Brysselden 14 februari – EDPB antog vid sitt senaste plenarsammanträdeett yttrande om begreppet huvudsakligt verksamhetsställe och om kriterierna för tillämpningen av One-Stop-Shop-mekanismen,efter en begäran enligt artikel 64.2 i dataskyddsförordningen från den franska dataskyddsmyndigheten. I yttrandet klargörs begreppet personuppgiftsansvarigs ”huvudsakliga verksamhetsställe” i EU, särskilt i fall där beslut om behandlingen fattas utanför EU.
EDPB:s ordförande Anu Talus sade: ”Begreppet huvudetablering är en av hörnstenarna i One-Stop-Shop. Det är avgörande för att avgöra vilken, i förekommande fall, dataskyddsmyndigheten är den ledande tillsynsmyndigheten i gränsöverskridande dataskyddsärenden. EDPB:s yttrande belyser ytterligare villkoren för personuppgiftsansvariga att få tillgång till One-Stop-Shop och ger ytterligare vägledning för dataskyddsmyndigheterna när de fastställer vilken dataskyddsmyndighet som är ledande.”
I sitt yttrande anser EDPB att en personuppgiftsansvarigs ”ort för central förvaltning” i EU kan betraktas som ett huvudsakligt verksamhetsställe enligt artikel 4.16 a i den allmänna dataskyddsförordningen endast om den fattar beslut om ändamålen och medlen för behandlingen av personuppgifter och om den har befogenhet att genomföra sådana beslut. EDPB förklarar vidare att mekanismen för enenda kontaktpunkt endast kan tillämpas om det finns bevis för att ett av den registeransvariges anläggningar i unionen fattar beslut om ändamålen och medlen för den relevanta behandlingen och har befogenhet att genomföra dessa beslut. Detta innebär att när beslut om ändamålen och medlen för behandlingen fattas utanför EU bör det inte finnas något huvudsakligt verksamhetsställe för den registeransvarige i unionen, och därför bör den gemensamma kontaktpunkten inte tillämpas.
Detta yttrande är det senaste i en rad konkreta åtgärder som EDPB vidtagit till följd av sitt uttalande från Wien om gränsöverskridande verkställighet, som syftar till att effektivisera tillsynen och samarbetet mellan dataskyddsmyndigheterna.
Därefter antog EDPB ett uttalande om lagstiftningsutvecklingen när det gäller förslaget till förordning om regler för att förebygga och bekämpa sexuella övergrepp mot barn. Uttalandet följer EDPB-EDPS gemensamma yttrande om kommissionens förslag till förordning och fokuserar på den senaste utvecklingen av lagstiftningen, särskilt Europaparlamentets ståndpunkt från november 2023.
Europeiska dataskyddsstyrelsen välkomnar de många förbättringar som parlamentet föreslagit, t.ex. att undanta krypterad kommunikation från detekteringsorder. EDPB beklagar dock att den text som föreslagits av parlamentet inte tycks lösa viktiga frågor som flaggats av EDPB och EDPS när det gäller allmän och urskillningslös övervakning av privat kommunikation, särskilt när det gäller utfärdande av upptäcktsorder.
EDPB:s ordförande Anu Talus sade: Sexuella övergrepp mot barn är ett särskilt avskyvärt brott och kräver effektiva lösningar. Det är viktigt att alla nya rättsliga instrument är entydiga och respekterar de grundläggande rättigheterna till integritet och dataskydd. En alltför hög tillgång till onlinekommunikation skulle undergräva dessa viktiga principer och kan i sig få negativa konsekvenser för både vuxnas och barns rättigheter och säkerhet. vi måste vara mycket försiktiga med handlingar som i slutändan gör mer skada än nytta. Europeiska dataskyddsstyrelsen anser att den formulering som parlamentet föreslår bör ge lämpliga garantier för att förelägganden om upptäckt kommer att vara tillräckligt riktade för att säkerställa att brottsoffren skyddas utan att det oproportionerligt påverkar de rättigheter och friheter som skyddas av EU-lagstiftningen.”
EDPB betonar vikten av att ytterligare begränsa risken för att dessa order kan påverka personer som sannolikt inte kommer att vara inblandade i sexuella övergrepp mot barn. Dessutom beklagar EDPB att förelägganden om upptäckt inte är begränsade till material med sexuella övergrepp mot barn (CSAM) som redan är kända av myndigheterna, trots att den teknik som används för att upptäcka nya CSAM tidigare har visat sig ha betydande felfrekvenser.
Under plenarsammanträdet diskuterade EDPB också omfattningen av vägledningen i samband med modellen med samtycke eller utbetalning. Utöver det kommande yttrandet enligt artikel 64.2, som kommer att behandla modellen med samtycke eller betalning inom ramen för stora onlineplattformar, enades man om att det finns ett behov av att kontinuerligt utveckla riktlinjer med ett bredare tillämpningsområde.
Slutligen utsåg EDPB flera företrädare att delta i Europeiska kommissionens arbetsgrupp för granskning av datasekretess, högnivåundergruppen för rättsakten om digitala marknader om artikel 5.2 i dataskyddsförordningen respektive arbetsgruppen för digitala tjänster för ålderskontroll.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.