Det Europæiske Økonomiske og Sociale Udvalg
TEN/699
Vejledning vedrørende fri udveksling
af andre data end personoplysninger
Sektionen for Transport, Energi, Infrastruktur og Informationssamfundet
UDTALELSE
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet – Vejledning vedrørende forordningen om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union
[COM(2019) 250 final]
Ordfører: Laure Batut
|
Anmodning om udtalelse
|
Kommissionen, 22/07/2019
|
|
Retsgrundlag
|
Artikel 304 i traktaten om Den Europæiske Unions funktionsmåde
|
|
|
|
|
Kompetence
|
Sektionen for Transport, Energi, Infrastruktur og Informationssamfundet
|
|
Vedtaget i sektionen
|
11/09/2019
|
|
Vedtaget på plenarforsamlingen
|
DD/MM/YYYY
|
|
Plenarforsamling nr.
|
...
|
|
Resultat af afstemningen
(for/imod/hverken for eller imod)
|
…/…/…
|
1.Anbefalinger
1.1EØSU anbefaler Kommissionen:
·at formidle enkel og klar kommunikation om kriterierne for andre data end personoplysninger og om anvendelsesområdet for forordningen om en ramme for fri udveksling af andre data end personoplysninger for at fjerne usikkerheden og styrke tilliden
·at oplyse aktørerne om områder, hvor de europæiske retsakter om data overlapper hinanden
·at fremme fri udveksling, men samtidig sikre, at personoplysninger ikke lidt efter lidt bliver betragtet som andre data end personoplysninger, og at det fulde anvendelsesområde for den generelle forordning om databeskyttelse (GDPR) bevares, selv om de to forordninger måske kan sammenlægges på mellemlang sigt for at opnå bedre beskyttelse og undgå yderligere kommercialisering af data
·at tage højde for eventuel portering mellem platforme
·at udvikle sammenslutninger af paneuropæiske cloudtjenester
·at hjælpe europæerne på meget kort sigt til at bruge algoritmer, som kan behandle mængderne af andre data end personoplysninger i det fælles datamarked; at opfordre medlemsstaterne til at styrke uddannelse i informationsteknologi (IT) og kunstig intelligens (AI) på alle niveauer (skoler, universiteter, erhvervsliv) og som livslang læring
·at tilskynde aktørerne til at fremme en ånd af ansvarlighed, etik og solidaritet og ikke lade selvregulering og forligsmæssige løsninger på tvister give grobund for afvigende fortolkninger af retsakterne
·ikke at undlade at bruge reguleringsværktøjer
·at oplyse virksomhederne om, at de ud over adfærdskodekser og forligsmæssige løsninger af tvister har mulighed for hasteprocedurer ved EU-Domstolen
·at overveje en harmonisering af sanktioner
·at udarbejde køreplaner for at undersøge, om virksomhedernes retssikkerhed er en realitet i forbindelse med fri benyttelse af deres data som omhandlet i forordningen om en ramme for fri udveksling af andre data end personoplysninger
·at gøre status over situationen i de 27 medlemsstater og vurdere de nationale kontaktpunkters indsats efter seks måneders virke
·at varetage sin oplysnings-, formidlings- og varslingsrolle
·at opfordre medlemsstaterne til at kommunikere med aktørerne om deres kriterier for "offentlig sikkerhed"
·at opfordre medlemsstaterne til at sprede deres opbevaringssteder for data, som ikke kan overføres
·i rette tid at tage konkurrencepolitikken op til fornyet overvejelse for at undersøge, om den er tilpasset fri udveksling af data i dens nuværende form.
2.Indledning
2.1EØSU noterer sig Kommissionens vilje til at vejlede de virksomheder, der er berørt af overførsel af andre data end personoplysninger, inden der forhandles adfærdskodekser mellem interessenterne i løbet af 2020. Det forhold, at der ofte er tale om oplysninger af blandet karakter, personoplysninger såvel som ikkepersonoplysninger, kan skabe usikkerhed for virksomhederne, med hensyn til hvad der skal gøres for at beskytte oplysningerne. Det er på sin plads her at minde om hovedprincipperne i de eksisterende regler, inden EØSU's kommentarer gennemgås.
2.2Kommissionen har konstateret, at manglende konkurrence mellem cloudtjenester i EU og følgelig manglende datamobilitet i en oligopoltilstand har negativ indflydelse på datamarkedet. I henhold til forordningen om en ramme for fri udveksling af andre data end personoplysninger skal medlemsstaterne begrænse deres dataplaceringskrav og fragmenteringen af lovgivningen på området mest muligt for at stimulere væksten og frigøre virksomhedernes innovationskapacitet.
2.3Med vedtagelsen af forordningen om en ramme for fri udveksling af andre data end personoplysninger, der supplerer GDPR, er det en "femte ret til fri bevægelighed", som gælder for alle data, der indføres i EU's retsakter i det 21. århundrede (sic: Anna-Maria Corazza Bildt, medlem af Europa-Parlamentet, ordfører). Denne immaterielle vare, hvis man kan betegne data således, bør kunne overføres og forvaltes dér, hvor indehaverne ønsker det, hos hostingudbydere i andre lande end det, hvor de er frembragt og/eller anvendes inden for Unionen (artikel 1 i forordningen om en ramme for fri udveksling af andre data end personoplysninger). Det bliver således lettere for indehaverne af denne vare, og deres konkurrenceevne forbedres.
Forordningen om en ramme for fri udveksling af andre data end personoplysninger
2.4Forordning (EU) 2018/1807 fremmer fri udveksling af andre data end personoplysninger i Unionen og dermed udviklingen af kunstig intelligens, cloudcomputing og big data-analyse. I artikel 6 fastsættes det, at Kommissionen, via operatører, som arbejder med disse data, vejleder om, tilskynder til og fremmer udvikling af adfærdskodekser for selvregulering på EU-plan.
2.5Den foreliggende tekst, som er møntet på professionelle brugere i mikrovirksomheder og SMV'er, skal fremme forståelsen for samspillet mellem nævnte forordning og GDPR ved hjælp af en vejledning. Af pædagogiske hensyn nævner Kommissionen mange eksempler.
2.6De adfærdskodekser, som er under udarbejdelse, skulle ligge klar mellem november 2019 og maj 2020 (betragtning 30 og 31, artikel 6, stk. 1). Under udarbejdelsen tages hensyn til samtlige parters holdning. Der afholdes to offentlige høringer, og to arbejdsgrupper bestående af professionelle brugere bistår Kommissionen, heraf én om certificering af cybersikkerhed i skyen (CSPCERT) og én om dataportering og udbyderskifte (SWIPO). Deres bidrag dækker "Infrastructure as a Service" (IaaS) og "Software as a Service" (SaaS). I maj 2020 vil Kommissionen opfordre branchen til at udvikle en model for kontraktvilkår, og i 2022 aflægger den rapport til Europa-Parlamentet, Rådet og EØSU om forordningens gennemførelse, navnlig om anvendelsen af "sammensatte" eller blandede data.
3.Generelle bemærkninger
3.1Kommissionens opgave: sikre overensstemmelse mellem GDPR og forordningen om en ramme for fri udveksling af andre data end personoplysninger
3.1.1For at sikre overensstemmelse mellem de to forordninger, som er komplementære, anfører Kommissionen, at 1) dataplaceringskrav fremover er forbudt, at 2) data fortsat skal være tilgængelige for de kompetente myndigheder, og at 3) data bliver mobile og derfor kan porteres. I GDPR nævnes portabilitet. I forordningen om en ramme for fri udveksling af andre data end personoplysninger omtales portering. Brugerne kan føre deres data ud af det land, hvor de er frembragt, og derefter få dem tilbage igen uden (for mange) begrænsninger efter at have skiftet tjenesteleverandør til opbevaring, behandling eller analyse af deres data. Til forskel fra portabilitet, som er en ret for registrerede, finder portering sted efter adfærdskodekser og dermed som led i en selvreguleringstilgang.
3.1.2Dette er en væsentlig forskel mellem de to forordninger, hvor den ene tager udgangspunkt i hård lovgivning og den anden i bløde lovgivningsinstrumenterer (soft law), der som bekendt indeholder langt færre garantier. Kommissionen anfører selv, at de fleste data imidlertid indeholder både personoplysninger og andre data end personoplysninger, som er knyttet uløseligt sammen, hvilket gør dem til blandede data.
3.1.3EØSU bifalder denne vejledende tilgang og anfægter ikke de valgte eksempler. Udvalget har ikke til hensigt at nævne andre. Det skal imidlertid bemærkes, at Kommissionens vejledning til operatørerne kan sammenfattes i en belysning af konteksten med eksempler. EØSU vil gerne understrege og gøre Kommissionen opmærksom på nogle kritiske områder, som synes at kunne volde brugerne vanskeligheder trods vejledningen og de fremtidige kodekser.
3.2Resumé af principperne
3.2.1Princip: fri udveksling af data
Hindringerne for fri udveksling af andre data end personoplysninger er mere end geografiske, da de er funktionelle og/eller afhænger af virksomhedernes ressourcer til at bruge informationsteknologi.
Forordningen om en ramme for fri udveksling af andre data end personoplysninger forbyder krav om placering af andre data end personoplysninger på et bestemt territorium (artikel 4). Medlemsstaterne anmodes om at ophæve alle bestemmelser i strid hermed senest 24 måneder efter forordningens anvendelsesdato (maj 2021).
I forordningen tillades undtagelser i tilknytning til den offentlige sikkerhed. Medlemsstaterne skal gøre nærmere oplysninger om eventuelle dataplaceringskrav på nationalt plan offentligt tilgængelige online. Kommissionen kan fremsætte bemærkninger og formidler links til medlemsstaternes websteder.
3.2.2Undtagelser fra fri udveksling
·Medlemsstaternes myndigheder kan have adgang til overførte data: I forordningen om en ramme for fri udveksling af andre data end personoplysninger indføres en procedure, som sikrer tilsynsmyndigheder i medlemsstat X adgang til data, som behandles i medlemsstat Y. Der er fastlagt en procedure for samarbejde mellem medlemsstaterne (artikel 5 og 7). EØSU nærer imidlertid stor frygt for, at data, f.eks. regnskabsmæssige, finansielle eller kontraktmæssige, unddrages medlemsstaternes myndigheders kontrol i mangel af geografisk placering. Udvalget minder Kommissionen om ikke at undlade at bruge reguleringsværktøj, hvis det er nødvendigt.
·Den enkelte medlemsstats centrale kontaktpunkt behandler anmodningen sammen med den nationale tilsynsmyndighed, som kan udlevere oplysningerne, hvis den finder anmodningen antagelig, eller nægte at udlevere dem. Kontaktpunkterne bør i den ånd, der hersker i forordningen om en ramme for fri udveksling af andre data end personoplysninger, hjælpe aktørerne til at vælge overførsel og tjenesteleverandør i hele EU på et informeret grundlag og i fuld konkurrence.
EØSU mener, at retningslinjerne i sig selv ikke er i stand til fjerne de mange usikkerhedsmomenter ved anvendelsen af dette princip. Det er svært at bedømme medlemsstaternes begrundelser og om operatørerne er i god tro samt om kontaktpunkterne fungerer hensigtsmæssigt. Enhver vurdering heraf vil være vanskelig.
·Forbud mod direkte eller indirekte dataplaceringskrav, medmindre det er berettiget af hensyn til den offentlige sikkerhed. EØSU mener, at begrebet "offentlig sikkerhed", der er nævnt i forordningen, mangler præcision og er i tvivl om dets rækkevidde. I forordningen om en ramme for fri udveksling af andre data end personoplysninger defineres dataplaceringskrav som enhver forpligtelse, betingelse og begrænsning og ethvert forbud eller andet krav, der er fastsat i en medlemsstats love og administrative bestemmelser, eller som følger af administrativ praksis, som forpligter operatørerne til at beholde data inden for et bestemt territoriums område i EU. Ifølge EU-Domstolen (og betragtning 19 i forordningen om en ramme for fri udveksling af andre data end personoplysninger) omfatter den offentlige sikkerhed både den interne og eksterne sikkerhed i en medlemsstat og forudsætter, at der foreligger en reel og tilstrækkelig alvorlig trussel, der påvirker en af de grundlæggende samfundsinteresser. Under denne definition hører genetiske data, biometriske data og helbredsoplysninger. Medlemsstatens reaktion skal være forholdsmæssig.
3.2.3Udvalget mener for så vidt angår fri udveksling såvel som placering af data:
-at de valgte kriterier kan fortolkes på mange forskellige måder
-at de kun kan afklares i hvert enkelt tilfælde ved indbringelse for en domstol, hvilket kan skade den nødvendige tillid til handel, især med hensyn til følsomme oplysninger, og at tvister, som er udsprunget af adfærdskodekserne, kan forstærke fragmenteringen
-at retsvæsenet er fjernt fra den digitale tidsalder og dens databevægelser.
EØSU mener, at usikkerheden og den komplekse situation afskrækker mikrovirksomheder og SMV'er. Udvalget anbefaler Kommissionen at oplyse virksomhederne om muligheden for hasteprocedurer ved EU-Domstolen med henblik på en hurtig afgørelse af deres tvister.
3.2.4EØSU beklager, at der ikke står noget i vejledningen om tvister eller om, hvordan det kontrolleres, at medlemsstaterne overholder kriterierne for offentlig sikkerhed, og hvordan de i givet fald kan pålægges sanktioner. EØSU frygter, at meddelelsens redegørelser ikke er tilstrækkelige til at sikre mikrovirksomhedernes og SMV'ernes operatørers position mellem alle retsakternes juridiske skær, og at usikkerheden ikke bidrager til at vække den tillid og følelse af retssikkerhed, som er påkrævet for at udvikle sektoren.
3.2.5EØSU erkender, at Kommissionens meddelelse har den store fortjeneste, at den oplyser bredt oppefra og ned om den situation, der er opstået som følge af de to forordninger. Den er i højeste grad relevant for mikrovirksomheder og SMV'er. EØSU ønsker, at de nationale kontaktpunkters indsats og disse aktørers besøg på Kommissionens websted vurderes efter seks måneders virke, således at der hurtigt kan indføres korrigerende foranstaltninger, hvis der skulle være tegn på utilstrækkelig information eller kommunikation.
4.Særlige bemærkninger
4.1Vedrørende data
4.1.1Andre data end personoplysninger omfatter som udgangspunkt samtlige digitale oplysninger, der ikke hører under personoplysninger som defineret i GDPR
. Det kan være forretningsoplysninger, oplysninger om præcisionsdyrkning, om behov for vedligeholdelse af maskinerne, vejrforhold m.m.
4.1.2Data, der indsamles af offentlige tjenester som sygehuse og data vedrørende social bistand eller skat kan være helt tæt knyttet til personoplysninger om patienter eller skatteydere. Virksomheder, som eventuelt vil bruge dem, skal sikre, at de ikke gør det muligt at identificere personer eller – efter anonymisering – at fjerne anonymiseringen. For mikrovirksomheder eller SMV'er kan dette indebære alt for tids- og ressourcekrævende procedurer. Da de to forordninger (GDPR og forordningen om en ramme for fri udveksling af andre data end personoplysninger) tilsammen sikrer fri udveksling af alle data i EU, når de er "knyttet uløseligt sammen", gælder den retlige beskyttelse i GDPR således for alle blandede data (betragtning 8 og artikel 2, stk. 2 i forordning (EU) 2018/1807). Ud over den første begrænsning af den frie udveksling af andre data end personoplysninger af hensyn til den offentlige sikkerhed er der altså en begrænsning, som hænger sammen med selve arten af data. Dette er det centrale spørgsmål i Kommissionens meddelelse, hvori det flere gange nævnes, at der er tæt forbindelse mellem personoplysninger og andre data end personoplysninger: "De blandede datasæt udgør størstedelen af de datasæt …" (meddelelsen, punkt 2.2), at de kan være "knyttet uløseligt sammen" (punkt 2.2), og at "ingen af de to forordninger forpligter virksomheder til at adskille de datasæt ..." (punkt 2.2).
4.1.3Det er op til virksomheden at vurdere, om andre data end personoplysninger, den behandler, er "knyttet uløseligt sammen" med personoplysninger, og beskytte dem, hvis det er tilfældet. For virksomheden er det ikke let at forberede en "ekstern behandling". Det synes umuligt at fastlægge en generel definition af blandede data, og overlapningen af de to forordninger medfører formentlig andre overlapninger med andre retsakter om datarettigheder f.eks. vedrørende intellektuel ejendomsret, idet udveksling af andre data end personoplysninger er tilladt, men hvis de genbruges i et værk, vil de ikke længere være underlagt samme regler. EØSU vurderer, at samspillet mellem de forskellige retsakter vil blive meget kompliceret. I retspraksis har der allerede været krav om at undersøge den uløselige sammenknytning efter et "rimeligt" kriterium. EØSU konstaterer, at det i den foreliggende meddelelse åbenlyst ikke er muligt at gennemgå alle tilfælde for at hjælpe aktørerne, og at den aktuelle situation snarere begunstiger store virksomheder. EØSU anbefaler Kommissionen at sikre, at personoplysninger i praksis ikke lidt efter lidt bliver betragtet som andre data end personoplysninger, og at det fulde anvendelsesområde for GDPR bevares, selv om de to forordninger måske kan sammenlægges på mellemlang sigt for at opnå bedre beskyttelse og undgå yderligere kommercialisering af data.
4.2Vedrørende portabilitet, overførsel, behandling og lagring af data
Ifølge GDPR skal portabilitet være underlagt regulering (artikel 20) og ifølge forordningen om en ramme for fri udveksling af andre data end personoplysninger selvregulering. EØSU må med beklagelse bemærke, at der kan opstå betydelig retsusikkerhed, som kan skade mikrovirksomheder og SMV'er på grund af de mange risici for tvister. Udvalget mener, at når andre data end personoplysninger er varer, som ganske vist er immaterielle, men kan udveksles frit, kan de importeres og eksporteres. En debat om deres ejerskab vil være interessant i den aktuelle sammenhæng. Imidlertid ligger den egentlige guldgrube i højere grad i datamængden end i selve dataene. Det får udvalget til at tro, at konkurrencepolitikken måske ikke er tilpasset denne type marked. EØSU vil gerne vide, hvordan de nuværende forhold kan styrke mikrovirksomhedernes og SMV'ernes produktivitet. Kommissionen foreslår dem ingen løsninger desangående i sin meddelelse.
4.3Vedrørende tjenesteleverandører
4.3.1EU har ingen store operatører og heller ingen europæisk cloud, hvilket EØSU længe har beklaget. De stordriftsfordele, som EU altid sigter mod, er særkende for meget store amerikanske IT-virksomheder og en række kinesiske virksomheder. Således er selv medlemsstaternes store offentlige forvaltninger fristet til at sætte deres lid til dem og overdrage dem forvaltningen af deres data (som det er tilfældet med Frankrig).
4.3.2EØSU mener, at europæerne vil have behov for at skabe partnerøkosystemer og tage højde for dataoverførsler mellem platforme. Ud over denne meddelelse kunne Kommissionen hjælpe mikrovirksomheder og SMV'er til at udvikle de fornødne ressourcer, sådan som det er tilfældet med tjenesteydelser af almen interesse i forslaget fra 2018 om en sammenslutning af paneuropæiske cloudtjenester for levering af tjenesteydelser af almen økonomisk og ikkeøkonomisk interesse ("Function as a Service", FaaS) og med netværket af digitale innovationsknudepunkter (A network of Digital Innovation Hubs, web/Commission/DIHs/januar 2019).
4.4Vedrørende datasikkerhed
4.4.1På internt plan kontrollerer de nationale operatører arten af deres data, som skal overføres, og sikrer dem. Placeringskravet svarede til nogle kontrollerbare sikkerhedskrav i national ret. Trods GDPR og forordningen om en ramme for fri udveksling af andre data end personoplysninger er IT-sikkerhedsstandarderne ikke harmoniseret mellem de forskellige EU-lande. Udvalget finder det nødvendigt, at de nationale kontaktpunkter omhyggeligt oplyser mikrovirksomheder og SMV'er samt private og offentlige tjenester herom på forskellige sprog.
På eksternt plan er det efter EØSU's mening ikke sikkert, at virksomheder uden for EU er i stand til at overholde adfærdskodekserne og tilbagelevere data efter nye overførsler efter deres indehaveres ønske. EØSU frygter, at det på længere sigt bliver vanskeligt at udrede ansvaret.
Udvalget anbefaler, at Kommissionen hjælper europæiske aktører til meget snart at kunne bruge algoritmer til behandling af mængderne af andre data end personoplysninger i det indre marked for data.
4.4.2Servernes fysiske placering og sikkerhed vil fortsat være underlagt kommercielle og diplomatiske mellemstatslige forhandlinger. Det er et afgørende spørgsmål. I forhold til techgiganterne og deres respektive referencestater, og selv om dataforvaltning er en delt kompetence mellem medlemsstaterne og EU, vil det ikke være uden risiko for medlemsstaterne at forhandle enkeltstående.
4.4.3EØSU opfordrer Kommissionen til at uddybe sin meddelelse med hensyn til tjenesteleverandørernes forpligtelser vedrørende lagring af andre data end personoplysninger, anvendte metoder, fysiske placeringer, forventet eller tilladt opbevaringstid og anvendelse efter behandling, da det er en betingelse for deres sikkerhed og kan have betydning for de europæiske virksomheder i den globale konkurrencesammenhæng.
4.5Vedrørende adfærdskodekser
4.5.1I maj 2019 blev aktører, som er berørt af forordningen om en ramme for fri udveksling af andre data end personoplysninger (fortrinsvis brugere og leverandører af cloudtjenester), opfordret til at udarbejde deres adfærdskodeks inden for 12 måneder. Ifølge Kommissionen bør der medtages bedste praksis, strategier med hensyn til certificeringsordninger og kommunikationskøreplaner. Arbejdsgrupperne SWIPO og CSPCERT bistår med deres ekspertise.
4.5.2Kommissionen henviser til det, der blev gjort for så vidt angår GDPR (meddelelsen, side 23). Da GDPR er omfattet af udtalelsen fra EDPB, kan den anvendes til at understøtte forordningen om en ramme for fri udveksling af andre data end personoplysninger. Sammenslutninger af repræsentanter for en aktivitetssektor kan udforme deres adfærdskodeks. Ophavsmændene skal bevise over for de kompetente myndigheder (CompSA), at deres forslag til national eller tværnational kodeks opfylder et specifikt behov i sektoren, fremmer forordningens anvendelse og indfører effektive mekanismer til at overvåge kodeksens overholdelse.
4.5.3Selv inden GDPR trådte i kraft, havde de største leverandører af "Infrastructure as a Service" (IaaS) og "Software as a Service" (SaaS) udarbejdet deres egen adfærdskodeks med henblik på at fastlægge deres gennemførelsesvilkår og dermed fjerne de usikre områder, som de professionelle brugere havde peget på. De inddrog SMV'erne, fordi de skønnede, at selvcertificering for mange af dem var at foretrække frem for de meget høje omkostninger ved certificering.
4.5.4For så vidt angår forordningen om en ramme for fri udveksling af andre data end personoplysninger bifalder EØSU en sektor for sektor-tilgang, såfremt der ikke viser sig at være enighed om en fælles metode. I GDPR er der opstillet en ikkeudtømmende liste over punkter, som kodekserne skal dække (artikel 40, stk. 2), herunder rimelige og gennemsigtige procedurer, sikkerhed ved dataoverførsel og bilæggelse af tvister. I egen interesse og for at styrke forbrugernes tillid til den europæiske strategi bør aktørerne tilskyndes til at lade sig inspirere heraf og fremme en ånd af ansvarlighed, etik og solidaritet, bl.a. gennem retningslinjer, som medtager kunstig intelligens. Det er et af de punkter, udvalget ønsker at fremhæve, og det opfordrer derfor Kommissionen til ikke at lade selvregulering og forligsmæssige løsninger på tvister give grobund for afvigende fortolkninger af retsakterne. Den bør tværtimod sætte alt ind på at harmonisere dem og sidenhen gøre dem til regler, som gælder for alle, og anføre det i sine informations- og kommunikationskøreplaner.
5.Vedrørende evaluering
Kommissionen vil regelmæssigt evaluere konsekvenserne af den frie udveksling, forordningens anvendelse, medlemsstaternes ophævelse af dataplaceringskravene og adfærdskodeksernes effektivitet. Efter EØSU's mening bør repræsentanter for civilsamfundet opfordres til at udtrykke sig i den sammenhæng. Hvis hele samfundet skal føle sig trygt og følgelig have tillid til disse nye former for digital praksis, bør Unionen og medlemsstaterne fjerne usikkerheden med hensyn til gældende ret, fortrolighed, opbevaring og tilbageføring uden tab af data, garantier for gennemførlighed og aktørernes gode tro samt finansielle garantier. Den uløselige sammenknytning af data, der både er personoplysninger og andre data end personoplysninger, er kilde til bekymring, og deres andel af samtlige data får EØSU til at overveje, om selvregulering nu også er den eneste mulige udvej. Udvalget anbefaler, at reglerne i GDPR på mellemlang sigt finder anvendelse på alle data og alle databevægelser med undtagelser for deciderede data, som ikke er personoplysninger.
Bruxelles, den 11. september 2019
Pierre Jean Coulon
Formand for Sektionen for Transport, Energi, Infrastruktur og Informationssamfundet
_____________
