Bruxelles, den 11. juli – den 9. og 10. juli mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres tolvte plenarmøde. På mødet blev der drøftet en lang række emner.
Retningslinjer for videoovervågning
Rådet vedtog retningslinjer for videoovervågning, hvori det præciseres, hvordan databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, når der anvendes videoudstyr, og som har til formål at sikre en konsekvent anvendelse af databeskyttelsesforordningen i denne henseende. Retningslinjerne dækker både traditionelt og intelligent videoudstyr. For sidstnævntes vedkommende fokuserer retningslinjerne på reglerne for behandling af særlige kategorier af oplysninger. Desuden omfatter retningslinjerne bl.a. lovligheden af behandling, anvendeligheden af undtagelsen for husholdninger og fremlæggelse af optagelser for tredjeparter. Retningslinjerne vil blive genstand for en offentlig høring.
EDPB-EDPS svar til LIBE-udvalget om konsekvenserne af den amerikanske CLOUD Act
Det Europæiske Databeskyttelsesråd (Herefter EDPB) vedtog et fælles svar med Den Europæiske Tilsynsførende for Databeskyttelse (Herefter EDPS) på Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggenders (Herefter LIBE komiteen) anmodning om en retlig vurdering af konsekvenserne af US CLOUD Act, vedrørende EU's retlige rammer for databeskyttelse og mandatet for forhandlinger om en aftale mellem EU og USA om grænseoverskridende adgang til elektronisk bevismateriale med henblik på retligt samarbejde i straffesager. CLOUD Act giver de amerikanske retshåndhævende myndigheder mulighed for at kræve, at leverandører af tjenesteydelser i USA videregiver oplysninger, uanset hvor oplysningerne er lagret.
EDPB og EDPS understreger, at en omfattende aftale mellem EU og USA vedrørende grænseoverskridende adgang til elektronisk bevismateriale med stærke proceduremæssige og væsentlige garantier vedrørende fundamentale rettigheder synes at være det mest hensigtsmæssige instrument til at sikre det nødvendige beskyttelsesniveau for registrerede i EU og retssikkerhed for virksomheder.
Udtalelse efter artikel 64 i databeskyttelsesforordningenvedrørende standardkontraktbestemmelser for databehandlere i henhold til artikel 28, stk. 8, forelagt af Danmarks tilsynsmyndighed
Det Europæiske Databeskyttelsesråd vedtog sin udtalelse om det udkast til standardkontraktbestemmelserne for at skabe rammer for databehandleres databehandling, som den danske tilsynsmyndighed (SA) havde forelagt rådet. Udtalelsen, som er den første om dette emne, har til formål at sikre en konsekvent anvendelse af artikel 28 i den databeskyttelsesforordningen, hvad angår databehandlere. I udtalelsen fremsatte bestyrelsen en række henstillinger, som skal tages i betragtning, for at Danmarks tilsynsmyndigheds udkast til standardkontraktbestemmelser kan betragtes som standardkontraktbestemmelser. Hvis alle henstillinger gennemføres, vil den danske tilsynsmyndighed kunne anvende dette udkast som standardkontraktbestemmelser i henhold til artikel 28, stk. 8, i den generelle forordning om databeskyttelse.
Udtalelse i henhold til artikel 64 i databeskyttelsesforordningenom godkendelseskriterier for organer, der fører tilsyn med adfærdskodekser, forelagt af Østrigs tilsynsmyndigheder
Efter at Østrigs tilsynsmyndigheder havde forelagt deres udkast til afgørelse om godkendelseskriterier for organer, der fører tilsyn med adfærdskodekser, vedtog udvalget sin udtalelse. Rådet var enigt i, at alle kodekser, der omfatter ikke-offentlige myndigheder og organer, skal have godkendte tilsynsorganer i overensstemmelse med den generelle forordning om databeskyttelse.
Udtalelse i henhold til artikel 64 i databeskyttelsesforordningen om en tilsynsmyndigheds kompetence i tilfælde af en ændring i forhold, der vedrører hovedvirksomheden eller den eneste etablering
Rådet vedtog en udtalelse om en tilsynsmyndigheds kompetence i tilfælde af en ændring i forhold, der vedrører ændring af hovedvirksomheden eller den eneste etablering. Dette kan forekomme, når hovedvirksomheden flyttes inden for EØS, når en hovedvirksomhed flyttes til EØS fra et tredjeland, eller når der ikke længere er en hoved- eller eneetablering i EØS. I sådanne tilfælde finder rådet, at kompetencen som ledende tilsynsmyndighed kan skifte til en anden tilsynsmyndighed. Sker dette, vil samarbejdsproceduren, der er fastsat i artikel 60, fortsat finde anvendelse, og den nye ledende tilsynsmyndighed vil være forpligtet til at samarbejde med den foregående ledende tilsynsmyndighed og med de andre berørte tilsynsmyndigheder i et forsøg på at nå til enighed. Skiftet kan finde sted, så længe den kompetente tilsynsmyndighed ikke har truffet endelig afgørelse.
Fælles udtalelse fra EDPB-EDPS om eHDSI
Rådet vedtog en fælles udtalelse fra EDPB og EDPS om beskyttelse af personoplysninger i forbindelse med behandling af patientoplysninger i digitalinfrastrukturen for e-sundhed (eHDSI). Det er den første fælles udtalelse fra EDPB og EDPS, der blev vedtaget som svar på en anmodning fra Europa-Kommissionen i henhold til artikel 42, stk. 2, i forordning 2018/1725 om databeskyttelse for EU's institutioner og organer. I sin udtalelse finder EDPB og EDPS, at der i denne specifikke situation og med hensyn til den konkrete behandling af patientoplysninger inden for eHDSI ikke er nogen grund til at afvige fra Europa-Kommissionens vurdering af dens rolle som databehandler i eHDSI. Endvidere understreges det i den fælles udtalelse behovet for at sikre, at alle Kommissionens opgaver som databehandler i denne databehandlingsaktivitet, som anført i den gældende databeskyttelseslovgivning, klart fastlægges i den relevante gennemførelsesretsakt.
Liste vedrørende konsekvensanalyse forelagt af Cypern
Det Europæiske Databeskyttelsesråd vedtog en udtalelse om den liste vedrørende konsekvensanalyse, som Cypern har forelagt rådet. Lister vedrørende konsekvensanalyser er et vigtigt redskab til sikring af en ensartet anvendelse af databeskyttelsesforordningen i hele EØS. Konsekvensanalyse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder.
Artikel 64 i databeskyttelsesforordningen om lister vedrørende artikel 35, stk. 5, forelagt af Frankrig, Spanien og Tjekkiet (undtagelse med hensyn til konsekvensanalyse)
Det Europæiske Databeskyttelsesråd vedtog sin udtalelse om de lister vedrørende artikel 35, stk. 5, som blev forelagt rådet af de franske, spanske og tjekkiske tilsynsmyndigheder.
Henstilling om liste forelagt af Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 39, stk. 4, i forordning 2018/1725 (liste vedrørende konsekvensanalyse)
Rådet har vedtaget en henstilling om den liste i henhold til artikel 39, stk. 4, som Den Europæiske Tilsynsførende for Databeskyttelse har forelagt rådet. Den Europæiske Tilsynsførende for Databeskyttelse skal høre Det Europæiske Databeskyttelsesråd inden vedtagelsen af disse lister, for så vidt som disse "omhandler behandlingsaktiviteter udført af en dataansvarlig, der handler sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer" (artikel 39, stk. 6, i forordning (EU) 2018/1725). I lighed med listerne vedrørende konsekvensanalyse i henhold til den generelle databeskyttelsesforordning giver listerne fra Den Europæiske Tilsynsførende for Databeskyttelse databehandlere oplysninger om behandlingsaktiviteter, som forudsætter en konsekvensanalyse.
Baggrundsoplysninger:
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarforsamling, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.