsigtige med handlinger, der i sidste ende gør mere skade end gavn. Databeskyttelsesrådet er af den opfattelse, at den formulering, som Parlamentet foreslår, bør give passende garantier for, at påbud om afsløring vil være tilstrækkeligt målrettet til at sikre, at det kan beskytte ofre uden uforholdsmæssigt at påvirke de rettigheder og friheder, der er beskyttet af EU-retten."
Databeskyttelsesrådet understreger betydningen af yderligere at begrænse risikoen for, at disse påbud kan påvirke personer, der sandsynligvis ikke vil være involveret i forbrydelser relateret til seksuelt misbrug af børn. Databeskyttelsesrådet beklager endvidere, at påbud om afsløring ikke er begrænset til materialer med seksuelt misbrug af børn (CSAM), som myndighederne allerede har kendskab til, på trods af at de teknologier, der anvendes til at opdage nye CSAM, tidligere har vist sig at have betydelige fejlprocenter.
På plenarmødet drøftede Databeskyttelsesrådet også anvendelsesområdet for vejledningen vedrørende samtykke- eller betalingsmodellen. Ud over den kommende udtalelse i artikel 64, stk. 2, som vil behandle samtykke- eller betalingsmodellen i forbindelse med store onlineplatforme, blev det aftalt, at der er behov for løbende at udarbejde retningslinjer med et bredere anvendelsesområde.
Endelig udpegede Databeskyttelsesrådet flere repræsentanter til at deltage i henholdsvis Europa-Kommissionens undersøgelsesgruppe for databeskyttelsesrammen, undergruppen på højt plan om digitale markeder vedrørende artikel 5, stk. 2, i retsakten om digitale markeder og taskforcen for retsakten om digitale tjenester om alderskontrol.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.