Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52020DC0264

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse

COM/2020/264 final

Date of document:
24/06/2020
Date of dispatch:
24/06/2020; sendt til Rådet
Date of dispatch:
24/06/2020; sendt til Parlamentet
Author:
Europa-Kommissionen, Generaldirektoratet for Retlige Anliggender og Forbrugere
Responsible body:
JUST
Form:
Meddelelse

Bruxelles, den 24.6.2020

COM(2020) 264 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse

{SWD(2020) 115 final}


MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse

1Databeskyttelsesregler som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling

Denne rapport er den første om evalueringen og revisionen af den generelle forordning om databeskyttelse 1 (herefter "persondataforordningen"), og handler især om, hvordan reglerne om overførsel af personoplysninger til tredjelande og internationale organisationer og reglerne om samarbejde og sammenhæng anvendes og fungerer, jf. persondataforordningens artikel 97.

Persondataforordningen, som har været gældende siden den 25. maj 2018, er en central del af EU's ramme 2 for sikring af den grundlæggende ret til databeskyttelse som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder (artikel 8) og i traktaterne (artikel 16 i traktaten om Den Europæiske Unions funktionsmåde, "TEUF"). Persondataforordningen styrker databeskyttelsesgarantierne, giver personer yderligere og styrkede rettigheder, skaber øget gennemsigtighed og sikrer, at alle de, der behandler personoplysninger, og som er omfattet af dens anvendelsesområde, holdes mere ansvarlige og er mere ansvarsbevidste. Den giver de uafhængige datatilsynsmyndigheder større og mere ensartede håndhævelsesbeføjelser og indfører et nyt forvaltningssystem. Den skaber også lige vilkår for alle virksomheder, som udøver aktivitet på EU-markedet, uanset hvor de er etablerede, og den sikrer fri udveksling af oplysninger inden for EU og styrker dermed det indre marked.

Persondataforordningen er en vigtig del af den menneskecentrerede tilgang til teknologi og en rettesnor for brugen af teknologi i den grønne og den digitale omstilling, som kendetegner EU's politikudformning. Dette er for nylig blevet understreget i hvidbogen om kunstig intelligens 3 og i meddelelsen om en europæisk datastrategi 4 (herefter "datastrategien") fra februar 2020.

I en økonomi, der i stigende grad bygger på behandling af data, herunder personoplysninger, er persondataforordningen et vigtigt værktøj til at sikre, at personer har bedre kontrol over deres personoplysninger, og at disse oplysninger behandles til et lovligt formål på en lovlig, rimelig og gennemsigtig måde. Samtidig bidrager persondataforordningen til at fremme innovation, man kan have tillid til, især via dens risikobaserede tilgang og principper såsom databeskyttelse gennem design og gennem standardindstillinger. Kommissionen har foreslået at supplere regelkomplekset for databeskyttelse og beskyttelse af privatlivets fred 5 med forordningen om e-databeskyttelse 6 , som har til formål at erstatte det nuværende direktiv om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor 7 . Forslaget behandles i øjeblikket af Europa-Parlamentet og Rådet, og det er meget vigtigt, at det bliver vedtaget hurtigt.

Der kan som led i Kommissionens centrale prioriteter i "Et Europa klar til den digitale tidsalder" 8 og "Den europæiske grønne pagt" 9 skabes nye initiativer, som giver borgerne mulighed for at spille en mere aktiv rolle i den digitale omstilling og for at udnytte brugen af digitale værktøjer til at skabe et klimaneutralt samfund og en mere bæredygtig udvikling. Persondataforordningen fastsætter rammen for sådanne initiativer og sikrer, at de udformes, så de reelt styrker den enkeltes indflydelse.

I datastrategien 10 opfordres der til at skabe et "fælles europæisk dataområde", et ægte indre marked for data samt ti fælles europæiske sektorspecifikke dataområder, der er relevante for den grønne og den digitale omstilling 11 . Det gælder for alle disse prioriteter, at en klar og velfungerende ramme for sikker datadeling og øget datatilgængelighed er helt afgørende. Det fremgår også af datastrategien, at Kommissionen agter at undersøge, hvordan der er i fremtidig lovgivning kan gives mulighed for at udnytte data i offentlige databaser til videnskabelig forskning på en måde, der er i overensstemmelse med persondataforordningen. Dataområderne skal understøttes af en europæisk cloudsammenslutning, som udbyder databehandlingstjenester og cloudinfrastrukturtjenester, der er i overensstemmelse med persondataforordningen. Persondataforordningen sikrer en høj beskyttelse af personoplysninger, og at personer får en central rolle på alle disse dataområder, samtidig med at den giver den nødvendige fleksibilitet til at tilgodese forskellige tilgange.

Behovet for at sikre tillid og kravet om beskyttelse af personoplysninger er bestemt ikke begrænset til EU. Rundt om i verden sætter personer i stigende grad pris på privatlivets fred og deres oplysningers sikkerhed. Det fremgår af en nylig global undersøgelse 12 , at dette er en vigtig faktor, som påvirker deres beslutninger om indkøb og adfærd på nettet. Et stigende antal virksomheder har efterkommet dette ønske om beskyttelse af privatlivets fred ved blandt andet frivilligt at udvide nogle af de rettigheder og garantier, der findes i persondataforordningen, til deres kunder uden for EU. Mange virksomheder benytter også beskyttelsen af personoplysninger som en konkurrenceparameter og et salgsargument på den globale markedsplads ved at tilbyde innovative produkter og tjenester med nye muligheder for beskyttelse af privatlivets fred eller datasikkerhed. De øgede muligheder, som aktører i den offentlige og private sektor har for at indsamle og behandle data i stor skala, rejser desuden vigtige og komplekse spørgsmål, som i stigende grad placerer beskyttelsen af privatlivets fred i centrum for den offentlige debat i forskellige dele af verden.

Vedtagelsen af persondataforordningen har fået andre lande mange steder i verden til at følge trop. Der er tale om en global udvikling fra Chile til Sydkorea, Brasilien til Japan, Kenya til Indien og Californien til Indonesien. EU's lederskab inden for databeskyttelse viser, at EU kan sætte standarden for reguleringen af den digitale økonomi på globalt plan, og det er blevet vel modtaget af indflydelsesrige personer fra det internationale samfund såsom FN's generalsekretær António Guterres, som har udtalt, at persondataforordningen har "vist det gode eksempel […] og inspireret til lignende foranstaltninger andre steder" og "opfordret EU og dets medlemsstater til fortsat at spille en ledende rolle med henblik på at forme den digitale tidsalder og være førende inden for teknologisk innovation og regulering" 13 .

Den aktuelle pandemiske krise som følge af covid-19 illustrerer tydeligt globaliseringen af databeskyttelsesdebatten både under krisen og i takt med, at verden forsøger at komme ud af den. I EU traf flere medlemsstater nødforanstaltninger i et forsøg på at beskytte folkesundheden. Det fremgår klart af persondataforordningen, at enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til samfundsinteresser såsom folkesundheden. I takt med at inddæmningsforanstaltningerne udfases, skal beslutningstagerne se på borgernes forventninger om, at de tilbydes digitale løsninger, de kan have tillid til, og som overholder retten til privatlivets fred og beskyttelse af personoplysninger.

I mange lande anses indbygget databeskyttelse, som f.eks. brugeres frivillige undertegnelse, dataminimering, datasikkerhed og udelukkelse af geolokalisering, for at være en forudsætning for at kunne skabe datadrevne løsninger, som har til formål at overvåge og inddæmme virusspredningen, justere de offentlige modforanstaltninger, bistå patienter eller gennemføre exitstrategier, og som folk har tillid til og generelt accepterer. I EU har regelkomplekset vedrørende databeskyttelse og privatlivets fred 14 vist sig at være tilstrækkeligt fleksibelt til, at der kan udvikles praktiske løsninger (f.eks. opsporingsapp), samtidig med at personoplysninger sikres en høj grad af beskyttelse. Den 16. april 2020 offentliggjorde Kommissionen i den forbindelse en offentlig vejledning om apps til støtte for bekæmpelse af pandemien i forbindelse med databeskyttelse 15 .

Beskyttelse af personoplysninger er også vigtig for at forhindre manipulation af borgernes valg, især via mikromålretning af vælgere baseret på ulovlig behandling af personoplysninger, for at undgå indblanding i de demokratiske processer og for at bevare den åbne debat og den fairness og gennemsigtighed, der er afgørende i et demokrati. Det var grunden til, at Kommissionen i september 2018 offentliggjorde en vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med afholdelse af valg 16 .

Med henblik på denne evaluering og revision har Kommissionen taget hensyn til bidragene fra Rådet 17 , Europa-Parlamentet 18 , Det Europæiske Databeskyttelsesråd (herefter "Databeskyttelsesrådet") 19 de enkelte datatilsynsmyndigheder 20 , flerpartsekspertgruppen 21 og andre interessenter, blandt andet feedbacken til køreplanen 22 . 

Den generelle holdning er, at persondataforordningen, som nu har været anvendt i to år, opfylder målene om at forbedre personers databeskyttelsesrettigheder og garantere fri udveksling af personoplysninger inden for EU 23 . Der er dog også konstateret en række områder, som kan forbedres. Som de fleste interessenter og datatilsynsmyndigheder mener Kommissionen, at det på nuværende tidspunkt er for tidligt at drage nogen endelige konklusioner om persondataforordningens anvendelse. For de fleste af de problemer, som medlemsstaterne og interessenterne har peget på, gælder det, at det sandsynligvis vil være en fordel at høste lidt større erfaring med persondataforordningens anvendelse i de kommende år. Ikke desto mindre fremhæver rapporten de problemer, der hidtil har været med at anvende persondataforordningen, og den indeholder også forslag til, hvordan de kan løses.

Selv om der i rapporten fokuseres på de to områder i persondataforordningens artikel 97, stk. 2, nemlig internationale overførsler og samarbejds- og sammenhængsmekanismer, ses der i denne evaluering og revision også på spørgsmål, som forskellige aktører har rejst i de seneste to år.

2Hovedkonklusioner

Håndhævelse af persondataforordningen og samarbejds- og sammenhængsmekanismernes virke

Med persondataforordningen indføres et innovativt forvaltningssystem, som bygger på uafhængige datatilsynsmyndigheder i medlemsstaterne og deres samarbejde i grænseoverskridende sager og i Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet"). Generelt kan det konkluderes, at datatilsynsmyndighederne har gjort rimelig brug af deres øgede korrigerende beføjelser, herunder advarsler, kritik, bøder og midlertidig eller definitiv begrænsning af behandlinger 24 . Kommissionen bemærker, at myndighederne har gjort brug af administrative bøder fra nogle få tusinde euro til flere millioner euro afhængigt at overtrædelsernes alvor. Andre sanktioner såsom forbud mod behandling kan have en lige så stor om ikke større afskrækkende virkning end bøder. Det endelige mål med persondataforordningen er at ændre kulturen og adfærden blandt alle involverede aktører til gavn for personerne. Der findes nærmere oplysninger om datatilsynsmyndighedernes brug af korrigerende beføjelser i det ledsagende arbejdsdokument fra Kommissionens tjenestegrene.

Selv om det stadig er for tidligt fuldt ud at vurdere, hvordan de nye samarbejds- og sammenhængsmekanismer fungerer, har datatilsynsmyndighederne udviklet deres samarbejde via one-stop-shop mekanismen 25 og via omfattende brug af gensidig bistand 26 . One-stop-shop mekanismen, som er en vigtig fordel ved det indre marked, anvendes tit, når der skal træffes afgørelse i grænseoverskridende sager 27 . Der er i øjeblikket vigtige afgørelser med en grænseoverskridende dimension, som behandles via one-stop-shop mekanismen, som endnu ikke af afsluttede. Disse afgørelser, som involverer store multinationale teknologivirksomheder, vil få stor indflydelse på den enkeltes rettigheder i mange medlemsstater.

Udviklingen af en egentlig fælles europæisk databeskyttelseskultur mellem datatilsynsmyndighederne er dog en kontinuerlig proces. Datatilsynsmyndighederne har endnu ikke fuldt ud gjort brug af de værktøjer, persondataforordningen giver mulighed for, f.eks. fælles aktiviteter, som kunne føre til fælles undersøgelser. Til tider medførte det at skulle nå frem til en fælles fremgangsmåde, at den laveste fællesnævner blev valgt, hvilket betød, at mulighederne for at fremme en øget harmonisering ikke blev udnyttet 28 .

Der bør gøres mere for at gøre behandlingen af grænseoverskridende sager mere effektiv og harmoniseret i hele EU, blandt andet fra et proceduremæssigt synspunkt, f.eks. i forbindelse med spørgsmål om klagebehandlingsprocedurer, kriterier for antagelse af klager, sagsbehandlingstiden på grund af forskellige frister eller mangel på frister i de nationale administrative procedureregler, tidspunkter i sagsbehandlingen, hvor retten til at blive hørt indrømmes, eller underretning og inddragelse af klagerne i løbet af sagsbehandlingen. Den refleksionsproces, der i den forbindelse er sat i gang af Databeskyttelsesrådet, er velkommen, og Kommissionen deltager i de pågældende drøftelser 29 .

Databeskyttelsesrådets aktiviteter og vejledning spiller en vigtig rolle for den videre udvikling af udvekslingerne mellem Databeskyttelsesrådet og interessenterne 30 . Ved udgangen af 2019 havde Databeskyttelsesrådet vedtaget 67 dokumenter, herunder 10 nye retningslinjer 31 og 43 udtalelser 32 . Interessenterne er generelt glade for Databeskyttelsesrådets retningslinjer og ønsker flere om centrale begreber i persondataforordningen, men påpeger også, at der er uoverensstemmelser mellem den nationale vejledning og Databeskyttelsesrådets retningslinjer. De understreger behovet for mere praktisk rådgivning, især flere konkrete eksempler, og behovet for at give datatilsynsmyndighederne de fornødne menneskelige, tekniske og finansielle ressourcer til effektivt at kunne udføre deres opgaver.

Kommissionen har hele tiden understreget medlemsstaternes forpligtelse til at afsætte tilstrækkelige menneskelige, finansielle og tekniske ressourcer til de nationale datatilsynsmyndigheder 33 . De fleste myndigheder fik tildelt yderligere personale og budget mellem 2016 og 2019 34 med den forholdsvise største stigning i personalet hos de irske, nederlandske, islandske, luxembourgske og finske myndigheder. I betragtning af at de største multinationale teknologivirksomheder er etableret i Irland og Luxembourg, fungerer datatilsynsmyndighederne i disse lande som ledende tilsynsmyndigheder i mange vigtige grænseoverskridende sager og kan have brug for flere ressourcer end landenes indbyggertal umiddelbart giver indtryk af. Situationen er dog stadig meget forskellig fra medlemsstat til medlemsstat og endnu ikke generelt tilfredsstillende. Datatilsynsmyndighederne spiller en vigtig rolle med hensyn til at sikre, at persondataforordningen håndhæves nationalt, og at samarbejds- og sammenhængsmekanismerne i Databeskyttelsesrådet fungerer effektivt, især one-stop-shop mekanismen i grænseoverskridende sager. Medlemsstaterne opfordres derfor til at sørge for, at de har de nødvendige ressourcer i overensstemmelse med persondataforordningen 35 .

Harmoniserede regler, men stadig en vis fragmentering og forskellige fremgangsmåder

Kommissionen fører tilsyn med gennemførelsen af persondataforordningen i national lovgivning. På tidspunktet for denne rapports udarbejdelse havde alle medlemsstater, med undtagelse af Slovenien, vedtaget ny lovgivning eller tilpasset deres nationale databeskyttelseslovgivning. Kommissionen har anmodet Slovenien 36 om at redegøre nærmere for afslutningen af denne proces 37 .

Persondataforordningen sikrer en sammenhængende tilgang til databeskyttelsesreglerne i hele EU. Dette forudsætter dog, at medlemsstaterne lovgiver på visse områder 38 , og giver dem mulighed for at specificere persondataforordningen nærmere på andre områder 39 . Der er som følge heraf stadig en vis fragmentering, som især skyldes den udbredte brug af fakultative specificerende bestemmelser. F.eks. skaber den forskel, der er mellem medlemsstaterne på, i hvilken alder et barn kan give samtykke i forbindelse med informationssamfundstjenester, usikkerhed for børnene og deres forældre med hensyn til, hvordan deres databeskyttelsesrettigheder på det indre marked gøres gældende. Denne fragmentering giver også udfordringer med hensyn til virksomhedsudøvelse og innovation på tværs af grænserne, især for så vidt angår ny teknologisk udvikling og cybersikkerhedsløsninger. Hvis det indre marked skal fungere effektivt, og virksomhederne ikke skal pålægges unødige byrder, er det også vigtigt, at national lovgivning ikke går videre end de grænser, der sættes i persondataforordningen, eller indfører yderligere krav, hvor der ikke noget råderum.

En særlig vanskelighed i national lovgivning er at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden og at få skabt den rette balance mellem disse rettigheder. I nogle landes nationale lovgivning er det princippet om ytringsfrihed, der har forrang, mens lovgivningen i andre lande giver beskyttelsen af personoplysninger forrang og kun tillader undtagelser for anvendelsen af databeskyttelsesreglerne i helt særlige situationer, f.eks. hvis der er tale om en offentlig person. Endelig sikrer andre medlemsstater, at lovgiveren kan foretage en vis afvejning og/eller, at der kan foretages en vurdering i den enkelte sag, for så vidt angår afvigelser fra visse bestemmelser i persondataforordningen.

Kommissionen vil fortsat vurdere den nationale lovgivning. Afvejningen af hensyn skal være fastlagt i lovgivningen, respektere de grundlæggende rettigheders væsentlige indhold, iagttage proportionalitetsprincippet og være nødvendig 40 . Databeskyttelsesregler (samt fortolkningen og anvendelsen heraf) bør ikke påvirke udøvelsen af ytrings- og informationsfriheden, f.eks. ved at have en afdæmpende virkning eller lægge pres på journalister til at afsløre deres kilder. Afvejningen af disse to rettigheder i national lovgivning bør ske under hensyntagen til Domstolens og Den Europæiske Menneskerettighedsdomstols retspraksis 41 .

Tilgangen i medlemsstaternes lovgivning er forskellig med hensyn til gennemførelsen af undtagelser fra det generelle forbud mod behandling af særlige kategorier af personoplysninger, for så vidt angår specifikationsgraden og garantier, herunder til sundheds- og forskningsformål. For at afhjælpe dette er Kommissionen som et første skridt i gang med at kortlægge medlemsstaternes forskellige tilgange 42 , og den vil dernæst støtte indførelsen af adfærdskodekser, som kan bidrage til en mere konsekvent tilgang på området og til at lette behandlingen af personoplysninger på tværs af grænserne 43 . Derudover vil Databeskyttelsesrådets kommende retningslinjer om brugen af personoplysninger inden for forskning bidrage til en harmoniseret tilgang. Kommissionen vil give Databeskyttelsesrådet input, især i forbindelse med sundhedsforskning, herunder i form af konkrete spørgsmål og analyser af specifikke scenarier, som den har modtaget fra forskningsverdenen.

Personer skal have større mulighed for at kontrollere deres oplysninger

Ifølge undersøgelsen om grundlæggende rettigheder 44 har 69 % af EU's befolkning over 16 år hørt om persondataforordningen, og 71 % af borgerne i EU har kendskab til den nationale datatilsynsmyndighed i deres land.

Personer er i stigende grad klar over deres rettigheder: retten til indsigt i, berigtigelse, sletning og portabilitet af deres personoplysninger, retten til at gøre indsigelse mod en behandling samt til øget gennemsigtighed. Persondataforordningen har styrket de processuelle rettigheder, som omfatter retten til at indgive en klage til en datatilsynsmyndighed, herunder gennem adgang til indbringelse af sager til varetagelse af kollektive interesser, og til retslig prøvelse. Disse rettigheder gøres i stigende grad gældende af personer, men der er behov for at lette udøvelsen og den fulde håndhævelse af dem. De refleksioner, som ledes af Databeskyttelsesrådet, vil præcisere og yderligere lette udøvelsen af den enkeltes rettigheder, mens det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af kollektive interesser 45 , når det bliver vedtaget, forventes at give personer mulighed for at indbringe kollektive søgsmål i alle medlemsstater og at mindske omkostningerne ved grænseoverskridende søgsmål.

Retten til dataportabilitet har et klart endnu ikke fuldt udnyttet potentiale til at sætte individet i centrum for dataøkonomien ved at gøre det muligt for personer at skifte mellem forskellige tjenesteudbydere, kombinere forskellige tjenester, anvende andre innovative tjenester og vælge de tjenester, der beskytter oplysningerne bedst. Dette vil indirekte fremme konkurrence og innovation. Det er en af Kommissionens prioriteter at udnytte dette potentiale, især fordi flere og flere data med den stigende brug af tingenes internet genereres af forbrugere, som risikerer at blive udsat for urimelig praksis og "fastlåsning". Dataportabilitet kunne generere betydelige fordele i forbindelse med sundhed og velvære, reduceret miljøaftryk, adgang til offentlige og private tjenester, øget produktivitet inden for fremstilling og øget produktkvalitet og -sikkerhed.

I datastrategien understreges nødvendigheden af at tackle problemer såsom manglende standarder, der gør det muligt at levere data i et maskinlæsbart format, og at øge den effektive udøvelse af retten til dataportabilitet, som i øjeblikket er begrænset til nogle få sektorer (f.eks. banksektoren og telekommunikationssektoren). Dette kunne blandt andet ske ved at udvikle de rette værktøjer og standardiserede formater og grænseflader 46 . En øget udøvelse af denne ret kunne også opnås ved f.eks. at stille krav om tekniske grænseflader og maskinlæsbare formater, som muliggør dataportabilitet i realtid. En øget udøvelse af retten til dataportabilitet kunne blandt andet gøre det lettere for personer at tillade brugen af deres oplysninger i almenvellets interesse (f.eks. til at fremme forskning i sundhedssektoren), hvis de ønsker det ("dataaltruisme"). Som led i udarbejdelsen af pakken om digitale tjenester 47 vil Kommissionen undersøge, hvilken rolle data og datarelateret praksis spiller i platformsøkosystemet.

Muligheder og udfordringer for organisationer, især små og mellemstore virksomheder

Persondataforordningen skaber sammen med forordningen om fri udveksling af andre data end personoplysninger 48 muligheder for virksomhederne ved at fremme konkurrence og innovation, sikre fri udveksling af data inden for EU og lige konkurrencevilkår med virksomheder, der er etableret uden for EU 49 . Retten til dataportabilitet samt et stigende antal personer, der efterspørger løsninger, som i højere grad sikrer beskyttelse af privatlivets fred, kan bidrage til at mindske hindringerne for virksomheder og skabe muligheder for vækst baseret på tillid og innovation. Nogle interessenter har meddelt, at anvendelsen af persondataforordningen giver udfordringer, især for små og mellemstore virksomheder (SMV'er). Ifølge en risikobaseret tilgang ville det ikke være hensigtsmæssigt at give mulighed for undtagelser baseret på operatørernes størrelse, da deres størrelse ikke i sig selv er en indikator for, hvilke risici deres databehandling kan medføre for personer. Flere datatilsynsmyndigheder har stillet praktiske værktøjer til rådighed for at lette gennemførelsen af persondataforordningen i de SMV'er, hvis behandlingsaktiviteter udgør en lavere risiko. Sådanne bestræbelser bør øges og udbredes, helst med en fælles europæisk tilgang for ikke at skabe hindringer for det indre marked.

Datatilsynsmyndigheder har iværksat en række initiativer, der skal gøre det lettere for SMV'er at efterleve persondataforordningen, f.eks. modeller for behandlingskontrakter og fortegnelser over behandlingsaktiviteter, seminarer og hotlines. En række af disse initiativer har fået EU-midler 50 . Det bør overvejes at iværksætte yderligere initiativer for at fremme SMV'ers anvendelse af persondataforordningen.

Persondataforordningen stiller en værktøjskasse til rådighed for alle typer virksomheder og organisationer, f.eks. adfærdskodekser, certificeringsmekanismer og standardkontraktbestemmelser, som kan hjælpe dem til at påvise, at de overholder kravene. Denne værktøjskasse bør udnyttes fuldt ud. SMV'er understreger især betydningen og nytten af adfærdskodekser, som er skræddersyet til deres situation, og som ikke medfører uforholdsmæssigt store omkostninger. Hvad angår certificeringsordninger, er sikkerhed (herunder cybersikkerhed) og databeskyttelse gennem design vigtige elementer, som skal tages i betragtning i henhold til persondataforordningen, og til hvilke der med fordel kunne anlægges en fælles og ambitiøs tilgang i hele EU. Kommissionen arbejder i øjeblikket på standardkontraktbestemmelser mellem dataansvarlige og databehandlere 51 , idet den bygger på det igangværende arbejde med at modernisere standardkontraktbestemmelserne for internationale overførsler 52 .

Anvendelsen af persondataforordningen på ny teknologi

Persondataforordningen, der er udtænkt på en teknologineutral måde, er baseret på principper og er derfor udformet således, at den kan omfatte nye teknologier, i takt med at de udvikles.

Den anses for et vigtigt og fleksibelt redskab til at sikre, at nyudviklede teknologier er i overensstemmelse med de grundlæggende rettigheder. Den retlige ramme for databeskyttelse og beskyttelse af privatlivets fred har vist sin betydning og fleksibilitet under covid-19-krisen, navnlig i forbindelse med udformningen af opsporingsapps og andre teknologiske løsninger til bekæmpelse af pandemien. De fremtidige udfordringer vil være at tydeliggøre, hvordan de velafprøvede principper skal anvendes på specifikke teknologier såsom kunstig intelligens, blockchain, tingenes internet og ansigtsgenkendelse, som kræver løbende overvågning. F.eks. iværksatte Kommissionens hvidbog om kunstig intelligens 53 en offentlig debat om, hvorvidt der eventuelt er særlige omstændigheder, der kan berettige anvendelsen af kunstig intelligens med henblik på biometrisk fjernidentifikation (f.eks. ansigtsgenkendelse) på offentlige steder, og om fælles garantier. I den forbindelse bør datatilsynsmyndighederne være parate til på et tidligt tidspunkt at følge processerne i forbindelse med den tekniske udformning.

Derudover udgør en stringent og effektiv håndhævelse af persondataforordningen over for store digitale platforme og integrerede virksomheder, herunder på områder som onlinereklame og mikromålretning, et væsentligt element i beskyttelsen af enkeltpersoner.

Udvikling af en moderne international værktøjskasse for overførsel af oplysninger

Persondataforordningen udgør en moderniseret værktøjskasse til at lette overførslen af personoplysninger fra EU til et tredjeland eller en international organisation, samtidig med at det sikres, at oplysningerne fortsat er omfattet af et højt beskyttelsesniveau. De seneste to år har Kommissionen optrappet sin indsats for at udnytte det fulde potentiale af de værktøjer, persondataforordningen giver.

Dette har omfattet et aktivt samarbejde med vigtige partnere med henblik på at nå frem til en "beslutning om et tilstrækkeligt beskyttelsesniveau". Virkningen af en sådan beslutning er at sikre en sikker og fri overførsel af personoplysninger til det pågældende tredjeland, uden at dataeksportøren skal stille yderligere garantier eller opnå godkendelse. Navnlig de gensidige beslutninger mellem EU og Japan om et tilstrækkeligt beskyttelsesniveau, som trådte i kraft i februar 2019, skabte verdens største område med frie og sikre overførsler af oplysninger. Derudover er processen med henblik på at nå frem til denne type beslutning med Republikken Korea nået meget langt, og der pågår sonderende drøftelser med andre vigtige partnere i Asien og Latinamerika.

Et tilstrækkeligt beskyttelsesniveau spiller også en vigtig rolle i forbindelse med de fremtidige forbindelser med Det Forenede Kongerige, forudsat at de gældende betingelser er opfyldt. Det udgør en fremmende faktor for handel, herunder digital handel, og en vigtig forudsætning for et tæt og ambitiøst samarbejde på området retshåndhævelse og sikkerhed. Derudover indgår en høj grad af konvergens i forbindelse med databeskyttelse som et vigtigt element for at sikre lige konkurrencevilkår mellem to så tæt integrerede økonomier. I overensstemmelse med den politiske erklæring om de fremtidige forbindelser mellem Den Europæiske Union og Det Forenede Kongerige er Kommissionen i øjeblikket ved at gennemføre en tilstrækkelighedsvurdering inden for rammerne af både persondataforordningen og direktivet om databeskyttelse på retshåndhævelsesområdet 54 .

Som led i den første evaluering af persondataforordningen er det også nødvendigt, at Kommissionen gennemgår de beslutninger om et tilstrækkeligt beskyttelsesniveau, som blev vedtaget i henhold til de tidligere regler 55 . Kommissionens tjenestegrene har indledt en intens dialog med hver af de 11 berørte tredjelande og territorier 56 for at vurdere, hvordan deres databeskyttelsessystemer har udviklet sig siden vedtagelsen af beslutningen om et tilstrækkeligt beskyttelsesniveau, og hvorvidt de opfylder standarden i persondataforordningen. Behovet for at sikre kontinuiteten i forbindelse med sådanne beslutninger som et vigtigt værktøj for handel og internationalt samarbejde er en af de faktorer, der har fået flere af disse lande og territorier til at modernisere og styrke deres lovgivning om privatlivets fred. Der pågår i øjeblikket drøftelser om yderligere garantier med nogle af disse lande og territorier for at tage højde for relevante forskelle i beskyttelsen. Da Domstolen i en dom, den skal afsige den 16. juli, kan tilvejebringe præciseringer, der kan være relevante for visse elementer af tilstrækkelighedsstandarden, vil Kommissionen særskilt aflægge rapport om evalueringen af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau, efter at Domstolen har afsagt dom i den pågældende sag 57 .

Ud over indsatsen for at sikre et tilstrækkeligt beskyttelsesniveau arbejder Kommissionen på en omfattende modernisering af standardkontraktbestemmelserne for at ajourføre dem i lyset af de nye krav i persondataforordningen. Målet er, at de i højere grad skal afspejle virkeligheden i forbindelse med databehandlingsaktiviteter i den moderne digitale økonomi, og at overveje, om der bl.a. i lyset af Domstolens kommende praksis 58 eventuelt er behov for at tydeliggøre visse garantier yderligere. Disse bestemmelser udgør langt den mest udbredte mekanisme for overførsel af oplysninger, som tusindvis af virksomheder i EU er afhængige af for at kunne levere en lang række tjenester til deres kunder, leverandører, partnere og ansatte.

Databeskyttelsesrådet har også spillet en aktiv rolle ved udviklingen af de internationale aspekter af persondataforordningen. Dette omfatter ajourføring af vejledningen om eksisterende overførselsmekanismer såsom bindende virksomhedsregler og såkaldte "undtagelser" samt udvikling af den retlige infrastruktur med henblik på brugen for de nye redskaber, der blev indført ved persondataforordningen, dvs. adfærdskodekser og certificering.

For at gøre det muligt for interessenter fuldt ud at udnytte overførselsværktøjerne i persondataforordningen er det vigtigt, at Databeskyttelsesrådet intensiverer sit igangværende arbejde med de forskellige overførselsmekanismer, bl.a. ved yderligere at strømline godkendelsesprocessen for bindende virksomhedsregler, færdiggøre vejledningen om adfærdskodekser og certificering som overførselsværktøjer og tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3).

Et andet vigtigt aspekt af den internationale dimension af EU's databeskyttelsesregler er persondataforordningens udvidede territoriale anvendelsesområde, som også omfatter databehandlingsaktiviteterne hos udenlandske operatører, der er aktive på EU-markedet. For at sikre en effektiv overholdelse af persondataforordningen og sikre lige konkurrencevilkår er det vigtigt, at denne udvidelse afspejles på passende vis i databeskyttelsesmyndighedernes håndhævelsesforanstaltninger. De bør navnlig om nødvendigt inddrage den dataansvarliges eller databehandlerens repræsentant i EU, som der kan rettes henvendelse til som supplement til eller i stedet for en virksomhed, der er etableret uden for EU. Denne tilgang bør følges mere aktivt for at sende et klart budskab om, at det forhold, at en virksomhed ikke er etableret i EU, ikke fritager udenlandske operatører for deres ansvar i henhold til persondataforordningen.

Fremme af konvergens og internationalt samarbejde på databeskyttelsesområdet

Persondataforordningen er allerede blevet et centralt referencepunkt på internationalt plan og har fået mange lande i hele verden til at overveje at indføre moderne regler for beskyttelse af privatlivets fred. Denne tendens i retning af global konvergens udgør en meget positiv udvikling, som giver nye muligheder for bedre beskyttelse af enkeltpersoner i EU, når deres oplysninger overføres til udlandet, samtidig med at udvekslingen af oplysninger lettes.

På grundlag af denne tendens har Kommissionen intensiveret sin dialog i en række bilaterale, regionale og multilaterale fora for at fremme en global kultur med respekt for privatlivets fred og udvikle en række elementer, der skal sikre konvergens mellem forskellige private systemer til beskyttelse af privatlivets fred. Kommissionen har i sin indsats støttet sig til og vil fortsat regne med aktiv støtte fra EU-Udenrigstjenesten og nettet af EU-delegationer i tredjelande og missioner ved internationale organisationer. Dette har også gjort det muligt at skabe større sammenhæng og komplementaritet mellem de forskellige aspekter af den eksterne dimension af EU's politikker — fra handel til det nye partnerskab mellem EU og Afrika. På møder i G20 og G7 har man også for nylig anerkendt betydningen af databeskyttelse for at skabe tillid til den digitale økonomi og udvekslingen af oplysninger, navnlig gennem begrebet "Data Free Flow with Trust", som oprindeligt blev foreslået af det japanske G20-formandskab 59 . I datastrategien fremhæves det, at Kommissionen har til hensigt at fortsætte med at fremme datadelingen med betroede partnere, samtidig med at den fortsat bekæmper misbrug såsom (udenlandske) offentlige myndigheders uforholdsmæssigt omfattende adgang til personoplysninger. 

Samtidig med at Kommissionen arbejder på at fremme konvergensen i databeskyttelsesstandarder på internationalt plan som et middel til at lette udvekslingen af oplysninger og dermed handelen, er den også fast besluttet på at bekæmpe digital protektionisme, således som det for nylig blev fremhævet i datastrategien 60 . Med henblik herpå har den udviklet specifikke bestemmelser om udveksling af oplysninger og databeskyttelse i handelsaftaler 61 , som den systematisk fremlægger i sine bilaterale forhandlinger — senest med Australien, New Zealand og Det Forenede Kongerige — og multilaterale forhandlinger såsom de nuværende WTO-drøftelser om e-handel 62 . Disse generelle bestemmelser udelukker ubegrundede foranstaltninger såsom tvungne datalokaliseringskrav og sikrer samtidig parternes reguleringsmæssige autonomi til at beskytte den grundlæggende ret til databeskyttelse.

Synergier mellem handels- og databeskyttelsesinstrumenter bør derfor undersøges nærmere for at sikre frie og sikre internationale overførsler af oplysninger, som er vigtige for europæiske virksomheders, herunder SMV'ers, forretningsaktiviteter, konkurrenceevne og vækst i den stadig mere digitaliserede økonomi.

På samme måde er det vigtigt at sikre, at når virksomheder, der er aktive på det europæiske marked, på grundlag en legitim anmodning opfordres til at dele oplysninger med henblik på retshåndhævelse, kan de gøre dette uden at opleve lovkonflikter og under fuld overholdelse af EU's grundlæggende rettigheder. For at forbedre sådanne overførsler er Kommissionen fast besluttet på at udvikle passende retlige rammer sammen med sine internationale partnere for at undgå lovkonflikter og støtte effektive samarbejdsformer, navnlig ved at sikre de nødvendige databeskyttelsesgarantier, og derved bidrage til en mere effektiv bekæmpelse af kriminalitet.

På et tidspunkt, hvor problemer med overholdelsen af privatlivets fred eller datasikkerhedshændelser kan påvirke et stort antal personer samtidigt i forskellige jurisdiktioner, bør det praktiske samarbejde mellem europæiske og internationale tilsynsmyndigheder styrkes yderligere. Dette kræver navnlig, at der udarbejdes hensigtsmæssige retsforskrifter med henblik på tættere samarbejde og gensidig bistand, bl.a. ved at tillade de nødvendige udvekslinger af oplysninger i forbindelse med undersøgelser. Det er også i denne ånd, at Kommissionen opretter et "databeskyttelsesakademi", en platform, hvor EU og udenlandske datatilsynsmyndigheder skal dele viden, erfaringer og bedste praksis for at lette og støtte samarbejdet mellem myndigheder med ansvar for håndhævelse af beskyttelsen af privatlivets fred.

3Vejen fremad

For at udnytte persondataforordningens fulde potentiale er det vigtigt at skabe en harmoniseret tilgang og en fælles europæisk databeskyttelseskultur og fremme en mere effektiv og harmoniseret håndtering af grænseoverskridende sager. Det er det, borgere og virksomheder forventer, og det udgør et væsentligt mål for reformen af EU's databeskyttelsesregler. Det er lige så vigtigt at sikre, at alle de værktøjer, persondataforordningen giver, fuldt ud anvendes til at sikre en effektiv anvendelse af reglerne til gavn for enkeltpersoner og virksomheder.

Kommissionen vil fortsætte sine bilaterale udvekslinger med medlemsstaterne om gennemførelsen af persondataforordningen og vil om nødvendigt fortsætte med at anvende alle de redskaber, den råder over, til at fremme medlemsstaternes overholdelse af deres forpligtelser i henhold til persondataforordningen.

I lyset af den igangværende vurdering af national lovgivning, det korte tidsrum, hvori der siden persondataforordningens ikrafttrædelse er gjort praktiske erfaringer, og det forhold, at mange medlemsstater er i gang med at revidere deres sektorspecifikke lovgivning, er det endnu for tidligt at drage endelige konklusioner om omfanget af den nuværende fragmentering. Med hensyn til en eventuel lovkonflikt som følge af medlemsstaternes gennemførelse af specificerende bestemmelser er det nødvendigt først at få en bedre forståelse af konsekvenserne for dataansvarlige og databehandlere 63 .

Ved opfølgningen på disse spørgsmål er de nationale domstoles og Domstolens praksis med til at skabe en ensartet fortolkning af databeskyttelsesreglerne. De nationale domstole har for nylig afsagt domme, der ugyldiggør bestemmelser i nationale love, som afviger fra persondataforordningen 64 .

Med hensyn til den internationale dimension vil Kommissionen fortsat fokusere på at fremme konvergensen af databeskyttelsesbestemmelserne som en måde til at skabe sikre overførsler af oplysninger. Dette omfatter forskellige former for forudgående arbejde f.eks. i forbindelse med igangværende reformer med henblik på nye eller ajourførte databeskyttelseslove eller for at fremme begrebet "Data Free Flow with Trust" i multilaterale fora. Det omfatter også forskellige dialoger om et tilstrækkeligt beskyttelsesniveau og modernisering og udvidelse af vores overførselsværktøjskasse ved at ajourføre standardkontraktbestemmelserne og skabe grundlaget for certificeringsmekanismer. Dette arbejde omfatter også internationale forhandlinger som f.eks. inden for grænseoverskridende adgang til elektronisk bevismateriale for at sikre, at når der finder overførsler af oplysninger sted, er de omfattet af passende databeskyttelsesgarantier. Endelig vil Kommissionen ved at indlede forhandlinger om internationalt samarbejde og gensidig bistand mellem databeskyttelsesmyndighederne bestræbe sig på at skabe konvergens ikke bare i teorien, men også i praksis.

På grundlag af denne evaluering af anvendelsen af persondataforordningen siden maj 2018 er det konstateret, at de nedenfor anførte foranstaltninger er nødvendige til støtte for dens anvendelse. Kommissionen vil også overvåge gennemførelsen heraf med henblik på den kommende evalueringsrapport i 2024.

Gennemførelse og supplering af den retlige ramme

Medlemsstaterne bør

-afslutte tilpasningen af deres sektorspecifikke lovgivning til persondataforordningen

-overveje at begrænse anvendelsen af specificerende bestemmelser, som kan skabe fragmentering og bringe den frie udveksling af oplysninger internt i EU i fare

-vurdere, om den nationale lovgivning til gennemførelse af persondataforordningen i alle tilfælde ligger inden for de marginer, der er fastsat for medlemsstaternes lovgivning.

Kommissionen vil

-fortsætte de bilaterale udvekslinger med medlemsstaterne om deres nationale lovgivnings overholdelse af persondataforordningen, herunder om de nationale databeskyttelsesmyndigheders uafhængighed og ressourcer; gøre brug af alle de redskaber, den råder over, herunder traktatbrudssager, for at sikre, at medlemsstaterne overholder persondataforordningen

-støtte yderligere udvekslinger af synspunkter og national praksis mellem medlemsstaterne om emner, der er genstand for yderligere specificering på nationalt plan med henblik på at mindske fragmenteringen af det indre marked såsom behandlingen af personoplysninger vedrørende sundhed og forskning, eller som er genstand for en opvejning af hensynet til andre rettigheder såsom ytringsfrihed

-støtte en konsekvent anvendelse af databeskyttelsesrammen i forbindelse med nye teknologier til støtte for innovation og teknologisk udvikling

-anvende medlemsstaternes ekspertgruppe vedrørende persondataforordningen (oprettet i overgangsperioden, inden persondataforordningen trådte i kraft) for at lette drøftelserne og udvekslingen af erfaringer mellem medlemsstaterne og med Kommissionen

-undersøge, om det i lyset af de yderligere erfaringer og den relevante retspraksis vil være hensigtsmæssigt at foreslå eventuelle fremtidige målrettede ændringer af visse bestemmelser i persondataforordningen, navnlig for så vidt angår registreringer af databehandling i SMV'er, hvis hovedaktivitet ikke er behandling af personoplysninger (lav risiko) 65 , og en mulig harmonisering af, hvor gamle børn skal være for at kunne give deres samtykke i forbindelse med informationssamfundstjenester.

Et nyt forvaltningssystem, der udnytter sit potentiale fuldt ud

Databeskyttelsesrådet og datatilsynsmyndighederne opfordres til at

-udvikle effektive ordninger mellem datatilsynsmyndighederne vedrørende den måde, hvorpå samarbejds- og sammenhængsmekanismerne fungerer, herunder vedrørende proceduremæssige aspekter, på grundlag af dets medlemmers ekspertise og ved at styrke inddragelsen af dets sekretariat

-støtte en harmonisering af anvendelsen og håndhævelsen af persondataforordningen ved brug af alle de midler, det råder over, herunder ved yderligere at tydeliggøre nøglebegreber i persondataforordningen og sikre, at de nationale retningslinjer er i fuld overensstemmelse med de retningslinjer, Databeskyttelsesrådet har vedtaget

-fremme brugen af alle de redskaber, persondataforordningen giver, for at sikre, at den anvendes konsekvent

-optrappe samarbejdet mellem databeskyttelsesmyndighederne, f.eks. ved at gennemføre fælles undersøgelser.

Kommissionen vil:

-fortsætte med nøje af overvåge, at de nationale databeskyttelsesmyndigheder reelt er fuldt uafhængige

-fremme samarbejdet mellem tilsynsmyndighederne (navnlig på områder som konkurrence, elektronisk kommunikation, netværks og informationssystemers sikkerhed og forbrugerpolitik)

-støtte overvejelserne i Databeskyttelsesrådet om de procedurer, de nationale datatilsynsmyndigheder anvender, med henblik på at forbedre samarbejdet om grænseoverskridende sager.

Medlemsstaterne skal:

-afsætte tilstrækkelige ressourcer til datatilsynsmyndighederne til, at de kan udføre deres opgaver.

Støtte til interessenter

Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at

-at vedtage yderligere retningslinjer, som er praktiske og letforståelige, og som giver klare svar og ikke indeholder uklarheder om spørgsmål i forbindelse med anvendelsen af persondataforordningen, f.eks. om behandling af børns data og registreredes rettigheder, herunder udøvelse af retten til indsigt og retten til sletning, og høring af interessenter i processen

-revidere retningslinjerne, når der er behov for yderligere tydeliggørelse i lyset af erfaringer og udviklingen, herunder Domstolens praksis

-udvikle praktiske redskaber såsom harmoniserede formularer til brug i forbindelse med brud på datasikkerheden og forenklede registre over databehandlingsaktiviteter med henblik på at bistå SMV'er, der ikke udgør en risiko, med at opfylde deres forpligtelser.

Kommissionen vil

-forelægge standardkontraktbestemmelser med henblik på både internationale overførsler og forholdet mellem den dataansvarlige/databehandleren

-tilvejebringe redskaber, der tydeliggør/støtter anvendelsen af databeskyttelsesreglerne på børn 66

-i overensstemmelse med datastrategien undersøge de praktiske metoder til at fremme brugen af enkeltpersoners ret til dataportabilitet, f.eks. ved at give dem mere kontrol over, hvem der kan få adgang til og anvende maskingenererede oplysninger

-støtte standardisering/certificering, navnlig i forbindelse med cybersikkerhed, gennem samarbejde mellem Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), datatilsynsmyndighederne og Databeskyttelsesrådet

-gøre brug af sin ret til at anmode Databeskyttelsesrådet om at udarbejde retningslinjer og udtalelser om specifikke spørgsmål af betydning for interessenter, når det er hensigtsmæssigt

-om nødvendigt forelægge retningslinjer, samtidig med at den fuldt ud respekterer den rolle, Databeskyttelsesrådet spiller

-støtte datatilsynsmyndighedernes aktiviteter, som letter SMV'ers opfyldelse af forpligtelserne i henhold til persondataforordningen, gennem finansiel støtte, navnlig til praktisk vejledning og digitale værktøjer, der kan kopieres i andre medlemsstater.

Fremme af innovation

Kommissionen vil

-overvåge anvendelsen af persondataforordningen på ny teknologi, idet den også tager hensyn til eventuelle fremtidige initiativer inden for kunstig intelligens og inden for rammerne af datastrategien

-fremme udarbejdelsen af EU-adfærdskodekser inden for sundhed og forskning, bl.a. gennem finansiel støtte

-nøje følge udviklingen og brugen af apps i forbindelse med covid-19-pandemien.

Databeskyttelsesrådet opfordres til at

-udstede retningslinjer for anvendelsen af persondataforordningen inden for videnskabelig forskning, kunstig intelligens, blockchain og eventuel anden teknologisk udvikling

-revidere retningslinjerne for, hvornår der er behov for yderligere tydeliggørelse i lyset af den teknologiske udvikling.

Videreudvikling af værktøjskassen til brug ved overførsler af oplysninger

Kommissionen vil

-fortsætte dialogerne om et tilstrækkeligt beskyttelsesniveau med interesserede tredjelande i overensstemmelse strategien i dens meddelelse fra 2017 om udveksling og beskyttelse af personoplysninger i en globaliseret verden, bl.a. ved om muligt at medtage overførsler af oplysninger til strafferetshåndhævende myndigheder (inden for rammerne af direktivet om databeskyttelse på retshåndhævelsesområdet) og andre offentlige myndigheder; dette omfatter afslutning af processen med at sikre et tilstrækkeligt databeskyttelsesniveau med Republikken Korea så hurtigt som muligt

-afslutte den igangværende evaluering af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau og rapportere til Europa-Parlamentet og Rådet

-afslutte arbejdet med moderniseringen af standardkontraktbestemmelserne med henblik på at ajourføre dem i lyset af persondataforordningen, idet der tages hensyn til alle relevante overførselsscenarier, og ajourføringen i højere grad afspejler moderne forretningspraksis.

Databeskyttelsesrådet opfordres til

-yderligere at tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3)

-sikre en effektiv håndhævelse over for operatører, der er etableret i tredjelande, som er omfattet af persondataforordningens territoriale anvendelsesområde, bl.a. med hensyn til udpegelse af en repræsentant, når det er relevant (artikel 27)

-strømline vurderingen og den eventuelle godkendelse af bindende virksomhedsregler med henblik på at fremskynde processen

-afslutte arbejdet med arkitekturen, procedurerne og vurderingskriterierne for adfærdskodekser og certificeringsordninger som redskaber til overførsel af oplysninger.

Fremme af konvergens og udvikling af internationalt samarbejde

Kommissionen vil

-støtte igangværende reformprocesser i tredjelande om nye eller moderniserede databeskyttelsesregler ved udveksling af erfaringer og bedste praksis

-samarbejde med afrikanske partnere om fremme af lovgivningsmæssig konvergens og støtte til kapacitetsopbygning hos tilsynsmyndigheder som en del af det digitale kapitel i det nye partnerskab mellem EU og Afrika

-vurdere, hvordan samarbejdet mellem private operatører og retshåndhævende myndigheder kan lettes, bl.a. ved at forhandle om bilaterale og multilaterale rammer for overførsel af oplysninger i forbindelse med udenlandske strafferetshåndhævende myndigheders adgang til elektronisk bevismateriale, for at undgå lovkonflikter og sikre passende databeskyttelsesgarantier

-samarbejde med internationale og regionale organisationer såsom OECD, ASEAN og G20 om at fremme troværdige udvekslinger af oplysninger baseret på høje databeskyttelsesgarantier, herunder i forbindelse med initiativet "Data Free Flow with Trust"

-oprette et "databeskyttelsesakademi" for at lette og støtte udvekslinger mellem europæiske og internationale tilsynsmyndigheder

-fremme internationalt håndhævelsessamarbejde mellem tilsynsmyndigheder, bl.a. gennem forhandling af samarbejdsaftaler og aftaler om gensidig bistand.

(1)

 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1). 

(2)

Efter at forordningen blev indarbejdet i aftalen om Det Europæiske Økonomiske Samarbejdsområde, finder den også anvendelse på Norge, Island og Liechtenstein.

(3)

  https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en .

(4)

  https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy .

(5)

Dette regelkompleks omfatter også direktivet om databeskyttelse på retshåndhævelsesområdet (direktiv 2016/680) og databeskyttelsesforordningen for EU's institutioner og organer (forordning (EU) 2018/1725).

(6)

 Forslag til Europa-Parlamentets og Rådets forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation og ophævelse af direktiv 2002/58/EF (forordning om databeskyttelse inden for elektronisk kommunikation) (COM (2017) 10 final - 2017/03 (COD)).

(7)

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(8)

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_da.

(9)

Meddelelse fra Kommissionen til Europa-Parlamentet, Det Europæiske Råd, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget – Den europæiske grønne pagt (COM(2019) 640 final).

(10)

 Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — En europæisk strategi for data (COM(2020) 66 final).

(11)

De ti fælles europæiske sektorspecifikke dataområder vedrører: sundhed, industriel produktion, energi, mobilitet, landbrug, finansielle data, offentlig administration, et fælles europæisk dataområde for færdigheder, et europæisk dataområde for den grønne pagt og en europæiske åben videnskabscloud.

(12)

 Se f.eks. Ciscos "Consumer Privacy Study" fra 2019 ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Ifølge undersøgelsen, som omfatter 2 600 forbrugere verden over, har et stort antal forbrugere allerede truffet foranstaltninger til at beskytte deres personoplysninger, f.eks. ved at gå over til andre virksomheder eller udbydere på grund af deres datapolitik eller datadelingspraksis.

(13)

FN's generalsekretærens tale til det italienske senat den 18.12.2019 (findes på: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

(14)

Regelkomplekset omfatter ud over persondataforordningen e-databeskyttelsesdirektivet (direktiv 2002/58/EF), som blandt andet indeholder regler om adgang til og lagring af oplysninger på brugerens terminaludstyr.

(15)

Meddelelse fra Kommissionen: Vejledning om apps til støtte for bekæmpelse af covid-19-pandemien i forbindelse med databeskyttelse 2020/C 124 I/01 - C/2020/2523 (EUT C 124I af 17.4.2020, s. 1). Den 16. april 2020 udviklede EU-medlemsstaterne med støtte fra Kommissionen en EU-værktøjskasse for anvendelse af mobilapplikationer til kontaktopsporing og -varsling  som reaktion på coronapandemien. Dette er en del af en fælles koordineret tilgang til støtte for den gradvise ophævelse af inddæmningsforanstaltninger. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

(16)

 Kommissionens vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med afholdelse af valg: Et bidrag fra Europa-Kommissionen til mødet mellem lederne i Salzburg den 19.-20. september 2018 (COM(2018) 638 final).

(17)

Rådets holdning og resultater vedrørende anvendelse af den generelle forordning om databeskyttelse:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/da/pdf .

(18)

Brev fra Europa-Parlamentets LIBE-udvalg af 21.2.2020 til Kommissær Didier Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.

(19)

Bidrag fra Databeskyttelsesrådet til evalueringen af persondataforordningen, jf. artikel 97, vedtaget den 18.2.2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en .

(20)

  https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_da .

(21)

Flerpartsekspertgruppen, som beskæftiger sig med forordningen og er oprettet af Kommissionen, inddrager civilsamfundet, repræsentanter for erhvervslivet, akademikere og fagfolk:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(22)

  https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437 .

(23)

Se f.eks. Rådets holdning og resultater samt Databeskyttelsesrådets bidrag.

(24)

Se punkt 2.1 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(25)

Hvis virksomhed behandler oplysninger på tværs af grænser, er det datatilsynsmyndigheden i den medlemsstat, hvor virksomheden har hovedsæde, der er kompetent.

(26)

Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(27)

Mellem den 25.5.2018 og den 31.12.2019 blev der indgivet 141 udkast til afgørelser efter one-stop-shop proceduren, hvoraf 79 resulterede i endelige afgørelser.

(28)

F.eks. kunne der være foretaget en større harmonisering af de nationale lister over, hvilke typer behandlinger der kræver en analyse af konsekvenserne for beskyttelsen af personoplysninger, jf. persondataforordningens artikel 35.

(29)

Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(30)

Især repræsentanter for erhvervslivet og civilsamfundet. Se punkt 2.3 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(31)

Ud over de 10 retningslinjer, der blev vedtaget af artikel 29-gruppen forud for forordningens anvendelse og godkendt af Databeskyttelsesrådet. Databeskyttelsesrådet har også vedtaget yderligere 4 retningslinjer mellem januar og slutningen af maj 2020 og ajourført en af de eksisterende.

(32)

42 af disse udtalelser blev vedtaget i henhold til persondataforordningens artikel 64, og en blev vedtaget i henhold til persondataforordningens artikel 70, stk. 1, litra s) og vedrørte beslutningen om tilstrækkeligt beskyttelsesniveau vedrørende Japan.

(33)

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Databeskyttelsesregler som en tillidsskabende katalysator i og uden for EU — status (COM(2019) 374 final af 24.7.2019).

(34)

Overordnet har der samlet set været en stigning på 42 % i personalet hos og 49 % i budgettet for de nationale datatilsynsmyndigheder i EØS mellem 2016 og 2019.

(35)

Se punkt 2.4 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(36)

Senest ved brev fra kommissær Didier Reynders i marts 2020.

(37)

Det skal bemærkes, at den slovenske nationale tilsynsmyndighed er oprettet på grundlag af den gældende nationale databeskyttelseslovgivning og fører tilsyn med persondataforordningens anvendelse i landet.

(38)

Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(39)

Se punkt 3.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.

(40)

Chartres artikel 52, stk. 1.

(41)

Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene: Reconciliation of the right to the protection of personal data with freedom of expression and information.

(42)

Kommissionen har iværksat en undersøgelse om "Assessment of the Member States' rules on health data in the light of GDPR", Chafea/2018/Health/03, specifik kontrakt nr. 2019 70 01.

(43)

Se tiltag anført i den europæiske strategi for data, s. 30.

(44)

Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) (2020): Fundamental Rights Survey 2019. Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.

(45)

Det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af forbrugernes kollektive interesser (COM/2018/0184 final - 2018/089 (COD)), forventes, når det bliver vedtaget, at styrke rammen for kollektive søgsmål inden for databeskyttelse.

(46)

Disse værktøjer kunne omfatte værktøjer til administration af samtykke og applikationer til forvaltning af personoplysninger.

(47)

  https://ec.europa.eu/commission/presscorner/detail/da/ip_20_962 .

(48)

Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59).

(49)

Se punkt 5 i arbejdsdokumentet fra Kommissionens tjenestegrene. Se også COM(2019) 250 final om vejledning vedrørende forordningen om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union, hvori der redegøres for reglerne for behandling af blandede datasæt, som består af både personoplysninger og andre data end personoplysninger, og som indeholder praktisk vejledning for virksomheder, herunder SMV'er.

(50)

Kommissionen ydede finansiel støtte i form af tilskud ad tre omgange på i alt 5 mio. EUR, hvor de seneste to specifikt havde til formål at hjælpe de nationale tilsynsmyndigheder i deres bestræbelser på at nå ud til personer og mellemstore virksomheder: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . Der vil blive tildelt yderligere 1 mio. EUR i 2020.

(51)

jf. persondataforordningens artikel 28.

(52)

jf. persondataforordningens artikel 46.

(53)

Hvidbog om kunstig intelligens — En europæisk tilgang til ekspertise og tillid (COM(2020) 65 final).

(54)

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(55)

Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23. november 1995, s. 31).

(56)

Disse lande og territorier er: Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay.

(57)

Se sag C-311/18, Data Protection Commissioner mod Facebook Ireland Limited, Maximillian Schrems ("Schrems II), der vedrører en henvisning til en præjudiciel afgørelse vedrørende de såkaldte standardkontraktbestemmelser. Domstolen kan dog også tydeliggøre bestemte elementer af tilstrækkelighedsstandarden yderligere.

(58)

Se sag Schrems II.

(59)

Se f.eks. teksten til erklæringen fra lederne på G20-topmødet i Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

(60)

Datastrategien, s. 23.

(61)

Se teksten til de generelle bestemmelser om grænseoverskridende udveksling af oplysninger og beskyttelse af personoplysninger (i EU's handels- og investeringsaftaler): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf  

(62)

84 WTO-medlemmer deltager nu i plurilaterale forhandlinger om e-handel i forlængelse af et forslag til en fælles erklæring, som ministrene vedtog den 25.1.2019 i Davos. Som en del af denne proces fremsatte EU den 3.1.2019 et forslag til fremtidige regler og forpligtelser vedrørende e-handel. Forslaget indeholder generelle bestemmelser om udveksling af oplysninger og beskyttelse af personoplysninger: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

(63)

Jf. Rådets holdning og konklusioner vedrørende anvendelsen af persondataforordningen.

(64)

Det har været tilfældet i Tyskland og Spanien eller i Østrig, hvor der blev lukket et hul i den nationale lovgivning.

(65)

Persondataforordningens artikel 30, stk. 5.

(66)

Kommissionens projekt vedrørende aldersbestemmelsesværktøjer — pilotprojekt med henblik på at demonstrere en interoperabel teknisk infrastruktur for beskyttelse af børn, herunder alderskontrol og forældresamtykke. Dette forventes at støtte gennemførelsen af børnebeskyttelsesmekanismer på grundlag af eksisterende EU-lovgivning vedrørende beskyttelse af børn på internettet.

Top