Europeiska dataskyddsstyrelsens plenarsessionen: Översyn av skölden för skydd av privatlivet, riktlinjer för territoriell räckvidd, riktlinjer för inbyggt dataskydd och dataskydd som standard

18.11.2019 14.19 | Publicerad på svenska 11.12.2019 kl. 11.15
Pressmeddelande

Den 12 och 13 november samlades dataskyddsmyndigheterna i EES-länderna och den Europeiska datatillsynsmannen i Europeiska dataskyddsstyrelsen för sin femtonde plenarsession. Under plenarsammanträdet diskuterades ett brett spektrum av ämnen.

Tredje årliga översynen av skölden för skydd av privatlivet

Den Europeiska dataskyddsstyrelsen (EDPB) antog sin rapport över den tredje årliga gemensamma översynen av skölden för skydd av privatlivet i EU och USA (EU-US Privacy Shield). I rapporten välkomnar EDPB de insatser som gjorts av de amerikanska myndigheterna för att genomföra skölden för skydd av privatlivet, särskilt när det gäller egeninitierade tillsyns- och verkställighetsåtgärder avseende de kommersiella aspekterna, samt utnämningarna av de sista ledamöterna i styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (Privacy and Civil Liberties Oversight Board, PCLOB) och en permanent Ombudsperson.

Ett antal frågetecken kvarstår dock. EDPB påpekar att det fortfarande saknas tillräckliga kontroller av hur sköldens principer i sak efterlevs. Andra områden som kräver ytterligare uppmärksamhet är tillämpningen av kraven i skölden när det gäller vidareöverföring, personuppgifter om anställda och personuppgiftsbiträden, liksom förfarandet för omcertifiering. Mer generellt skulle granskningsgruppens medlemmar önska att få en bredare tillgång till icke-offentliga uppgifter om kommersiella aspekter och pågående utredningar.

När det gäller offentliga myndigheters insamling av data uppmanar EDPB PCLOB att utfärda och offentliggöra ytterligare rapporter, bland annat för att ge möjlighet till en oberoende bedömning av övervakningsprogram som genomförs utanför Förenta staternas territorium, när uppgifter överförs från EU till USA. EDPB betonar att dess säkerhetsprövade experter även fortsättningsvis är redo att granska ytterligare dokument och att diskutera ytterligare frågor som omfattas av sekretess.

Samtidigt som Europeiska dataskyddsstyrelsen välkomnar de nya uppgifter som lämnats under årets översyn kan styrelsen inte dra slutsatsen att Ombudspersonen har tillräckliga befogenheter för att få tillgång till information och åtgärda bristande efterlevnad.

Tredje översynen av skölden för skydd av privatlivet i EU och USA (på engelska, pdf)

Riktlinjer för territoriell räckvidd

Europeiska dataskyddsstyrelsen antog en slutlig version av riktlinjerna för territoriell räckvidd efter offentligt samråd. Riktlinjerna syftar till att uttrycka EES-ländernas dataskyddsmyndigheters gemensamma tolkning av den allmänna dataskyddsförordningen när det gäller att bedöma om en behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde omfattas av förordningens territoriella tillämpningsområde, i enlighet med artikel 3 i förordningen. Riktlinjerna ger ytterligare förtydliganden om hur den allmänna dataskyddsförordningen ska tillämpas i olika situationer såsom när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad utanför EES. Ett exempel är frågan om utpekande av en företrädare enligt artikel 27 i den allmänna dataskyddsförordningen och dess roll.

De slutligt antagna riktlinjerna innehåller en uppdaterad text och ytterligare rättslig motivering för att möta de kommentarer och synpunkter som inkommit under det offentliga samrådet, samtidigt som den övergripande tolkning och metod som presenteras i den första versionen av riktlinjerna bibehålls.

Riktlinjer för territoriell räckvidd (på engelska, pdf)

Riktlinjer om inbyggt dataskydd & dataskydd som standard

Europeiska dataskyddsstyrelsen antog riktlinjer om inbyggt dataskydd och dataskydd som standard. Riktlinjerna fokuserar på skyldigheten att skydda personuppgifter genom sådana åtgärder enligt vad som gäller enligt artikel 25 i den allmänna dataskyddsförordningen. Kärnan i denna skyldighet är att effektivt genomföra principerna för uppgiftsskydd och registrerades fri- och rättigheter genom inbyggt dataskydd och dataskydd som standard. Detta kräver att personuppgiftsansvariga genomför lämpliga tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgärder, som är utformade för att säkerställa ett effektivt uppgiftsskydd och att skydda de registrerades fri- och rättigheter. Dessutom måste personuppgiftsansvariga kunna visa att de genomförda åtgärderna är effektiva. Riktlinjerna kommer att läggas fram för offentligt samråd.

Yttrande enligt artikel 64 om ExxonMobils bindande företagsregler

Europeiska dataskyddsstyrelsen antog sitt yttrande om förslaget till beslut över ExxonMobils bindande företagsregler som överlämnats till styrelsen av den belgiska tillsynsmyndigheten. Europeiska dataskyddsstyrelsen anser att de bindande företagsbestämmelserna ger tillräckliga garantier i den mening som avses i artikel 46 (2) (b) och uppfyller kraven i artikel 47 i den allmänna dataskyddsförordningen.

Svarsskrivelse till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) om EU:s informationssystem

Europeiska dataskyddsstyrelsen antog sitt svar på en begäran från Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, om en rättslig bedömning av Europeiska kommissionens förslag till förordning om fastställande av villkoren för åtkomst till andra EU-informationssystem och förslag till förordning om fastställande av villkoren för åtkomst tll andra EU-informationssystem för ETIAS syften. I skrivelsen hävdar Europeiska dataskyddsstyrelsen att förslagen bör ses i ett större sammanhang, dvs. som en del i genomförandet av ramverket om interoperabilitet och påminner om de betänkligheter som tidigare framförts av artikel 29-gruppen. Dessutom påpekas det i skrivelsen att det finns farhågor som rör de grundläggande principerna för uppgiftsskydd, såsom öppenhet, inbyggt dataskydd och dataskydd som standard samt ändamålsbegränsning.

Tilläggsprotokoll till Budapestkonventionen om it-brottslighet

Europeiska dataskyddsstyrelsen har antagit ett bidrag till utkastet till ett andra tilläggsprotokoll till Europarådets konvention om it-relaterad brottslighet (Budapestkonventionen), som ska behandlas inom ramen för samråd som hålls av Europarådets kommitté för konventionen om it-brottslighet (T-CY). Europeiska dataskyddsstyrelsen erinrar om att skyddet av personuppgifter och rättssäkerheten måste garanteras för att man ska kunna bidra till målet att införa hållbara arrangemang kring delning av personuppgifter med tredjeländer i brottsbekämpningssyfte, som är fullt förenliga med EU-fördragen och stadgan om de grundläggande rättigheterna.

Mer information:

biträdande dataombudsman Anu Talus, tfn 029 566 6766, anu.talus(at)om.fi

 

EU-länder
datasekretess