EUROPA-KOMMISSIONEN
Bruxelles, den 14.10.2022
COM(2022) 530 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Første rapport om anvendelsen af databeskyttelsesforordningen for Den Europæiske Unions institutioner, organer, kontorer og agenturer (forordning 2018/1725)
Indhold
1 Indledning
2 Særskilte databeskyttelsesregler for Unionens institutioner, organer, kontorer og agenturer i overensstemmelse med EU's databeskyttelseslovgivning
3 Gennemførelse af EUDPR i Unionens institutioner og organer
3.1 Unionens institutioner og organers rolle som dataansvarlige
3.2 De registreredes udøvelse af deres rettigheder
3.3 Begrænsning af registreredes rettigheder gennem interne regler
3.4 Databeskyttelsesrådgivere
3.5 Konsekvensanalyser vedrørende databeskyttelse
3.6 Internationale overførsler af personoplysninger
4 EDPS' aktiviteter
4.1 EDPS som tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer
4.2 EDPS som rådgiver for EU-lovgiver
4.3 Samarbejde mellem EDPS og de nationale databeskyttelsesmyndigheder
4.4 EDPS' ressourcer
5 Kommissionens brug af beføjelser til at vedtage delegerede retsakter og gennemførelsesretsakter
6 Databeskyttelsesregler for organer og agenturer, der beskæftiger sig med politisamarbejde og retligt samarbejde i straffesager
6.1 Udvidelse af anvendelsen af kapitlet i EUDPR om retshåndhævelse
6.2 Præcisering af anvendelsen af visse bestemmelser i EUDPR på behandling af operationelle personoplysninger
6.3 EDPS' beføjelser til at føre tilsyn med EU's organer og agenturer
7 Vejen frem
BILAG
1Indledning
Databeskyttelsesforordningen for Den Europæiske Unions institutioner, organer, kontorer og agenturer 1 ("EUDPR") er den vigtigste 2 databeskyttelsesramme for Unionens institutioner, organer, kontorer og agenturer ("Unionens institutioner og organer"), når de behandler personoplysninger som dataansvarlige eller databehandlere. Forordningen udgør en søjle for god forvaltning og god forvaltningsskik på EU-plan. Den har fundet anvendelse siden den 11. december 2018 3 , hvor den ophævede og erstattede den tidligere forordning (EF) nr. 45/2001 4 .
I denne meddelelse fremlægges den første rapport om anvendelsen af EUDPR i overensstemmelse med forordningens artikel 97. Den gennemgår også de retsakter, der er vedtaget på grundlag af traktaterne, og som regulerer behandlingen af operationelle personoplysninger 5 i EU-organer, -kontorer eller -agenturer, når de udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager 6 , i overensstemmelse med artikel 98 i EUDPR.
Kommissionen har indsamlet oplysninger om anvendelsen af EUDPR gennem en undersøgelse, der blev iværksat i oktober 2021, hvor Unionens institutioner og organer blev opfordret til at dele deres erfaringer med anvendelsen af EUDPR. I alt 56 7 af Unionens institutioner og organer svarede, og de statistikker over Unionens institutioner og organer, der blev fremlagt i rapporten, er baseret på disse svar 8 . En særskilt anmodning om bidrag blev sendt til Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) i dennes egenskab af tilsynsmyndighed 9 . Endelig offentliggjorde Kommissionen også en opfordring til indsendelse af dokumentation 10 , som også gav offentligheden mulighed for at fremsætte bemærkninger. De spørgsmål, der rejses i de meget få indlæg, der er modtaget som svar på opfordringen til indsendelse af dokumentation, behandles i denne rapport.
Denne rapport placerer EUDPR inden for rammerne af EU's databeskyttelseslovgivning, præsenterer dens anvendelse i Unionens institutioner og organer og EDPS' aktiviteter og analyserer anvendelsen af det kapitel, der gælder for Unionens institutioner og organer, der udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager. Rapporten slutter med at skitsere vejen frem.
2Særskilte databeskyttelsesregler for Unionens institutioner, organer, kontorer og agenturer i overensstemmelse med EU's databeskyttelseslovgivning
De vigtigste databeskyttelsesinstrumenter i EU er den generelle forordning om databeskyttelse ("GDPR") 11 , direktivet om databeskyttelse på retshåndhævelsesområdet 12 og e-databeskyttelsesdirektivet 13 . De finder dog ikke anvendelse på Unionens institutioner og organers behandling af personoplysninger 14 . Det er derfor nødvendigt med særskilte, men tilpassede databeskyttelsesregler for Unionens institutioner og organer. EUDPR fastsætter disse regler.
For at sikre en konsekvent tilgang til beskyttelse af personoplysninger og deres frie bevægelighed i EU er EUDPR så vidt muligt tilpasset de databeskyttelsesregler, der er vedtaget for den offentlige sektor, og som er fastsat i GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet. Når EUDPR følger de samme principper som GDPR, bør den fortolkes på samme måde, som den bør forstås som svarende til GDPR 15 . Det samme kan antages at være i overensstemmelse med reglerne i direktivet om databeskyttelse på retshåndhævelsesområdet.
EUDPR er tilpasset de særlige forhold, der gør sig gældende for Unionens institutioner og organer som beskrevet i punkterne nedenfor.
·Da dens anvendelsesområde udelukkende er Unionens institutioner og organer som offentlige organer, er flere bestemmelser i GDPR, som kun er relevante for den private sektor, blevet udeladt. For eksempel findes muligheden for behandling baseret på retsgrundlaget for den dataansvarliges "legitime interesser" ikke i EUDPR 16 .
·Flere beføjelser for Kommissionen til at vedtage gennemførelsesretsakter eller delegerede retsakter gentages ikke som sådan, men i stedet henviser EUDPR til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet. F.eks. indeholder EUDPR ikke en mekanisme til vedtagelse af afgørelser om tilstrækkeligheden af beskyttelsesniveauet for internationale overførsler, men afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget i henhold til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet, kan også anvendes af Unionens institutioner og organer.
·EUDPR opretter også direkte EDPS og fastsætter dennes opgaver, beføjelser og udnævnelsesprocedurer. I henhold til GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet oprettes de respektive tilsynsmyndigheder i henhold til national ret i overensstemmelse med kravene i disse to retsakter.
·EUDPR's kapitel, der finder anvendelse på Unionens organer og agenturer inden for retshåndhævelse på det strafferetlige område 17 , er funktionelt ækvivalent med direktivet om databeskyttelse på retshåndhævelsesområdet for disse organer og agenturer. Som en forordning, der finder direkte anvendelse, er den imidlertid formuleret anderledes. Den indeholder generelle regler, der skal suppleres med specifikke bestemmelser i retsakterne om oprettelse af organer og agenturer, der handler på dette område, hvor det er nødvendigt. Den indeholder en skræddersyet ordning for behandling af operationelle personoplysninger under hensyntagen til denne sektors særlige karakter, f.eks. reglerne om underretning af registrerede, som sikrer, at efterforskningen beskyttes.
3Gennemførelse af EUDPR i Unionens institutioner og organer
3.1Unionens institutioner og organers rolle som dataansvarlige
Den generelle feedback fra Unionens institutioner og organer viser, at de første år med anvendelse af EUDPR har bidraget til at styrke deres generelle databeskyttelseskultur. I den forbindelse anførte 94 % af Unionens institutioner og organer, at ikrafttrædelsen af EUDPR i et vist omfang eller i vid udstrækning havde øget deres organisations kendskab til databeskyttelsesreglerne. Generelt anførte Unionens institutioner og organer, at EUDPR har haft en positiv indvirkning på deres databeskyttelsespolitikker, og personalet i Unionens institutioner og organer er mere bevidste om deres organisations ansvarlighed som dataansvarlige og om kravene til behandling af personoplysninger.
Unionens institutioner og organer nævnte konsekvensanalyser vedrørende databeskyttelse, identifikation og håndtering af brud på datasikkerheden og databeskyttelse gennem design og standardindstillinger som de vigtigste virkninger af EUDPR sammenlignet med den ophævede forordning (EF) nr. 45/2001. EUDPR gør muligheden for fælles dataansvarlige — flere organisationer, der tilsammen definerer formålene med og midlerne til behandling af personoplysninger — mere synlig på samme måde som GDPR. EDPS har udarbejdet retningslinjer 18 om dette emne, og Kommissionen har udviklet interne modeller for fælles dataansvarsordninger.
Selv om de yderligere ansvarlighedskrav, der er nødvendige for at påvise overholdelse af EUDPR for Unionens institutioner og organer, generelt blev hilst velkommen, bemærkede nogle af dem, at EUDPR's regler har ført til en øget arbejdsbyrde. De påpegede også, at EUDPR fastsætter relativt komplekse regler, hvilket betyder, at der er behov for mere ekspertise i Unionens institutioner og organer, herunder blandt deres databeskyttelsesrådgivere, samt i netværkene af databeskyttelseskoordinatorer i de af Unionens institutioner og organer, der har sådanne netværk.
Alle Unionens institutioner og organer med undtagelse af to fører deres fortegnelser over behandlingsaktiviteter i et centralt register. Selv om dette ikke er et specifikt krav i henhold til EUDPR, er det en god praksis, som også anbefales af EDPS 19 . Desuden har 72 % af Unionens institutioner og organer konverteret alle deres anmeldelser til databeskyttelsesrådgiveren i henhold til den tidligere forordning til fortegnelser 20 . De, der endnu ikke har afsluttet denne opgave, bør gennemgå og ajourføre dokumentationen for deres behandlingsaktiviteter for at sikre, at den er fuldstændig og ajourført.
3.2De registreredes udøvelse af deres rettigheder
EUDPR giver registrerede en bred vifte af rettigheder i forbindelse med behandling af deres personoplysninger i overensstemmelse med GDPR. Unionens institutioner og organer har som dataansvarlige en specifik forpligtelse til at gøre det let at udøve disse rettigheder 21 . Som følge heraf oplyste 96 % af Unionens institutioner og organer, at de havde gennemført oplysningsaktiviteter såsom ajourføring af offentligt tilgængelige oplysninger om deres behandlingsaktiviteter, informationsmeddelelser eller vejledninger for registrerede.
En række af Unionens institutioner og organer, såsom Kommissionen, Den Europæiske Centralbank og Tjenesten for EU's Optræden Udadtil, rapporterede om en klar stigning i antallet af anmodninger fra enkeltpersoner mellem 2018 og 2021 22 . For andre, såsom Den Europæiske Unions Domstol, Det Europæiske Økonomiske og Sociale Udvalg og Den Europæiske Unions Asylagentur, var tallene imidlertid stabile eller svingede uden en klar tendens. Det er endnu ikke muligt at se en klar tendens i antallet af anmodninger fra registrerede efter EUDPR's ikrafttræden, da registreringen af forskellige typer anmodninger varierer mellem forskellige af Unionens institutioner og organer.
3.3Begrænsning af registreredes rettigheder gennem interne regler
I lighed med GDPR giver EUDPR 23 mulighed for at begrænse visse registreredes rettigheder. Dette kan gøres ved hjælp af retsakter og interne regler 24 . Der gælder strenge kriterier for sådanne interne regler. De skal være klare og præcise, og deres anvendelse skal være forudsigelig for personer, der er omfattet af dem. Reglerne skal offentliggøres i EU-Tidende og opfylde kravene i chartret om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder 25 .
De begrænsninger, der er baseret på interne regler, kan kun vedrøre driften af Unionens institutioner og organer. De skal respektere de grundlæggende rettigheder, udgøre nødvendige og forholdsmæssige foranstaltninger i et demokratisk samfund og sigte mod at beskytte et af de mål, der specifikt er anført i EUDPR 26 . Enhver registreret, hvis rettigheder er blevet begrænset, har ret til at indgive en klage til EDPS 27 .
Et stort flertal (84 %) af Unionens institutioner og organer har vedtaget interne regler. Der er f.eks. indført sådanne regler for at gøre det muligt at udsætte videregivelsen af oplysninger til en berørt person i forbindelse med en intern administrativ undersøgelse 28 . I andre har formålet med sådanne regler været at sikre et fortsat effektivt samarbejde med medlemsstaterne på de områder, hvor aktiviteterne i Unionens institutioner og organer er baseret på oplysninger fra medlemsstaternes kompetente myndigheder. For eksempel omfatter de interne regler, som Kommissionen har vedtaget for behandling af personoplysninger i forbindelse med dens aktiviteter inden for konkurrence, bekæmpelse af svig og intern revision, muligheden for at indføre begrænsninger i de registreredes rettigheder, når personoplysninger indhentes fra medlemsstaternes kompetente myndigheder 29 . Disse regler fastsætter muligheden for at indføre lignende begrænsninger, når de nationale myndigheder har indført begrænsninger baseret på en lovgivningsmæssig foranstaltning, der er mulig i henhold til GDPR 30 eller direktivet om databeskyttelse på retshåndhævelsesområdet 31 .
Når Unionens institutioner og organer har vedtaget interne regler, der gør det muligt at begrænse registreredes rettigheder, anvendes de normalt fra sag til sag som krævet i deres respektive interne regler. 69 % af Unionens institutioner og organer, der har indført regler i henhold til artikel 25, oplyser imidlertid, at de endnu ikke har anvendt dem. De, der har anvendt dem, har indberettet mindre end ti tilfælde af begrænsninger, undtagen for Europa-Parlamentet og Kommissionen. Der er oftere opstået behov for begrænsninger i OLAF's aktiviteter, navnlig for at udsætte oplysninger til registrerede om behandlingen af deres personoplysninger, når en efterforskning stadig befinder sig på et tidligt stadium, for ikke at skade indsamlingen af bevismateriale. OLAF anvendte også flere begrænsninger med hensyn til registreredes anmodninger om indsigt i deres egne personoplysninger, som kun var blevet afvist for at beskytte andres rettigheder og frihedsrettigheder 32 , f.eks. hvis videregivelse af oplysningerne ville bringe en informant i fare for repressalier.
Unionens institutioner og organers regler kræver normalt, at de underretter deres databeskyttelsesrådgiver om eventuelle begrænsninger, der anvendes, og giver databeskyttelsesrådgiverne adgang til registret og alle dokumenter om disse begrænsninger 33 .
3.4Databeskyttelsesrådgivere
Forpligtelsen til at have en databeskyttelsesrådgiver i alle Unionens institutioner og organer var allerede fastsat i den tidligere forordning (EF) nr. 45/2001. EUDPR har gjort denne rolle mere synlig ved at indføre ansvarlighedsprincippet. Det betyder, at den dataansvarlige er ansvarlig for og skal kunne påvise, at databeskyttelsesreglerne overholdes.
I 46 % af Unionens institutioner og organer støttes deres databeskyttelsesrådgiver af netværk af databeskyttelseskoordinatorer eller lignende strukturer 34 . Der er større sandsynlighed for, at de største af Unionens institutioner og organer har sådanne netværk (f.eks. Europa-Parlamentet, Generalsekretariatet for Rådet, Kommissionen og Tjenesten for EU's Optræden Udadtil [EU-Udenrigstjenesten]). EU-Udenrigstjenesten tilrettelægger og vedligeholder også et netværk af databeskyttelseskontakter i EU-delegationerne.
En række af Unionens institutioner og organer bemærkede, at deres databeskyttelsesrådgiveres (og dermed også databeskyttelseskoordinatorers) ansvar og arbejdsbyrde var blevet større. De anerkendte behovet for at give databeskyttelsesrådgivere (og databeskyttelseskoordinatorer) flere ressourcer til at sikre, at de effektivt kan gennemføre deres databeskyttelsespolitikker. Behovet for at sikre databeskyttelsesrådgiveres uafhængighed blev også nævnt.
Der er to tendenser, der gør sig gældende i denne sammenhæng: På den ene side lægger EUDPR større vægt på den dataansvarliges ansvarlighed, f.eks. ved at fjerne den procedure for forudgående kontrol, der fandtes under den tidligere forordning (EF) nr. 45/2001, og dermed mindske den administrative byrde. På den anden side anmoder de dataansvarlige om mere vejledning fra databeskyttelsesrådgivere/-koordinatorer om, hvordan man bedst overholder EUDPR. I den forbindelse blev det bemærket, at netværket af databeskyttelsesrådgivere for Unionens institutioner og organer har været et vigtigt forum for drøftelse og afklaring af visse retlige og tekniske aspekter, der er specifikke for deres databehandling. Dette netværk udgør en platform for udveksling mellem databeskyttelsesrådgiverne og EDPS og mellem databeskyttelsesrådgiverne selv. Det samarbejder løbende og mødes normalt to gange om året.
Mere end halvdelen (54 %) af Unionens institutioner og organer har givet flere ressourcer til deres databeskyttelsesrådgivere og databeskyttelsesfunktioner mere generelt. De fleste (84 %) af Unionens institutioner og organer har tilpasset deres interne processer for at sikre, at deres personale informerer og hører databeskyttelsesrådgivere om nye behandlinger af personoplysninger. Dette sker normalt ved at inddrage databeskyttelsesrådgivere, f.eks. i ændringsstyringsprocesser eller i projektstyringsråd.
3.5Konsekvensanalyser vedrørende databeskyttelse
Det højeste antal konsekvensanalyser vedrørende databeskyttelse blev foretaget af Den Europæiske Centralbank, Den Europæiske Investeringsbank og Kommissionen. Sammenlignet med det tidligere system med "forudgående kontrol" 35 i henhold til forordning (EF) nr. 45/2001 er antallet af sager, der er sendt til EDPS, faldet betydeligt. Dette var den forventede konsekvens af denne ændring og begrænsede høringer af EDPS om administrative behandlingsaktiviteter såsom personalevurdering.
Tabel 1 i bilaget giver et overblik over de konsekvensanalyser vedrørende databeskyttelse, der blev gennemført af Unionens institutioner og organer mellem 2019 og 2021.
Næsten alle (94 %) Unionens institutioner og organer var enige i, at EUDPR's kriterier 36 for, hvornår de skal udføre konsekvensanalyser vedrørende databeskyttelse, i tilstrækkelig grad dækker behandling med høj risiko. De, der var uenige, understregede behovet for, at EDPS tager hensyn til den teknologiske udvikling ved fortolkningen af disse kriterier. F.eks. er cloud computing ikke længere en "ny" teknologi, og dette bør tages i betragtning ved vurderingen af, om der skal gennemføres konsekvensanalyser vedrørende databeskyttelse. De af Unionens institutioner og organer, der rejste dette spørgsmål, mener generelt, at selve retsakten er tilstrækkelig klar, og at dette er et spørgsmål om fortolkning fra EDPS' side.
EUDPR indeholder ingen specifik forpligtelse til at offentliggøre resultaterne af konsekvensanalyser vedrørende databeskyttelse. Et stort flertal (84 %) af Unionens institutioner og organer offentliggør ikke de konsekvensanalyser vedrørende databeskyttelse, som de har foretaget, mens 14 % offentliggør dem delvist eller som et sammendrag og fjerner oplysninger, der kan bringe de vedtagne sikkerhedsforanstaltninger i fare. Kun én oplyste, at den offentliggør sine konsekvensanalyser vedrørende databeskyttelse fuldt ud. Offentliggørelse af konsekvensanalyser vedrørende databeskyttelse, hvor det er nødvendigt at fjerne oplysninger, der kan bringe sikkerheden i forbindelse med databehandlingen i fare, forbedrer gennemsigtigheden med hensyn til Unionens institutioner og organers overholdelse af EUDPR-reglerne og er en god praksis, der anbefales af EDPS 37 .
3.6Internationale overførsler af personoplysninger
Næsten alle (91 %) Unionens institutioner og organer rapporterede, at deres aktiviteter indebærer international overførsel af personoplysninger. Dette omfatter overførsler til lande uden for EU/EØS samt til internationale organisationer. Flere af Unionens institutioner og organer nævnte imidlertid, at disse overførsler er sjældne eller kun vedrører en begrænset mængde personoplysninger. Med hensyn til de anvendte overførselsværktøjer henviste Unionens institutioner og organer for det meste til afgørelser om tilstrækkeligheden af beskyttelsesniveauet (vedtaget i henhold til GDPR 38 eller direktivet om databeskyttelse på retshåndhævelsesområdet 39 ) og kontraktlige instrumenter, f.eks. til dataoverførsler til private virksomheder. I forbindelse med dataoverførsler til offentlige organer anvendes der også andre værktøjer såsom juridisk bindende aftaler og administrative ordninger. Desuden nævnte 51 % af Unionens institutioner og organer, at de foretager begrænsede, lejlighedsvise overførsler, f.eks. for at tilrettelægge uddannelse på grundlag af de lovbestemte grunde til dataoverførsler ("undtagelserne") 40 .
I praksis foretages dataoverførsler normalt ikke direkte af Unionens institutioner og organer, men af deres databehandlere (som ikke er Unionens institutioner og organer), der handler på deres vegne. Kommissionen har derfor specifikt behandlet dette scenarie i de standardkontraktbestemmelser, der blev vedtaget i juni 2021 i henhold til GDPR 41 for at hjælpe dataansvarlige og databehandlere med at overholde kravene i både GDPR og EUDPR. Navnlig har databehandlere i Det Europæiske Økonomiske Samarbejdsområde (EØS) mulighed for at medtage disse standardkontraktbestemmelser for internationale dataoverførsler i kontrakterne med deres underdatabehandlere i tredjelande 42 . Dette sikrer overholdelse af EUDPR's regler 43 om ansættelse af underdatabehandlere på vegne af Unionens institutioner og organer, så længe databeskyttelsesforpligtelserne er tilpasset i kontrakterne mellem: i) Unionens institution eller organ og databehandleren, og ii) databehandleren og dennes underdatabehandler 44 . Unionens institutioner og organer kan navnlig sikre en sådan tilpasning ved at anvende de standardkontraktbestemmelser, som Kommissionen har vedtaget for forholdet mellem dataansvarlige og databehandlere 45 .
For at tilvejebringe yderligere værktøjer, der sikrer de fornødne garantier for direkte dataoverførsler fra Unionens institutioner og organer til tredjelande (dvs. uden inddragelse af en EU-/EØS-databehandler), er Kommissionen i øjeblikket ved at udarbejde standardkontraktbestemmelser i henhold til artikel 48, stk. 2, litra b), i EUDPR. Disse bestemmelser vil i videst muligt omfang blive tilpasset de eksisterende bestemmelser, der er vedtaget i henhold til GDPR.
I betragtning af de specifikke spørgsmål, der opstår, når personoplysninger overføres til internationale organisationer (f.eks. på grund af internationale organisationers status og gældende privilegier og immuniteter), samarbejder Kommissionen med Unionens institutioner og organers databeskyttelsesrådgivere om at udvikle specifikke værktøjer (f.eks. administrative ordninger), der er tilpasset sådanne overførsler.
4EDPS' aktiviteter
4.1EDPS som tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer
EDPS er den uafhængige tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer 46 , og har samme rolle som de nationale tilsynsmyndigheder for databeskyttelse, der er oprettet i medlemsstaterne i henhold til GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet.
Tabel 2 i bilaget giver en oversigt over EDPS' tilsynsaktiviteter fra 2018 til 2021. Siden EUDPR trådte i kraft den 11. december 2018 47 , udgør tallene for 2018 et referencescenarie, der kan sammenlignes med situationen i henhold til den tidligere forordning (EF) nr. 45/2001.
EDPS noterede sig et skift i retning af Unionens institutioner og organers kerneaktiviteter i forbindelse med de høringer, de modtog fra dem, siden EUDPR trådte i kraft. Det betyder et skift i retning af spørgsmål om behandling af personoplysninger med henblik på udførelse af opgaver, der er pålagt Unionens institutioner og organer i offentlighedens interesse, og væk fra "administrative" emner såsom personaleforvaltning.
Antallet af klager, som EDPS har modtaget, og som ikke opfylder betingelserne for behandling, er steget mellem 2019 og 2021 48 . De fleste af de klager, der blev afvist, var rettet mod dataansvarlige i medlemsstaterne, som ikke overvåges af EDPS, men af deres nationale databeskyttelsesmyndigheder. Tallene for 2018 var sandsynligvis højere, fordi GDPR trådte i kraft. Dette førte til øget bevidsthed om databeskyttelsesreglerne i befolkningen, men også til en stigning i antallet af uantagelige klager. EDPS kan også afslutte antagelige klager, hvis der er fundet en mindelig løsning.
Med hensyn til inspektioner og revisioner viste 2019 en stigning i forhold til referencescenariet for 2018 efterfulgt af et fald i 2020 og 2021. Dette kan forklares med covid-19-pandemien, der gjorde det vanskeligt at foretage kontrol på stedet, så de blev erstattet af fjernrevisioner. EDPS vurderer risici med henblik på at afgøre, hvilke af Unionens institutioner og organer der skal kontrolleres. Dette tager f.eks. hensyn til antallet af høringer, der indgives, navnlig når særlige kategorier af oplysninger behandles som en del af kerneaktiviteten hos Unionens institutioner og organer. EDPS kan også beslutte at foretage undersøgelser på eget initiativ, f.eks. af Unionens institutioner og organers brug af cloudtjenesteudbydere.
Med hensyn til brud på datasikkerheden rapporterede EDPS, at menneskelige fejl i de fleste tilfælde var den underliggende årsag efterfulgt af tekniske fejl og angreb udefra 49 .
EDPS har gjort brug af de fleste af sine beføjelser i henhold til EUDPR, herunder f.eks. midlertidige forbud mod behandling 50 . Den har endnu ikke gjort brug af sin nye beføjelse til at udstede administrative bøder, hvilket er en sidste udvej i henhold til EUDPR 51 .
EDPS påpegede også i sit bidrag til denne rapport, at den har investeret i oplysningsaktiviteter såsom uddannelse med et rekordstort anslået antal deltagere på 4 600 i 2019 efter EUDPR's ikrafttræden. Selv om antallet af deltagere i 2020 og 2021 er faldet siden, er det stadig betydeligt højere end referencescenariet med de anslåede 1 000 deltagere i 2018.
Unionens institutioner og organer gav stort set positive tilbagemeldinger om samspillet med og vejledningen fra EDPS, idet 86 % angav, at svarene altid eller for det meste var lette at forstå. Unionens institutioner og organer værdsatte også EDPS' øgede kontakt med netværket af databeskyttelsesrådgivere.
Nogle af Unionens institutioner og organer bemærkede imidlertid, at EDPS' rådgivning undertiden kom for sent 52 . De understregede betydningen af fortsat støtte og rådgivning fra EDPS og opfordrede til rettidig og praktisk vejledning om visse databeskyttelsesspørgsmål. Disse spørgsmål omfatter gennemførelse af den risikobaserede tilgang for dataansvarlige, internationale overførsler og forholdet mellem dataansvarlige (herunder fælles dataansvarlige) og deres databehandlere.
4.2EDPS som rådgiver for EU-lovgiver
Kommissionen hører formelt 53 EDPS, navnlig om lovgivningsforslag, der har indvirkning på behandlingen af personoplysninger, efter at kollegiet har vedtaget dem 54 . EDPS besvarer disse med udtalelser eller bemærkninger 55 . EDPS afgiver også initiativudtalelser såsom sin foreløbige udtalelse om det europæiske sundhedsdataområde 56 . Hvis et forslag er af særlig betydning for databeskyttelsen, kan Kommissionen også høre Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet"). I så fald bør EDPS og Databeskyttelsesrådet afgive en fælles udtalelse 57 for at sikre, at EU-lovgiveren får konsekvent rådgivning.
Kommissionen hører også uformelt EDPS, inden kollegiet vedtager retsakter, der er underlagt høringskrav. Som svar på sådanne høringer fremsætter EDPS uformelle bemærkninger til Kommissionen. Denne mulighed bidrager til at sikre, at Kommissionens retsakter er i fuld overensstemmelse med databeskyttelsesreglerne, inden de vedtages. Uformelle høringer anvendes især i forbindelse med retsakter, som er følsomme, eller som har en større indvirkning på databeskyttelsen.
EDPS' arbejde som rådgiver for EU-lovgiveren afhænger af antallet af nye forslag udarbejdet af Kommissionen. Efter et lavere antal i det sidste år af den afgående Kommission skyldes den markante stigning i de formelle bemærkninger i 2021 det øgede antal lovgivningsforslag og Kommissionens bestræbelser på at sikre en konsekvent gennemførelse af forpligtelsen til at høre EDPS 58 . Dette omfatter gennemførelsesretsakter og delegerede retsakter, der indebærer behandling af personoplysninger. Efter EUDPR's ikrafttræden udarbejdede Kommissionens Generalsekretariat procedurer og informerede tjenestegrenene om kravet om at høre EDPS. Dette har resulteret i en mere systematisk høring, herunder i forbindelse med gennemførelsesretsakter og delegerede retsakter. Af hensyn til planlægningen afholder EDPS og Kommissionens tjenestegrene årlige møder om det kommende arbejdsprogram og forslag, der vil kræve høring.
4.3Samarbejde mellem EDPS og de nationale databeskyttelsesmyndigheder
EDPS er medlem af Databeskyttelsesrådet og varetager sekretariatsopgaverne. Det samarbejder også med de nationale tilsynsmyndigheder om udførelsen af deres respektive opgaver på andre måder 59 . Som eksempler kan nævnes henvisning af klager til den kompetente tilsynsmyndighed for databeskyttelse eller sager vedrørende eksterne tjenesteydere, der anvendes af både Unionens institutioner og organer og dataansvarlige, der er omfattet af GDPR. EDPS tager også aktiv del i Databeskyttelsesrådets arbejde ved f.eks. at påtage sig rollerne som hovedordfører eller medordfører for retningslinjer eller på anden måde bidrage til dets arbejde.
Flere store IT-systemer og agenturer, der er oprettet i henhold til EU-retten, kræver, at EDPS og de nationale tilsynsmyndigheder, der hver især handler inden for rammerne af deres respektive ansvarsområder, samarbejder aktivt for at sikre et koordineret tilsyn 60 . Tidligere indeholdt oprettelsesretsakterne for de enkelte systemer eller agenturer specifikke bestemmelser med henblik herpå. EUDPR 61 skaber et harmoniseret system for denne tilsynskoordinering, som der kan henvises til i andre retsakter. Dette er sket for informationssystemet for det indre marked 62 , ECRIS-TCN 63 , Eurojust 64 og senest for Europol 65 . Andre systemer har stadig tilsynskoordinationsgrupper med detaljerede regler i deres oprettelsesretsakter eller detaljerede henvisninger til møder som en del af Databeskyttelsesrådet 66 .
EDPS bidrager også til den Schengenevalueringsmekanisme, der er oprettet ved Rådets forordning (EU) nr. 1053/2013 67 . I henhold til nævnte forordning kan Kommissionen opfordre EDPS til at udpege en observatør til at deltage i et besøg på stedet vedrørende et område, der er omfattet af dens mandat, dvs. databeskyttelsesvurderinger 68 . Dette svarer til Frontex' og Europols mulighed for at udpege observatører til evaluering af henholdsvis grænseforvaltning og politisamarbejde. Efter Kommissionens opfattelse er EDPS' observatørers ekspertise et værdifuldt aktiv i forbindelse med databeskyttelsesvurderinger.
4.4EDPS' ressourcer
Antallet af ansatte i EDPS (herunder Databeskyttelsesrådets sekretariat 69 ) er steget støt i rapporteringsperioden 70 , hvilket afspejler den generelle tendens hos de nationale tilsynsmyndigheder for databeskyttelse. Databeskyttelsesrådets sekretariat har med tiden øget sine aktiviteter med den stigende produktion af Databeskyttelsesrådets retningslinjer, henstillinger, udtalelser og andre dokumenter, som sekretariatet bidrager til. Det er afgørende at stille tilstrækkelige ressourcer til rådighed for Databeskyttelsesrådets sekretariat i betragtning af den stærkere rolle, som det forventes at have med hensyn til en effektiv håndhævelse af GDPR. Dette vedrører navnlig Databeskyttelsesrådets mål om at udvikle et tættere samarbejde om strategisk arbejde og anvende nye værktøjer til støtte for samarbejdet mellem databeskyttelsesmyndigheder 71 . Det er navnlig afgørende at have et stærkt sekretariat med tilstrækkelige ressourcer til at støtte Databeskyttelsesrådets arbejde for at sikre, at Databeskyttelsesrådet kan udføre sit arbejde efter behov, navnlig i forbindelse med sammenhængsmekanismen 72 , som forventes fortsat at blive anvendt mere og mere.
I sit bidrag til denne rapport fremførte EDPS navnlig, at hvis den pålægges yderligere opgaver, f.eks. som markedsovervågningsmyndighed i henhold til lovforslaget om kunstig intelligens 73 , bør den tildeles tilsvarende yderligere ressourcer.
5Kommissionens brug af beføjelser til at vedtage delegerede retsakter og gennemførelsesretsakter
EUDPR indeholder flere beføjelser for Kommissionen til at vedtage gennemførelsesretsakter og fastsætte standardbestemmelser samt krydshenvisninger til beføjelser i henhold til GDPR 74 .
EUDPR 75 indeholder bestemmelser, der giver den beføjelse til at fastsætte standardkontraktbestemmelser om databeskyttelse for kontrakter mellem dataansvarlige og databehandlere, svarende til beføjelsen i GDPR 76 . Kommissionen anvendte denne beføjelse og vedtog standardkontraktbestemmelser, der dækker forholdet mellem dataansvarlige og databehandlere, i juni 2021 77 , der omfatter både GDPR og EUDPR. Disse bestemmelser giver dataansvarlige letanvendelige værktøjer til effektivt at forvalte forbindelserne med deres databehandlere.
EUDPR 78 giver også Kommissionen beføjelse til at vedtage standardkontraktbestemmelser om databeskyttelse for at give de fornødne garantier for overførsel af personoplysninger uden for EU/EØS. Kommissionen er i øjeblikket ved at udarbejde sådanne bestemmelser.
6Databeskyttelsesregler for organer og agenturer, der beskæftiger sig med politisamarbejde og retligt samarbejde i straffesager
Kapitel IX i EUDPR indeholder regler for de af Unionens institutioner og organer, der behandler operationelle personoplysninger, når de udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager ("kapitlet om retshåndhævelse"). Det har til formål at mindske fragmenteringen:
·mellem databeskyttelsesordninger, der finder anvendelse på Unionens agenturers behandling af operationelle data på dette område,
·med den databeskyttelsesordning, der gælder for nationale strafferetlige håndhævelsesaktiviteter i henhold til direktivet om databeskyttelse på retshåndhævelsesområdet.
Med henblik herpå indeholder kapitlet om retshåndhævelse i EUDPR et sæt horisontale regler baseret på direktivet om databeskyttelse på retshåndhævelsesområdet. Disse regler kan om nødvendigt suppleres med specifikke regler i agenturernes oprettelsesretsakter, afhængigt af deres respektive mandater og den særlige karakter af deres opgaver og databehandlingsaktiviteter.
Det fremgår af EUDPR, at det er nødvendigt at sikre en ensartet og konsekvent beskyttelse af fysiske personer, når deres personoplysninger behandles 79 . Med henblik herpå henviser den udtrykkeligt til målet om at udvide anvendelsen af kapitlet om retshåndhævelse i EUDPR til også at omfatte agenturer, der havde særskilte databeskyttelsesrammer i deres oprettelsesretsakter, da EUDPR blev vedtaget, nemlig Europol og Den Europæiske Anklagemyndighed (EPPO). Der henvises også til en eventuel ændring af kapitlet om retshåndhævelse, hvis det er nødvendigt.
6.1Udvidelse af anvendelsen af kapitlet i EUDPR om retshåndhævelse
I skrivende stund finder kapitlet om retshåndhævelse i EUDPR anvendelse på behandling af operationelle personoplysninger, der foretages af:
·Eurojust 80 , suppleret med specifikke regler i Eurojust-forordningen
·Europol 81 , suppleret med specifikke bestemmelser i Europol-forordningen, som er blevet ændret 82 , siden EUDPR trådte i kraft
·Frontex for den lille del af agenturets aktiviteter, der er en del af strafferetlig håndhævelse 83 .
Kapitlet om retshåndhævelse i EUDPR finder imidlertid endnu ikke anvendelse på EPPO, hvis oprettelsesforordning blev vedtaget før EUDPR. EPPO-forordningen indeholder bestemmelser om en selvstændig ordning for behandling af operationelle personoplysninger. Dette har to retsvirkninger: For det første adskiller visse bestemmelser i EPPO-forordningen sig indholdsmæssigt fra kapitlet om retshåndhævelse i EUDPR, såsom behandling af "begrænsede" personoplysninger 84 . For det andet er visse bestemmelser i EPPO-forordningen, selv om de indholdsmæssigt ligner hinanden, formuleret anderledes end kapitlet om retshåndhævelse i EUDPR, hvilket kan føre til forskellige fortolkninger.
Af hensyn til konsekvensen og i overensstemmelse med det generelle mål om at minimere fragmenteringen af databeskyttelsesreglerne bør der følges en tilgang svarende til den, der er vedtaget for Eurojust og Europol for EPPO. Formålet er at sikre, at kapitlet om retshåndhævelse i EUDPR finder direkte anvendelse på EPPO, idet der kun bevares de nødvendige specifikationer i EPPO-forordningen. Eftersom EPPO kun har været operationel i et år, er det samtidig på kort sigt stadig nødvendigt at få mere viden om den praktiske anvendelse af EPPO's databeskyttelsesordning. Dette vil gøre det muligt præcist at identificere disse specifikationer under hensyntagen til EPPO's karakter af EU's uafhængige anklagemyndighed 85 .
6.2Præcisering af anvendelsen af visse bestemmelser i EUDPR på behandling af operationelle personoplysninger
Det fremgår af EUDPR 86 , at "kun denne forordnings artikel 3 [Definitioner] og kapitel IX [kapitlet om retshåndhævelse] finder anvendelse på behandling af operationelle personoplysninger".
Kapitlet om retshåndhævelse indeholder materielle bestemmelser, der svarer til de fleste bestemmelser i kapitel II-V i EUDPR (generelle principper, den registreredes rettigheder, visse forpligtelser for dataansvarlige og databehandlere, internationale dataoverførsler), med visse forskelle med hensyn til at tage hensyn til retshåndhævelsens særlige karakter (f.eks. regler om underretning af registrerede og om deres ret til indsigt i deres oplysninger).
Det er vigtigt at præcisere ved ændring af EUDPR, at kapitlet om retshåndhævelse kun fastsætter specifikke regler for de tilsvarende bestemmelser i andre kapitler i EUDPR, der har en direkte ækvivalent i kapitlet om retshåndhævelse. Hvis lovgiveren ikke medtager specifikke regler i et agenturs oprettelsesretsakt, finder bestemmelserne i andre kapitler end kapitlet om retshåndhævelse, der ikke har en direkte ækvivalent i sidstnævnte 87 , anvendelse på behandlingen af operationelle personoplysninger.
Dette ændringsforslag vil forbedre retssikkerheden og skabe en komplet ramme (f.eks. om databeskyttelsesrådgiveres stilling, samarbejde med nationale tilsynsmyndigheder for databeskyttelse), herunder for eventuelle fremtidige agenturer på dette område 88 . En sådan komplet ramme ville også mindske risikoen for fragmentering.
6.3EDPS' beføjelser til at føre tilsyn med EU's organer og agenturer
På nuværende tidspunkt indeholder forordningerne om oprettelse af EPPO, Eurojust og Europol specifikke bestemmelser om EDPS' beføjelser 89 .
Den ajourførte Europol-forordning giver EDPS beføjelser, der er tilpasset dem, der er fastsat i artikel 58 i EUDPR 90 . Dette gælder navnlig beføjelsen til at udstede administrative bøder og beføjelsen til at pålægge den dataansvarlige eller databehandleren at bringe behandlingsaktiviteter i overensstemmelse, hvor det er relevant, på en nærmere angivet måde og inden for en nærmere fastsat frist.
I forbindelse med EPPO er EDPS' beføjelser imidlertid formuleret anderledes end i EUDPR. EDPS har ikke de to ovennævnte beføjelser 91 .
Frontex-forordningen indeholder for den lille del af Frontex' aktiviteter, der er omfattet af kapitlet om retshåndhævelse 92 , ingen specifikke bestemmelser om EDPS' beføjelser, hvilket fører til usikkerhed om disse beføjelser.
EDPS kan tildeles alle de beføjelser, der er fastsat i artikel 58 i EUDPR, ved at følge nedenstående to trin.
1.Præcisering af, at EUDPR som standard giver EDPS tilsyn med kapitlet om retshåndhævelse og de beføjelser, den er tillagt i henhold til artikel 58 i EUDPR 93 . Dette kræver en ændring af EUDPR som foreslået i det foregående afsnit.
Dette vil også afhjælpe manglerne i Frontex-forordningen.
2.Ved at fjerne bestemmelserne om EDPS' beføjelser fra agenturernes og organernes oprettelsesretsakter vil hele spektret af EDPS' beføjelser i henhold til den ændrede EUDPR finde direkte anvendelse på Eurojust og EPPO. Målet er at tilpasse dem så meget som muligt for at mindske fragmenteringen af databeskyttelsesreglerne.
7Vejen frem
Generelt fungerer EUDPR godt og er egnet til formålet. På nuværende tidspunkt vil Kommissionen ikke foreslå ændringer af de dele, der svarer til de tilsvarende regler i GDPR, for dermed at bevare den tættest mulige overensstemmelse mellem EUDPR og GDPR 94 . De mulige ændringer, der behandles i denne rapport, vedrører andre dele, navnlig forbindelsen mellem EUDPR's kapitel om retshåndhævelse og de øvrige bestemmelser i denne forordning.
I foråret 2022 foreslog Kommissionen regler for at styrke informationssikkerheden i Unionens institutioner og organer 95 , hvilket vil have en positiv indvirkning på informationssikkerheden, herunder på beskyttelsen af personoplysninger. Dette forslag har til formål yderligere at forbedre Unionens institutioner og organers modstandsdygtighed og evne til at reagere på hændelser i forbindelse med cybersikkerhedstrusler.
Kommissionen vil også tage de skridt, der er skitseret i nedenstående punkter:
-ved ajourføring af oprettelsesretsakterne for store IT-systemer, der stadig indeholder detaljerede regler om en model for tilsynskoordinering, sikre, at EUDPR's model for tilsynskoordinering 96 finder anvendelse med henblik på at strømline procedurerne
-overveje ændringer til EUDPR med henblik på at:
oforbedre retssikkerheden og supplere rammerne for behandling af operationelle personoplysninger ved i artikel 2, stk. 2, at præcisere, at de generelle bestemmelser i EUDPR også finder anvendelse på behandling af operationelle personoplysninger, medmindre kapitlet om retshåndhævelse indeholder specifikke bestemmelser (f.eks. om retten til indsigt). Dette vil også skabe en klar ramme for alle fremtidige agenturer inden for retligt samarbejde i straffesager og politisamarbejde
osikre, at EDPS deltager som observatør i alle databeskyttelsesvurderinger under Schengenevalueringsmekanismen
-efterfølgende overveje i forbindelse med en senere revision at ændre EPPO- og Eurojust-forordningerne for at sikre fuld anvendelse af reglerne om behandling af operationelle personoplysninger i den ændrede EUDPR under hensyntagen til disse organers særlige karakter. Dette vil også føre til, at EDPS' beføjelser over for disse organer og agenturer harmoniseres med de beføjelser, den har i forhold til de andre af Unionens institutioner og organer
-foreslå standardkontraktbestemmelser for internationale overførsler af personoplysninger 97 til Unionens institutioner og organer
-fortsætte det tætte samarbejde med EDPS (og, hvor det er relevant, Databeskyttelsesrådet) for at sikre en rettidig og målrettet høring om nye forslag 98 og fortsætte med uformelt at høre EDPS om vigtige tekster, inden de vedtages.
EDPS opfordres til at:
-give yderligere og rettidig praktisk vejledning til Unionens institutioner og organer, herunder om internationale dataoverførsler
-fortsætte med at øge bevidstheden blandt dataansvarlige og databehandlere om deres forpligtelser i henhold til EUDPR samt rådgive databeskyttelsesrådgivere
-intensivere bestræbelserne på effektivt at håndhæve EUDPR for at sikre fuld beskyttelse af registrerede.
EU's institutioner, organer, kontorer og agenturer opfordres til at:
-fortsætte og om nødvendigt intensivere oplysningsindsatsen for at sikre et tilstrækkeligt niveau af intern ekspertise om EUDPR's regler
-overveje at offentliggøre konsekvensanalyser vedrørende databeskyttelse med undtagelse af oplysninger, der kan bringe de vedtagne sikkerhedsforanstaltninger i fare, hvor det er nødvendigt
-sikre, at databeskyttelsesrådgivere (og databeskyttelseskoordinatorer) har tilstrækkelige ressourcer og en stilling i Unionens institutioner og organer, der sætter dem i stand til at udføre deres opgaver effektivt og uafhængigt
-afslutte konverteringen af deres resterende meddelelser i henhold til den tidligere databeskyttelsesforordning til databeskyttelsesregistre.
BILAG
Tabel 1 — Konsekvensanalyser vedrørende databeskyttelse og forudgående høringer foretaget af Unionens institutioner og organer
|
2019 |
2020 |
2021 |
|
|
Accepteret restrisiko |
30 |
50 |
77 |
|
Forudgående høring af EDPS |
3 |
3 |
5 |
|
Projektet opgivet |
2 |
2 |
0 |
Tabel 2 — EDPS' tilsynsaktiviteter
|
2018 |
2019 |
2020 |
2021 |
|
|
Høringer |
50 99 |
75 |
59 |
52 |
|
Forudgående høringer |
0 |
0 |
1 |
4 |
|
Overførselsgodkendelser |
0 |
1 |
0 |
4 |
|
Modtagne klager, der opfylder betingelserne for behandling |
58 |
59 |
43 |
44 100 |
|
Afgørelser 101 om klager, der opfylder betingelserne for behandling |
23 |
48 |
35 |
22 |
|
Modtagne klager, der ikke opfylder betingelserne for behandling |
240 |
151 |
203 |
269 |
|
Udførte inspektioner/revisioner |
5 |
9 |
4 |
4 |
|
Udførte formelle undersøgelser |
0 |
4 |
1 |
2 |
|
Modtagne meddelelser om brud på datasikkerheden |
7 |
95 |
121 |
82 102 |
Tabel 3 — EDPS' tilsynsaktiviteter
|
2018 |
2019 |
2020 |
2021 |
|
|
Bemærkninger |
13 |
3 |
19 |
72 |
|
Udtalelser |
7 |
6 |
8 |
12 |
|
Udtalelser på eget initiativ |
1 |
1 |
2 |
0 |
|
Fælles udtalelser med Databeskyttelsesrådet |
0 |
1 |
0 |
5 |
|
Uformelle bemærkninger |
33 103 |
16 |
13 |
25 |
Tabel 4 — EDPS' ressourcer
|
2018 |
2019 |
2020 |
2021 |
2022 (skønnet) |
|
|
Samlet antal ansatte i EDPS (herunder Databeskyttelsesrådets sekretariat) |
98 |
100 |
118 |
126 |
139 |
|
EDPS' personale i Databeskyttelsesrådets sekretariat |
19 |
22 |
27 |
34 |
38 |
|
Budget 104 |
13 539 302 EUR (udnyttet) |
15 301 687 EUR (udnyttet) |
14 211 719 EUR (udnyttet) |
16 761 285 EUR (udnyttet) |
20 202 000 EUR (foreslået) |
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EØS-relevant tekst) (EUT L 295 af 21.11.2018, s. 39), https://eur-lex.europa.eu/eli/reg/2018/1725/oj?locale=da .
Nogle agenturer på området retlige og indre anliggender har specifikke databeskyttelsesregler i deres oprettelsesretsakter, der enten supplerer eller finder anvendelse i stedet for EUDPR, se afsnit 6.
I overensstemmelse med artikel 101, stk. 2, i EUDPR har den kun fundet anvendelse på Eurojust siden den 12. december 2019.
Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1), https://eur-lex.europa.eu/eli/reg/2001/45/oj?locale=da .
Artikel 3, stk. 2, i EUDPR.
Tredje del, afsnit V, kapitel 4 eller kapitel 5, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Undersøgelsen blev sendt til de af Unionens institutioner og organer, der eksisterede på daværende tidspunkt (liste: http://publications.europa.eu/code/da/da-5000900.htm ).
Procentsatserne i denne rapport er altid blandt de af Unionens institutioner og organer, der besvarede dette specifikke spørgsmål i undersøgelsen.
Den Europæiske Tilsynsførende for Databeskyttelse, "Contribution by the European Data Protection Supervisor to the Report on the application of Regulation (EU) 2018/1725, the 'EUDPR'", 21. december 2021, https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf.
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1), https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=da .
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89), https://eur-lex.europa.eu/eli/dir/2016/680/oj?locale=da .
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (EUT L 201 af 31.7.2002, s. 37), https://eur-lex.europa.eu/eli/dir/2002/58/oj?locale=da .
Artikel 2, stk. 3, i GDPR og artikel 2, stk. 3, litra b), i direktivet om databeskyttelse på retshåndhævelsesområdet. E-databeskyttelsesdirektivet finder som sådan ikke anvendelse, men artikel 37 i EUDPR forpligter Unionens institutioner og organer til at beskytte oplysninger, der er videresendt til, opbevares på, vedrører, er behandlet af og indsamlet fra slutbrugeres terminaludstyr ved disses adgang til Unionens institutioners og organers offentligt tilgængelige websteder og mobilapplikationer i overensstemmelse med artikel 5, stk. 3, i direktiv 2002/58/EF.
Se betragtning 5 til EUDPR.
Dette afspejler situationen i henhold til dens forgænger, forordning (EF) nr. 45/2001, som heller ikke omfattede "legitime interesser". Det præciseres i 22. betragtning, andet punktum, i EUDPR, at "[b]ehandling af personoplysninger, som finder sted med henblik på udførelse af de opgaver, som Unionens institutioner og organer udfører i samfundets interesse, omfatter behandling af personoplysninger, der er nødvendig for [deres] forvaltning og funktion", hvilket betyder, at sådanne behandlingsaktiviteter, f.eks. for at sikre fysisk adgang til Unionens institutioner og organers lokaler, også er omfattet.
Kapitel IX om behandling af operationelle personoplysninger i unionens organer, kontorer og agenturer ved udførelsen af aktiviteter, som henhører under tredje del, afsnit V, kapitel 4 eller kapitel 5, i TEUF.
"Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725", https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint .
"Accountability on the ground: Guidance on documenting processing operations for EU institutions, bodies and agencies – Part I: Records and threshold assessment", s. 7, https://edps.europa.eu/sites/default/files/publication/19-07-17_accountability_on_the_ground_part_i_en.pdf .
Artikel 25 i forordning (EF) nr. 45/2001.
Artikel 14 i EUDPR.
Dette omfatter generelle anmodninger om oplysninger og anmodninger om udøvelse af registreredes rettigheder i henhold til kapitel II i EUDPR, såsom retten til indsigt i personoplysninger, som Unionens institutioner og organer er i besiddelse af.
Artikel 25 i EUDPR.
Dette svarer til mulighederne for at begrænse registreredes rettigheder på nationalt plan i nogle medlemsstater, f.eks. gennem ministerielle dekreter.
Artikel 25, stk. 5, og betragtning 24 i EUDPR.
Artikel 25, stk. 1, i EUDPR.
Artikel 25, stk. 6, i EUDPR.
Se f.eks. afgørelse nr. 59/2021 truffet af generalsekretæren for Rådet for Den Europæiske Union om gennemførelsesbestemmelser vedrørende anvendelse af Europa-Parlamentets og Rådets forordning (EU) 2018/1725 og begrænsninger af registreredes rettigheder i forbindelse med administrative undersøgelser, disciplinær forfølgning og retssager 2022/C 25/02 (EUT C 25 af 18.1.2022, s. 2).
Kommissionens afgørelse (EU) 2018/1961 (EUT L 315 af 20.12.2018, s. 35), Kommissionens afgørelse (EU) 2018/1962 (EUT L 315 af 20.12.2018, s. 41), Kommissionens afgørelse (EU) 2018/1927 (EUT L 313 af 10.12.2018, s. 39).
Artikel 23 i GDPR.
Artikel 13, stk. 3, 15 eller 16 i direktivet om databeskyttelse på retshåndhævelsesområdet.
Jf. artikel 2, stk. 2, i Kommissionens afgørelse 2018/1962, der henviser til beskyttelse af tredjemand som nævnt i artikel 25, stk. 1, litra h), i EUDPR.
Dette anbefales også i den vejledning om artikel 25 i EUDPR, som EDPS har udsendt, og som findes på: https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en .
Europa-Kommissionen har f.eks. en databeskyttelsesansvarlig tilknyttet Generalsekretariatet og bistås af databeskyttelseskoordinatorer i hvert generaldirektorat.
Artikel 27 i forordning (EF) nr. 45/2001. I henhold til dette system skulle EDPS foretage "forudgående kontrol" af behandlingsaktiviteter, f.eks. i forbindelse med behandling af personoplysninger vedrørende helbredsforhold og mistanke om strafbare forhold, lovovertrædelser, domfældelse i straffesager og andre retsfølger af strafbare handlinger, eller som havde til formål at vurdere aspekter af den registreredes personlige forhold, herunder vedkommendes evner, arbejdsindsats og adfærd. Dette resulterede i et stort antal anmeldelser (og tilsvarende udtalelser fra EDPS) om meget ens behandlingsaktiviteter, f.eks. faldt personaleudvælgelses- og bedømmelsesprocedurer ind under denne bestemmelse.
Artikel 39 i EUDPR.
Selv om offentliggørelse af (sammenfattende) rapporter om konsekvensanalyser vedrørende databeskyttelse ikke er en forpligtelse i henhold til EUDPR, er det en god praksis, som anbefales af EDPS, jf. "Accountability on the ground", del II, s. 18/19, https://edps.europa.eu/node/4582_en .
Artikel 45, stk. 3, i GDPR.
Artikel 36, stk. 3, i direktivet om databeskyttelse på retshåndhævelsesområdet.
Artikel 50 i EUDPR.
Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679.
Ved at anvende "modul 3" i standardkontraktbestemmelserne.
Artikel 29, stk. 4, i EUDPR.
Jf. betragtning 8 i Kommissionens gennemførelsesafgørelse 2021/914 og fodnote 1 i bilaget til nævnte afgørelse.
Kommissionens gennemførelsesafgørelse (EU) 2021/915 af 4. juni 2021 om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725.
Bortset fra Den Europæiske Unions Domstol, der handler i sin egenskab af domstol, jf. artikel 57, stk. 1, litra a), og betragtning 74 i EUDPR. I disse tilfælde gennemføres tilsynet ved hjælp af særlige mekanismer, der er indført ved Domstolens afgørelse af 1. oktober 2019 om indførelse af en intern kontrolmekanisme vedrørende behandling af personoplysninger i forbindelse med Domstolens udførelse af sine judicielle opgaver (EUT C 383 af 11.11.2019, s. 2), og ved Rettens afgørelse af 16. oktober 2019 om indførelse af en intern kontrolmekanisme vedrørende behandling af personoplysninger i forbindelse med Rettens udførelse af sine judicielle opgaver (EUT C 383 af 11.11.2019, s. 4). Desuden eksisterer den fælles tilsynsmyndighed for toldinformationssystemet, der blev oprettet ved Rådets afgørelse 2009/917/RIA, stadig.
En undtagelse i denne henseende er Eurojust, som EUDPR har været gældende for siden den 12. december 2019, jf. artikel 101, stk. 2, i EUDPR.
Se tabel 2 i bilaget.
For 2020 (det seneste år med fuldstændige statistikker): 52 % af brud på datasikkerheden skyldtes menneskelige fejl, 21 % skyldtes en teknisk fejl, 17 % skyldtes angreb udefra, og resten skyldtes andre årsager, f.eks. misbrug af privilegerede konti.
F.eks. om behandlingsaktiviteter til overvågning af sociale medier foretaget af det daværende Europæiske Asylstøttekontor (EASO): https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf . Som reaktion herpå standsede det daværende EASO de omhandlede behandlingsaktiviteter.
I henhold til GDPR kan der pålægges bøder direkte for et brud, f.eks. når en dataansvarlig undlader at informere de registrerede korrekt om behandlingen af deres personoplysninger (artikel 12-14 i GDPR). I henhold til EUDPR kan EDPS kun pålægge bøder for manglende overholdelse af et påbud, f.eks. for at afhjælpe en manglende korrekt underretning af registrerede i henhold til artikel 14-16 i EUDPR.
67 % af Unionens institutioner og organer anførte, at de modtog støtte og rådgivning fra EDPS rettidigt eller for det meste rettidigt, mens 33 % var neutrale eller oplyste, at den (for det meste) kom for sent.
Artikel 42 i EUDPR.
For så vidt angår gennemførelsesretsakter og delegerede retsakter kan den formelle høring finde sted parallelt med den offentlige feedbackperiode for forslag til gennemførelsesretsakter og delegerede retsakter.
EDPS henviser til svar på lovgivningsforslag og henstillinger i henhold til artikel 218 i TEUF som "udtalelser". Svar vedrørende gennemførelsesretsakter eller delegerede retsakter kaldes "bemærkninger", se også Den Europæiske Tilsynsførende for Databeskyttelses afgørelse af 15. maj 2020 om vedtagelse af den tilsynsførendes forretningsorden (EUT L 204 af 26.6.2020, s. 49), http://data.europa.eu/eli/proc_rules/2020/626/oj .
EDPS, "Preliminary Opinion 8/2020 on the European Health Data Space", https://edps.europa.eu/data-protection/our-work/publications/opinions/preliminary-opinion-82020-european-health-data-space_en .
Artikel 42, stk. 2, i EUDPR.
Artikel 42 i EUDPR.
I overensstemmelse med artikel 61 i EUDPR samarbejder EDPS også med Den Fælles Tilsynsmyndighed, der er oprettet ved artikel 25 i Rådets afgørelse 2009/917/RIA.
Som eksempler kan nævnes Schengeninformationssystemet, visuminformationssystemet og Eurodac. Se Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde, om ændring og ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU (EUT L 312 af 7.12.2018, s. 56), Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold (EUT L 218 af 13.8.2008, s. 60) og Europa-Parlamentets og Rådets forordning (EU) nr. 603/2013 af 26. juni 2013 om oprettelse af "Eurodac" til sammenligning af fingeraftryk med henblik på en effektiv anvendelse af forordning (EU) nr. 604/2013 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet i en af medlemsstaterne af en tredjelandsstatsborger eller en statsløs, og om medlemsstaternes retshåndhævende myndigheders og Europols adgang til at indgive anmodning om sammenligning med Eurodacoplysninger med henblik på retshåndhævelse og om ændring af forordning (EU) nr. 1077/2011 om oprettelse af et europæisk agentur for den operationelle forvaltning af store IT-systemer inden for området med frihed, sikkerhed og retfærdighed (EUT L 180 af 29.6.2013, s. 1).
Artikel 62 i EUDPR.
Europa-Parlamentets og Rådets forordning (EU) 2018/1724 af 2. oktober 2018 om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 (EUT L 295 af 21.11.2018, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2019/816 af 17. april 2019 om oprettelse af et centralt system til bestemmelse af, hvilke medlemsstater der ligger inde med oplysninger om straffedomme afsagt over tredjelandsstatsborgere og statsløse personer (ECRIS-TCN) for at supplere det europæiske informationssystem vedrørende strafferegistre, og om ændring af forordning (EU) 2018/1726 (EUT L 135 af 22.5.2019, s. 1).
Artikel 42, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2018/1727 af 14. november 2018 om Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust), og om erstatning og ophævelse af Rådets afgørelse 2002/187/RIA (EUT L 295 af 21.11.2018, s. 138).
Se ændringerne i artikel 44, stk. 2, i Europolforordningen, som blev indført ved Europa-Parlamentets og Rådets forordning (EU) 2022/991 af 8. juni 2022 om ændring af forordning (EU) 2016/794 for så vidt angår Europols samarbejde med private parter, Europols behandling af personoplysninger til støtte for strafferetlige efterforskninger og Europols rolle inden for forskning og innovation (EUT L 169 af 27.6.2022, s. 1).
Artikel 57 i Europa-Parlamentets og Rådets forordning (EU) 2018/1861 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området ind- og udrejsekontrol, om ændring af konventionen om gennemførelse af Schengenaftalen og om ændring og ophævelse af forordning (EF) nr. 1987/2006 (EUT L 312 af 7.12.2018, s. 14) og artikel 71 i Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde, om ændring og ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU (EUT L 312 af 7.12.2018, s. 56).
Rådets forordning (EU) nr. 1053/2013 af 7. oktober 2013 om indførelse af en evaluerings- og overvågningsmekanisme til kontrol af anvendelsen af Schengenreglerne og om ophævelse af Eksekutivkomitéens afgørelse af 16. september 1998 om nedsættelse af et stående udvalg for evaluering og anvendelse af Schengenreglerne (EUT L 295 af 6.11.2013, s. 27).
Artikel 10, stk. 5, i forordning (EU) nr. 1053/2013 af 7. oktober 2013.
Artikel 57, stk. 1, litra l), i EUDPR.
Se tabel 4 i bilaget.
Erklæring fra Databeskyttelsesrådet om tættere samarbejde om strategiske sager, 29.4.2022: "DPAs decide on closer cooperation for strategic files" | Det Europæiske Databeskyttelsesråd (europa.eu) .
Kapitel VII i GDPR.
COM(2021) 206 final.
Se artikel 47 i EUDPR, der gør det muligt for Unionens institutioner og organer at basere sig på afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget i henhold til GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet, og artikel 14, stk. 8, i EUDPR om delegerede retsakter om ikoner i henhold til artikel 12, stk. 8, i GDPR.
Artikel 29, stk. 7, i EUDPR.
Artikel 28, stk. 7, i GDPR.
Kommissionens gennemførelsesafgørelse (EU) 2021/915 af 4. juni 2021 om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (EØS-relevant tekst) (EUT L 199 af 7.6.2021, s. 18-30), https://eur-lex.europa.eu/legal-content/DA/TXT/?locale-en=&uri=CELEX%3A32021D0915 .
Artikel 48, stk. 2, litra b), i EUDPR.
Artikel 98, stk. 2, i EUDPR.
Europa-Parlamentets og Rådets forordning (EU) 2018/1727 af 14. november 2018 om Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust), og om erstatning og ophævelse af Rådets afgørelse 2002/187/RIA, (EUT L 295 af 21.11.2018, s. 138).
Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA.
Europa-Parlamentets og Rådets forordning (EU) 2022/991 af 8. juni 2022 om ændring af forordning (EU) 2016/794 for så vidt angår Europols samarbejde med private parter, Europols behandling af personoplysninger til støtte for strafferetlige efterforskninger og Europols rolle inden for forskning og innovation (EUT L 169 af 27.6.2022, s. 1).
Se artikel 10, stk. 1, litra q), og artikel 90 i Europa-Parlamentets og Rådets forordning (EU) 2019/1896 af 13. november 2019 om den europæiske grænse- og kystvagt og om ophævelse af forordning (EU) nr. 1052/2013 og (EU) 2016/1624 (EUT L 295 af 14.11.2019, s. 1), https://eur-lex.europa.eu/eli/reg/2019/1896/oj .
EPPO-forordningens artikel 61, stk. 4, tillader, at "begrænsede" oplysninger "bortset fra opbevaring, kun behandles for at beskytte rettighederne hos den registrerede eller en anden fysisk eller juridisk person, som er part i en straffesag, der er rejst af EPPO", eller hvis de skal bevares som bevismateriale. I den tilsvarende artikel 82, stk. 3, i EUDPR hedder det, at "begrænsede oplysninger behandles kun til det formål, der gjorde, at de ikke blev slettet", hvilket omfatter opbevaring af oplysningerne som bevismiddel, men ikke beskyttelse af den registreredes eller andres rettigheder.
Erfaringerne med Eurojust og Europol kan ikke overføres direkte til EPPO, eftersom EPPO's mandat ikke er at støtte og forbedre samarbejdet mellem de nationale myndigheder, men at efterforske og retsforfølge lovovertrædelser, der skader EU's finansielle interesser.
Artikel 2, stk. 2, i EUDPR.
F.eks. hvad angår den dataansvarliges pligt til at samarbejde i henhold til artikel 32 i EUDPR, reglerne om databeskyttelsesansvarlige i artikel 43-45 i EUDPR, artikel 31 om fortegnelser over behandlingsaktiviteter og om samarbejde med andre tilsynsmyndigheder i henhold til artikel 61 i EUDPR.
De specifikke retlige rammer for disse agenturer vil stadig skulle fastlægges i overensstemmelse med kravene i EUDPR, f.eks. artikel 72 om fastlæggelse af opbevaringsperioder. Men der vil ikke være behov for at regulere de registreredes rettigheder eller EDPS' beføjelser, medmindre lovgiveren specifikt vælger at afvige fra tilgangen i EUDPR.
Artikel 85 i EPPO-forordningen, artikel 40 i Eurojust-forordningen og artikel 43 i Europol-forordningen.
Visse af EDPS' opgaver, der ikke er relevante for Europol, f.eks. godkendelse af standardkontraktbestemmelser, gentages ikke.
I henhold til EPPO-forordningens artikel 85, stk. 3, litra b), og Eurojust-forordningens artikel 40, stk. 3, litra b), kan EDPS i tilfælde af en påstået overtrædelse af bestemmelserne om behandling af operationelle personoplysninger kun henvise sagen til EPPO eller Eurojust og om nødvendigt fremsætte forslag til at råde bod på overtrædelsen og forbedre beskyttelsen af de registrerede.
Se Frontex-forordningens artikel 10, stk. 1, litra q), og artikel 90.
I henhold til artikel 1, stk. 3, i EUDPR fører EDPS "tilsyn med anvendelsen af bestemmelserne i denne forordning på alle behandlingsaktiviteter, der udføres af en af Unionens institutioner eller et af Unionens organer". Selv om denne bestemmelse kan fortolkes således, at den også finder anvendelse på aktiviteter, der falder ind under kapitlet om retshåndhævelse, vil det være nyttigt at gøre det udtrykkeligt for at sikre retssikkerheden.
Hvis GDPR ændres på et senere tidspunkt, vil Kommissionen overveje de nødvendige ændringer af EUDPR for at sikre, at teksterne stemmer overens.
Forslag til Europa-Parlamentets og Rådets Forordning om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU's institutioner, organer, kontorer og agenturer (COM(2022) 122 final).
Artikel 62 i EUDPR.
I henhold til artikel 48, stk. 2, litra b), i EUDPR.
I overensstemmelse med artikel 42 i EUDPR.
To af dem fulgte efter EUDPR's ikrafttræden.
Indtil den 15. november 2021.
Herunder sager, der afsluttes ved mindelig løsning, henvisning til databeskyttelsesrådgiveren og andre afslutningsmetoder.
Indtil medio november 2021.
I henhold til den tidligere forordning (EF) nr. 45/2001 opregnede EDPS høringer om delegerede retsakter/gennemførelsesretsakter under "uformelle" bemærkninger. En del af de bemærkninger, der er anført i de uformelle bemærkninger for 2018, ville i de senere år være blevet medregnet under "formelle bemærkninger".
Disse tal er blevet ajourført i forhold til tallene i EDPS' bidrag til denne rapport.