EUROPA-KOMMISSIONEN
Bruxelles, den 14.10.2022
COM(2022) 530 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Første rapport om anvendelsen af databeskyttelsesforordningen for Den Europæiske Unions institutioner, organer, kontorer og agenturer (forordning 2018/1725)
Indhold
1
Indledning
2
Særskilte databeskyttelsesregler for Unionens institutioner, organer, kontorer og agenturer i overensstemmelse med EU's databeskyttelseslovgivning
3
Gennemførelse af EUDPR i Unionens institutioner og organer
3.1
Unionens institutioner og organers rolle som dataansvarlige
3.2
De registreredes udøvelse af deres rettigheder
3.3
Begrænsning af registreredes rettigheder gennem interne regler
3.4
Databeskyttelsesrådgivere
3.5
Konsekvensanalyser vedrørende databeskyttelse
3.6
Internationale overførsler af personoplysninger
4
EDPS' aktiviteter
4.1
EDPS som tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer
4.2
EDPS som rådgiver for EU-lovgiver
4.3
Samarbejde mellem EDPS og de nationale databeskyttelsesmyndigheder
4.4
EDPS' ressourcer
5
Kommissionens brug af beføjelser til at vedtage delegerede retsakter og gennemførelsesretsakter
6
Databeskyttelsesregler for organer og agenturer, der beskæftiger sig med politisamarbejde og retligt samarbejde i straffesager
6.1
Udvidelse af anvendelsen af kapitlet i EUDPR om retshåndhævelse
6.2
Præcisering af anvendelsen af visse bestemmelser i EUDPR på behandling af operationelle personoplysninger
6.3
EDPS' beføjelser til at føre tilsyn med EU's organer og agenturer
7
Vejen frem
BILAG
1Indledning
Databeskyttelsesforordningen for Den Europæiske Unions institutioner, organer, kontorer og agenturer ("EUDPR") er den vigtigste databeskyttelsesramme for Unionens institutioner, organer, kontorer og agenturer ("Unionens institutioner og organer"), når de behandler personoplysninger som dataansvarlige eller databehandlere. Forordningen udgør en søjle for god forvaltning og god forvaltningsskik på EU-plan. Den har fundet anvendelse siden den 11. december 2018, hvor den ophævede og erstattede den tidligere forordning (EF) nr. 45/2001.
I denne meddelelse fremlægges den første rapport om anvendelsen af EUDPR i overensstemmelse med forordningens artikel 97. Den gennemgår også de retsakter, der er vedtaget på grundlag af traktaterne, og som regulerer behandlingen af operationelle personoplysninger i EU-organer, -kontorer eller -agenturer, når de udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager, i overensstemmelse med artikel 98 i EUDPR.
Kommissionen har indsamlet oplysninger om anvendelsen af EUDPR gennem en undersøgelse, der blev iværksat i oktober 2021, hvor Unionens institutioner og organer blev opfordret til at dele deres erfaringer med anvendelsen af EUDPR. I alt 56 af Unionens institutioner og organer svarede, og de statistikker over Unionens institutioner og organer, der blev fremlagt i rapporten, er baseret på disse svar. En særskilt anmodning om bidrag blev sendt til Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) i dennes egenskab af tilsynsmyndighed. Endelig offentliggjorde Kommissionen også en opfordring til indsendelse af dokumentation, som også gav offentligheden mulighed for at fremsætte bemærkninger. De spørgsmål, der rejses i de meget få indlæg, der er modtaget som svar på opfordringen til indsendelse af dokumentation, behandles i denne rapport.
Denne rapport placerer EUDPR inden for rammerne af EU's databeskyttelseslovgivning, præsenterer dens anvendelse i Unionens institutioner og organer og EDPS' aktiviteter og analyserer anvendelsen af det kapitel, der gælder for Unionens institutioner og organer, der udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager. Rapporten slutter med at skitsere vejen frem.
2Særskilte databeskyttelsesregler for Unionens institutioner, organer, kontorer og agenturer i overensstemmelse med EU's databeskyttelseslovgivning
De vigtigste databeskyttelsesinstrumenter i EU er den generelle forordning om databeskyttelse ("GDPR"), direktivet om databeskyttelse på retshåndhævelsesområdet og e-databeskyttelsesdirektivet. De finder dog ikke anvendelse på Unionens institutioner og organers behandling af personoplysninger. Det er derfor nødvendigt med særskilte, men tilpassede databeskyttelsesregler for Unionens institutioner og organer. EUDPR fastsætter disse regler.
For at sikre en konsekvent tilgang til beskyttelse af personoplysninger og deres frie bevægelighed i EU er EUDPR så vidt muligt tilpasset de databeskyttelsesregler, der er vedtaget for den offentlige sektor, og som er fastsat i GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet. Når EUDPR følger de samme principper som GDPR, bør den fortolkes på samme måde, som den bør forstås som svarende til GDPR. Det samme kan antages at være i overensstemmelse med reglerne i direktivet om databeskyttelse på retshåndhævelsesområdet.
EUDPR er tilpasset de særlige forhold, der gør sig gældende for Unionens institutioner og organer som beskrevet i punkterne nedenfor.
·Da dens anvendelsesområde udelukkende er Unionens institutioner og organer som offentlige organer, er flere bestemmelser i GDPR, som kun er relevante for den private sektor, blevet udeladt. For eksempel findes muligheden for behandling baseret på retsgrundlaget for den dataansvarliges "legitime interesser" ikke i EUDPR.
·Flere beføjelser for Kommissionen til at vedtage gennemførelsesretsakter eller delegerede retsakter gentages ikke som sådan, men i stedet henviser EUDPR til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet. F.eks. indeholder EUDPR ikke en mekanisme til vedtagelse af afgørelser om tilstrækkeligheden af beskyttelsesniveauet for internationale overførsler, men afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget i henhold til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet, kan også anvendes af Unionens institutioner og organer.
·EUDPR opretter også direkte EDPS og fastsætter dennes opgaver, beføjelser og udnævnelsesprocedurer. I henhold til GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet oprettes de respektive tilsynsmyndigheder i henhold til national ret i overensstemmelse med kravene i disse to retsakter.
·EUDPR's kapitel, der finder anvendelse på Unionens organer og agenturer inden for retshåndhævelse på det strafferetlige område, er funktionelt ækvivalent med direktivet om databeskyttelse på retshåndhævelsesområdet for disse organer og agenturer. Som en forordning, der finder direkte anvendelse, er den imidlertid formuleret anderledes. Den indeholder generelle regler, der skal suppleres med specifikke bestemmelser i retsakterne om oprettelse af organer og agenturer, der handler på dette område, hvor det er nødvendigt. Den indeholder en skræddersyet ordning for behandling af operationelle personoplysninger under hensyntagen til denne sektors særlige karakter, f.eks. reglerne om underretning af registrerede, som sikrer, at efterforskningen beskyttes.
3Gennemførelse af EUDPR i Unionens institutioner og organer
3.1Unionens institutioner og organers rolle som dataansvarlige
Den generelle feedback fra Unionens institutioner og organer viser, at de første år med anvendelse af EUDPR har bidraget til at styrke deres generelle databeskyttelseskultur. I den forbindelse anførte 94 % af Unionens institutioner og organer, at ikrafttrædelsen af EUDPR i et vist omfang eller i vid udstrækning havde øget deres organisations kendskab til databeskyttelsesreglerne. Generelt anførte Unionens institutioner og organer, at EUDPR har haft en positiv indvirkning på deres databeskyttelsespolitikker, og personalet i Unionens institutioner og organer er mere bevidste om deres organisations ansvarlighed som dataansvarlige og om kravene til behandling af personoplysninger.
Unionens institutioner og organer nævnte konsekvensanalyser vedrørende databeskyttelse, identifikation og håndtering af brud på datasikkerheden og databeskyttelse gennem design og standardindstillinger som de vigtigste virkninger af EUDPR sammenlignet med den ophævede forordning (EF) nr. 45/2001. EUDPR gør muligheden for fælles dataansvarlige — flere organisationer, der tilsammen definerer formålene med og midlerne til behandling af personoplysninger — mere synlig på samme måde som GDPR. EDPS har udarbejdet retningslinjer om dette emne, og Kommissionen har udviklet interne modeller for fælles dataansvarsordninger.
Selv om de yderligere ansvarlighedskrav, der er nødvendige for at påvise overholdelse af EUDPR for Unionens institutioner og organer, generelt blev hilst velkommen, bemærkede nogle af dem, at EUDPR's regler har ført til en øget arbejdsbyrde. De påpegede også, at EUDPR fastsætter relativt komplekse regler, hvilket betyder, at der er behov for mere ekspertise i Unionens institutioner og organer, herunder blandt deres databeskyttelsesrådgivere, samt i netværkene af databeskyttelseskoordinatorer i de af Unionens institutioner og organer, der har sådanne netværk.
Alle Unionens institutioner og organer med undtagelse af to fører deres fortegnelser over behandlingsaktiviteter i et centralt register. Selv om dette ikke er et specifikt krav i henhold til EUDPR, er det en god praksis, som også anbefales af EDPS. Desuden har 72 % af Unionens institutioner og organer konverteret alle deres anmeldelser til databeskyttelsesrådgiveren i henhold til den tidligere forordning til fortegnelser. De, der endnu ikke har afsluttet denne opgave, bør gennemgå og ajourføre dokumentationen for deres behandlingsaktiviteter for at sikre, at den er fuldstændig og ajourført.
3.2De registreredes udøvelse af deres rettigheder
EUDPR giver registrerede en bred vifte af rettigheder i forbindelse med behandling af deres personoplysninger i overensstemmelse med GDPR. Unionens institutioner og organer har som dataansvarlige en specifik forpligtelse til at gøre det let at udøve disse rettigheder. Som følge heraf oplyste 96 % af Unionens institutioner og organer, at de havde gennemført oplysningsaktiviteter såsom ajourføring af offentligt tilgængelige oplysninger om deres behandlingsaktiviteter, informationsmeddelelser eller vejledninger for registrerede.
En række af Unionens institutioner og organer, såsom Kommissionen, Den Europæiske Centralbank og Tjenesten for EU's Optræden Udadtil, rapporterede om en klar stigning i antallet af anmodninger fra enkeltpersoner mellem 2018 og 2021. For andre, såsom Den Europæiske Unions Domstol, Det Europæiske Økonomiske og Sociale Udvalg og Den Europæiske Unions Asylagentur, var tallene imidlertid stabile eller svingede uden en klar tendens. Det er endnu ikke muligt at se en klar tendens i antallet af anmodninger fra registrerede efter EUDPR's ikrafttræden, da registreringen af forskellige typer anmodninger varierer mellem forskellige af Unionens institutioner og organer.
3.3Begrænsning af registreredes rettigheder gennem interne regler
I lighed med GDPR giver EUDPR mulighed for at begrænse visse registreredes rettigheder. Dette kan gøres ved hjælp af retsakter og interne regler. Der gælder strenge kriterier for sådanne interne regler. De skal være klare og præcise, og deres anvendelse skal være forudsigelig for personer, der er omfattet af dem. Reglerne skal offentliggøres i EU-Tidende og opfylde kravene i chartret om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.
De begrænsninger, der er baseret på interne regler, kan kun vedrøre driften af Unionens institutioner og organer. De skal respektere de grundlæggende rettigheder, udgøre nødvendige og forholdsmæssige foranstaltninger i et demokratisk samfund og sigte mod at beskytte et af de mål, der specifikt er anført i EUDPR. Enhver registreret, hvis rettigheder er blevet begrænset, har ret til at indgive en klage til EDPS.
Et stort flertal (84 %) af Unionens institutioner og organer har vedtaget interne regler. Der er f.eks. indført sådanne regler for at gøre det muligt at udsætte videregivelsen af oplysninger til en berørt person i forbindelse med en intern administrativ undersøgelse. I andre har formålet med sådanne regler været at sikre et fortsat effektivt samarbejde med medlemsstaterne på de områder, hvor aktiviteterne i Unionens institutioner og organer er baseret på oplysninger fra medlemsstaternes kompetente myndigheder. For eksempel omfatter de interne regler, som Kommissionen har vedtaget for behandling af personoplysninger i forbindelse med dens aktiviteter inden for konkurrence, bekæmpelse af svig og intern revision, muligheden for at indføre begrænsninger i de registreredes rettigheder, når personoplysninger indhentes fra medlemsstaternes kompetente myndigheder. Disse regler fastsætter muligheden for at indføre lignende begrænsninger, når de nationale myndigheder har indført begrænsninger baseret på en lovgivningsmæssig foranstaltning, der er mulig i henhold til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet.
Når Unionens institutioner og organer har vedtaget interne regler, der gør det muligt at begrænse registreredes rettigheder, anvendes de normalt fra sag til sag som krævet i deres respektive interne regler. 69 % af Unionens institutioner og organer, der har indført regler i henhold til artikel 25, oplyser imidlertid, at de endnu ikke har anvendt dem. De, der har anvendt dem, har indberettet mindre end ti tilfælde af begrænsninger, undtagen for Europa-Parlamentet og Kommissionen. Der er oftere opstået behov for begrænsninger i OLAF's aktiviteter, navnlig for at udsætte oplysninger til registrerede om behandlingen af deres personoplysninger, når en efterforskning stadig befinder sig på et tidligt stadium, for ikke at skade indsamlingen af bevismateriale. OLAF anvendte også flere begrænsninger med hensyn til registreredes anmodninger om indsigt i deres egne personoplysninger, som kun var blevet afvist for at beskytte andres rettigheder og frihedsrettigheder, f.eks. hvis videregivelse af oplysningerne ville bringe en informant i fare for repressalier.
Unionens institutioner og organers regler kræver normalt, at de underretter deres databeskyttelsesrådgiver om eventuelle begrænsninger, der anvendes, og giver databeskyttelsesrådgiverne adgang til registret og alle dokumenter om disse begrænsninger.
3.4Databeskyttelsesrådgivere
Forpligtelsen til at have en databeskyttelsesrådgiver i alle Unionens institutioner og organer var allerede fastsat i den tidligere forordning (EF) nr. 45/2001. EUDPR har gjort denne rolle mere synlig ved at indføre ansvarlighedsprincippet. Det betyder, at den dataansvarlige er ansvarlig for og skal kunne påvise, at databeskyttelsesreglerne overholdes.
I 46 % af Unionens institutioner og organer støttes deres databeskyttelsesrådgiver af netværk af databeskyttelseskoordinatorer eller lignende strukturer. Der er større sandsynlighed for, at de største af Unionens institutioner og organer har sådanne netværk (f.eks. Europa-Parlamentet, Generalsekretariatet for Rådet, Kommissionen og Tjenesten for EU's Optræden Udadtil [EU-Udenrigstjenesten]). EU-Udenrigstjenesten tilrettelægger og vedligeholder også et netværk af databeskyttelseskontakter i EU-delegationerne.
En række af Unionens institutioner og organer bemærkede, at deres databeskyttelsesrådgiveres (og dermed også databeskyttelseskoordinatorers) ansvar og arbejdsbyrde var blevet større. De anerkendte behovet for at give databeskyttelsesrådgivere (og databeskyttelseskoordinatorer) flere ressourcer til at sikre, at de effektivt kan gennemføre deres databeskyttelsespolitikker. Behovet for at sikre databeskyttelsesrådgiveres uafhængighed blev også nævnt.
Der er to tendenser, der gør sig gældende i denne sammenhæng: På den ene side lægger EUDPR større vægt på den dataansvarliges ansvarlighed, f.eks. ved at fjerne den procedure for forudgående kontrol, der fandtes under den tidligere forordning (EF) nr. 45/2001, og dermed mindske den administrative byrde. På den anden side anmoder de dataansvarlige om mere vejledning fra databeskyttelsesrådgivere/-koordinatorer om, hvordan man bedst overholder EUDPR. I den forbindelse blev det bemærket, at netværket af databeskyttelsesrådgivere for Unionens institutioner og organer har været et vigtigt forum for drøftelse og afklaring af visse retlige og tekniske aspekter, der er specifikke for deres databehandling. Dette netværk udgør en platform for udveksling mellem databeskyttelsesrådgiverne og EDPS og mellem databeskyttelsesrådgiverne selv. Det samarbejder løbende og mødes normalt to gange om året.
Mere end halvdelen (54 %) af Unionens institutioner og organer har givet flere ressourcer til deres databeskyttelsesrådgivere og databeskyttelsesfunktioner mere generelt. De fleste (84 %) af Unionens institutioner og organer har tilpasset deres interne processer for at sikre, at deres personale informerer og hører databeskyttelsesrådgivere om nye behandlinger af personoplysninger. Dette sker normalt ved at inddrage databeskyttelsesrådgivere, f.eks. i ændringsstyringsprocesser eller i projektstyringsråd.
3.5Konsekvensanalyser vedrørende databeskyttelse
Det højeste antal konsekvensanalyser vedrørende databeskyttelse blev foretaget af Den Europæiske Centralbank, Den Europæiske Investeringsbank og Kommissionen. Sammenlignet med det tidligere system med "forudgående kontrol" i henhold til forordning (EF) nr. 45/2001 er antallet af sager, der er sendt til EDPS, faldet betydeligt. Dette var den forventede konsekvens af denne ændring og begrænsede høringer af EDPS om administrative behandlingsaktiviteter såsom personalevurdering.
Tabel 1 i bilaget giver et overblik over de konsekvensanalyser vedrørende databeskyttelse, der blev gennemført af Unionens institutioner og organer mellem 2019 og 2021.
Næsten alle (94 %) Unionens institutioner og organer var enige i, at EUDPR's kriterier for, hvornår de skal udføre konsekvensanalyser vedrørende databeskyttelse, i tilstrækkelig grad dækker behandling med høj risiko. De, der var uenige, understregede behovet for, at EDPS tager hensyn til den teknologiske udvikling ved fortolkningen af disse kriterier. F.eks. er cloud computing ikke længere en "ny" teknologi, og dette bør tages i betragtning ved vurderingen af, om der skal gennemføres konsekvensanalyser vedrørende databeskyttelse. De af Unionens institutioner og organer, der rejste dette spørgsmål, mener generelt, at selve retsakten er tilstrækkelig klar, og at dette er et spørgsmål om fortolkning fra EDPS' side.
EUDPR indeholder ingen specifik forpligtelse til at offentliggøre resultaterne af konsekvensanalyser vedrørende databeskyttelse. Et stort flertal (84 %) af Unionens institutioner og organer offentliggør ikke de konsekvensanalyser vedrørende databeskyttelse, som de har foretaget, mens 14 % offentliggør dem delvist eller som et sammendrag og fjerner oplysninger, der kan bringe de vedtagne sikkerhedsforanstaltninger i fare. Kun én oplyste, at den offentliggør sine konsekvensanalyser vedrørende databeskyttelse fuldt ud. Offentliggørelse af konsekvensanalyser vedrørende databeskyttelse, hvor det er nødvendigt at fjerne oplysninger, der kan bringe sikkerheden i forbindelse med databehandlingen i fare, forbedrer gennemsigtigheden med hensyn til Unionens institutioner og organers overholdelse af EUDPR-reglerne og er en god praksis, der anbefales af EDPS.
3.6Internationale overførsler af personoplysninger
Næsten alle (91 %) Unionens institutioner og organer rapporterede, at deres aktiviteter indebærer international overførsel af personoplysninger. Dette omfatter overførsler til lande uden for EU/EØS samt til internationale organisationer. Flere af Unionens institutioner og organer nævnte imidlertid, at disse overførsler er sjældne eller kun vedrører en begrænset mængde personoplysninger. Med hensyn til de anvendte overførselsværktøjer henviste Unionens institutioner og organer for det meste til afgørelser om tilstrækkeligheden af beskyttelsesniveauet (vedtaget i henhold til GDPR eller direktivet om databeskyttelse på retshåndhævelsesområdet) og kontraktlige instrumenter, f.eks. til dataoverførsler til private virksomheder. I forbindelse med dataoverførsler til offentlige organer anvendes der også andre værktøjer såsom juridisk bindende aftaler og administrative ordninger. Desuden nævnte 51 % af Unionens institutioner og organer, at de foretager begrænsede, lejlighedsvise overførsler, f.eks. for at tilrettelægge uddannelse på grundlag af de lovbestemte grunde til dataoverførsler ("undtagelserne").
I praksis foretages dataoverførsler normalt ikke direkte af Unionens institutioner og organer, men af deres databehandlere (som ikke er Unionens institutioner og organer), der handler på deres vegne. Kommissionen har derfor specifikt behandlet dette scenarie i de standardkontraktbestemmelser, der blev vedtaget i juni 2021 i henhold til GDPR for at hjælpe dataansvarlige og databehandlere med at overholde kravene i både GDPR og EUDPR. Navnlig har databehandlere i Det Europæiske Økonomiske Samarbejdsområde (EØS) mulighed for at medtage disse standardkontraktbestemmelser for internationale dataoverførsler i kontrakterne med deres underdatabehandlere i tredjelande. Dette sikrer overholdelse af EUDPR's regler om ansættelse af underdatabehandlere på vegne af Unionens institutioner og organer, så længe databeskyttelsesforpligtelserne er tilpasset i kontrakterne mellem: i) Unionens institution eller organ og databehandleren, og ii) databehandleren og dennes underdatabehandler. Unionens institutioner og organer kan navnlig sikre en sådan tilpasning ved at anvende de standardkontraktbestemmelser, som Kommissionen har vedtaget for forholdet mellem dataansvarlige og databehandlere.
For at tilvejebringe yderligere værktøjer, der sikrer de fornødne garantier for direkte dataoverførsler fra Unionens institutioner og organer til tredjelande (dvs. uden inddragelse af en EU-/EØS-databehandler), er Kommissionen i øjeblikket ved at udarbejde standardkontraktbestemmelser i henhold til artikel 48, stk. 2, litra b), i EUDPR. Disse bestemmelser vil i videst muligt omfang blive tilpasset de eksisterende bestemmelser, der er vedtaget i henhold til GDPR.
I betragtning af de specifikke spørgsmål, der opstår, når personoplysninger overføres til internationale organisationer (f.eks. på grund af internationale organisationers status og gældende privilegier og immuniteter), samarbejder Kommissionen med Unionens institutioner og organers databeskyttelsesrådgivere om at udvikle specifikke værktøjer (f.eks. administrative ordninger), der er tilpasset sådanne overførsler.
4EDPS' aktiviteter
4.1EDPS som tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer
EDPS er den uafhængige tilsynsmyndighed for databeskyttelse for Unionens institutioner og organer, og har samme rolle som de nationale tilsynsmyndigheder for databeskyttelse, der er oprettet i medlemsstaterne i henhold til GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet.
Tabel 2 i bilaget giver en oversigt over EDPS' tilsynsaktiviteter fra 2018 til 2021. Siden EUDPR trådte i kraft den 11. december 2018, udgør tallene for 2018 et referencescenarie, der kan sammenlignes med situationen i henhold til den tidligere forordning (EF) nr. 45/2001.
EDPS noterede sig et skift i retning af Unionens institutioner og organers kerneaktiviteter i forbindelse med de høringer, de modtog fra dem, siden EUDPR trådte i kraft. Det betyder et skift i retning af spørgsmål om behandling af personoplysninger med henblik på udførelse af opgaver, der er pålagt Unionens institutioner og organer i offentlighedens interesse, og væk fra "administrative" emner såsom personaleforvaltning.
Antallet af klager, som EDPS har modtaget, og som ikke opfylder betingelserne for behandling, er steget mellem 2019 og 2021. De fleste af de klager, der blev afvist, var rettet mod dataansvarlige i medlemsstaterne, som ikke overvåges af EDPS, men af deres nationale databeskyttelsesmyndigheder. Tallene for 2018 var sandsynligvis højere, fordi GDPR trådte i kraft. Dette førte til øget bevidsthed om databeskyttelsesreglerne i befolkningen, men også til en stigning i antallet af uantagelige klager. EDPS kan også afslutte antagelige klager, hvis der er fundet en mindelig løsning.
Med hensyn til inspektioner og revisioner viste 2019 en stigning i forhold til referencescenariet for 2018 efterfulgt af et fald i 2020 og 2021. Dette kan forklares med covid-19-pandemien, der gjorde det vanskeligt at foretage kontrol på stedet, så de blev erstattet af fjernrevisioner. EDPS vurderer risici med henblik på at afgøre, hvilke af Unionens institutioner og organer der skal kontrolleres. Dette tager f.eks. hensyn til antallet af høringer, der indgives, navnlig når særlige kategorier af oplysninger behandles som en del af kerneaktiviteten hos Unionens institutioner og organer. EDPS kan også beslutte at foretage undersøgelser på eget initiativ, f.eks. af Unionens institutioner og organers brug af cloudtjenesteudbydere.
Med hensyn til brud på datasikkerheden rapporterede EDPS, at menneskelige fejl i de fleste tilfælde var den underliggende årsag efterfulgt af tekniske fejl og angreb udefra.
EDPS har gjort brug af de fleste af sine beføjelser i henhold til EUDPR, herunder f.eks. midlertidige forbud mod behandling. Den har endnu ikke gjort brug af sin nye beføjelse til at udstede administrative bøder, hvilket er en sidste udvej i henhold til EUDPR.
EDPS påpegede også i sit bidrag til denne rapport, at den har investeret i oplysningsaktiviteter såsom uddannelse med et rekordstort anslået antal deltagere på 4 600 i 2019 efter EUDPR's ikrafttræden. Selv om antallet af deltagere i 2020 og 2021 er faldet siden, er det stadig betydeligt højere end referencescenariet med de anslåede 1 000 deltagere i 2018.
Unionens institutioner og organer gav stort set positive tilbagemeldinger om samspillet med og vejledningen fra EDPS, idet 86 % angav, at svarene altid eller for det meste var lette at forstå. Unionens institutioner og organer værdsatte også EDPS' øgede kontakt med netværket af databeskyttelsesrådgivere.
Nogle af Unionens institutioner og organer bemærkede imidlertid, at EDPS' rådgivning undertiden kom for sent. De understregede betydningen af fortsat støtte og rådgivning fra EDPS og opfordrede til rettidig og praktisk vejledning om visse databeskyttelsesspørgsmål. Disse spørgsmål omfatter gennemførelse af den risikobaserede tilgang for dataansvarlige, internationale overførsler og forholdet mellem dataansvarlige (herunder fælles dataansvarlige) og deres databehandlere.
4.2EDPS som rådgiver for EU-lovgiver
Kommissionen hører formelt EDPS, navnlig om lovgivningsforslag, der har indvirkning på behandlingen af personoplysninger, efter at kollegiet har vedtaget dem. EDPS besvarer disse med udtalelser eller bemærkninger. EDPS afgiver også initiativudtalelser såsom sin foreløbige udtalelse om det europæiske sundhedsdataområde. Hvis et forslag er af særlig betydning for databeskyttelsen, kan Kommissionen også høre Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet"). I så fald bør EDPS og Databeskyttelsesrådet afgive en fælles udtalelse for at sikre, at EU-lovgiveren får konsekvent rådgivning.
Kommissionen hører også uformelt EDPS, inden kollegiet vedtager retsakter, der er underlagt høringskrav. Som svar på sådanne høringer fremsætter EDPS uformelle bemærkninger til Kommissionen. Denne mulighed bidrager til at sikre, at Kommissionens retsakter er i fuld overensstemmelse med databeskyttelsesreglerne, inden de vedtages. Uformelle høringer anvendes især i forbindelse med retsakter, som er følsomme, eller som har en større indvirkning på databeskyttelsen.
EDPS' arbejde som rådgiver for EU-lovgiveren afhænger af antallet af nye forslag udarbejdet af Kommissionen. Efter et lavere antal i det sidste år af den afgående Kommission skyldes den markante stigning i de formelle bemærkninger i 2021 det øgede antal lovgivningsforslag og Kommissionens bestræbelser på at sikre en konsekvent gennemførelse af forpligtelsen til at høre EDPS. Dette omfatter gennemførelsesretsakter og delegerede retsakter, der indebærer behandling af personoplysninger. Efter EUDPR's ikrafttræden udarbejdede Kommissionens Generalsekretariat procedurer og informerede tjenestegrenene om kravet om at høre EDPS. Dette har resulteret i en mere systematisk høring, herunder i forbindelse med gennemførelsesretsakter og delegerede retsakter. Af hensyn til planlægningen afholder EDPS og Kommissionens tjenestegrene årlige møder om det kommende arbejdsprogram og forslag, der vil kræve høring.
4.3Samarbejde mellem EDPS og de nationale databeskyttelsesmyndigheder
EDPS er medlem af Databeskyttelsesrådet og varetager sekretariatsopgaverne. Det samarbejder også med de nationale tilsynsmyndigheder om udførelsen af deres respektive opgaver på andre måder. Som eksempler kan nævnes henvisning af klager til den kompetente tilsynsmyndighed for databeskyttelse eller sager vedrørende eksterne tjenesteydere, der anvendes af både Unionens institutioner og organer og dataansvarlige, der er omfattet af GDPR. EDPS tager også aktiv del i Databeskyttelsesrådets arbejde ved f.eks. at påtage sig rollerne som hovedordfører eller medordfører for retningslinjer eller på anden måde bidrage til dets arbejde.
Flere store IT-systemer og agenturer, der er oprettet i henhold til EU-retten, kræver, at EDPS og de nationale tilsynsmyndigheder, der hver især handler inden for rammerne af deres respektive ansvarsområder, samarbejder aktivt for at sikre et koordineret tilsyn. Tidligere indeholdt oprettelsesretsakterne for de enkelte systemer eller agenturer specifikke bestemmelser med henblik herpå. EUDPR skaber et harmoniseret system for denne tilsynskoordinering, som der kan henvises til i andre retsakter. Dette er sket for informationssystemet for det indre marked, ECRIS-TCN, Eurojust og senest for Europol. Andre systemer har stadig tilsynskoordinationsgrupper med detaljerede regler i deres oprettelsesretsakter eller detaljerede henvisninger til møder som en del af Databeskyttelsesrådet.
EDPS bidrager også til den Schengenevalueringsmekanisme, der er oprettet ved Rådets forordning (EU) nr. 1053/2013. I henhold til nævnte forordning kan Kommissionen opfordre EDPS til at udpege en observatør til at deltage i et besøg på stedet vedrørende et område, der er omfattet af dens mandat, dvs. databeskyttelsesvurderinger. Dette svarer til Frontex' og Europols mulighed for at udpege observatører til evaluering af henholdsvis grænseforvaltning og politisamarbejde. Efter Kommissionens opfattelse er EDPS' observatørers ekspertise et værdifuldt aktiv i forbindelse med databeskyttelsesvurderinger.
4.4EDPS' ressourcer
Antallet af ansatte i EDPS (herunder Databeskyttelsesrådets sekretariat) er steget støt i rapporteringsperioden, hvilket afspejler den generelle tendens hos de nationale tilsynsmyndigheder for databeskyttelse. Databeskyttelsesrådets sekretariat har med tiden øget sine aktiviteter med den stigende produktion af Databeskyttelsesrådets retningslinjer, henstillinger, udtalelser og andre dokumenter, som sekretariatet bidrager til. Det er afgørende at stille tilstrækkelige ressourcer til rådighed for Databeskyttelsesrådets sekretariat i betragtning af den stærkere rolle, som det forventes at have med hensyn til en effektiv håndhævelse af GDPR. Dette vedrører navnlig Databeskyttelsesrådets mål om at udvikle et tættere samarbejde om strategisk arbejde og anvende nye værktøjer til støtte for samarbejdet mellem databeskyttelsesmyndigheder. Det er navnlig afgørende at have et stærkt sekretariat med tilstrækkelige ressourcer til at støtte Databeskyttelsesrådets arbejde for at sikre, at Databeskyttelsesrådet kan udføre sit arbejde efter behov, navnlig i forbindelse med sammenhængsmekanismen, som forventes fortsat at blive anvendt mere og mere.
I sit bidrag til denne rapport fremførte EDPS navnlig, at hvis den pålægges yderligere opgaver, f.eks. som markedsovervågningsmyndighed i henhold til lovforslaget om kunstig intelligens, bør den tildeles tilsvarende yderligere ressourcer.
5Kommissionens brug af beføjelser til at vedtage delegerede retsakter og gennemførelsesretsakter
EUDPR indeholder flere beføjelser for Kommissionen til at vedtage gennemførelsesretsakter og fastsætte standardbestemmelser samt krydshenvisninger til beføjelser i henhold til GDPR.
EUDPR indeholder bestemmelser, der giver den beføjelse til at fastsætte standardkontraktbestemmelser om databeskyttelse for kontrakter mellem dataansvarlige og databehandlere, svarende til beføjelsen i GDPR. Kommissionen anvendte denne beføjelse og vedtog standardkontraktbestemmelser, der dækker forholdet mellem dataansvarlige og databehandlere, i juni 2021, der omfatter både GDPR og EUDPR. Disse bestemmelser giver dataansvarlige letanvendelige værktøjer til effektivt at forvalte forbindelserne med deres databehandlere.
EUDPR giver også Kommissionen beføjelse til at vedtage standardkontraktbestemmelser om databeskyttelse for at give de fornødne garantier for overførsel af personoplysninger uden for EU/EØS. Kommissionen er i øjeblikket ved at udarbejde sådanne bestemmelser.
6Databeskyttelsesregler for organer og agenturer, der beskæftiger sig med politisamarbejde og retligt samarbejde i straffesager
Kapitel IX i EUDPR indeholder regler for de af Unionens institutioner og organer, der behandler operationelle personoplysninger, når de udfører aktiviteter inden for rammerne af politisamarbejde og retligt samarbejde i straffesager ("kapitlet om retshåndhævelse"). Det har til formål at mindske fragmenteringen:
·mellem databeskyttelsesordninger, der finder anvendelse på Unionens agenturers behandling af operationelle data på dette område,
·med den databeskyttelsesordning, der gælder for nationale strafferetlige håndhævelsesaktiviteter i henhold til direktivet om databeskyttelse på retshåndhævelsesområdet.
Med henblik herpå indeholder kapitlet om retshåndhævelse i EUDPR et sæt horisontale regler baseret på direktivet om databeskyttelse på retshåndhævelsesområdet. Disse regler kan om nødvendigt suppleres med specifikke regler i agenturernes oprettelsesretsakter, afhængigt af deres respektive mandater og den særlige karakter af deres opgaver og databehandlingsaktiviteter.
Det fremgår af EUDPR, at det er nødvendigt at sikre en ensartet og konsekvent beskyttelse af fysiske personer, når deres personoplysninger behandles. Med henblik herpå henviser den udtrykkeligt til målet om at udvide anvendelsen af kapitlet om retshåndhævelse i EUDPR til også at omfatte agenturer, der havde særskilte databeskyttelsesrammer i deres oprettelsesretsakter, da EUDPR blev vedtaget, nemlig Europol og Den Europæiske Anklagemyndighed (EPPO). Der henvises også til en eventuel ændring af kapitlet om retshåndhævelse, hvis det er nødvendigt.
6.1Udvidelse af anvendelsen af kapitlet i EUDPR om retshåndhævelse
I skrivende stund finder kapitlet om retshåndhævelse i EUDPR anvendelse på behandling af operationelle personoplysninger, der foretages af:
·Eurojust, suppleret med specifikke regler i Eurojust-forordningen
·Europol, suppleret med specifikke bestemmelser i Europol-forordningen, som er blevet ændret, siden EUDPR trådte i kraft
·Frontex for den lille del af agenturets aktiviteter, der er en del af strafferetlig håndhævelse.
Kapitlet om retshåndhævelse i EUDPR finder imidlertid endnu ikke anvendelse på EPPO, hvis oprettelsesforordning blev vedtaget før EUDPR. EPPO-forordningen indeholder bestemmelser om en selvstændig ordning for behandling af operationelle personoplysninger. Dette har to retsvirkninger: For det første adskiller visse bestemmelser i EPPO-forordningen sig indholdsmæssigt fra kapitlet om retshåndhævelse i EUDPR, såsom behandling af "begrænsede" personoplysninger. For det andet er visse bestemmelser i EPPO-forordningen, selv om de indholdsmæssigt ligner hinanden, formuleret anderledes end kapitlet om retshåndhævelse i EUDPR, hvilket kan føre til forskellige fortolkninger.
Af hensyn til konsekvensen og i overensstemmelse med det generelle mål om at minimere fragmenteringen af databeskyttelsesreglerne bør der følges en tilgang svarende til den, der er vedtaget for Eurojust og Europol for EPPO. Formålet er at sikre, at kapitlet om retshåndhævelse i EUDPR finder direkte anvendelse på EPPO, idet der kun bevares de nødvendige specifikationer i EPPO-forordningen. Eftersom EPPO kun har været operationel i et år, er det samtidig på kort sigt stadig nødvendigt at få mere viden om den praktiske anvendelse af EPPO's databeskyttelsesordning. Dette vil gøre det muligt præcist at identificere disse specifikationer under hensyntagen til EPPO's karakter af EU's uafhængige anklagemyndighed.
6.2Præcisering af anvendelsen af visse bestemmelser i EUDPR på behandling af operationelle personoplysninger
Det fremgår af EUDPR, at "kun denne forordnings artikel 3 [Definitioner] og kapitel IX [kapitlet om retshåndhævelse] finder anvendelse på behandling af operationelle personoplysninger".
Kapitlet om retshåndhævelse indeholder materielle bestemmelser, der svarer til de fleste bestemmelser i kapitel II-V i EUDPR (generelle principper, den registreredes rettigheder, visse forpligtelser for dataansvarlige og databehandlere, internationale dataoverførsler), med visse forskelle med hensyn til at tage hensyn til retshåndhævelsens særlige karakter (f.eks. regler om underretning af registrerede og om deres ret til indsigt i deres oplysninger).
Det er vigtigt at præcisere ved ændring af EUDPR, at kapitlet om retshåndhævelse kun fastsætter specifikke regler for de tilsvarende bestemmelser i andre kapitler i EUDPR, der har en direkte ækvivalent i kapitlet om retshåndhævelse. Hvis lovgiveren ikke medtager specifikke regler i et agenturs oprettelsesretsakt, finder bestemmelserne i andre kapitler end kapitlet om retshåndhævelse, der ikke har en direkte ækvivalent i sidstnævnte, anvendelse på behandlingen af operationelle personoplysninger.
Dette ændringsforslag vil forbedre retssikkerheden og skabe en komplet ramme (f.eks. om databeskyttelsesrådgiveres stilling, samarbejde med nationale tilsynsmyndigheder for databeskyttelse), herunder for eventuelle fremtidige agenturer på dette område. En sådan komplet ramme ville også mindske risikoen for fragmentering.
6.3EDPS' beføjelser til at føre tilsyn med EU's organer og agenturer
På nuværende tidspunkt indeholder forordningerne om oprettelse af EPPO, Eurojust og Europol specifikke bestemmelser om EDPS' beføjelser.
Den ajourførte Europol-forordning giver EDPS beføjelser, der er tilpasset dem, der er fastsat i artikel 58 i EUDPR. Dette gælder navnlig beføjelsen til at udstede administrative bøder og beføjelsen til at pålægge den dataansvarlige eller databehandleren at bringe behandlingsaktiviteter i overensstemmelse, hvor det er relevant, på en nærmere angivet måde og inden for en nærmere fastsat frist.
I forbindelse med EPPO er EDPS' beføjelser imidlertid formuleret anderledes end i EUDPR. EDPS har ikke de to ovennævnte beføjelser.
Frontex-forordningen indeholder for den lille del af Frontex' aktiviteter, der er omfattet af kapitlet om retshåndhævelse, ingen specifikke bestemmelser om EDPS' beføjelser, hvilket fører til usikkerhed om disse beføjelser.
EDPS kan tildeles alle de beføjelser, der er fastsat i artikel 58 i EUDPR, ved at følge nedenstående to trin.
1.Præcisering af, at EUDPR som standard giver EDPS tilsyn med kapitlet om retshåndhævelse og de beføjelser, den er tillagt i henhold til artikel 58 i EUDPR. Dette kræver en ændring af EUDPR som foreslået i det foregående afsnit.
Dette vil også afhjælpe manglerne i Frontex-forordningen.
2.Ved at fjerne bestemmelserne om EDPS' beføjelser fra agenturernes og organernes oprettelsesretsakter vil hele spektret af EDPS' beføjelser i henhold til den ændrede EUDPR finde direkte anvendelse på Eurojust og EPPO. Målet er at tilpasse dem så meget som muligt for at mindske fragmenteringen af databeskyttelsesreglerne.
7Vejen frem
Generelt fungerer EUDPR godt og er egnet til formålet. På nuværende tidspunkt vil Kommissionen ikke foreslå ændringer af de dele, der svarer til de tilsvarende regler i GDPR, for dermed at bevare den tættest mulige overensstemmelse mellem EUDPR og GDPR. De mulige ændringer, der behandles i denne rapport, vedrører andre dele, navnlig forbindelsen mellem EUDPR's kapitel om retshåndhævelse og de øvrige bestemmelser i denne forordning.
I foråret 2022 foreslog Kommissionen regler for at styrke informationssikkerheden i Unionens institutioner og organer, hvilket vil have en positiv indvirkning på informationssikkerheden, herunder på beskyttelsen af personoplysninger. Dette forslag har til formål yderligere at forbedre Unionens institutioner og organers modstandsdygtighed og evne til at reagere på hændelser i forbindelse med cybersikkerhedstrusler.
Kommissionen vil også tage de skridt, der er skitseret i nedenstående punkter:
-ved ajourføring af oprettelsesretsakterne for store IT-systemer, der stadig indeholder detaljerede regler om en model for tilsynskoordinering, sikre, at EUDPR's model for tilsynskoordinering finder anvendelse med henblik på at strømline procedurerne
-overveje ændringer til EUDPR med henblik på at:
oforbedre retssikkerheden og supplere rammerne for behandling af operationelle personoplysninger ved i artikel 2, stk. 2, at præcisere, at de generelle bestemmelser i EUDPR også finder anvendelse på behandling af operationelle personoplysninger, medmindre kapitlet om retshåndhævelse indeholder specifikke bestemmelser (f.eks. om retten til indsigt). Dette vil også skabe en klar ramme for alle fremtidige agenturer inden for retligt samarbejde i straffesager og politisamarbejde
osikre, at EDPS deltager som observatør i alle databeskyttelsesvurderinger under Schengenevalueringsmekanismen
-efterfølgende overveje i forbindelse med en senere revision at ændre EPPO- og Eurojust-forordningerne for at sikre fuld anvendelse af reglerne om behandling af operationelle personoplysninger i den ændrede EUDPR under hensyntagen til disse organers særlige karakter. Dette vil også føre til, at EDPS' beføjelser over for disse organer og agenturer harmoniseres med de beføjelser, den har i forhold til de andre af Unionens institutioner og organer
-foreslå standardkontraktbestemmelser for internationale overførsler af personoplysninger til Unionens institutioner og organer
-fortsætte det tætte samarbejde med EDPS (og, hvor det er relevant, Databeskyttelsesrådet) for at sikre en rettidig og målrettet høring om nye forslag og fortsætte med uformelt at høre EDPS om vigtige tekster, inden de vedtages.
EDPS opfordres til at:
-give yderligere og rettidig praktisk vejledning til Unionens institutioner og organer, herunder om internationale dataoverførsler
-fortsætte med at øge bevidstheden blandt dataansvarlige og databehandlere om deres forpligtelser i henhold til EUDPR samt rådgive databeskyttelsesrådgivere
-intensivere bestræbelserne på effektivt at håndhæve EUDPR for at sikre fuld beskyttelse af registrerede.
EU's institutioner, organer, kontorer og agenturer opfordres til at:
-fortsætte og om nødvendigt intensivere oplysningsindsatsen for at sikre et tilstrækkeligt niveau af intern ekspertise om EUDPR's regler
-overveje at offentliggøre konsekvensanalyser vedrørende databeskyttelse med undtagelse af oplysninger, der kan bringe de vedtagne sikkerhedsforanstaltninger i fare, hvor det er nødvendigt
-sikre, at databeskyttelsesrådgivere (og databeskyttelseskoordinatorer) har tilstrækkelige ressourcer og en stilling i Unionens institutioner og organer, der sætter dem i stand til at udføre deres opgaver effektivt og uafhængigt
-afslutte konverteringen af deres resterende meddelelser i henhold til den tidligere databeskyttelsesforordning til databeskyttelsesregistre.
BILAG
Tabel 1 — Konsekvensanalyser vedrørende databeskyttelse og forudgående høringer foretaget af Unionens institutioner og organer
|
2019
|
2020
|
2021
|
Accepteret restrisiko
|
30
|
50
|
77
|
Forudgående høring af EDPS
|
3
|
3
|
5
|
Projektet opgivet
|
2
|
2
|
0
|
Tabel 2 — EDPS' tilsynsaktiviteter
|
2018
|
2019
|
2020
|
2021
|
Høringer
|
50
|
75
|
59
|
52
|
Forudgående høringer
|
0
|
0
|
1
|
4
|
Overførselsgodkendelser
|
0
|
1
|
0
|
4
|
Modtagne klager, der opfylder betingelserne for behandling
|
58
|
59
|
43
|
44
|
Afgørelser om klager, der opfylder betingelserne for behandling
|
23
|
48
|
35
|
22
|
Modtagne klager, der ikke opfylder betingelserne for behandling
|
240
|
151
|
203
|
269
|
Udførte inspektioner/revisioner
|
5
|
9
|
4
|
4
|
Udførte formelle undersøgelser
|
0
|
4
|
1
|
2
|
Modtagne meddelelser om brud på datasikkerheden
|
7
|
95
|
121
|
82
|
Tabel 3 — EDPS' tilsynsaktiviteter
|
2018
|
2019
|
2020
|
2021
|
Bemærkninger
|
13
|
3
|
19
|
72
|
Udtalelser
|
7
|
6
|
8
|
12
|
Udtalelser på eget initiativ
|
1
|
1
|
2
|
0
|
Fælles udtalelser med Databeskyttelsesrådet
|
0
|
1
|
0
|
5
|
Uformelle bemærkninger
|
33
|
16
|
13
|
25
|
Tabel 4 — EDPS' ressourcer
|
2018
|
2019
|
2020
|
2021
|
2022 (skønnet)
|
Samlet antal ansatte i EDPS (herunder Databeskyttelsesrådets sekretariat)
|
98
|
100
|
118
|
126
|
139
|
EDPS' personale i Databeskyttelsesrådets sekretariat
|
19
|
22
|
27
|
34
|
38
|
Budget
|
13 539 302 EUR (udnyttet)
|
15 301 687 EUR (udnyttet)
|
14 211 719 EUR (udnyttet)
|
16 761 285 EUR (udnyttet)
|
20 202 000 EUR (foreslået)
|