Europeiska dataskyddsstyrelsen tog ställning till Schrems II-beslutet och behandlade anvisningen gällande betaltjänstdirektivet PSD2

22.7.2020 15.37
Nyhet

Europeiska dataskyddsstyrelsen har publicerat ett ställningstagande till EU-domstolens avgörande C-311/18 i det så kallade Schrems II-fallet, som hävde Privacy Shield-överenskommelsen mellan EU och Förenta Staterna. I ställningstagandet presenterar dataskyddsstyrelsen sin första bedömning av domstolens Schrems II-beslut. Dessutom har dataskyddsstyrelsen godkänt ett utkast till anvisning om inbördes förhållandet mellan betaltjänstdirektivet PSD2 och dataskyddsförordningen.

Dataskyddsstyrelsen betonar i sitt ställningstagande som godkändes i plenum 17 juli, att EU och Förenta Staterna för dataöverföringen ska skapa effektiva och fullständiga ramar som garanterar att personuppgifter i Förenta Staterna har ett dataskydd som väsentligen motsvarar nivån inom EU. Dataskyddsstyrelsen meddelar att den är beredd att erbjuda Europeiska kommissionen stöd i uppbyggnaden av en ny lagstiftningsram tillsammans med Förenta Staterna.

Dataskyddsstyrelsen uppger att den kommer att bedöma EU-domstolens avgörande mer i detalj och reda ut dess betydelse för intressenterna. Den ämnar även ge anvisningar om medel som möjliggör dataöverföring till tredje länder i enlighet med avgörandet. Dataskyddsstyrelsen och de nationella dataskyddsmyndigheterna är också beredda att sörja för en harmoniserad tolkning inom EES-området.

Användning av standardiserade dataskyddsbestämmelser förutsätter en bedömning av dataskyddet

I sitt ställningstagande behandlar dataskyddsstyrelsen även användning av standardiserade dataskyddsbestämmelser (standard contractual clauses, SCC) som grund för dataöverföring. Dataskyddsstyrelsen konstaterar, att uppgiftsutföraren och uppgiftsinföraren i första hand ansvarar för säkerställandet av nivån på dataskyddet när användning av standardiserade dataskyddsbestämmelser övervägs.

Innan standardiserade dataskyddsbestämmelser används ska uppgiftsutföraren göra en bedömning av nivån på dataskyddet och beakta innehållet i standardiserade dataskyddsbestämmelserna, särskilda förhållanden i anslutning till överföringen samt rättssystemet i landet där uppgiftsinföraren finns. Uppgiftsinföraren kan vid behov bistå i bedömningen. Uppgiftsutföraren kan även behöva överväga tilläggsklausuler utöver standardiserade dataskyddsbestämmelser. Dataskyddsstyrelsen säger sig undersöka närmare vad dessa tilläggsklausuler skulle kunna innehålla.    

Myndigheterna är skyldiga att förbjuda dataöverföring om dataskyddet inte kan säkerställas

Dataskyddsstyrelsen hänvisar också till de nationella dataskyddsmyndigheternas skyldighet att förbjuda eller avbryta överföring av personuppgifter till tredje land utifrån standardiserade dataskyddsbestämmelserna om de inte kan efterföljas i det aktuella landet och skyddet för de överförda personuppgifterna inte kan säkerställas på andra sätt. Myndigheternas skyldighet gäller i synnerhet situationer där personuppgiftsbiträdet eller den registeransvarige inte själv har avbrutit eller förhindrat överföringen.

Dataskyddsstyrelsen påminner att den har sammanställt riktlinjer för specialsituationer som avviker från artikel 49 i dataskyddsförordningen, och dessa avvikelser ska tillämpas från fall till fall.

Anvisning för tillämpning av dataskyddsförordningen på betaltjänstdirektivet i dataskyddsstyrelsens behandling

Dataskyddsstyrelsen godkände i plenum ett utkast till anvisning om inbördes växelverkan mellan betaltjänstdirektivet PSD2 och EU:s allmänna dataskyddsförordning. Direktivet reviderade betaltjänstmarknadens rättsliga ramar och möjliggjorde verksamhet för nya aktörer inom betalningsuppdragstjänster och kontouppgiftstjänster. Bankens kund kan baserat på samtycke ge dessa så kallade tredje tjänsteleverantörer tillträde till sitt bankkonto. Anvisningen gäller tillämpningen av dataskyddsförordningen på de aktuella tjänsterna.

I anvisningen behandlas även de villkor som ger tjänsteleverantörer som har ett betalkonto rätt att bevilja tredje tjänsteleverantörer tillträde till kontouppgifterna. Utkastet till anvisning har nu lagts ut till offentligt samråd, och anvisningen kan kommenteras på dataskyddsstyrelsens webbplats fram till 16 september.

Dessutom har dataskyddsstyrelsen svarat parlamentsledamot Ďuriš Nicholsonová i en fråga gällande dataskyddet i kampen mot coronaviruspandemin. Svaret behandlar harmoniseringen och interoperabiliteten avseende kontaktspårningsappar, kraven på konsekvensbedömning i behandlingen av insamlade personuppgifter samt behandlingens längd.

Mer information:

Meddelande från Europeiska dataskyddsstyrelsen: European Data Protection Board - Thirty-fourth Plenary session: Schrems II, Interplay PSD2 and GDPR and letter to MEP Ďuriš Nicholsonová on contact tracing, interoperability of apps and DPIAs (20.7.2020)

Dataskyddsstyrelsens ställningstagande: Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems  

Utkast till anvisning om betaltjänstdirektivet PSD2: Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR