Europeiska dataskyddsstyrelsen – femte plenarmötet: Förslag till beslut om adekvat skyddsnivå för Japan, konsekvensbedömning avseende uppgiftsskydd samt riktlinjer för ackreditering
Den 4 december och den 5 december samlades de europeiska dataskyddsmyndigheterna, som ingår i Europeiska dataskyddsstyrelsen, för sitt femte plenarmöte. Under plenarmötet diskuterades ett brett spektrum av ämnen.
Styrelseledamöterna antog ett yttrande över utkastet till beslut om adekvat skyddsnivå mellan EU och Japan, som styrelsen mottog från Europeiska kommissionen i september 2018. Europeiska dataskyddsstyrelsen gjorde sin bedömning på grundval av den dokumentation som gjorts tillgänglig av Europeiska kommissionen. Styrelsens huvudsyfte var att bedöma om kommissionen har säkerställt att det finns tillräckliga garantier i det japanska ramverket för en adekvat skyddsnivå för personuppgifter. Det är viktigt att inse att Europeiska dataskyddsstyrelsen inte förväntar sig att det japanska rättsliga ramverket ska kopiera europeisk dataskyddslagstiftning.
Europeiska dataskyddsstyrelsen välkomnar kommissionens och de japanska myndigheternas insatser för att öka konvergensen mellan det japanska rättsliga ramverket och det europeiska. De förbättringar som införts genom tilläggsreglerna för att överbrygga några av skillnaderna mellan de två ramverken är mycket viktiga och välkomna.
Efter en noggrann analys av kommissionens förslag till beslut om adekvat skyddsnivå och av det japanska ramverket för uppgiftsskydd konstaterar Europeiska dataskyddsstyrelsen emellertid att ett antal farhågor kvarstår, såsom skyddet av personuppgifter som överförs från EU till Japan under hela deras livscykel. Europeiska dataskyddsstyrelsen rekommenderar Europeiska kommissionen att också besvara Europeiska dataskyddsstyrelsens begäran om förtydligande på olika punkter, att lägga fram ytterligare bevis och förklaringar rörande de frågor som har lyfts och att noga övervaka den praktiska tillämpningen. Europeiska
dataskyddsstyrelsen anser att beslutet om adekvat skydd mellan EU och Japan är av yttersta vikt. Då det är det första beslutet om adekvat skyddsnivå sedan den allmänna dataskyddsförordningen trädde i kraft kommer det att utgöra ett prejudikat.
Förteckning avseende konsekvensbedömningar
Europeiska dataskyddsstyrelsen har antagit yttranden om de förteckningar över konsekvensbedömningar som Danmark, Kroatien, Luxemburg och Slovenien lagt fram för styrelsen. Dessa förteckningar utgör ett viktigt verktyg för en konsekvent tillämpning av den allmänna dataskyddsförordningen i hela EES.
En konsekvensbedömning avseende uppgiftsskydd är ett sätt att bidra till att identifiera och begränsa risker för uppgiftsskydd som skulle kunna påverka enskilda personers rättigheter och friheter. Den personuppgiftsansvarige ska som regel bedöma om en konsekvensbedömning avseende uppgiftsskydd krävs innan man inleder en behandling, men de nationella tillsynsmyndigheterna ska upprätta och publicera en förteckning över den typ av behandling som omfattas av kravet på konsekvensbedömning.
Dessa fyra yttranden följer på de 22 yttranden som antogs vid plenarmötet i september och kommer att bidra ytterligare till att fastställa gemensamma kriterier för förteckningar över kravet på konsekvensbedömning i hela EES. Europeiska dataskyddsstyrelsens ordförande, Andrea Jelinek, sade följande: ”Denna process har varit ett utmärkt tillfälle för Europeiska dataskyddsstyrelsen att testa möjligheterna och utmaningarna med enhetlighet i praktiken. Den allmänna dataskyddsförordningen kräver inte fullständig harmonisering eller en ”EU-förteckning”, men kräver mer enhetlighet, vilket vi har uppnått i alla dessa yttranden genom att komma överens om en gemensam syn.”
Riktlinjer för ackreditering
Europeiska dataskyddsstyrelsen har antagit en reviderad version av artikel 29-gruppens riktlinjer om ackreditering, inklusive en ny bilaga. Syftet med riktlinjerna är att ge vägledning om hur bestämmelserna i artikel 43 i den allmänna dataskyddsförordningen ska tolkas och genomföras. De syftar särskilt till att hjälpa medlemsstaterna, tillsynsmyndigheter och nationella ackrediteringsorgan att fastställa en enhetlig och harmoniserad grund för ackreditering av certifieringsorgan som ska utfärda certifieringar i enlighet med den allmänna dataskyddsförordningen. Riktlinjerna har nu kompletterats med en bilaga med vägledning kring de ytterligare krav för ackreditering av certifieringsorgan som ska tas fram av tillsynsmyndigheterna. Denna bilaga kommer att vara föremål för öppen konsultation.
Mer information:
dataombudsman Reijo Aarnio, tfn 040 520 7068, reijo.aarnio(at)om.fi