EUROPA-KOMMISSIONEN
Bruxelles, den 24.6.2020
COM(2020) 264 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse
{SWD(2020) 115 final}
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse
1Databeskyttelsesregler som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling
Denne rapport er den første om evalueringen og revisionen af den generelle forordning om databeskyttelse (herefter "persondataforordningen"), og handler især om, hvordan reglerne om overførsel af personoplysninger til tredjelande og internationale organisationer og reglerne om samarbejde og sammenhæng anvendes og fungerer, jf. persondataforordningens artikel 97.
Persondataforordningen, som har været gældende siden den 25. maj 2018, er en central del af EU's ramme for sikring af den grundlæggende ret til databeskyttelse som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder (artikel 8) og i traktaterne (artikel 16 i traktaten om Den Europæiske Unions funktionsmåde, "TEUF"). Persondataforordningen styrker databeskyttelsesgarantierne, giver personer yderligere og styrkede rettigheder, skaber øget gennemsigtighed og sikrer, at alle de, der behandler personoplysninger, og som er omfattet af dens anvendelsesområde, holdes mere ansvarlige og er mere ansvarsbevidste. Den giver de uafhængige datatilsynsmyndigheder større og mere ensartede håndhævelsesbeføjelser og indfører et nyt forvaltningssystem. Den skaber også lige vilkår for alle virksomheder, som udøver aktivitet på EU-markedet, uanset hvor de er etablerede, og den sikrer fri udveksling af oplysninger inden for EU og styrker dermed det indre marked.
Persondataforordningen er en vigtig del af den menneskecentrerede tilgang til teknologi og en rettesnor for brugen af teknologi i den grønne og den digitale omstilling, som kendetegner EU's politikudformning. Dette er for nylig blevet understreget i hvidbogen om kunstig intelligens
og i meddelelsen om en europæisk datastrategi
(herefter "datastrategien") fra februar 2020.
I en økonomi, der i stigende grad bygger på behandling af data, herunder personoplysninger, er persondataforordningen et vigtigt værktøj til at sikre, at personer har bedre kontrol over deres personoplysninger, og at disse oplysninger behandles til et lovligt formål på en lovlig, rimelig og gennemsigtig måde. Samtidig bidrager persondataforordningen til at fremme innovation, man kan have tillid til, især via dens risikobaserede tilgang og principper såsom databeskyttelse gennem design og gennem standardindstillinger. Kommissionen har foreslået at supplere regelkomplekset for databeskyttelse og beskyttelse af privatlivets fred
med forordningen om e-databeskyttelse
, som har til formål at erstatte det nuværende direktiv om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
. Forslaget behandles i øjeblikket af Europa-Parlamentet og Rådet, og det er meget vigtigt, at det bliver vedtaget hurtigt.
Der kan som led i Kommissionens centrale prioriteter i "Et Europa klar til den digitale tidsalder" og "Den europæiske grønne pagt" skabes nye initiativer, som giver borgerne mulighed for at spille en mere aktiv rolle i den digitale omstilling og for at udnytte brugen af digitale værktøjer til at skabe et klimaneutralt samfund og en mere bæredygtig udvikling. Persondataforordningen fastsætter rammen for sådanne initiativer og sikrer, at de udformes, så de reelt styrker den enkeltes indflydelse.
I datastrategien opfordres der til at skabe et "fælles europæisk dataområde", et ægte indre marked for data samt ti fælles europæiske sektorspecifikke dataområder, der er relevante for den grønne og den digitale omstilling. Det gælder for alle disse prioriteter, at en klar og velfungerende ramme for sikker datadeling og øget datatilgængelighed er helt afgørende. Det fremgår også af datastrategien, at Kommissionen agter at undersøge, hvordan der er i fremtidig lovgivning kan gives mulighed for at udnytte data i offentlige databaser til videnskabelig forskning på en måde, der er i overensstemmelse med persondataforordningen. Dataområderne skal understøttes af en europæisk cloudsammenslutning, som udbyder databehandlingstjenester og cloudinfrastrukturtjenester, der er i overensstemmelse med persondataforordningen. Persondataforordningen sikrer en høj beskyttelse af personoplysninger, og at personer får en central rolle på alle disse dataområder, samtidig med at den giver den nødvendige fleksibilitet til at tilgodese forskellige tilgange.
Behovet for at sikre tillid og kravet om beskyttelse af personoplysninger er bestemt ikke begrænset til EU. Rundt om i verden sætter personer i stigende grad pris på privatlivets fred og deres oplysningers sikkerhed. Det fremgår af en nylig global undersøgelse, at dette er en vigtig faktor, som påvirker deres beslutninger om indkøb og adfærd på nettet. Et stigende antal virksomheder har efterkommet dette ønske om beskyttelse af privatlivets fred ved blandt andet frivilligt at udvide nogle af de rettigheder og garantier, der findes i persondataforordningen, til deres kunder uden for EU. Mange virksomheder benytter også beskyttelsen af personoplysninger som en konkurrenceparameter og et salgsargument på den globale markedsplads ved at tilbyde innovative produkter og tjenester med nye muligheder for beskyttelse af privatlivets fred eller datasikkerhed. De øgede muligheder, som aktører i den offentlige og private sektor har for at indsamle og behandle data i stor skala, rejser desuden vigtige og komplekse spørgsmål, som i stigende grad placerer beskyttelsen af privatlivets fred i centrum for den offentlige debat i forskellige dele af verden.
Vedtagelsen af persondataforordningen har fået andre lande mange steder i verden til at følge trop. Der er tale om en global udvikling fra Chile til Sydkorea, Brasilien til Japan, Kenya til Indien og Californien til Indonesien. EU's lederskab inden for databeskyttelse viser, at EU kan sætte standarden for reguleringen af den digitale økonomi på globalt plan, og det er blevet vel modtaget af indflydelsesrige personer fra det internationale samfund såsom FN's generalsekretær António Guterres, som har udtalt, at persondataforordningen har "vist det gode eksempel […] og inspireret til lignende foranstaltninger andre steder" og "opfordret EU og dets medlemsstater til fortsat at spille en ledende rolle med henblik på at forme den digitale tidsalder og være førende inden for teknologisk innovation og regulering".
Den aktuelle pandemiske krise som følge af covid-19 illustrerer tydeligt globaliseringen af databeskyttelsesdebatten både under krisen og i takt med, at verden forsøger at komme ud af den. I EU traf flere medlemsstater nødforanstaltninger i et forsøg på at beskytte folkesundheden. Det fremgår klart af persondataforordningen, at enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til samfundsinteresser såsom folkesundheden. I takt med at inddæmningsforanstaltningerne udfases, skal beslutningstagerne se på borgernes forventninger om, at de tilbydes digitale løsninger, de kan have tillid til, og som overholder retten til privatlivets fred og beskyttelse af personoplysninger.
I mange lande anses indbygget databeskyttelse, som f.eks. brugeres frivillige undertegnelse, dataminimering, datasikkerhed og udelukkelse af geolokalisering, for at være en forudsætning for at kunne skabe datadrevne løsninger, som har til formål at overvåge og inddæmme virusspredningen, justere de offentlige modforanstaltninger, bistå patienter eller gennemføre exitstrategier, og som folk har tillid til og generelt accepterer. I EU har regelkomplekset vedrørende databeskyttelse og privatlivets fred vist sig at være tilstrækkeligt fleksibelt til, at der kan udvikles praktiske løsninger (f.eks. opsporingsapp), samtidig med at personoplysninger sikres en høj grad af beskyttelse. Den 16. april 2020 offentliggjorde Kommissionen i den forbindelse en offentlig vejledning om apps til støtte for bekæmpelse af pandemien i forbindelse med databeskyttelse.
Beskyttelse af personoplysninger er også vigtig for at forhindre manipulation af borgernes valg, især via mikromålretning af vælgere baseret på ulovlig behandling af personoplysninger, for at undgå indblanding i de demokratiske processer og for at bevare den åbne debat og den fairness og gennemsigtighed, der er afgørende i et demokrati. Det var grunden til, at Kommissionen i september 2018 offentliggjorde en vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med afholdelse af valg.
Med henblik på denne evaluering og revision har Kommissionen taget hensyn til bidragene fra Rådet, Europa-Parlamentet, Det Europæiske Databeskyttelsesråd (herefter "Databeskyttelsesrådet") de enkelte datatilsynsmyndigheder, flerpartsekspertgruppen og andre interessenter, blandt andet feedbacken til køreplanen
Den generelle holdning er, at persondataforordningen, som nu har været anvendt i to år, opfylder målene om at forbedre personers databeskyttelsesrettigheder og garantere fri udveksling af personoplysninger inden for EU. Der er dog også konstateret en række områder, som kan forbedres. Som de fleste interessenter og datatilsynsmyndigheder mener Kommissionen, at det på nuværende tidspunkt er for tidligt at drage nogen endelige konklusioner om persondataforordningens anvendelse. For de fleste af de problemer, som medlemsstaterne og interessenterne har peget på, gælder det, at det sandsynligvis vil være en fordel at høste lidt større erfaring med persondataforordningens anvendelse i de kommende år. Ikke desto mindre fremhæver rapporten de problemer, der hidtil har været med at anvende persondataforordningen, og den indeholder også forslag til, hvordan de kan løses.
Selv om der i rapporten fokuseres på de to områder i persondataforordningens artikel 97, stk. 2, nemlig internationale overførsler og samarbejds- og sammenhængsmekanismer, ses der i denne evaluering og revision også på spørgsmål, som forskellige aktører har rejst i de seneste to år.
2Hovedkonklusioner
Håndhævelse af persondataforordningen og samarbejds- og sammenhængsmekanismernes virke
Med persondataforordningen indføres et innovativt forvaltningssystem, som bygger på uafhængige datatilsynsmyndigheder i medlemsstaterne og deres samarbejde i grænseoverskridende sager og i Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet"). Generelt kan det konkluderes, at datatilsynsmyndighederne har gjort rimelig brug af deres øgede korrigerende beføjelser, herunder advarsler, kritik, bøder og midlertidig eller definitiv begrænsning af behandlinger. Kommissionen bemærker, at myndighederne har gjort brug af administrative bøder fra nogle få tusinde euro til flere millioner euro afhængigt at overtrædelsernes alvor. Andre sanktioner såsom forbud mod behandling kan have en lige så stor om ikke større afskrækkende virkning end bøder. Det endelige mål med persondataforordningen er at ændre kulturen og adfærden blandt alle involverede aktører til gavn for personerne. Der findes nærmere oplysninger om datatilsynsmyndighedernes brug af korrigerende beføjelser i det ledsagende arbejdsdokument fra Kommissionens tjenestegrene.
Selv om det stadig er for tidligt fuldt ud at vurdere, hvordan de nye samarbejds- og sammenhængsmekanismer fungerer, har datatilsynsmyndighederne udviklet deres samarbejde via one-stop-shop mekanismen og via omfattende brug af gensidig bistand. One-stop-shop mekanismen, som er en vigtig fordel ved det indre marked, anvendes tit, når der skal træffes afgørelse i grænseoverskridende sager. Der er i øjeblikket vigtige afgørelser med en grænseoverskridende dimension, som behandles via one-stop-shop mekanismen, som endnu ikke af afsluttede. Disse afgørelser, som involverer store multinationale teknologivirksomheder, vil få stor indflydelse på den enkeltes rettigheder i mange medlemsstater.
Udviklingen af en egentlig fælles europæisk databeskyttelseskultur mellem datatilsynsmyndighederne er dog en kontinuerlig proces. Datatilsynsmyndighederne har endnu ikke fuldt ud gjort brug af de værktøjer, persondataforordningen giver mulighed for, f.eks. fælles aktiviteter, som kunne føre til fælles undersøgelser. Til tider medførte det at skulle nå frem til en fælles fremgangsmåde, at den laveste fællesnævner blev valgt, hvilket betød, at mulighederne for at fremme en øget harmonisering ikke blev udnyttet.
Der bør gøres mere for at gøre behandlingen af grænseoverskridende sager mere effektiv og harmoniseret i hele EU, blandt andet fra et proceduremæssigt synspunkt, f.eks. i forbindelse med spørgsmål om klagebehandlingsprocedurer, kriterier for antagelse af klager, sagsbehandlingstiden på grund af forskellige frister eller mangel på frister i de nationale administrative procedureregler, tidspunkter i sagsbehandlingen, hvor retten til at blive hørt indrømmes, eller underretning og inddragelse af klagerne i løbet af sagsbehandlingen. Den refleksionsproces, der i den forbindelse er sat i gang af Databeskyttelsesrådet, er velkommen, og Kommissionen deltager i de pågældende drøftelser.
Databeskyttelsesrådets aktiviteter og vejledning spiller en vigtig rolle for den videre udvikling af udvekslingerne mellem Databeskyttelsesrådet og interessenterne. Ved udgangen af 2019 havde Databeskyttelsesrådet vedtaget 67 dokumenter, herunder 10 nye retningslinjer og 43 udtalelser. Interessenterne er generelt glade for Databeskyttelsesrådets retningslinjer og ønsker flere om centrale begreber i persondataforordningen, men påpeger også, at der er uoverensstemmelser mellem den nationale vejledning og Databeskyttelsesrådets retningslinjer. De understreger behovet for mere praktisk rådgivning, især flere konkrete eksempler, og behovet for at give datatilsynsmyndighederne de fornødne menneskelige, tekniske og finansielle ressourcer til effektivt at kunne udføre deres opgaver.
Kommissionen har hele tiden understreget medlemsstaternes forpligtelse til at afsætte tilstrækkelige menneskelige, finansielle og tekniske ressourcer til de nationale datatilsynsmyndigheder. De fleste myndigheder fik tildelt yderligere personale og budget mellem 2016 og 2019 med den forholdsvise største stigning i personalet hos de irske, nederlandske, islandske, luxembourgske og finske myndigheder. I betragtning af at de største multinationale teknologivirksomheder er etableret i Irland og Luxembourg, fungerer datatilsynsmyndighederne i disse lande som ledende tilsynsmyndigheder i mange vigtige grænseoverskridende sager og kan have brug for flere ressourcer end landenes indbyggertal umiddelbart giver indtryk af. Situationen er dog stadig meget forskellig fra medlemsstat til medlemsstat og endnu ikke generelt tilfredsstillende. Datatilsynsmyndighederne spiller en vigtig rolle med hensyn til at sikre, at persondataforordningen håndhæves nationalt, og at samarbejds- og sammenhængsmekanismerne i Databeskyttelsesrådet fungerer effektivt, især one-stop-shop mekanismen i grænseoverskridende sager. Medlemsstaterne opfordres derfor til at sørge for, at de har de nødvendige ressourcer i overensstemmelse med persondataforordningen.
Harmoniserede regler, men stadig en vis fragmentering og forskellige fremgangsmåder
Kommissionen fører tilsyn med gennemførelsen af persondataforordningen i national lovgivning. På tidspunktet for denne rapports udarbejdelse havde alle medlemsstater, med undtagelse af Slovenien, vedtaget ny lovgivning eller tilpasset deres nationale databeskyttelseslovgivning. Kommissionen har anmodet Slovenien om at redegøre nærmere for afslutningen af denne proces.
Persondataforordningen sikrer en sammenhængende tilgang til databeskyttelsesreglerne i hele EU. Dette forudsætter dog, at medlemsstaterne lovgiver på visse områder, og giver dem mulighed for at specificere persondataforordningen nærmere på andre områder. Der er som følge heraf stadig en vis fragmentering, som især skyldes den udbredte brug af fakultative specificerende bestemmelser. F.eks. skaber den forskel, der er mellem medlemsstaterne på, i hvilken alder et barn kan give samtykke i forbindelse med informationssamfundstjenester, usikkerhed for børnene og deres forældre med hensyn til, hvordan deres databeskyttelsesrettigheder på det indre marked gøres gældende. Denne fragmentering giver også udfordringer med hensyn til virksomhedsudøvelse og innovation på tværs af grænserne, især for så vidt angår ny teknologisk udvikling og cybersikkerhedsløsninger. Hvis det indre marked skal fungere effektivt, og virksomhederne ikke skal pålægges unødige byrder, er det også vigtigt, at national lovgivning ikke går videre end de grænser, der sættes i persondataforordningen, eller indfører yderligere krav, hvor der ikke noget råderum.
En særlig vanskelighed i national lovgivning er at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden og at få skabt den rette balance mellem disse rettigheder. I nogle landes nationale lovgivning er det princippet om ytringsfrihed, der har forrang, mens lovgivningen i andre lande giver beskyttelsen af personoplysninger forrang og kun tillader undtagelser for anvendelsen af databeskyttelsesreglerne i helt særlige situationer, f.eks. hvis der er tale om en offentlig person. Endelig sikrer andre medlemsstater, at lovgiveren kan foretage en vis afvejning og/eller, at der kan foretages en vurdering i den enkelte sag, for så vidt angår afvigelser fra visse bestemmelser i persondataforordningen.
Kommissionen vil fortsat vurdere den nationale lovgivning. Afvejningen af hensyn skal være fastlagt i lovgivningen, respektere de grundlæggende rettigheders væsentlige indhold, iagttage proportionalitetsprincippet og være nødvendig. Databeskyttelsesregler (samt fortolkningen og anvendelsen heraf) bør ikke påvirke udøvelsen af ytrings- og informationsfriheden, f.eks. ved at have en afdæmpende virkning eller lægge pres på journalister til at afsløre deres kilder. Afvejningen af disse to rettigheder i national lovgivning bør ske under hensyntagen til Domstolens og Den Europæiske Menneskerettighedsdomstols retspraksis.
Tilgangen i medlemsstaternes lovgivning er forskellig med hensyn til gennemførelsen af undtagelser fra det generelle forbud mod behandling af særlige kategorier af personoplysninger, for så vidt angår specifikationsgraden og garantier, herunder til sundheds- og forskningsformål. For at afhjælpe dette er Kommissionen som et første skridt i gang med at kortlægge medlemsstaternes forskellige tilgange, og den vil dernæst støtte indførelsen af adfærdskodekser, som kan bidrage til en mere konsekvent tilgang på området og til at lette behandlingen af personoplysninger på tværs af grænserne. Derudover vil Databeskyttelsesrådets kommende retningslinjer om brugen af personoplysninger inden for forskning bidrage til en harmoniseret tilgang. Kommissionen vil give Databeskyttelsesrådet input, især i forbindelse med sundhedsforskning, herunder i form af konkrete spørgsmål og analyser af specifikke scenarier, som den har modtaget fra forskningsverdenen.
Personer skal have større mulighed for at kontrollere deres oplysninger
Ifølge undersøgelsen om grundlæggende rettigheder har 69 % af EU's befolkning over 16 år hørt om persondataforordningen, og 71 % af borgerne i EU har kendskab til den nationale datatilsynsmyndighed i deres land.
Personer er i stigende grad klar over deres rettigheder: retten til indsigt i, berigtigelse, sletning og portabilitet af deres personoplysninger, retten til at gøre indsigelse mod en behandling samt til øget gennemsigtighed. Persondataforordningen har styrket de processuelle rettigheder, som omfatter retten til at indgive en klage til en datatilsynsmyndighed, herunder gennem adgang til indbringelse af sager til varetagelse af kollektive interesser, og til retslig prøvelse. Disse rettigheder gøres i stigende grad gældende af personer, men der er behov for at lette udøvelsen og den fulde håndhævelse af dem. De refleksioner, som ledes af Databeskyttelsesrådet, vil præcisere og yderligere lette udøvelsen af den enkeltes rettigheder, mens det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af kollektive interesser, når det bliver vedtaget, forventes at give personer mulighed for at indbringe kollektive søgsmål i alle medlemsstater og at mindske omkostningerne ved grænseoverskridende søgsmål.
Retten til dataportabilitet har et klart endnu ikke fuldt udnyttet potentiale til at sætte individet i centrum for dataøkonomien ved at gøre det muligt for personer at skifte mellem forskellige tjenesteudbydere, kombinere forskellige tjenester, anvende andre innovative tjenester og vælge de tjenester, der beskytter oplysningerne bedst. Dette vil indirekte fremme konkurrence og innovation. Det er en af Kommissionens prioriteter at udnytte dette potentiale, især fordi flere og flere data med den stigende brug af tingenes internet genereres af forbrugere, som risikerer at blive udsat for urimelig praksis og "fastlåsning". Dataportabilitet kunne generere betydelige fordele i forbindelse med sundhed og velvære, reduceret miljøaftryk, adgang til offentlige og private tjenester, øget produktivitet inden for fremstilling og øget produktkvalitet og -sikkerhed.
I datastrategien understreges nødvendigheden af at tackle problemer såsom manglende standarder, der gør det muligt at levere data i et maskinlæsbart format, og at øge den effektive udøvelse af retten til dataportabilitet, som i øjeblikket er begrænset til nogle få sektorer (f.eks. banksektoren og telekommunikationssektoren). Dette kunne blandt andet ske ved at udvikle de rette værktøjer og standardiserede formater og grænseflader. En øget udøvelse af denne ret kunne også opnås ved f.eks. at stille krav om tekniske grænseflader og maskinlæsbare formater, som muliggør dataportabilitet i realtid. En øget udøvelse af retten til dataportabilitet kunne blandt andet gøre det lettere for personer at tillade brugen af deres oplysninger i almenvellets interesse (f.eks. til at fremme forskning i sundhedssektoren), hvis de ønsker det ("dataaltruisme"). Som led i udarbejdelsen af pakken om digitale tjenester vil Kommissionen undersøge, hvilken rolle data og datarelateret praksis spiller i platformsøkosystemet.
Muligheder og udfordringer for organisationer, især små og mellemstore virksomheder
Persondataforordningen skaber sammen med forordningen om fri udveksling af andre data end personoplysninger muligheder for virksomhederne ved at fremme konkurrence og innovation, sikre fri udveksling af data inden for EU og lige konkurrencevilkår med virksomheder, der er etableret uden for EU. Retten til dataportabilitet samt et stigende antal personer, der efterspørger løsninger, som i højere grad sikrer beskyttelse af privatlivets fred, kan bidrage til at mindske hindringerne for virksomheder og skabe muligheder for vækst baseret på tillid og innovation. Nogle interessenter har meddelt, at anvendelsen af persondataforordningen giver udfordringer, især for små og mellemstore virksomheder (SMV'er). Ifølge en risikobaseret tilgang ville det ikke være hensigtsmæssigt at give mulighed for undtagelser baseret på operatørernes størrelse, da deres størrelse ikke i sig selv er en indikator for, hvilke risici deres databehandling kan medføre for personer. Flere datatilsynsmyndigheder har stillet praktiske værktøjer til rådighed for at lette gennemførelsen af persondataforordningen i de SMV'er, hvis behandlingsaktiviteter udgør en lavere risiko. Sådanne bestræbelser bør øges og udbredes, helst med en fælles europæisk tilgang for ikke at skabe hindringer for det indre marked.
Datatilsynsmyndigheder har iværksat en række initiativer, der skal gøre det lettere for SMV'er at efterleve persondataforordningen, f.eks. modeller for behandlingskontrakter og fortegnelser over behandlingsaktiviteter, seminarer og hotlines. En række af disse initiativer har fået EU-midler. Det bør overvejes at iværksætte yderligere initiativer for at fremme SMV'ers anvendelse af persondataforordningen.
Persondataforordningen stiller en værktøjskasse til rådighed for alle typer virksomheder og organisationer, f.eks. adfærdskodekser, certificeringsmekanismer og standardkontraktbestemmelser, som kan hjælpe dem til at påvise, at de overholder kravene. Denne værktøjskasse bør udnyttes fuldt ud. SMV'er understreger især betydningen og nytten af adfærdskodekser, som er skræddersyet til deres situation, og som ikke medfører uforholdsmæssigt store omkostninger. Hvad angår certificeringsordninger, er sikkerhed (herunder cybersikkerhed) og databeskyttelse gennem design vigtige elementer, som skal tages i betragtning i henhold til persondataforordningen, og til hvilke der med fordel kunne anlægges en fælles og ambitiøs tilgang i hele EU. Kommissionen arbejder i øjeblikket på standardkontraktbestemmelser mellem dataansvarlige og databehandlere, idet den bygger på det igangværende arbejde med at modernisere standardkontraktbestemmelserne for internationale overførsler.
Anvendelsen af persondataforordningen på ny teknologi
Persondataforordningen, der er udtænkt på en teknologineutral måde, er baseret på principper og er derfor udformet således, at den kan omfatte nye teknologier, i takt med at de udvikles.
Den anses for et vigtigt og fleksibelt redskab til at sikre, at nyudviklede teknologier er i overensstemmelse med de grundlæggende rettigheder. Den retlige ramme for databeskyttelse og beskyttelse af privatlivets fred har vist sin betydning og fleksibilitet under covid-19-krisen, navnlig i forbindelse med udformningen af opsporingsapps og andre teknologiske løsninger til bekæmpelse af pandemien. De fremtidige udfordringer vil være at tydeliggøre, hvordan de velafprøvede principper skal anvendes på specifikke teknologier såsom kunstig intelligens, blockchain, tingenes internet og ansigtsgenkendelse, som kræver løbende overvågning. F.eks. iværksatte Kommissionens hvidbog om kunstig intelligens en offentlig debat om, hvorvidt der eventuelt er særlige omstændigheder, der kan berettige anvendelsen af kunstig intelligens med henblik på biometrisk fjernidentifikation (f.eks. ansigtsgenkendelse) på offentlige steder, og om fælles garantier. I den forbindelse bør datatilsynsmyndighederne være parate til på et tidligt tidspunkt at følge processerne i forbindelse med den tekniske udformning.
Derudover udgør en stringent og effektiv håndhævelse af persondataforordningen over for store digitale platforme og integrerede virksomheder, herunder på områder som onlinereklame og mikromålretning, et væsentligt element i beskyttelsen af enkeltpersoner.
Udvikling af en moderne international værktøjskasse for overførsel af oplysninger
Persondataforordningen udgør en moderniseret værktøjskasse til at lette overførslen af personoplysninger fra EU til et tredjeland eller en international organisation, samtidig med at det sikres, at oplysningerne fortsat er omfattet af et højt beskyttelsesniveau. De seneste to år har Kommissionen optrappet sin indsats for at udnytte det fulde potentiale af de værktøjer, persondataforordningen giver.
Dette har omfattet et aktivt samarbejde med vigtige partnere med henblik på at nå frem til en "beslutning om et tilstrækkeligt beskyttelsesniveau". Virkningen af en sådan beslutning er at sikre en sikker og fri overførsel af personoplysninger til det pågældende tredjeland, uden at dataeksportøren skal stille yderligere garantier eller opnå godkendelse. Navnlig de gensidige beslutninger mellem EU og Japan om et tilstrækkeligt beskyttelsesniveau, som trådte i kraft i februar 2019, skabte verdens største område med frie og sikre overførsler af oplysninger. Derudover er processen med henblik på at nå frem til denne type beslutning med Republikken Korea nået meget langt, og der pågår sonderende drøftelser med andre vigtige partnere i Asien og Latinamerika.
Et tilstrækkeligt beskyttelsesniveau spiller også en vigtig rolle i forbindelse med de fremtidige forbindelser med Det Forenede Kongerige, forudsat at de gældende betingelser er opfyldt. Det udgør en fremmende faktor for handel, herunder digital handel, og en vigtig forudsætning for et tæt og ambitiøst samarbejde på området retshåndhævelse og sikkerhed. Derudover indgår en høj grad af konvergens i forbindelse med databeskyttelse som et vigtigt element for at sikre lige konkurrencevilkår mellem to så tæt integrerede økonomier. I overensstemmelse med den politiske erklæring om de fremtidige forbindelser mellem Den Europæiske Union og Det Forenede Kongerige er Kommissionen i øjeblikket ved at gennemføre en tilstrækkelighedsvurdering inden for rammerne af både persondataforordningen og direktivet om databeskyttelse på retshåndhævelsesområdet.
Som led i den første evaluering af persondataforordningen er det også nødvendigt, at Kommissionen gennemgår de beslutninger om et tilstrækkeligt beskyttelsesniveau, som blev vedtaget i henhold til de tidligere regler. Kommissionens tjenestegrene har indledt en intens dialog med hver af de 11 berørte tredjelande og territorier for at vurdere, hvordan deres databeskyttelsessystemer har udviklet sig siden vedtagelsen af beslutningen om et tilstrækkeligt beskyttelsesniveau, og hvorvidt de opfylder standarden i persondataforordningen. Behovet for at sikre kontinuiteten i forbindelse med sådanne beslutninger som et vigtigt værktøj for handel og internationalt samarbejde er en af de faktorer, der har fået flere af disse lande og territorier til at modernisere og styrke deres lovgivning om privatlivets fred. Der pågår i øjeblikket drøftelser om yderligere garantier med nogle af disse lande og territorier for at tage højde for relevante forskelle i beskyttelsen. Da Domstolen i en dom, den skal afsige den 16. juli, kan tilvejebringe præciseringer, der kan være relevante for visse elementer af tilstrækkelighedsstandarden, vil Kommissionen særskilt aflægge rapport om evalueringen af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau, efter at Domstolen har afsagt dom i den pågældende sag.
Ud over indsatsen for at sikre et tilstrækkeligt beskyttelsesniveau arbejder Kommissionen på en omfattende modernisering af standardkontraktbestemmelserne for at ajourføre dem i lyset af de nye krav i persondataforordningen. Målet er, at de i højere grad skal afspejle virkeligheden i forbindelse med databehandlingsaktiviteter i den moderne digitale økonomi, og at overveje, om der bl.a. i lyset af Domstolens kommende praksis eventuelt er behov for at tydeliggøre visse garantier yderligere. Disse bestemmelser udgør langt den mest udbredte mekanisme for overførsel af oplysninger, som tusindvis af virksomheder i EU er afhængige af for at kunne levere en lang række tjenester til deres kunder, leverandører, partnere og ansatte.
Databeskyttelsesrådet har også spillet en aktiv rolle ved udviklingen af de internationale aspekter af persondataforordningen. Dette omfatter ajourføring af vejledningen om eksisterende overførselsmekanismer såsom bindende virksomhedsregler og såkaldte "undtagelser" samt udvikling af den retlige infrastruktur med henblik på brugen for de nye redskaber, der blev indført ved persondataforordningen, dvs. adfærdskodekser og certificering.
For at gøre det muligt for interessenter fuldt ud at udnytte overførselsværktøjerne i persondataforordningen er det vigtigt, at Databeskyttelsesrådet intensiverer sit igangværende arbejde med de forskellige overførselsmekanismer, bl.a. ved yderligere at strømline godkendelsesprocessen for bindende virksomhedsregler, færdiggøre vejledningen om adfærdskodekser og certificering som overførselsværktøjer og tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3).
Et andet vigtigt aspekt af den internationale dimension af EU's databeskyttelsesregler er persondataforordningens udvidede territoriale anvendelsesområde, som også omfatter databehandlingsaktiviteterne hos udenlandske operatører, der er aktive på EU-markedet. For at sikre en effektiv overholdelse af persondataforordningen og sikre lige konkurrencevilkår er det vigtigt, at denne udvidelse afspejles på passende vis i databeskyttelsesmyndighedernes håndhævelsesforanstaltninger. De bør navnlig om nødvendigt inddrage den dataansvarliges eller databehandlerens repræsentant i EU, som der kan rettes henvendelse til som supplement til eller i stedet for en virksomhed, der er etableret uden for EU. Denne tilgang bør følges mere aktivt for at sende et klart budskab om, at det forhold, at en virksomhed ikke er etableret i EU, ikke fritager udenlandske operatører for deres ansvar i henhold til persondataforordningen.
Fremme af konvergens og internationalt samarbejde på databeskyttelsesområdet
Persondataforordningen er allerede blevet et centralt referencepunkt på internationalt plan og har fået mange lande i hele verden til at overveje at indføre moderne regler for beskyttelse af privatlivets fred. Denne tendens i retning af global konvergens udgør en meget positiv udvikling, som giver nye muligheder for bedre beskyttelse af enkeltpersoner i EU, når deres oplysninger overføres til udlandet, samtidig med at udvekslingen af oplysninger lettes.
På grundlag af denne tendens har Kommissionen intensiveret sin dialog i en række bilaterale, regionale og multilaterale fora for at fremme en global kultur med respekt for privatlivets fred og udvikle en række elementer, der skal sikre konvergens mellem forskellige private systemer til beskyttelse af privatlivets fred. Kommissionen har i sin indsats støttet sig til og vil fortsat regne med aktiv støtte fra EU-Udenrigstjenesten og nettet af EU-delegationer i tredjelande og missioner ved internationale organisationer. Dette har også gjort det muligt at skabe større sammenhæng og komplementaritet mellem de forskellige aspekter af den eksterne dimension af EU's politikker — fra handel til det nye partnerskab mellem EU og Afrika. På møder i G20 og G7 har man også for nylig anerkendt betydningen af databeskyttelse for at skabe tillid til den digitale økonomi og udvekslingen af oplysninger, navnlig gennem begrebet "Data Free Flow with Trust", som oprindeligt blev foreslået af det japanske G20-formandskab. I datastrategien fremhæves det, at Kommissionen har til hensigt at fortsætte med at fremme datadelingen med betroede partnere, samtidig med at den fortsat bekæmper misbrug såsom (udenlandske) offentlige myndigheders uforholdsmæssigt omfattende adgang til personoplysninger.
Samtidig med at Kommissionen arbejder på at fremme konvergensen i databeskyttelsesstandarder på internationalt plan som et middel til at lette udvekslingen af oplysninger og dermed handelen, er den også fast besluttet på at bekæmpe digital protektionisme, således som det for nylig blev fremhævet i datastrategien. Med henblik herpå har den udviklet specifikke bestemmelser om udveksling af oplysninger og databeskyttelse i handelsaftaler, som den systematisk fremlægger i sine bilaterale forhandlinger — senest med Australien, New Zealand og Det Forenede Kongerige — og multilaterale forhandlinger såsom de nuværende WTO-drøftelser om e-handel. Disse generelle bestemmelser udelukker ubegrundede foranstaltninger såsom tvungne datalokaliseringskrav og sikrer samtidig parternes reguleringsmæssige autonomi til at beskytte den grundlæggende ret til databeskyttelse.
Synergier mellem handels- og databeskyttelsesinstrumenter bør derfor undersøges nærmere for at sikre frie og sikre internationale overførsler af oplysninger, som er vigtige for europæiske virksomheders, herunder SMV'ers, forretningsaktiviteter, konkurrenceevne og vækst i den stadig mere digitaliserede økonomi.
På samme måde er det vigtigt at sikre, at når virksomheder, der er aktive på det europæiske marked, på grundlag en legitim anmodning opfordres til at dele oplysninger med henblik på retshåndhævelse, kan de gøre dette uden at opleve lovkonflikter og under fuld overholdelse af EU's grundlæggende rettigheder. For at forbedre sådanne overførsler er Kommissionen fast besluttet på at udvikle passende retlige rammer sammen med sine internationale partnere for at undgå lovkonflikter og støtte effektive samarbejdsformer, navnlig ved at sikre de nødvendige databeskyttelsesgarantier, og derved bidrage til en mere effektiv bekæmpelse af kriminalitet.
På et tidspunkt, hvor problemer med overholdelsen af privatlivets fred eller datasikkerhedshændelser kan påvirke et stort antal personer samtidigt i forskellige jurisdiktioner, bør det praktiske samarbejde mellem europæiske og internationale tilsynsmyndigheder styrkes yderligere. Dette kræver navnlig, at der udarbejdes hensigtsmæssige retsforskrifter med henblik på tættere samarbejde og gensidig bistand, bl.a. ved at tillade de nødvendige udvekslinger af oplysninger i forbindelse med undersøgelser. Det er også i denne ånd, at Kommissionen opretter et "databeskyttelsesakademi", en platform, hvor EU og udenlandske datatilsynsmyndigheder skal dele viden, erfaringer og bedste praksis for at lette og støtte samarbejdet mellem myndigheder med ansvar for håndhævelse af beskyttelsen af privatlivets fred.
3Vejen fremad
For at udnytte persondataforordningens fulde potentiale er det vigtigt at skabe en harmoniseret tilgang og en fælles europæisk databeskyttelseskultur og fremme en mere effektiv og harmoniseret håndtering af grænseoverskridende sager. Det er det, borgere og virksomheder forventer, og det udgør et væsentligt mål for reformen af EU's databeskyttelsesregler. Det er lige så vigtigt at sikre, at alle de værktøjer, persondataforordningen giver, fuldt ud anvendes til at sikre en effektiv anvendelse af reglerne til gavn for enkeltpersoner og virksomheder.
Kommissionen vil fortsætte sine bilaterale udvekslinger med medlemsstaterne om gennemførelsen af persondataforordningen og vil om nødvendigt fortsætte med at anvende alle de redskaber, den råder over, til at fremme medlemsstaternes overholdelse af deres forpligtelser i henhold til persondataforordningen.
I lyset af den igangværende vurdering af national lovgivning, det korte tidsrum, hvori der siden persondataforordningens ikrafttrædelse er gjort praktiske erfaringer, og det forhold, at mange medlemsstater er i gang med at revidere deres sektorspecifikke lovgivning, er det endnu for tidligt at drage endelige konklusioner om omfanget af den nuværende fragmentering. Med hensyn til en eventuel lovkonflikt som følge af medlemsstaternes gennemførelse af specificerende bestemmelser er det nødvendigt først at få en bedre forståelse af konsekvenserne for dataansvarlige og databehandlere.
Ved opfølgningen på disse spørgsmål er de nationale domstoles og Domstolens praksis med til at skabe en ensartet fortolkning af databeskyttelsesreglerne. De nationale domstole har for nylig afsagt domme, der ugyldiggør bestemmelser i nationale love, som afviger fra persondataforordningen.
Med hensyn til den internationale dimension vil Kommissionen fortsat fokusere på at fremme konvergensen af databeskyttelsesbestemmelserne som en måde til at skabe sikre overførsler af oplysninger. Dette omfatter forskellige former for forudgående arbejde f.eks. i forbindelse med igangværende reformer med henblik på nye eller ajourførte databeskyttelseslove eller for at fremme begrebet "Data Free Flow with Trust" i multilaterale fora. Det omfatter også forskellige dialoger om et tilstrækkeligt beskyttelsesniveau og modernisering og udvidelse af vores overførselsværktøjskasse ved at ajourføre standardkontraktbestemmelserne og skabe grundlaget for certificeringsmekanismer. Dette arbejde omfatter også internationale forhandlinger som f.eks. inden for grænseoverskridende adgang til elektronisk bevismateriale for at sikre, at når der finder overførsler af oplysninger sted, er de omfattet af passende databeskyttelsesgarantier. Endelig vil Kommissionen ved at indlede forhandlinger om internationalt samarbejde og gensidig bistand mellem databeskyttelsesmyndighederne bestræbe sig på at skabe konvergens ikke bare i teorien, men også i praksis.
På grundlag af denne evaluering af anvendelsen af persondataforordningen siden maj 2018 er det konstateret, at de nedenfor anførte foranstaltninger er nødvendige til støtte for dens anvendelse. Kommissionen vil også overvåge gennemførelsen heraf med henblik på den kommende evalueringsrapport i 2024.
Gennemførelse og supplering af den retlige ramme
Medlemsstaterne bør
-afslutte tilpasningen af deres sektorspecifikke lovgivning til persondataforordningen
-overveje at begrænse anvendelsen af specificerende bestemmelser, som kan skabe fragmentering og bringe den frie udveksling af oplysninger internt i EU i fare
-vurdere, om den nationale lovgivning til gennemførelse af persondataforordningen i alle tilfælde ligger inden for de marginer, der er fastsat for medlemsstaternes lovgivning.
Kommissionen vil
-fortsætte de bilaterale udvekslinger med medlemsstaterne om deres nationale lovgivnings overholdelse af persondataforordningen, herunder om de nationale databeskyttelsesmyndigheders uafhængighed og ressourcer; gøre brug af alle de redskaber, den råder over, herunder traktatbrudssager, for at sikre, at medlemsstaterne overholder persondataforordningen
-støtte yderligere udvekslinger af synspunkter og national praksis mellem medlemsstaterne om emner, der er genstand for yderligere specificering på nationalt plan med henblik på at mindske fragmenteringen af det indre marked såsom behandlingen af personoplysninger vedrørende sundhed og forskning, eller som er genstand for en opvejning af hensynet til andre rettigheder såsom ytringsfrihed
-støtte en konsekvent anvendelse af databeskyttelsesrammen i forbindelse med nye teknologier til støtte for innovation og teknologisk udvikling
-anvende medlemsstaternes ekspertgruppe vedrørende persondataforordningen (oprettet i overgangsperioden, inden persondataforordningen trådte i kraft) for at lette drøftelserne og udvekslingen af erfaringer mellem medlemsstaterne og med Kommissionen
-undersøge, om det i lyset af de yderligere erfaringer og den relevante retspraksis vil være hensigtsmæssigt at foreslå eventuelle fremtidige målrettede ændringer af visse bestemmelser i persondataforordningen, navnlig for så vidt angår registreringer af databehandling i SMV'er, hvis hovedaktivitet ikke er behandling af personoplysninger (lav risiko), og en mulig harmonisering af, hvor gamle børn skal være for at kunne give deres samtykke i forbindelse med informationssamfundstjenester.
Et nyt forvaltningssystem, der udnytter sit potentiale fuldt ud
Databeskyttelsesrådet og datatilsynsmyndighederne opfordres til at
-udvikle effektive ordninger mellem datatilsynsmyndighederne vedrørende den måde, hvorpå samarbejds- og sammenhængsmekanismerne fungerer, herunder vedrørende proceduremæssige aspekter, på grundlag af dets medlemmers ekspertise og ved at styrke inddragelsen af dets sekretariat
-støtte en harmonisering af anvendelsen og håndhævelsen af persondataforordningen ved brug af alle de midler, det råder over, herunder ved yderligere at tydeliggøre nøglebegreber i persondataforordningen og sikre, at de nationale retningslinjer er i fuld overensstemmelse med de retningslinjer, Databeskyttelsesrådet har vedtaget
-fremme brugen af alle de redskaber, persondataforordningen giver, for at sikre, at den anvendes konsekvent
-optrappe samarbejdet mellem databeskyttelsesmyndighederne, f.eks. ved at gennemføre fælles undersøgelser.
Kommissionen vil:
-fortsætte med nøje af overvåge, at de nationale databeskyttelsesmyndigheder reelt er fuldt uafhængige
-fremme samarbejdet mellem tilsynsmyndighederne (navnlig på områder som konkurrence, elektronisk kommunikation, netværks og informationssystemers sikkerhed og forbrugerpolitik)
-støtte overvejelserne i Databeskyttelsesrådet om de procedurer, de nationale datatilsynsmyndigheder anvender, med henblik på at forbedre samarbejdet om grænseoverskridende sager.
Medlemsstaterne skal:
-afsætte tilstrækkelige ressourcer til datatilsynsmyndighederne til, at de kan udføre deres opgaver.
Støtte til interessenter
Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at
-at vedtage yderligere retningslinjer, som er praktiske og letforståelige, og som giver klare svar og ikke indeholder uklarheder om spørgsmål i forbindelse med anvendelsen af persondataforordningen, f.eks. om behandling af børns data og registreredes rettigheder, herunder udøvelse af retten til indsigt og retten til sletning, og høring af interessenter i processen
-revidere retningslinjerne, når der er behov for yderligere tydeliggørelse i lyset af erfaringer og udviklingen, herunder Domstolens praksis
-udvikle praktiske redskaber såsom harmoniserede formularer til brug i forbindelse med brud på datasikkerheden og forenklede registre over databehandlingsaktiviteter med henblik på at bistå SMV'er, der ikke udgør en risiko, med at opfylde deres forpligtelser.
Kommissionen vil
-forelægge standardkontraktbestemmelser med henblik på både internationale overførsler og forholdet mellem den dataansvarlige/databehandleren
-tilvejebringe redskaber, der tydeliggør/støtter anvendelsen af databeskyttelsesreglerne på børn
-i overensstemmelse med datastrategien undersøge de praktiske metoder til at fremme brugen af enkeltpersoners ret til dataportabilitet, f.eks. ved at give dem mere kontrol over, hvem der kan få adgang til og anvende maskingenererede oplysninger
-støtte standardisering/certificering, navnlig i forbindelse med cybersikkerhed, gennem samarbejde mellem Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), datatilsynsmyndighederne og Databeskyttelsesrådet
-gøre brug af sin ret til at anmode Databeskyttelsesrådet om at udarbejde retningslinjer og udtalelser om specifikke spørgsmål af betydning for interessenter, når det er hensigtsmæssigt
-om nødvendigt forelægge retningslinjer, samtidig med at den fuldt ud respekterer den rolle, Databeskyttelsesrådet spiller
-støtte datatilsynsmyndighedernes aktiviteter, som letter SMV'ers opfyldelse af forpligtelserne i henhold til persondataforordningen, gennem finansiel støtte, navnlig til praktisk vejledning og digitale værktøjer, der kan kopieres i andre medlemsstater.
Fremme af innovation
Kommissionen vil
-overvåge anvendelsen af persondataforordningen på ny teknologi, idet den også tager hensyn til eventuelle fremtidige initiativer inden for kunstig intelligens og inden for rammerne af datastrategien
-fremme udarbejdelsen af EU-adfærdskodekser inden for sundhed og forskning, bl.a. gennem finansiel støtte
-nøje følge udviklingen og brugen af apps i forbindelse med covid-19-pandemien.
Databeskyttelsesrådet opfordres til at
-udstede retningslinjer for anvendelsen af persondataforordningen inden for videnskabelig forskning, kunstig intelligens, blockchain og eventuel anden teknologisk udvikling
-revidere retningslinjerne for, hvornår der er behov for yderligere tydeliggørelse i lyset af den teknologiske udvikling.
Videreudvikling af værktøjskassen til brug ved overførsler af oplysninger
Kommissionen vil
-fortsætte dialogerne om et tilstrækkeligt beskyttelsesniveau med interesserede tredjelande i overensstemmelse strategien i dens meddelelse fra 2017 om udveksling og beskyttelse af personoplysninger i en globaliseret verden, bl.a. ved om muligt at medtage overførsler af oplysninger til strafferetshåndhævende myndigheder (inden for rammerne af direktivet om databeskyttelse på retshåndhævelsesområdet) og andre offentlige myndigheder; dette omfatter afslutning af processen med at sikre et tilstrækkeligt databeskyttelsesniveau med Republikken Korea så hurtigt som muligt
-afslutte den igangværende evaluering af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau og rapportere til Europa-Parlamentet og Rådet
-afslutte arbejdet med moderniseringen af standardkontraktbestemmelserne med henblik på at ajourføre dem i lyset af persondataforordningen, idet der tages hensyn til alle relevante overførselsscenarier, og ajourføringen i højere grad afspejler moderne forretningspraksis.
Databeskyttelsesrådet opfordres til
-yderligere at tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3)
-sikre en effektiv håndhævelse over for operatører, der er etableret i tredjelande, som er omfattet af persondataforordningens territoriale anvendelsesområde, bl.a. med hensyn til udpegelse af en repræsentant, når det er relevant (artikel 27)
-strømline vurderingen og den eventuelle godkendelse af bindende virksomhedsregler med henblik på at fremskynde processen
-afslutte arbejdet med arkitekturen, procedurerne og vurderingskriterierne for adfærdskodekser og certificeringsordninger som redskaber til overførsel af oplysninger.
Fremme af konvergens og udvikling af internationalt samarbejde
Kommissionen vil
-støtte igangværende reformprocesser i tredjelande om nye eller moderniserede databeskyttelsesregler ved udveksling af erfaringer og bedste praksis
-samarbejde med afrikanske partnere om fremme af lovgivningsmæssig konvergens og støtte til kapacitetsopbygning hos tilsynsmyndigheder som en del af det digitale kapitel i det nye partnerskab mellem EU og Afrika
-vurdere, hvordan samarbejdet mellem private operatører og retshåndhævende myndigheder kan lettes, bl.a. ved at forhandle om bilaterale og multilaterale rammer for overførsel af oplysninger i forbindelse med udenlandske strafferetshåndhævende myndigheders adgang til elektronisk bevismateriale, for at undgå lovkonflikter og sikre passende databeskyttelsesgarantier
-samarbejde med internationale og regionale organisationer såsom OECD, ASEAN og G20 om at fremme troværdige udvekslinger af oplysninger baseret på høje databeskyttelsesgarantier, herunder i forbindelse med initiativet "Data Free Flow with Trust"
-oprette et "databeskyttelsesakademi" for at lette og støtte udvekslinger mellem europæiske og internationale tilsynsmyndigheder
-fremme internationalt håndhævelsessamarbejde mellem tilsynsmyndigheder, bl.a. gennem forhandling af samarbejdsaftaler og aftaler om gensidig bistand.