Europeiska dataskyddsstyrelsen har förtydligat definitionen av ett huvudsakligt verksamhetsställe och gett ett utlåtande om ett förslag om bekämpning av övergrepp mot barn

Europeiska dataskyddsstyrelsen har vid sitt plenum i februari gett ett utlåtande för att förtydliga definitionen av personuppgiftsansvarigas huvudsakliga verksamhetsställe inom EU och tillämpningen av mekanismen för en enda kontaktpunkt på basis av det huvudsakliga verksamhetsstället. Dataskyddsstyrelsen framförde också sin syn på Europaparlamentets ståndpunkt vad gäller förslaget till en förordning om att fastställa regler för att förebygga och bekämpa sexuella övergrepp mot barn på webben.

I sitt utlåtande preciserar dataskyddsstyrelsen hur personuppgiftsansvarigas huvudsakliga verksamhetsställe definieras och på vilka förutsättningar mekanismen för en enda kontaktpunkt tillämpas på personuppgiftsansvariga. Fastställandet av det huvudsakliga verksamhetsstället preciseras i synnerhet i frågor där beslut om behandlingen av personuppgifter fattas utanför EU.

Mekanismen för en enda kontaktpunkt innebär att EU-ländernas dataskyddsmyndigheter behandlar tillsammans fall som berör olika länder. En så kallad ledande tillsynsmyndighet fastställs för behandlingen av dessa ärenden på basis av det land där det huvudsakliga verksamhetsställe som ansvarar för behandlingen av EU-medborgarnas personuppgifter är beläget.

”Definitionen av det huvudsakliga verksamhetsstället är en av hörnstenarna för mekanismen för en enda kontaktpunkt. Det huvudsakliga verksamhetsstället har en nyckelposition i fastställandet av den ledande tillsynsmyndigheten i gränsöverskridande ärenden”, konstaterar dataskyddsstyrelsens ordförande Anu Talus.

Personuppgiftsansvarigas verksamhetsställe inom EU kan betraktas som det huvudsakliga verksamhetsstället endast om det kan bevisas att verksamhetsstället fattar besluten om behandlingen av personuppgifter och verkställer dessa beslut. Om besluten om behandlingen av personuppgifter fattas utanför EU anses företagets huvudsakliga verksamhetsställe inte ligga inom EU och mekanismen för en enda kontaktpunkt tillämpas inte.

Dataskyddsstyrelsens utlåtande på styrelsens webbplats (på engelska): Opinion 04/2024 on the notion of main establishment of a controller in the Union under Art. 4.16(a) GDPR

De grundläggande rättigheterna måste respekteras i lagstiftningen om bekämpning av sexuellt utnyttjande av barn 

Dataskyddsstyrelsen har framfört sin syn på utvecklingen av lagstiftningen om ett förslag till en förordning om bekämpning av sexuellt utnyttjande av barn på webben. Dataskyddsstyrelsens utlåtande fokuserar i synnerhet på Europaparlamentets ståndpunkt från november 2023.

Dataskyddsstyrelsen förhåller sig positiv till flera av de förbättringar som EU-parlamentet föreslagit. Parlamentets förslag förefaller dock inte helt lösa frågor om allmän uppföljning av privata kommunikationer eller utfärdande av spårningsorder av material med sexuellt utnyttjande av barn och kontaktsökning av barn.

”Sexuellt utnyttjande av barn är ett väldigt allvarligt brott som kräver effektiva åtgärder. Det är viktig att all lagstiftning respekterar de grundläggande rättigheterna avseende den personliga integriteten och dataskydd. Obegränsad tillgång till elektroniska kommunikationer skulle försvaga dessa principer och kunde ha negativa konsekvenser för rättigheterna och säkerheten av både barn och vuxna. Vi måste se upp för åtgärder som skulle kunna göra mer skada än nytta”, säger Anu Talus.

Dataskyddsstyrelsens yttrande på styrelsens webbplats (på engelska): Statement 1/2024 on legislative developments regarding the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse

På sommaren 2022 gav Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen ett gemensamt yttrande över EU-kommissionens förslag till förordning.

Mer information:

​​​​​​​Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats (på engelska): ​​​​​​​EDPB clarifies notion of main establishment and calls on EU legislators to make sure CSAM Regulation respects rights to privacy and data protection (14.12.2024)