EUROPA-KOMMISSIONEN

Bruxelles, den 25.7.2024

COM(2024) 357 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Anden rapport om anvendelsen af den generelle forordning om databeskyttelse

1Indledning

Dette er Kommissionens anden rapport om anvendelsen af den generelle forordning om databeskyttelse (GDPR), der er vedtaget i overensstemmelse med artikel 97 i GDPR. Den første rapport blev vedtaget den 24. juni 2020 ("2020-rapporten")( 1 )).

GDPR er en af hjørnestenene i EU's tilgang til den digitale omstilling. Dens grundlæggende principper – retfærdig, sikker og gennemsigtig behandling af personoplysninger, der sikrer, at enkeltpersoner bevarer kontrollen – understøtter alle EU-politikker, der omfatter behandling af personoplysninger.

Siden 2020-rapporten har EU vedtaget en række initiativer, der har til formål at sætte enkeltpersoner i centrum for den digitale omstilling. Hvert initiativ forfølger et særligt mål såsom at skabe et sikrere miljø online, gøre den digitale økonomi mere retfærdig og konkurrencedygtig, lette banebrydende forskning, sikre udviklingen af sikker og pålidelig kunstig intelligens (AI) og skabe et ægte indre marked for data. Når det drejer sig om personoplysninger, bygger disse initiativer på GDPR. GDPR danner også grundlag for sektorinitiativer, der påvirker behandlingen af personoplysninger, f.eks. inden for finansielle tjenesteydelser, sundhed, beskæftigelse, mobilitet og retshåndhævelse.

Der er bred enighed blandt interessenter, databeskyttelsesmyndigheder og medlemsstater om, at GDPR på trods af visse udfordringer har leveret vigtige resultater for enkeltpersoner og virksomheder. Den risikobaserede, teknologineutrale tilgang sikrer en stærk beskyttelse af registrerede og forholdsmæssige forpligtelser for dataansvarlige og databehandlere. Der er dog stadig en række områder, hvor der bør gøres yderligere fremskridt. I de kommende år bør der navnlig fokuseres på at støtte interessenternes overholdelsesbestræbelser – navnlig små og mellemstore virksomheder (SMV'er), små operatører og forskere og forskningsorganisationer – ved hjælp af klarere og mere handlingsorienteret vejledning fra databeskyttelsesmyndighederne og en mere konsekvent fortolkning og håndhævelse af GDPR i hele EU.

I henhold til artikel 97 i GDPR bør Kommissionen navnlig undersøge anvendelsen og funktionen af den internationale overførsel af personoplysninger til tredjelande (dvs. lande uden for EU/EØS) (kapitel V i GDPR) og samarbejds- og sammenhængsmekanismerne mellem de nationale databeskyttelsesmyndigheder (kapitel VII i GDPR). I lighed med 2020-rapporten indeholder denne rapport imidlertid en generel vurdering af anvendelsen af GDPR, der går ud over disse to elementer, og der peges også på en række foranstaltninger, som er nødvendige for at støtte en effektiv anvendelse af den generelle forordning om databeskyttelse på centrale prioriterede områder.

I denne rapport tages hensyn til følgende kilder: i) Rådets holdning og resultater, der blev vedtaget i december 2023( 2 ), ii) input indsamlet fra interessenter, navnlig gennem Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse( 3 ) og en offentlig indkaldelse af feedback( 4 ) og iii) input fra databeskyttelsesmyndighederne (gennem bidrag fra Det Europæiske Databeskyttelsesråd( 5 ) (Databeskyttelsesrådet) og en rapport udarbejdet af Agenturet for Grundlæggende Rettigheder (FRA) på grundlag af interviews med individuelle databeskyttelsesmyndigheder( 6 ) (FRA-rapporten). Rapporten bygger også på Kommissionens løbende overvågning af anvendelsen af GDPR, herunder bilaterale dialoger med medlemsstaterne om overholdelsen af den nationale lovgivning, aktivt bidrag til Databeskyttelsesrådets arbejde og tætte kontakter med en bred vifte af interessenter om den praktiske anvendelse af forordningen.

2Håndhævelse af persondataforordningen og samarbejds- og sammenhængsmekanismernes virke 

GDPR's one-stop-shop-håndhævelsessystem har til formål at sikre en harmoniseret fortolkning og håndhævelse fra uafhængige databeskyttelsesmyndigheders side. Det kræver samarbejde mellem databeskyttelsesmyndighederne i tilfælde af grænseoverskridende behandling, hvor registrerede i flere medlemsstater er væsentligt berørt. Tvister mellem myndigheder bilægges af Databeskyttelsesrådet i henhold til databeskyttelsesforordningens sammenhængsmekanisme.

2.1Effektivisering af behandlingen af grænseoverskridende sager: forslaget til procedureregler

I 2020-rapporten blev det bemærket, at der er behov for en mere effektiv og harmoniseret behandling af grænseoverskridende sager i hele EU, navnlig i lyset af de store forskelle i de nationale administrative procedurer og fortolkninger af begreberne i samarbejdsmekanismen i GDPR. Derfor vedtog Kommissionen i juli 2023 et forslag til forordning om procedureregler( 7 ), som også byggede på en liste over spørgsmål, som Databeskyttelsesrådet forelagde Kommissionen i oktober 2022( 8 ), og input fra interessenter( 9 ) og medlemsstaterne( 10 ). Forslaget supplerer GDPR ved at fastsætte detaljerede regler for grænseoverskridende klager, inddragelse af klageren, retten til en retfærdig rettergang for de parter, der undersøges (dataansvarlige og databehandlere), og samarbejde mellem databeskyttelsesmyndigheder. Harmoniseringen af disse proceduremæssige aspekter ville bidrage til, at undersøgelser afsluttes på rettidig vis, og at enkeltpersoner kunne benytte hurtige retsmidler. Forslaget forhandles i denne tid i Europa-Parlamentet og Rådet.

2.2Øget samarbejde mellem databeskyttelsesmyndigheder og anvendelse af sammenhængsmekanismen

Antallet af grænseoverskridende sager er steget betydeligt i de seneste år. Databeskyttelsesmyndighederne har udvist øget vilje til at gøre brug af de samarbejdsværktøjer, der er fastsat i den generelle forordning om databeskyttelse. Alle databeskyttelsesmyndigheder gjorde brug af værktøjet til gensidig bistand( 11 ) samt "uformelle" anmodninger om at bistå hinanden på frivillig basis. Databeskyttelsesmyndighederne foretrækker uformelle anmodninger, som ikke pålægger en frist eller en streng forpligtelse til at besvare dem. Selv om Databeskyttelsesrådet vedtog retningslinjer for fælles operationer i 2021( 12 ), har myndighederne stadig ikke gjort væsentlig brug af dette værktøj( 13 ) og nævner forskelle i de nationale procedurer og manglende klarhed om proceduren som hovedårsagerne til den begrænsede anvendelse heraf.

GDPR giver de berørte databeskyttelsesmyndigheder mulighed for at gøre en relevant og begrundet indsigelse, hvis de er uenige i et udkast til afgørelse fra den ledende databeskyttelsesmyndighed i en grænseoverskridende sag. Hvis databeskyttelsesmyndighederne ikke kan nå til enighed om en relevant og begrundet indsigelse, indeholder GDPR bestemmelser om tvistbilæggelse ved Databeskyttelsesrådet( 14 ). De emner, der hyppigst blev rejst i de relevante og begrundede indsigelser, var: i) retsgrundlaget for behandlingen, ii) oplysnings- og gennemsigtighedsforpligtelser, iii) anmeldelse af brud på datasikkerheden, iv) de registreredes rettigheder, v) undtagelser for internationale overførsler, vi) anvendelsen af korrigerende foranstaltninger og vii) størrelsen af en administrativ bøde.

GDPR's håndhævelsessystem er baseret på en forudsætning om et loyalt og effektivt samarbejde mellem databeskyttelsesmyndighederne. Selv om tvistbilæggelsesproceduren spiller en vigtig rolle i denne håndhævelsesstruktur, bør den anvendes i den ånd, den er udformet i, nemlig under behørig hensyntagen til kompetencefordelingen mellem databeskyttelsesmyndighederne, behovet for at respektere retten til en retfærdig rettergang og interessen i at opnå en rettidig løsning af sagen for de registrerede. Hver tvistbilæggelsesprocedure kræver betydelige ressourcer fra den ledende myndighed, de berørte myndigheder og Databeskyttelsesrådets sekretariat og forsinker tilvejebringelsen af et retsmiddel for registrerede.

Databeskyttelsesmyndighedernes øgede brug af samarbejdsværktøjer ·Der er registreret næsten 2 400 sager i Databeskyttelsesrådets informationsudvekslingssystem( 15 ).  ·De ledende databeskyttelsesmyndigheder har udsendt ca. 1 500 udkast til afgørelser( 16 ), hvoraf 990 førte til endelige afgørelser, der fastslog en overtrædelse af GDPR( 17 ). ·Databeskyttelsesmyndighederne udløste næsten 1 000 "formelle" anmodninger om gensidig bistand( 18 ) og ca. 12 300 "uformelle" anmodninger( 19 ). ·Der er iværksat fem fælles operationer, som databeskyttelsesmyndighederne fra syv medlemsstater har deltaget i. ·Databeskyttelsesmyndighederne fra 18 medlemsstater gjorde relevante og begrundede indsigelser( 20 ).

Databeskyttelsesmyndighederne anvender i stigende grad GDPR's sammenhængsmekanisme. Den består af tre komponenter: i) Databeskyttelsesrådets udtalelser, ii) Databeskyttelsesrådets tvistbilæggelse og iii) hasteproceduren ( 21 ).

Databeskyttelsesrådet behandler i stigende grad vigtige almengyldige spørgsmål i sine udtalelser( 22 ). Databeskyttelsesrådet bør sikre rettidig og meningsfuld høring inden vedtagelsen af disse udtalelser. Sager, der er indbragt til tvistbilæggelse, har behandlet spørgsmål såsom retsgrundlaget for behandling af data til adfærdsbaseret annoncering på sociale medier og behandling af børns data online. De fleste af de efterfølgende bindende afgørelser er blevet anfægtet ved Retten.

Gennemsigtighed i Databeskyttelsesrådets beslutningsproces er afgørende for at sikre overholdelse af retten til god forvaltning i henhold til EU's charter om grundlæggende rettigheder. Hasteproceduren i GDPR giver databeskyttelsesmyndighederne mulighed for at fravige samarbejds- og sammenhængsmekanismen for at træffe hasteforanstaltninger, hvor det er nødvendigt for at beskytte registreredes rettigheder og frihedsrettigheder. Som en undtagelse fra den normale samarbejdsprocedure i henhold til GDPR er værktøjer såsom hasteproceduren udformet til kun at blive anvendt under ekstraordinære omstændigheder, og hvor den normale samarbejdsprocedure ikke kan beskytte registreredes rettigheder og friheder.

Sammenhængsmekanismen ·Databeskyttelsesrådet har vedtaget 190 overensstemmelsesudtalelser. ·Der er vedtaget ni bindende afgørelser i forbindelse med tvistbilæggelse( 23 ). De pålagde alle den ledende databeskyttelsesmyndighed at ændre sit udkast til afgørelse, og flere har resulteret i betydelige bøder. ·Fem databeskyttelsesmyndigheder har vedtaget midlertidige foranstaltninger efter hasteproceduren (Tyskland, Finland, Italien, Norge og Spanien). ·To databeskyttelsesmyndigheder anmodede Databeskyttelsesrådet om en hurtig bindende afgørelse( 24 ), og Databeskyttelsesrådet beordrede endelige hasteforanstaltninger i én sag.

2.3Mere effektiv håndhævelse

Der har været en betydelig stigning i databeskyttelsesmyndighedernes håndhævelsesaktiviteter i de seneste år, herunder pålæggelse af betydelige bøder i skelsættende sager mod store multinationale teknologivirksomheder. Bøderne blev f.eks. pålagt for: i) overtrædelse af databehandlingens lovlighed og sikkerhed, ii) overtrædelse af behandlingen af særlige kategorier af persondata og iii) manglende overholdelse af enkeltpersoners rettigheder( 25 ). Dette har fået private virksomheder til at "tage databeskyttelse alvorligt"( 26 ) og bidraget til at forankre en overholdelseskultur i organisationerne. Databeskyttelsesmyndighederne træffer afgørelser, der fastslår overtrædelser af GDPR i klagebaserede sager og sager på eget initiativ. Selv om de ikke er tilgængelige i alle medlemsstater, har mange databeskyttelsesmyndigheder gjort effektiv brug af procedurer for "mindelig bilæggelse" for hurtigt at løse klagebaserede sager til klagerens tilfredshed. I forslaget til procedureregler anerkendes muligheden for, at klager kan løses ved mindelig overenskomst( 27 ).

Databeskyttelsesmyndighederne har gjort omfattende brug af deres korrigerende beføjelser, selv om antallet af pålagte korrigerende foranstaltninger varierer meget fra myndighed til myndighed. Bortset fra bøder var de mest almindeligt anvendte korrigerende foranstaltninger advarsler, irettesættelser og påbud om at overholde GDPR. Dataansvarlige og databehandlere anfægter ofte afgørelser, der fastslår overtrædelser af GDPR, ved nationale domstole, oftest af proceduremæssige årsager( 28 ).

Mere effektiv håndhævelse ·Databeskyttelsesmyndighederne har iværksat over 20 000 undersøgelser på eget initiativ( 29 ). ·De modtager tilsammen over 100 000 klager om året( 30 ). ·Mediantiden for databeskyttelsesmyndighedernes behandling af klager (fra modtagelse til afslutning af sagen) varierer fra 1 til 12 måneder og er 3 måneder eller derunder i fem medlemsstater (Danmark (1 måned), Spanien (1,5 måneder), Estland (3 måneder), Grækenland (3 måneder) og Irland (3 måneder)). ·Over 20 000 klager er blevet løst ved mindelig overenskomst. Det er mest almindeligt anvendt i Østrig, Ungarn, Luxembourg og Irland. ·I 2022 vedtog databeskyttelsesmyndighederne i Tyskland det højeste antal afgørelser om indførelse af en korrigerende foranstaltning (3 261) efterfulgt af Spanien (774), Litauen (308) og Estland (332). Det laveste antal korrigerende foranstaltninger blev pålagt i Liechtenstein (8), Tjekkiet (8), Island (10), Nederlandene (17) og Luxembourg (22). ·Databeskyttelsesmyndighederne har pålagt over 6 680 bøder på i alt ca. 4,2 mia. EUR( 31 ). Myndigheden i Irland har pålagt de højeste samlede bøder (2,8 mia. EUR) efterfulgt af Luxembourg (746 mio. EUR), Italien (197 mio. EUR) og Frankrig (131 mio. EUR). Liechtenstein (9 600 EUR), Estland (201 000 EUR) og Litauen (435 000 EUR) har pålagt de laveste bøder.

Selv om de fleste databeskyttelsesmyndigheder anser deres undersøgelsesværktøjer for at være tilstrækkelige, har nogle brug for yderligere værktøjer på nationalt plan, f.eks. passende sanktioner, hvis dataansvarlige ikke samarbejder eller giver de nødvendige oplysninger( 32 ). Databeskyttelsesmyndighederne mener, at utilstrækkelige ressourcer og huller i den tekniske og juridiske ekspertise er den vigtigste faktor, der påvirker deres håndhævelseskapacitet( 33 ).

2.4Databeskyttelsesrådet

Databeskyttelsesrådet består af chefen for en databeskyttelsesmyndighed i hver medlemsstat og Den Europæiske Tilsynsførende for Databeskyttelse, og Kommissionen deltager uden stemmeret. Databeskyttelsesrådet, der støttes i sit arbejde af sit sekretariat, har til opgave at sikre en konsekvent anvendelse af GDPR( 34 ). De fleste databeskyttelsesmyndigheder mener, at Databeskyttelsesrådet har spillet en positiv rolle med hensyn til at styrke samarbejdet mellem dem( 35 ). Mange databeskyttelsesmyndigheder afsætter betydelige ressourcer til Databeskyttelsesrådets aktiviteter, selv om mindre myndigheder angiver, at deres størrelse forhindrer dem i at engagere sig fuldt ud( 36 ). Nogle myndigheder mener, at effektiviteten af Databeskyttelsesrådets processer bør forbedres, navnlig ved at reducere antallet af møder og ved at bruge mindre tid på mindre sager( 37 ). Afhængigt af resultatet af forhandlingerne om forslaget om procedureregler i GDPR, som har til formål at reducere antallet af sager, der indbringes for Databeskyttelsesrådet med henblik på tvistbilæggelse, kan der være behov for at overveje, om Databeskyttelsesrådet har brug for yderligere ressourcer.

Pr. november 2023 havde Databeskyttelsesrådet vedtaget 35 retningslinjer. Interessenter og databeskyttelsesmyndigheder har fundet dem nyttige, men begge mener, at retningslinjerne bør leveres hurtigere, og at kvaliteten bør forbedres( 38 ). Interessenterne bemærker, at de ofte er alt for teoretiske, for lange og ikke afspejler GDPR's risikobaserede tilgang( 39 ). Databeskyttelsesmyndighederne og Databeskyttelsesrådet bør udstikke præcise og praktiske retningslinjer, der giver svar på konkrete problemer og afspejler en balance mellem databeskyttelse og andre grundlæggende rettigheder. Retningslinjerne bør også være letforståelige for personer uden juridisk uddannelse, f.eks. i SMV'er og frivillige organisationer( 40 ). En måde at opnå dette på er at gøre udarbejdelsen af retningslinjerne mere gennemsigtig og at foretage høringer på et tidligt tidspunkt for at opnå en bedre forståelse af markedsdynamikken, forretningspraksis, og hvordan retningslinjerne anvendes i praksis( 41 ). Det hilses velkommen, at Databeskyttelsesrådet som led i sin strategi for 2024-2027 har fremhævet sit mål om at yde praktisk vejledning, der er tilgængelig for den relevante målgruppe( 42 ).

Interessenterne understreger behovet for yderligere retningslinjer, navnlig om anonymisering og pseudonymisering( 43 ), legitim interesse og videnskabelig forskning( 44 ). I 2020-rapporten opfordrede Kommissionen Databeskyttelsesrådet til at vedtage retningslinjer for videnskabelig forskning, men retningslinjerne er endnu ikke blevet vedtaget. I erkendelse af betydningen af videnskabelig forskning i samfundet, navnlig for at overvåge sygdomme og udvikle behandlinger og fremme innovation, er det afgørende, at databeskyttelsesmyndighederne handler for at afklare disse spørgsmål uden yderligere forsinkelse( 45 ). Offentlige myndigheder vil også drage fordel af vejledning om de særlige udfordringer, de står over for( 46 ).

2.5Databeskyttelsesmyndigheder

2.5.1Uafhængighed og ressourcer

Databeskyttelsesmyndighedernes uafhængighed er nedfældet i EU's charter om grundlæggende rettigheder og traktaten om Den Europæiske Unions funktionsmåde. GDPR fastsætter krav, der skal sikre databeskyttelsesmyndighedernes "fuldstændige uafhængighed"( 47 ). FRA's rapport viste, at de fleste databeskyttelsesmyndigheder opererer uafhængigt af regeringen, parlamentet og andre offentlige organer( 48 ).

Databeskyttelsesmyndighederne har brug for tilstrækkelige menneskelige, tekniske og finansielle ressourcer for effektivt og uafhængigt at kunne udføre deres opgaver i henhold til GDPR. I rapporten fra 2020 bemærkede Kommissionen, at databeskyttelsesmyndighedernes ressourcer stadig ikke var tilfredsstillende, og den har konsekvent rejst dette spørgsmål over for medlemsstaterne. Situationen er siden blevet bedre.

Flere ressourcer til databeskyttelsesmyndighederne( 49 ) ·Mellem 2020 og 2024 fik alle databeskyttelsesmyndigheder på nær to tildelt yderligere personale, og stigningen oversteg 25 % i 14 medlemsstater. ·Databeskyttelsesmyndigheden i Irland havde den største stigning i antallet af ansatte (79 %) efterfulgt af Estland, Sverige (begge 57 %) og Bulgarien (56 %). ·Der var et lille fald i personalet hos myndigheden i Tjekkiet (-1 %), mens der ikke var nogen stigning i Liechtenstein og mindre stigninger i Cypern (4 %) og Ungarn (8 %). ·Mellem 2020 og 2024 havde alle databeskyttelsesmyndigheder på nær én en stigning i budgettet, og stigningen oversteg 50 % i 13 medlemsstater. ·Databeskyttelsesmyndigheden i Cypern havde den største stigning i budgettet (130 %), efterfulgt af Østrig (107 %), Bulgarien (100 %) og Estland (97 %). ·Budgettet for den græske databeskyttelsesmyndighed faldt med 15 %, mens der var mindre budgetstigninger for myndighederne i Liechtenstein (1 %), Slovakiet (6 %) og Tjekkiet (8 %).

Selv om disse statistikker viser en generel opadgående tendens i databeskyttelsesmyndighedernes ressourcer, mener myndighederne selv, at de stadig mangler tilstrækkelige menneskelige ressourcer( 50 ). De understreger behovet for meget specialiseret teknisk viden, navnlig om nye og fremspirende teknologier( 51 ), som, hvis den ikke er til stede, påvirker kvantiteten og kvaliteten af deres arbejde og vanskelighederne ved at konkurrere om menneskelige ressourcer med den private sektor. Databeskyttelsesmyndighederne nævner utilstrækkelig juridisk viden og manglende sprogfærdigheder som faktorer, der påvirker deres resultater. Lav løn, manglende evne til selvstændigt at udvælge personale og en stor arbejdsbyrde fremhæves som de vigtigste faktorer, der påvirker myndighedernes evne til at rekruttere og fastholde personale( 52 ). Databeskyttelsesmyndighederne fremhæver også deres behov for finansielle ressourcer, hvis de skal modernisere og digitalisere deres processer og erhverve teknisk udstyr( 53 ). Alle databeskyttelsesmyndigheder udfører opgaver ud over dem, de har fået pålagt i henhold til GDPR( 54 ), f.eks. som tilsynsmyndigheder for direktivet om databeskyttelse på retshåndhævelsesområdet og e-databeskyttelsesdirektivet, mens mange udtrykker bekymring over at skulle påtage sig yderligere ansvar i henhold til ny digital lovgivning( 55 ).

2.5.2Vanskeligheder med at håndtere et stort antal klager

Flere databeskyttelsesmyndigheder anfører, at for mange af deres ressourcer anvendes til at behandle et stort antal klager, hvoraf de fleste efter deres opfattelse er ubetydelige og grundløse, da behandlingen af hver enkelt klage er en forpligtelse i henhold til GDPR, som er underlagt domstolsprøvelse( 56 ). Det betyder, at databeskyttelsesmyndighederne ikke kan afsætte tilstrækkelige ressourcer til andre aktiviteter såsom undersøgelser på eget initiativ, offentlige oplysningskampagner og samarbejde med dataansvarlige( 57 ). Som offentlige myndigheder har databeskyttelsesmyndighederne beføjelse til at tildele deres ressourcer, som de finder det hensigtsmæssigt, med henblik på at udføre hver af deres opgaver (jf. artikel 57, stk. 1, i GDPR) i offentlighedens interesse. Mange databeskyttelsesmyndigheder har vedtaget strategier for at øge effektiviteten af klagebehandlingen, f.eks. automatisering( 58 ), anvendelse af procedurer for mindelig bilæggelse( 59 ) og "gruppering" af klager, der vedrører lignende spørgsmål( 60 ).

2.5.3De nationale databeskyttelsesmyndigheders fortolkning af databeskyttelsesforordningen

Et centralt mål med den generelle forordning om databeskyttelse var at fjerne den fragmenterede tilgang til databeskyttelse i det tidligere databeskyttelsesdirektiv (direktiv 95/46/EF)( 61 ). Databeskyttelsesmyndighederne anlægger dog fortsat forskellige fortolkninger af centrale databeskyttelsesbegreber( 62 ). Interessenterne angiver dette som den vigtigste hindring for en konsekvent anvendelse af GDPR i EU. De vedvarende divergerende fortolkninger skaber retsusikkerhed og øger omkostningerne for virksomhederne (f.eks. ved at kræve forskellig dokumentation for flere medlemsstater), forstyrrer den frie udveksling af personoplysninger i EU, hindrer grænseoverskridende forretninger og hæmmer forskning og innovation i forbindelse med presserende samfundsmæssige udfordringer.

Blandt de specifikke spørgsmål, som interessenterne har rejst, kan nævnes: i) det forhold, at databeskyttelsesmyndighederne i tre medlemsstater har forskellige holdninger til det korrekte retsgrundlag for behandling af personoplysninger, når de gennemfører et klinisk feltforsøg, ii) der er ofte divergerende synspunkter om, hvorvidt en enhed er dataansvarlig eller databehandler og iii) i nogle tilfælde følger databeskyttelsesmyndighederne ikke Databeskyttelsesrådets retningslinjer, eller de offentliggør retningslinjer på nationalt plan, der er i strid med Databeskyttelsesrådets retningslinjer( 63 ). Disse problemer forværres, når flere databeskyttelsesmyndigheder i en enkelt medlemsstat anlægger modstridende fortolkninger.

Nogle interessenter mener også, at visse databeskyttelsesmyndigheder og Databeskyttelsesrådet anlægger fortolkninger, der afviger fra den risikobaserede tilgang i GDPR, hvilket udgør en udfordring for udviklingen af den digitale økonomi( 64 ) og mediernes frihed og pluralisme. De nævner følgende som områder, der giver anledning til bekymring: i) fortolkningen af anonymisering, ii) retsgrundlaget for legitim interesse og samtykke( 65 ) og iii) undtagelserne fra forbuddet mod automatisk individuel beslutningstagning( 66 ). Det bemærkes, at databeskyttelsesmyndighederne og Databeskyttelsesrådet har til opgave at sikre både beskyttelse af fysiske personer i forbindelse med behandling af deres personoplysninger og fri udveksling af personoplysninger inden for EU. Som anerkendt i GDPR( 67 ), skal retten til beskyttelse af personoplysninger ses i sammenhæng med dens funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet.

2.5.4Samarbejde med dataansvarlige og databehandlere

Interessenterne understreger fordelene ved at have mulighed for at indgå i en konstruktiv dialog med databeskyttelsesmyndighederne for at sikre, at de overholder GDPR fra starten, navnlig i forbindelse med nye teknologier. Interessenterne bemærker, at nogle databeskyttelsesmyndigheder aktivt samarbejder med dataansvarlige, mens andre er langsomme til at reagere, giver vage svar eller slet ikke reagerer( 68 ).

3Medlemsstaternes gennemførelse af GDPR

3.1Fragmentering i national anvendelse

Selv om GDPR som forordning finder direkte anvendelse, pålægger den medlemsstaterne at lovgive på visse områder og giver dem mulighed for yderligere at præcisere dens anvendelse på et begrænset antal områder( 69 ). Når medlemsstaterne lovgiver på nationalt plan, skal de gøre dette på de betingelser og inden for de grænser, der er fastsat i GDPR. Ligesom i 2020 rapporterer interessenter, at de støder på vanskeligheder som følge af fragmentering af nationale regler, hvor medlemsstaterne har mulighed for at præcisere GDPR, navnlig med hensyn til:

·minimumsalderen for et barns samtykke i forbindelse med udbud af informationssamfundstjenester til dette barn( 70 )

·medlemsstaternes indførelse af yderligere betingelser for behandling af genetiske data, biometriske data eller helbredsoplysninger( 71 )

·behandling af personoplysninger vedrørende straffedomme og lovovertrædelser( 72 ), hvilket skaber vanskeligheder i visse regulerede sektorer.

Samtidig er det vigtigt at fremhæve, at mange interessenter rapporterer, at problemer med fragmentering hovedsagelig skyldes databeskyttelsesmyndighedernes divergerende fortolkninger af GDPR snarere end medlemsstaternes anvendelse af fakultative specifikationsbestemmelser.

Medlemsstaterne mener, at en begrænset grad af fragmentering kan være berettiget, og at de specifikationsbestemmelser, der er fastsat i GDPR, fortsat er gavnlige, navnlig for offentlige myndigheders behandling( 73 ). I henhold til GDPR skal medlemsstaterne høre deres nationale databeskyttelsesmyndighed, når de udarbejder lovgivning vedrørende behandling af personoplysninger( 74 ). FRA's rapport viste, at nogle regeringer har fastsat meget stramme frister for disse myndigheder og i nogle tilfælde slet ikke hører dem( 75 ).

3.2Kommissionens overvågning

Kommissionen overvåger løbende gennemførelsen af GDPR. Kommissionen har indledt traktatbrudsprocedurer mod medlemsstaterne om spørgsmål såsom databeskyttelsesmyndighedernes uafhængighed (herunder fri for ekstern indflydelse og adgang til retsmidler i tilfælde af afskedigelse)( 76 ) og retten til effektive retsmidler for registrerede, hvis databeskyttelsesmyndigheden ikke behandler en klage( 77 ). Som led i sin overvågning anmoder Kommissionen også om, at databeskyttelsesmyndighederne på et strengt fortroligt grundlag giver regelmæssige oplysninger( 78 ) om igangværende omfattende grænseoverskridende sager, navnlig dem, der vedrører store multinationale teknologivirksomheder.

Kommissionen kommunikerer regelmæssigt med medlemsstaterne om gennemførelsen af GDPR. Som anført i 2020-rapporten har Kommissionen fortsat med at anvende medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om Databeskyttelse( 79 ) for at fremme drøftelser og udveksling af erfaringer om effektiv gennemførelse af den generelle forordning om databeskyttelse. Ekspertgruppen har haft specifikke drøftelser om: i) tilsyn med domstole, der handler i deres egenskab af domstol (artikel 55 i GDPR, chartrets artikel 8), ii) forening af retten til databeskyttelse med retten til ytringsfrihed (artikel 85 i GDPR) og iii) retten til effektive retsmidler over for en tilsynsmyndighed (artikel 78 i GDPR). Efter disse drøftelser udarbejdede Kommissionen oversigter over de tilgange, der er anvendt til gennemførelsen af disse bestemmelser i medlemsstaterne( 80 ). Kommissionen brugte også denne gruppe til at udveksle synspunkter med medlemsstaterne, da den udarbejdede forslaget om procedureregler.

Den nationale lovgivnings og praksis' overensstemmelse med de databeskyttelsesregler, der er fastsat i EU-retten om Schengenområdet, vurderes også som led i Schengenevalueringerne, der gennemføres i fællesskab af medlemsstaterne og Kommissionen. Der foretages mindst fem databeskyttelsesvurderinger på stedet om året, i øjeblikket med fokus på store IT-systemer og Schengeninformationssystemet, visuminformationssystemet samt de nationale databeskyttelsesmyndigheders tilsynsrolle i forbindelse med disse systemer.

Kommissionen bidrager aktivt til det store antal sager ved Domstolen (med omkring 30 præjudicielle afgørelser om året i de seneste år), som spiller en central rolle i den konsekvente fortolkning af centrale begreber i GDPR. Domstolens voksende mængde retspraksis har givet flere præciseringer, f.eks. vedrørende definitionen af personoplysninger( 81 ), særlige kategorier af personoplysninger( 82 ), dataansvarlige ( 83 ), samtykke ( 84 ), legitim interesse ( 85 ), retten til indsigt ( 86 ), retten til sletning ( 87 ), retten til erstatning ( 88 ), automatiseret individuel beslutningstagning ( 89 ), administrative bøder ( 90 ), databeskyttelsesrådgivere ( 91 ), offentliggørelse af personoplysninger i registre ( 92 ) og anvendelsen af GDPR på parlamenternes aktiviteter ( 93 ).

4De registreredes rettigheder

Enkeltpersoner er i stigende grad fortrolige med og udøver aktivt deres rettigheder i henhold til GDPR( 94 ). Databeskyttelsesmyndighederne afsætter betydelige ressourcer til at fremme bevidstheden om databeskyttelsesrettigheder og -forpligtelser i den brede offentlighed, f.eks. gennem sociale medier og TV-kampagner, hjælpetjenester, nyhedsbreve og præsentationer på uddannelsesinstitutioner( 95 ). Mange af disse initiativer har nydt godt af EU-finansiering( 96 ). Agenturet for Grundlæggende Rettigheder bemærker, at selv om bevidstheden om databeskyttelse er steget i den brede offentlighed, mangler der stadig forståelse for databeskyttelse, hvilket fremgår af et stort antal ubetydelige eller grundløse klager( 97 ). Der er udviklet flere brugervenlige digitale værktøjer for at gøre det lettere for registrerede at udøve deres rettigheder( 98 ). Lovgivningsmæssige retsakter, navnlig forordningen om datastyring( 99 ), bør føre til, at der skabes yderligere måder, hvorpå registrerede kan udøve deres rettigheder i fremtiden. Virksomhederne bemærker, at retten til sletning i stigende grad anvendes, mens det sjældent er tilfældet for retten til berigtigelse og retten til indsigelse.

4.1Retten til indsigt

De dataansvarlige oplyser, at retten til indsigt (artikel 15 i GDPR) er den ret, som de registrerede hyppigst påberåber sig. Selv om Databeskyttelsesrådet vedtog retningslinjer om denne ret i 2022, indberetter de dataansvarlige fortsat udfordringer, f.eks. i forbindelse med fortolkningen af begrebet "grundløse eller overdrevne anmodninger"( 100 ), når de besvarer et stort antal anmodninger, og når de behandler anmodninger, der fremsættes til formål, der ikke vedrører databeskyttelse, f.eks. indsamling af bevismateriale til retssager( 101 ). Civilsamfundsorganisationer bemærker, at svar på anmodninger om aktindsigt ofte er forsinkede eller ufuldstændige, og at de modtagne data ikke altid er i et læsbart format( 102 ). Offentlige myndigheder nævner vanskeligheder i samspillet mellem retten til indsigt og reglerne om aktindsigt( 103 ). Det er derfor glædeligt, at Databeskyttelsesrådet iværksatte en fælles indsats for en ramme for koordineret håndhævelse vedrørende retten til indsigt i februar 2024( 104 ).

4.2Retten til dataportabilitet

I 2020-rapporten forpligtede Kommissionen sig til at undersøge praktiske midler til at lette enkeltpersoners øgede brug af retten til dataportabilitet (artikel 20 i GDPR) i overensstemmelse med datastrategien. Kommissionen har siden vedtaget en række initiativer, der supplerer denne ret. Disse initiativer gør det lettere at skifte mellem tjenester og dermed skabe flere valgmuligheder for enkeltpersoner, støtte konkurrence og innovation og give enkeltpersoner mulighed for at høste fordelene ved anvendelsen af deres data. Dataforordningen giver brugere af intelligente enheder en øget ret til portabilitet af data, der genereres via sådanne enheder – og kræver, at udformningen af produktet eller en backendserver hos producenten eller dataindehaveren gør en sådan portabilitet teknisk mulig. Forordningen om digitale markeder kræver, at udbydere af centrale platformstjenester, der er identificeret som "gatekeepere", sikrer effektiv portabilitet af brugernes data, herunder kontinuerlig adgang i realtid til sådanne data. Flere andre initiativer fra Kommissionen, der i øjeblikket er under forhandling, eller som der er opnået politisk enighed om, giver øgede rettigheder til dataportabilitet på specifikke områder, f.eks. direktivet om platformsarbejde( 105 ), det europæiske sundhedsdataområde( 106 ) og rammen for adgang til finansielle data( 107 ).

4.3Retten til klageadgang

Som det fremgår af det store antal klager, er der et bredt kendskab til retten til at indgive en klage til en databeskyttelsesmyndighed. Civilsamfundsorganisationer fremhæver uberettigede forskelle i national praksis for behandling af klager, et spørgsmål, der behandles i Kommissionens forslag om procedureregler. Kun få medlemsstater har gjort brug af muligheden i henhold til GDPR for at give et nonprofitorgan ret til at træffe foranstaltninger uafhængigt af en bemyndigelse fra den registrerede (artikel 80, stk. 2). Direktivet om adgang til anlæggelse af gruppesøgsmål( 108 ), der blev vedtaget i 2020, vil føre til mere harmonisering i denne henseende ved at lette enkeltpersoners kollektive søgsmål for overtrædelse af GDPR. De nationale foranstaltninger til gennemførelse af direktivet trådte i kraft i juni 2023.

4.4Beskyttelse af børns personoplysninger

Børn har brug for særlig beskyttelse, når deres personoplysninger behandles( 109 ). GDPR er en del af en omfattende retlig ramme, der sikrer, at børn beskyttes både offline og online ( 110 ). I betragtning af den øgede tilstedeværelse af børn online er der i de seneste år truffet en række foranstaltninger på EU-plan og nationalt plan for at støtte beskyttelsen af børn online. Databeskyttelsesmyndighederne har pålagt sociale medievirksomheder betydelige bøder for overtrædelse af GDPR i forbindelse med behandling af børns data. De samarbejder også med andre myndigheder om at opfordre til mere beskyttelse af børn på reklameområdet. I 2020-rapporten opfordrede Kommissionen Databeskyttelsesrådet til at vedtage retningslinjer for behandling af børns data, og dette arbejde er i øjeblikket i gang( 111 ). Retsakten om digitale tjenester indeholder specifikke bestemmelser for at sikre et højt niveau af privatliv, sikkerhed og tryghed for børn, der bruger onlineplatforme.

Nogle interessenter rapporterer om udfordringer med udøvelsen af registreredes rettigheder, når de registrerede er børn. De rapporterer navnlig, at børn ikke fuldt ud forstår deres rettigheder, mangler digitale færdigheder og kan være udsat for utilbørlig påvirkning( 112 ). Kommissionen har finansieret flere initiativer på nationalt plan om beskyttelse af børns data og om fremme af børns bevidsthed om databeskyttelse( 113 ). Inden for rammerne af strategien for et bedre internet for børn (BIK+) stiller Kommissionen oplysningsressourcer og -kurser til rådighed for børn om deres digitale rettigheder, herunder databeskyttelse (f.eks. digitalt samtykke)( 114 ). Der er stigende fokus på behovet for effektive og privatlivsvenlige værktøjer til alderskontrol. I begyndelsen af 2024 oprettede Kommissionen en taskforce om alderskontrol med medlemsstaterne, Databeskyttelsesrådet og Gruppen af Europæiske Tilsynsmyndigheder for Audiovisuelle Medietjenester med henblik på at drøfte og støtte udviklingen af en EU-dækkende tilgang til alderskontrol. Dette arbejde vil nu fortsætte under Det Europæiske Råd for Digitale Tjenester nedsat ved forordningen om digitale tjenester i arbejdsgruppen om beskyttelse af mindreårige. I forbindelse med forordningen om den europæiske ramme for digital identitet( 115 ), som trådte i kraft i maj 2024, arbejder Kommissionen på at sikre, at den europæiske digitale ID-tegnebog tilbydes alle EU-borgere og personer med bopæl i EU i 2026, herunder med henblik på alderskontrol. Inden økosystemet for tegnebogen er fuldt operationelt, vil der blive udviklet en kortsigtet løsning for aldersverifikation, som bliver tilgængelig i hele EU.

5Muligheder og udfordringer for organisationer, især SMV'er

GDPR har skabt lige vilkår for virksomheder, der opererer på det indre marked, og dens teknologineutrale, innovationsvenlige tilgang gør det muligt for virksomhederne at mindske bureaukratiet og drage fordel af større forbrugertillid( 116 ). Mange virksomheder har udviklet en intern databeskyttelseskultur og betragter privatlivets fred og databeskyttelse som vigtige konkurrenceparametre. Virksomhederne værdsætter den risikobaserede tilgang i GDPR som et vejledende princip, der giver mulighed for fleksibilitet og skalerbarhed af deres forpligtelser( 117 ).

5.1Værktøjskasse for virksomheder

GDPR indeholder en værktøjskasse med instrumenter, der gør det muligt for organisationer på en fleksibel måde at forvalte og påvise deres overholdelse, herunder adfærdskodekser, certificeringsmekanismer og standardkontraktbestemmelser. Som bebudet i 2020-rapporten vedtog Kommissionen standardkontraktbestemmelser om forholdet mellem den dataansvarlige og databehandleren i 2021( 118 ). Disse standardkontraktbestemmelser udgør et færdigt og let gennemførligt frivilligt overholdelsesværktøj, som er særligt nyttigt for SMV'er eller organisationer, der måske ikke har ressourcerne til at forhandle individuelle kontrakter med deres handelspartnere. Virksomhederne giver blandet feedback om anvendelsen af standardkontraktbestemmelserne i den forstand, at nogle virksomheder (hovedsagelig SMV'er) anvender dem helt eller delvist, mens andre (hovedsagelig større virksomheder) har en tendens til ikke at anvende dem, fordi de foretrækker at anvende deres egne bestemmelser.

Virksomhederne understreger, at adfærdskodekser har et stort potentiale som et sektorspecifikt og omkostningseffektivt overholdelsesværktøj( 119 ). Udviklingen af adfærdskodekser har imidlertid været begrænset( 120 ). Ifølge de foreliggende oplysninger er kun to EU-dækkende kodekser blevet godkendt (begge i cloud-sektoren), mens seks kodekser er blevet godkendt på nationalt plan( 121 ). Interessenterne rapporterer om byrdefulde krav (herunder behovet for at oprette et akkrediteret kontrolorgan), manglende engagement fra databeskyttelsesmyndighedernes side og en langvarig godkendelsesproces som de vigtigste faktorer, der begrænser udbredelsen af adfærdskodekser( 122 ).

Der er behov for øget gennemsigtighed i processen og klare godkendelsesfrister. Databeskyttelsesmyndighederne og, for så vidt angår EU-dækkende kodekser, Databeskyttelsesrådet bør mere aktivt tilskynde til udarbejdelsen af adfærdskodekser ved at samarbejde med de sammenslutninger, der udarbejder kodekserne. Dette vil bidrage til at løse fortolkningsforskelle og fremskynde godkendelsesprocessen. Interessenterne beklager de lange forsinkelser i vedtagelsen af adfærdskodekser som følge af spørgsmål, der drøftes parallelt som led i arbejdet med retningslinjer. Virksomheder rapporterer ligeledes, at certificering ikke anvendes i vid udstrækning, fordi udviklingsprocessen er langsom og kompleks. Som det er tilfældet med adfærdskodekser, bør databeskyttelsesmyndighederne fastsætte klarere tidsfrister for revision og godkendelse af certificeringer.

Databeskyttelsesrådet har i sin strategi for 2024-2027 forpligtet sig til fortsat at støtte overholdelsesforanstaltninger såsom certificering og adfærdskodekser, herunder ved at samarbejde med centrale grupper af interessenter for at forklare, hvordan værktøjerne kan anvendes( 123 ).

5.2Specifikke udfordringer for SMV'er og små operatører

I 2020-rapporten opfordrede Kommissionen til en intensivering af indsatsen for at støtte SMV'ers overholdelse af GDPR. I de seneste år har databeskyttelsesmyndighederne og Databeskyttelsesrådet fortsat udviklingen af overholdelsesværktøjer for SMV'er, delvist støttet af finansiering fra Kommissionen( 124 ). I april 2023 lancerede Databeskyttelsesrådet en databeskyttelsesvejledning for små virksomheder( 125 ), som stiller praktiske oplysninger til rådighed for SMV'er i et tilgængeligt og letforståeligt format.

SMV'er i mange medlemsstater understreger fordelene ved skræddersyet støtte fra deres lokale databeskyttelsesmyndigheder. Forskellige tilgange til oplysning og vejledning fra databeskyttelsesmyndighedernes side betyder imidlertid, at SMV'er i visse medlemsstater opfatter overholdelse som kompleks og frygter håndhævelse( 126 ). Databeskyttelsesmyndighederne bør intensivere deres bestræbelser på at tackle disse udfordringer, herunder ved proaktivt at samarbejde med SMV'er for at fjerne eventuelle ubegrundede bekymringer om overholdelse. Databeskyttelsesmyndighederne bør fokusere på at yde skræddersyet støtte og praktiske værktøjer såsom skabeloner (f.eks. til gennemførelse af konsekvensanalyser vedrørende databeskyttelse), hjælpelinjer, illustrative eksempler, tjeklister og vejledning om specifikke databehandlingsaktiviteter (f.eks. fakturering eller nyhedsbreve) og tekniske og organisatoriske foranstaltninger. Da de fleste SMV'er ikke har intern databeskyttelsesekspertise, bør enhver vejledning rettet mod SMV'er være letforståelig for dem, der ikke har en juridisk uddannelse( 127 ).

I overensstemmelse med GDPR's risikobaserede tilgang bærer SMV'er, der udfører lavrisikodatabehandlingsaktiviteter, ikke en væsentlig regelbyrde. Undtagelsen om at føre fortegnelser over databehandlingsaktiviteter( 128 ) gælder i begrænsede tilfælde( 129 ), men SMV'er, der udfører lavrisikodatabehandling, kan overholde reglerne ved at føre forenklede registre baseret på skabeloner fra databeskyttelsesmyndighederne. Desuden bør sådanne fortegnelser ses som et nyttigt redskab for SMV'er til at gøre status over deres databehandlingsaktiviteter.

5.3Databeskyttelsesrådgivere

Databeskyttelsesrådgivere spiller en vigtig rolle med hensyn til at sikre overholdelse af GDPR i de organisationer, hvor de arbejder. Generelt har databeskyttelsesrådgivere, der opererer i EU, den nødvendige viden og de nødvendige færdigheder til at udføre deres opgaver i henhold til GDPR, og deres uafhængighed respekteres( 130 ). Der er dog stadig en række udfordringer, herunder: i) vanskeligheder med at udpege databeskyttelsesrådgivere med den nødvendige ekspertise, ii) mangel på EU-dækkende standarder for uddannelse og erhvervsuddannelse, iii) manglende tilstrækkelig integration af databeskyttelsesrådgivere i organisatoriske processer, iv) mangel på ressourcer, v) yderligere opgaver, som ikke vedrører databeskyttelse, og vi) utilstrækkelig anciennitet( 131 ). Databeskyttelsesrådet bemærkede, at der er behov for, at databeskyttelsesmyndighederne intensiverer deres oplysningsaktiviteter samt deres informations- og håndhævelsesforanstaltninger for at sikre, at databeskyttelsesrådgiverne kan udfylde deres rolle i henhold til GDPR( 132 ).

6GDPR som en hjørnesten i EU's politik på det digitale område

6.1Digital politik, der bygger på GDPR

I 2020-rapporten forpligtede Kommissionen sig til at støtte en konsekvent anvendelse af databeskyttelsesrammen i forbindelse med nye teknologier for at støtte innovation og teknologisk udvikling. EU har siden vedtaget en række initiativer, hvoraf nogle supplerer GDPR eller præciserer, hvordan den bør anvendes på specifikke områder med henblik på at forfølge særlige mål, jf. nedenfor.

·Forordningen om digitale tjenester( 133 ), som har til formål at skabe et sikkert onlinemiljø for enkeltpersoner og virksomheder, forbyder onlineplatforme at vise reklamer baseret på profilering ved hjælp af "særlige kategorier af personoplysninger" som defineret i GDPR.

·For at gøre de digitale markeder mere retfærdige og åbne bør forordningen om digitale markeder( 134 ) forbyde operatører, der er udpeget som "gatekeepere", at "kombinere" og "krydsanvende" personoplysninger mellem deres centrale platformstjenester og andre tjenester, medmindre brugeren har givet sit samtykke som defineret i GDPR.

·Forordningen om kunstig intelligens( 135 ) præciserer EU's databeskyttelsesregler på specifikke områder, hvor kunstig intelligens anvendes, f.eks. i systemer til biometrisk fjernidentifikation, behandling af særlige kategorier af data for at opdage skævheder og yderligere behandling af personoplysninger i reguleringsmæssige sandkasser.

·Direktivet om platformsarbejde( 136 ) supplerer GDPR på beskæftigelsesområdet ved at fastsætte regler om automatiserede overvågnings- og beslutningssystemer, der anvendes af digitale arbejdsplatforme, og navnlig begrænsninger for behandling af personoplysninger, gennemsigtighed, menneskeligt tilsyn og revision samt portabilitet.

·Forordningen om politisk reklame( 137 ) forbyder anvendelsen af særlige kategorier af personoplysninger i politisk reklame og kræver større gennemsigtighed med hensyn til de anvendte målretnings- og forstærkningsteknikker.

·Forordningen om en europæisk digital identitet gør det muligt at oprette en universel, pålidelig og sikker europæisk digital ID-tegnebog. Dette vil gøre det muligt for enkeltpersoner at dokumentere personlige forhold såsom alder, kørekort, eksamensbeviser og bankkonti med fuld kontrol over deres personoplysninger og uden unødvendig datadeling.

Forslaget til en e-databeskyttelsesforordning( 138 ) til erstatning af det nuværende e-databeskyttelsesdirektiv( 139 ) og supplement til den lovgivningsmæssige ramme for beskyttelse af privatlivets fred og databeskyttelse har været under forhandling i flere år. Der er behov for overvejelser om de næste skridt i forbindelse med dette initiativ, herunder dets forbindelse med GDPR.

Forordningen om et interoperabelt Europa( 140 ) sigter mod at gøre digitale offentlige tjenester interoperable i hele EU. Den støtter samarbejdet mellem databeskyttelsesmyndighederne, navnlig gennem reguleringsmæssige sandkasser for interoperabilitet.

Flere EU-initiativer udgør et retsgrundlag for private enheders behandling af personoplysninger med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger. Enhver sådan lovgivning skal være omhyggeligt målrettet for at minimere indgreb i retten til beskyttelse af personoplysninger og skal stå i et rimeligt forhold til det tilstræbte mål( 141 ). Chartret, GDPR og Domstolens retspraksis udgør en ramme, som disse initiativer bør måles i forhold til. Den foreslåede pakke til bekæmpelse af hvidvask af penge( 142 ) indeholder væsentlige garantier for beskyttelse af personoplysninger, uden at det går ud over målet om at mindske risikoen for hvidvask af penge og finansiering af terrorisme og effektivt afsløre kriminelle forsøg på misbrug af EU's finansielle system.

I den forbindelse har Rådet understreget, at al ny EU-lovgivning, der indeholder bestemmelser om behandling af personoplysninger, skal være i overensstemmelse med GDPR og Domstolens retspraksis.

6.2En retlig ramme til forbedring af datadeling

Datastrategien har til formål at skabe et indre marked for data, hvor data flyder frit inden for EU og på tværs af sektorer til gavn for virksomheder, forskere og offentlige forvaltninger. Et centralt mål for datastrategien er at skabe fælles europæiske dataområder, der letter datapooling, -adgang og -deling. Med hensyn til personoplysninger udgør GDPR rammen for alle initiativer, der har til formål at øge den frie udveksling af data i EU – hvilket i sig selv er et mål for GDPR. For så vidt angår personoplysninger, ændres der ikke ved GDPR's beskyttelse.

Forordningen om datastyring( 143 ) og dataforordningen( 144 ) er søjler i datastrategien. Datastyringsforordningen fastsætter konkrete regler i forbindelse med videreanvendelse af den offentlige sektors data, der indeholder personoplysninger og fastsætter en lovgivningsmæssig ramme for dataformidlingstjenester — herunder tjenester til forvaltning af personoplysninger (PIMS) eller persondataskyer, der tilbydes for at styrke de registreredes indflydelse, når de udøver deres rettigheder i henhold til GDPR. Den fastsætter også betingelserne for anvendelse af data til altruistiske formål. Dataforordningen styrker de registreredes kontrol over de data, de genererer gennem brug af intelligente objekter, som de ejer, lejer eller leaser, ved at stille krav om tekniske krav til dataadgang og -portabilitet.

Det europæiske sundhedsdataområde (EHDS)( 145 ) afspejler de specifikke behov, der er identificeret i sundhedsdatasektoren, samtidig med at der bygges videre på GDPR. Det giver enkeltpersoner mulighed for nemt at få adgang til deres sundhedsdata i elektronisk format og dele dem med sundhedspersonale, herunder i andre medlemsstater, hvilket forbedrer leveringen af sundhedsydelser og øger patienternes kontrol over deres data. Den indfører også en fælles retlig ramme for videreanvendelse af sundhedsdata til formål såsom forskning, innovation og folkesundhed på grundlag af en tilladelse udstedt af et organ med ansvar for adgang til sundhedsdata. For at sikre beskyttelsen af personoplysninger vil det europæiske sundhedsdataområde udgøre en pålidelig ramme for sikker adgang til og behandling af sundhedsdata. Kommissionen støtter fortsat arbejdet med at udvikle fælles europæiske dataområder på tværs af 14 sektorer ved at gennemføre den nye lovgivningsmæssige ramme og finansiere sektorspecifikke initiativer.

6.3Forvaltning af nye digitale regler

Udviklingen af digitale regler øger behovet for et tæt samarbejde på tværs af lovgivningsområder( 146 ). Et sådant samarbejde er så meget desto mere nødvendigt, da databeskyttelsesspørgsmål i stigende grad falder sammen med spørgsmål om f.eks. konkurrencelovgivning, forbrugerlovgivning, regler om digitale markeder, regulering af elektronisk kommunikation og cybersikkerhed. Dette er f.eks. tilfældet ved vurderingen af, om "pay or OK"-modellerne er forenelige med EU-retten.

I nogle tilfælde har databeskyttelsesmyndighederne til opgave at håndhæve specifikke bestemmelser i ny digital EU-lovgivning( 147 ). Nye digitale forordninger skaber også skræddersyede strukturer, der samler kompetente tilsynsmyndigheder for at sikre sammenhængende håndhævelse, såsom Gruppen på højt plan vedrørende forordningen om digitale markeder, Det Europæiske Datainnovationsråd (oprettet i henhold til forordningen om datastyring) og Det Europæiske Råd for Digitale Tjenester (oprettet i henhold til forordningen om digitale tjenester). NIS2-direktivet( 148 ) fastsætter mere detaljerede regler for samarbejde mellem tilsynsmyndigheder og databeskyttelsesmyndigheder om håndtering af sikkerhedshændelser, der udgør brud på persondatasikkerheden.

Uden for disse formelle strukturer tager databeskyttelsesmyndighederne skridt til at sikre, at deres foranstaltninger supplerer og er i overensstemmelse med andre reguleringsområder. I juli 2020 oprettede forbruger- og databeskyttelsesmyndighederne en "gruppe af frivillige" for at fastlægge bedste praksis og udveksle håndhævelseserfaringer. Databeskyttelsesmyndighederne deltager fortsat i fælles workshopper med netværket for forbrugerbeskyttelsessamarbejde. I 2023 nedsatte Databeskyttelsesrådet en taskforce om samspillet mellem databeskyttelse, konkurrence og forbrugerbeskyttelse.

Selv om denne udvikling er positiv, er der behov for mere strukturerede og effektive samarbejdsmidler, navnlig for at håndtere situationer, der berører et stort antal personer i EU og involverer flere reguleringsmyndigheder( 149 ). Sådanne strukturer bør sikre, at myndighederne til enhver tid er ansvarlige for alle spørgsmål vedrørende overholdelse af regler inden for deres kompetenceområder. Medlemsstaterne bør også arbejde på at sikre, at der finder et passende samarbejde sted på nationalt plan( 150 ).

7Internationale overførsler og globalt samarbejde

7.1Værktøjskassen for overførsler i GDPR

Datastrømme er blevet en integreret del af den digitale omstilling af samfundet og globaliseringen af økonomien. Mere end nogensinde før er respekt for privatlivets fred en forudsætning for stabile, sikre og konkurrencedygtige handelsstrømme samt en katalysator for mange former for internationalt samarbejde. GDPR's overførselsværktøjskasse i kapitel V indeholder en række instrumenter til håndtering af forskellige overførselsscenarier, samtidig med at det sikres, at der opretholdes et højt sikkerhedsniveau for data, der forlader EU. 

Siden 2020-rapporten er kravene til dataoverførsler i EU's databeskyttelseslovgivning blevet yderligere præciseret, og overførselsværktøjskassen er fortsat med at udvikle sig. En vigtig præcisering vedrører begrebet "international overførsel", som er blevet defineret af Databeskyttelsesrådet( 151 ) som enhver videregivelse af personoplysninger fra en dataansvarlig eller databehandler, hvis behandling er omfattet af GDPR, til en anden dataansvarlig eller databehandler i et tredjeland, uanset om sidstnævntes behandling er omfattet af GDPR eller ej( 152 ). Denne vejledning fra Databeskyttelsesrådet var særlig vigtig for at skabe retssikkerhed for europæiske dataansvarlige og databehandlere med hensyn til de scenarier, hvor der er behov for et overførselsværktøj i henhold til kapitel V i GDPR.

Domstolen har også givet yderligere præciseringer i sin Schrems II-dom( 153 ) om den beskyttelse, der skal sikres ved forskellige overførselsinstrumenter for at sikre, at det beskyttelsesniveau, der garanteres ved GDPR, ikke undermineres( 154 ). Disse instrumenter skal navnlig sikre, at personer, hvis oplysninger overføres til lande uden for EU, sikres et beskyttelsesniveau, der i det væsentlige svarer til det, der garanteres inden for EU( 155 ). Det er EU-dataeksportørens ansvar at vurdere, om dette er tilfældet, under hensyntagen til de særlige omstændigheder ved dataeksportørens overførsler( 156 ).

For at vurdere beskyttelsesniveauet skal dataeksportører tage hensyn til både de databeskyttelsesgarantier, der er fastsat i det overførselsinstrument, der er indgået med en dataimportør fra et tredjeland (f.eks. en kontrakt), og relevante aspekter af retssystemet i det land, hvor dataimportøren er etableret, navnlig for så vidt angår offentlige myndigheders eventuelle adgang til dataene i det pågældende land( 157 ). Sidstnævnte skal vurderes i lyset af de kriterier for tilstrækkelighedsvurderinger, der er fastsat i artikel 45 i GDPR. Domstolen uddybede også disse kriterier yderligere, navnlig med hensyn til reglerne om offentlige myndigheders adgang til personoplysninger med henblik på retshåndhævelse og national sikkerhed.

Denne fortolkning er også afspejlet i Databeskyttelsesrådets vejledning, som ajourførte dets "Adequacy Referential"( 158 ) (som gav vejledning om de elementer, som Kommissionen skal tage hensyn til, når den foretager en tilstrækkelighedsvurdering). Databeskyttelsesrådet vedtog også nye retningslinjer med yderligere præciseringer om: i) de elementer, som de enkelte dataeksportører skal tage hensyn til ved vurderingen af beskyttelsesniveauet, ii) en oversigt over potentielle kilder, der kan anvendes, og iii) eksempler på mulige supplerende foranstaltninger (f.eks. kontraktmæssige og tekniske sikkerhedsforanstaltninger)( 159 ). Vejledningen fremhæver specifikt, at hver enkelt vurdering, der foretages af dataeksportører, er unik, og at de derfor skal tage hensyn til de særlige karakteristika ved hver enkelt overførsel, som kan variere afhængigt af formålet med dataoverførslen, de typer enheder, der er involveret, den sektor, hvor overførslen finder sted, kategorierne af overførte personoplysninger osv. ( 160 ).

Under hensyntagen til disse forskellige præciseringer af kravene til internationale dataoverførsler er der i de seneste år taget betydelige skridt til at videreudvikle og operationalisere GDPR-overførselsværktøjskassen.

7.1.1Afgørelser om tilstrækkeligheden af beskyttelsesniveauet

Som det også fremgår af den feedback, der er modtaget fra interessenterne, spiller afgørelser om tilstrækkeligheden af beskyttelsesniveauet fortsat en central rolle i GDPR's overførselsværktøjskasse( 161 ) ved at tilvejebringe en enkel og omfattende løsning for dataoverførsler, uden at dataeksportøren behøver at give yderligere garantier eller indhente tilladelse. Ved at muliggøre fri udveksling af personoplysninger har disse afgørelser åbnet kommercielle kanaler for EU-operatører, bl.a. ved at supplere og forstærke fordelene ved handelsaftaler samt lette samarbejdet med udenlandske partnere på en lang række områder fra samarbejde på lovgivningsområdet til forskning.

Siden 2020-rapporten er antallet af lande, der har indført moderne databeskyttelseslove – der bl.a. indeholder centrale databeskyttelsesprincipper, individuelle rettigheder og effektiv håndhævelse fra uafhængige tilsynsmyndigheders side – fortsat med at vokse. Denne tendens( 162 ) har også gjort det muligt for Kommissionen at intensivere sit arbejde med tilstrækkeligheden. Dette omfatter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for Det Forenede Kongerige( 163 ), som er afgørende for at sikre, at de forskellige aftaler, der indgås med Det Forenede Kongerige efter brexit, fungerer korrekt. For at sikre, at den forbliver fremtidssikret, indeholder afgørelsen om tilstrækkeligheden af beskyttelsesniveauet en "udløbsklausul", der udløber i 2025, hvorefter den kan forlænges, hvis beskyttelsesniveauet fortsat er tilstrækkeligt. Kommissionen har også vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for Republikken Korea( 164 ), som supplerer frihandelsaftalen mellem EU og Korea om udveksling af personoplysninger og letter det reguleringsmæssige samarbejde. Der er planlagt en første revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet hen imod slutningen af 2024.

Efter ugyldiggørelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet for EU's og USA's værn om privatlivets fred indledte Kommissionen desuden drøftelser med den amerikanske regering om at udvikle en efterfølgende ordning i overensstemmelse med de krav, som Domstolen har præciseret( 165 ). Den amerikanske præsident vedtog et nyt dekret om udvidede retssikkerhedsmekanismer for amerikanske signalefterretningstjenester, som indførte nye bindende garantier, der kan håndhæves, for at sikre, at der kun er adgang til data af hensyn til den nationale sikkerhed i det omfang, det er nødvendigt og forholdsmæssigt, og at europæerne har adgang til effektive retsmidler. På dette grundlag vedtog Kommissionen sin afgørelse om tilstrækkeligheden af beskyttelsesniveauet for EU's og USA's databeskyttelsesramme( 166 ), der gør det muligt for personoplysninger at flyde frit fra EU til amerikanske virksomheder, der tilslutter sig databeskyttelsesrammen. Eftersom de garantier, som den amerikanske regering har indført på området for national sikkerhed, finder anvendelse på alle dataoverførsler til virksomheder i USA, uanset hvilken overførselsmekanisme der anvendes i henhold til GDPR, er anvendelsen af andre værktøjer såsom standardkontraktbestemmelser og bindende virksomhedsregler, blevet lettet betydeligt. En første gennemgang af, hvordan databeskyttelsesrammen fungerer, vil finde sted i sommeren 2024 for at kontrollere, at alle relevante elementer er blevet gennemført fuldt ud i USA's retlige ramme og fungerer effektivt i praksis.

Der er i øjeblikket forhandlinger i gang om et tilstrækkeligt beskyttelsesniveau med Brasilien og Kenya samt for første gang med flere internationale organisationer (forhandlingerne om et tilstrækkeligt beskyttelsesniveau er f.eks. langt fremme med Den Europæiske Patentorganisation)( 167 ). I overensstemmelse med opfordringerne fra forskellige interessenter( 168 ) har Kommissionen aktivt deltaget i sonderende drøftelser med lande i forskellige regioner i verden.

Kommissionen overvåger også løbende udviklingen i de lande, der allerede drager fordel af afgørelser om tilstrækkeligheden af beskyttelsesniveauet, og gennemgår regelmæssigt eksisterende afgørelser i overensstemmelse med sine tilsvarende forpligtelser i henhold til GDPR( 169 ). I april 2023 vedtog Kommissionen sin rapport om den første periodiske revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet for Japan( 170 ), som konkluderede, at Japan fortsat sikrer et tilstrækkeligt beskyttelsesniveau( 171 ). Gennemgangen viste, at EU's og Japans databeskyttelsesrammer har nærmet sig hinanden yderligere siden vedtagelsen af de gensidige afgørelser om tilstrækkeligheden af beskyttelsesniveauet.

Desuden er den første gennemgang af de 11 afgørelser om tilstrækkeligheden af beskyttelsesniveauet i overensstemmelse med artikel 97 i GDPR( 172 ), der blev vedtaget under EU's tidligere databeskyttelsesramme (databeskyttelsesdirektivet), blev indledt som led i evalueringen i 2020 af anvendelsen og funktionen af GDPR. Konklusionen på dette aspekt af revisionen blev udsat, navnlig for at tage hensyn til Domstolens dom i Schrems II-sagen og efterfølgende fortolkning fra nævnets side. Revisionsrettens ovennævnte præciseringer af centrale elementer i tilstrækkelighedsstandarden førte til detaljerede udvekslinger med de berørte lande og territorier om relevante aspekter af deres retlige rammer samt tilsyns- og håndhævelsesmekanismer.

Den 15. januar 2024 offentliggjorde Kommissionen sin rapport om disse 11 afgørelser sammen med detaljerede landerapporter, der beskriver udviklingen i hvert af landene og territorierne siden vedtagelsen af afgørelserne om tilstrækkeligheden af beskyttelsesniveauet, samt de regler, der gælder for offentlige myndigheders adgang til data, navnlig med henblik på retshåndhævelse og national sikkerhed( 173 ). Rapporten konkluderer, at alle 11 lande og territorier fortsat yder et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU. Den afspejler, at alle de berørte lande og territorier på forskellig vis har moderniseret og styrket deres retlige rammer for beskyttelse af privatlivets fred. For at afhjælpe relevante forskelle i beskyttelsesniveauet er yderligere garantier for personoplysninger, der overføres fra Europa, desuden – når det er nødvendigt for at sikre kontinuiteten i afgørelsen om tilstrækkeligheden – blevet forhandlet og aftalt med nogle af dem.

Disse revisioner viser også, at afgørelser om tilstrækkeligheden af beskyttelsesniveauet snarere end at være et "slutpunkt" har lagt grunden til et tættere samarbejde og yderligere lovgivningsmæssig konvergens mellem EU og disse ligesindede partnere. I rapporten om den første revision af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet for Japan anerkendes det f.eks., at en yderligere styrkelse af den japanske databeskyttelsesramme kan bane vejen for at udvide afgørelsen om tilstrækkeligheden af beskyttelsesniveauet ud over kommercielle udvekslinger til at omfatte overførsler, der i øjeblikket er udelukket fra dens anvendelsesområde, f.eks. inden for reguleringssamarbejde og forskning. Drøftelserne om at undersøge en sådan mulig udvidelse er i gang. Generelt er afgørelser om tilstrækkeligheden af beskyttelsesniveauet blevet en strategisk komponent i EU's overordnede forbindelser med disse udenlandske partnere og anerkendes som en vigtig katalysator for uddybning af samarbejdet på en lang række områder.

Ud over at udgøre et stærkt grundlag for øget bilateralt samarbejde giver det voksende netværk af lande og territorier, for hvilke EU har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, nye muligheder for at maksimere fordelene ved sikre og frie datastrømme og for at arbejde tættere sammen mellem ligesindede partnere om håndhævelsen af databeskyttelsesreglerne. I marts 2024 var Kommissionen derfor vært for det første møde på højt plan nogensinde om sikre datastrømme, der samlede ansvarlige ministre og ledere af databeskyttelsesmyndighederne i 15 lande og territorier, for hvilke EU har vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, samt formanden for Det Europæiske Databeskyttelsesråd( 174 ). På mødet blev der udpeget flere konkrete indsatsområder, som der er opfølgende arbejde i gang med i denne gruppe.

Overordnet set er afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget af Kommissionen, i stigende grad også relevante uden for EU gennem deres "netværkseffekt", da de ikke blot giver mulighed for fri udveksling af data med de 30 økonomier i EØS, men også med mange flere jurisdiktioner rundt om i verden, der anerkender lande, for hvilke der er en EU-afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som "sikre destinationer" i henhold til deres egne databeskyttelsesregler( 175 ).

7.1.2Instrumenter, der giver de fornødne garantier

Siden 2020-rapporten er der udviklet yderligere værktøjer, der giver passende garantier, og der er udstedt praktisk vejledning for at lette anvendelsen heraf.

Som bebudet i 2020-rapporten har Kommissionen vedtaget moderniserede standardkontraktbestemmelser( 176 ), som i vid udstrækning er udviklet på grundlag af feedback fra forskellige interessenter( 177 ). De nye standardkontraktbestemmelser har erstattet de tre sæt standardkontraktbestemmelser, der blev vedtaget i henhold til databeskyttelsesdirektivet. De vigtigste nyskabelser omfatter: i) ajourførte garantier i overensstemmelse med GDPR, ii) en modulopbygget tilgang, der giver mulighed for et enkelt kontaktpunkt, som dækker en bred vifte af overførselsscenarier, iii) øget fleksibilitet i forbindelse med flere parters anvendelse af standardkontraktbestemmelser og iv) en praktisk værktøjskasse til overholdelse af Schrems II-dommen.

De moderniserede standardkontraktbestemmelser er blevet hilst velkommen af interessenterne, og den modtagne feedback bekræfter, at standardkontraktbestemmelserne fortsat er langt det mest anvendte redskab til overførsler foretaget af dataeksportører i EU( 178 ). For at bistå dataeksportørerne med deres bestræbelser på at overholde reglerne har Kommissionen udarbejdet en Q&A, der giver yderligere vejledning om anvendelsen af bestemmelserne( 179 ), som vil blive yderligere ajourført, hvis der opstår nye spørgsmål, herunder i lyset af den yderligere feedback, der er modtaget som led i denne evaluering.

Mange dataeksportører rapporterer, at de har problemer med at gennemføre de "konsekvensanalyser af overførsler", som kræves af Schrems II-dommen, idet der navnlig henvises til deres kompleksitet samt til de omkostninger og den tid, der er nødvendig for at gennemføre dem( 180 ). Selv om de glæder sig over Databeskyttelsesrådets vejledning og standardkontraktbestemmelserne, opfordrer de til yderligere vejledning (f.eks. om de involverede parters ansvar og den detaljeringsgrad, der kræves i konsekvensanalyser af overførsler) og yderligere værktøjer til at foretage sådanne vurderinger (f.eks. skabeloner, generelle landevurderinger og risikokataloger). Selv om interessenterne hovedsagelig gav en sådan feedback om standardkontraktbestemmelserne, kræves de samme vurderinger også for andre overførselsinstrumenter (f.eks. bindende virksomhedsregler). Det er derfor vigtigt, at Databeskyttelsesrådet – med udgangspunkt i erfaringerne med anvendelsen af Schrems II-kravene i de seneste år, herunder som led i de nationale databeskyttelsesmyndigheders håndhævelsesaktiviteter – overvejer at undersøge måder/værktøjer til yderligere at bistå dataeksportører i deres bestræbelser på at overholde reglerne i denne forbindelse.

For at supplere de eksisterende standardkontraktbestemmelser er Kommissionen i færd med at udvikle yderligere sæt af bestemmelser for at give EU's dataeksportører en omfattende og sammenhængende pakke. Dette vil omfatte standardkontraktbestemmelser i henhold til forordning (EU) 2018/1725 for EU-institutioners og -organers videregivelse af oplysninger til kommercielle operatører i tredjelande( 181 ) og standardkontraktbestemmelser for dataoverførsler til dataimportører fra tredjelande, hvis behandlingsaktiviteter er direkte omfattet af GDPR. Sidstnævnte imødekommer interessenternes opfordring til specifikt at dække scenarier, hvor dataimportøren er omfattet af GDPR's territoriale anvendelsesområde (f.eks. fordi den pågældende behandling er rettet mod EU-markedet i overensstemmelse med artikel 3, stk. 2, i GDPR)( 182 ). Som præciseret af Databeskyttelsesrådet er der også i dette tilfælde behov for et overførselsværktøj i henhold til kapitel V i GDPR på grund af de øgede risici for personoplysninger, der behandles uden for EU, f.eks. på grund af eventuel modstridende national lovgivning eller uforholdsmæssig offentlig adgang i tredjelandet( 183 ). De nye standardkontraktbestemmelser, som Kommissionen er ved at udvikle, vil specifikt omhandle dette scenario og fuldt ud tage hensyn til de krav, der allerede gælder direkte for disse dataansvarlige og databehandlere i henhold til GDPR( 184 ).

Som også anerkendt af forskellige typer interessenter( 185 ) spiller standardbestemmelser en stadig mere central rolle med hensyn til at lette datastrømme rundt om i verden. Flere jurisdiktioner har godkendt EU's standardkontraktbestemmelser som en overførselsmekanisme i henhold til deres egne databeskyttelseslove med begrænsede formelle tilpasninger af deres nationale retsorden( 186 ). En række andre lande har vedtaget deres egne standardbestemmelser, der har vigtige fællestræk med EU's standardkontraktbestemmelser( 187 ). Et særligt relevant eksempel er indførelsen af standardbestemmelser i andre internationale/regionale organisationer eller netværk såsom Europarådets rådgivende komité under konvention 108, det iberoamerikanske databeskyttelsesnetværk og Sammenslutningen af Sydøstasiatiske Nationer (ASEAN)( 188 ). Dette åbner nye muligheder for at lette datastrømmene mellem forskellige regioner i verden på grundlag af standardbestemmelser. Et konkret eksempel er EU-ASEAN-vejledningen om EU's standardkontraktbestemmelser og ASEAN-standardbestemmelser, som på grundlag af input fra virksomheder bistår dem i deres bestræbelser på at overholde begge sæt bestemmelser( 189 ).

Ud over standardkontraktbestemmelser anvendes bindende virksomhedsregler fortsat i vid udstrækning til datastrømme mellem medlemmer af koncerner eller mellem virksomheder, der udøver en fælles økonomisk aktivitet. Siden GDPR's ikrafttræden har Databeskyttelsesrådet vedtaget 80 positive udtalelser om nationale afgørelser om godkendelse af bindende virksomhedsregler( 190 ). Databeskyttelsesrådet har også udsendt en vejledning om de elementer, der skal indgå i de bindende virksomhedsregler for dataansvarlige (og de oplysninger, der skal gives som led i en ansøgning om bindende virksomhedsregler), som er blevet ajourført for at afspejle kravene i GDPR og Schrems II-dommen( 191 ). Der er også ved at blive udarbejdet ajourførte retningslinjer for bindende virksomhedsregler for databehandlere( 192 ). Da bindende virksomhedsregler har til formål at indføre bindende databeskyttelsespolitikker/-programmer i virksomheder, anser mange interessenter dem for at være et særligt nyttigt overholdelsesværktøj og et pålideligt overførselsinstrument( 193 ). Samtidig rapporterer interessenterne fortsat, at længden og kompleksiteten af de nationale databeskyttelsesmyndigheders godkendelsesproces forhindrer en bredere anvendelse af bindende virksomhedsregler. Det er derfor vigtigt, at myndighederne fortsat arbejder på at strømline og afkorte godkendelsesprocessen.

Siden 2020-rapporten er der også taget skridt til at lette anvendelsen af certificering og adfærdskodekser som værktøjer til overførsler, f.eks. gennem Databeskyttelsesrådets vedtagelse af særlige retningslinjer for begge værktøjer( 194 ). Samtidig rapporterer interessenterne om de samme problemer vedrørende tidsplanen for og kompleksiteten af godkendelsesprocessen som dem, der er nævnt ovenfor med hensyn til certificering og adfærdskodekser som ansvarlighedsværktøjer.

Endelig indeholder GDPR også bestemmelser om specifikke instrumenter – internationale aftaler og administrative ordninger, der er godkendt af databeskyttelsesmyndighederne – der skal anvendes af offentlige myndigheder til at overføre personoplysninger til deres modparter i tredjelande eller til internationale organisationer. Databeskyttelsesrådet har vedtaget retningslinjer for de sikkerhedsforanstaltninger, der bør indgå i sådanne instrumenter( 195 ), som kan støtte forhandlingerne om sådanne aftaler og ordninger.

7.1.3Sikring af komplementaritet med andre politikker

Da datastrømme er blevet afgørende for så mange aktiviteter, er det afgørende at sikre, at databeskyttelsespolitikker og andre politikker supplerer hinanden. Medtagelsen af databeskyttelsesgarantier i internationale instrumenter er ikke kun ofte en forudsætning for datastrømme, men også en vigtig katalysator for et stabilt og pålideligt samarbejde.

Internationale aftaler, der giver de nødvendige databeskyttelsesgarantier, herunder ved at sikre kontinuitet i beskyttelsen fra den anmodende myndigheds side, er f.eks. afgørende for at sikre høflighed og lette retshåndhævelsens grænseoverskridende adgang til elektronisk bevismateriale, som virksomheder er i besiddelse af, og på denne måde en mere effektiv bekæmpelse af kriminalitet. Denne tilgang afspejles i Anden tillægsprotokol til konventionen om IT-kriminalitet( 196 ), som forbedrer de eksisterende regler for at opnå grænseoverskridende adgang til elektronisk bevismateriale i strafferetlige efterforskninger, samtidig med at der sikres passende databeskyttelsesgarantier. Protokollen er i mellemtiden blevet undertegnet af flere EU-medlemsstater. På samme måde skrider de bilaterale forhandlinger mellem EU og USA om en aftale om grænseoverskridende adgang til elektronisk bevismateriale med henblik på samarbejde i straffesager( 197 ) frem.

Udvekslingen af passagerliste (PNR)-oplysninger er et andet område af EU's sikkerhedspolitik, der har nydt godt af udviklingen af stærke databeskyttelsesgarantier. I 2023 afsluttede EU og Canada deres forhandlinger om en ny PNR-aftale i overensstemmelse med de krav, som Domstolen fastsatte i sin udtalelse 1/15( 198 ). Lignende sikkerhedsforanstaltninger er blevet indført i kapitlet om PNR i handels- og samarbejdsaftalen mellem EU og Det Forenede Kongerige. Medtagelsen af øget beskyttelse af privatlivets fred i disse aftaler, der kan tjene som model for fremtidige aftaler med andre partnere, giver luftfartsselskaberne retssikkerhed, samtidig med at stabiliteten i vigtige udvekslinger af oplysninger med henblik på bekæmpelse af terrorisme og anden alvorlig grænseoverskridende kriminalitet sikres.

Kommissionen er også fortaler for stærke bestemmelser til beskyttelse af privatlivets fred og fremme af digital handel i Verdenshandelsorganisationen i de igangværende forhandlinger om initiativet om en fælles erklæring om elektronisk handel. Lignende bestemmelser om bekæmpelse af uberettigede hindringer for digital handel, samtidig med at parternes nødvendige politiske råderum på databeskyttelsesområdet beskyttes, er konsekvent blevet medtaget i de frihandelsaftaler, som EU har indgået efter ikrafttrædelsen af GDPR, navnlig i handels- og samarbejdsaftalen mellem EU og Det Forenede Kongerige og i aftalerne med Chile, Japan og New Zealand. Bestemmelser om privatlivets fred og datastrømme drøftes også i de igangværende forhandlinger om digital handel med Singapore og Sydkorea.

7.2Internationalt samarbejde om databeskyttelse

7.2.1Den bilaterale dimension

Kommissionen er fortsat med at indgå i dialog med lande og internationale organisationer om udvikling, reform og gennemførelse af regler om privatlivets fred, herunder ved at fremsætte bemærkninger til offentlige høringer om udkast til lovgivning eller reguleringsforanstaltninger på området privatlivets fred( 199 ), aflægge vidneforklaring for de kompetente parlamentariske organer( 200 ) og deltage i særlige møder med regeringsrepræsentanter, parlamentariske delegationer og lovgivere fra mange regioner i verden( 201 ). En række af disse aktiviteter er blevet gennemført gennem det EU-finansierede projekt "Enhanced Data Protection and Data Flows", som støtter lande, der har til hensigt at udvikle moderne databeskyttelsesrammer eller styrke deres tilsynsmyndigheders kapacitet gennem uddannelse, videndeling, kapacitetsopbygning og udveksling af bedste praksis. Kommissionen har også bidraget til andre initiativer såsom den digitale alliance mellem EU og CELAC.

Databeskyttelse vil også fortsat spille en central rolle i Kommissionens udvidelsesrelaterede arbejde. EU's databeskyttelseslovgivning er et vigtigt element i udvidelseslandenes samlede indsats for at tilpasse deres retlige rammer til EU's (især da behandling og udveksling af personoplysninger er kernen i så mange politikker). Desuden er en databeskyttelsesmyndigheds uafhængighed og korrekte funktion et centralt element i den overordnede magtdeling og retsstatsprincippet og vil blive stadig vigtigere, efterhånden som EU gradvist integrerer udvidelseslandene i det indre marked (som forudset i initiativer såsom vækstplanen for Vestbalkan).

Et stadig vigtigere aspekt af EU's dialog med tredjelande fokuserer på udvekslinger mellem reguleringsmyndigheder. Som bebudet i 2020-rapporten har Kommissionen oprettet et "databeskyttelsesakademi" for at fremme udvekslinger mellem EU's og tredjelandes databeskyttelsesmyndigheder og på denne måde bidrage til kapacitetsopbygning og forbedre samarbejdet "på stedet". Akademiet tilbyder skræddersyede kurser efter anmodning fra myndigheder i tredjelande og samler ekspertise fra repræsentanter for de retshåndhævende myndigheder, den akademiske verden, den private sektor og EU-institutionerne. Merværdien af kurserne ligger i, at de forskellige komponenter skræddersys til den anmodende myndigheds interesser og behov. Desuden giver disse kurser EU's og tredjelandes databeskyttelsesmyndigheder mulighed for at etablere kontakter, udveksle viden, udveksle erfaringer og bedste praksis og identificere potentielle samarbejdsområder. Akademiet har indtil videre tilbudt uddannelse til databeskyttelsesmyndighederne i Indonesien, Brasilien, Kenya, Nigeria og Rwanda og er i øjeblikket i færd med at forberede kurser for flere andre lande.

Ud over betydningen af at opretholde en dialog mellem tilsynsmyndighederne er der et stigende behov, hvilket også anerkendes i tilbagemeldingerne fra Rådet og Databeskyttelsesrådet( 202 ), for at udvikle passende retlige instrumenter med henblik på tættere former for samarbejde og gensidig bistand, herunder ved at muliggøre den nødvendige udveksling af oplysninger i forbindelse med efterforskninger. Da krænkelser af privatlivets fred i stigende grad har virkninger på tværs af grænserne, kan de ofte kun undersøges og håndteres effektivt gennem samarbejde mellem tilsynsmyndigheder i og uden for EU. Kommissionen vil derfor anmode om bemyndigelse til at indlede forhandlinger om indgåelse af samarbejdsaftaler om retshåndhævelse med relevante tredjelande (som også fastsat i artikel 50 i GDPR). I denne forbindelse noterer Kommissionen sig Databeskyttelsesrådets anmodning om specifikt at betragte lande med de fleste operatører, der er direkte underlagt GDPR, som potentielle modparter, navnlig G7-lande og/eller lande, der er omfattet af afgørelser om tilstrækkeligheden af beskyttelsesniveauet( 203 ).

Indførelsen af sådanne samarbejdsaftaler om retshåndhævelse og gensidig bistand vil også bidrage til at sikre overholdelse af og effektiv håndhævelse over for udenlandske operatører, der er omfattet af GDPR, f.eks. fordi de specifikt tilbyder varer eller tjenesteydelser til EU-markedet. Rådet noterer sig betydningen af at håndhæve overholdelsen af GDPR i sådanne tilfælde og udtrykker bekymring over de lige konkurrencevilkår i forhold til enheder i EU samt den effektive beskyttelse af enkeltpersoners rettigheder( 204 ). Kommissionen er enig i Rådets opfordring til at undersøge forskellige måder, hvorpå håndhævelsen kan gøres lettere i dette scenario. Selv om mere formelle former for samarbejde med tilsynsmyndigheder i tredjelande helt sikkert kunne spille en vigtig rolle, bør der bruges flere kræfter på at undersøge andre – allerede eksisterende – muligheder. Dette omfatter fuld udnyttelse af håndhævelsesværktøjskassen i artikel 58 i GDPR og inddragelse af repræsentanter for udenlandske virksomheder i EU (udpeget i overensstemmelse med artikel 27 i GDPR).

7.2.2Den multilaterale dimension

Kommissionen deltager også fortsat aktivt i en række internationale fora for at fremme fælles værdier og opbygge konvergens på regionalt og globalt plan.

Dette omfatter f.eks. aktivt at bidrage til arbejdet i det rådgivende udvalg for konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention 108), det eneste retligt bindende multilaterale instrument inden for beskyttelse af personoplysninger. Indtil videre har 31 stater ratificeret ændringsprotokollen til modernisering af konvention 108( 205 ), herunder mange EU-medlemsstater samt nogle lande, der ikke er medlemmer af Europarådet (Argentina, Mauritius og Uruguay). Blandt EU's medlemsstater er kun én medlemsstats underskrift( 206 ) stadig udestående, mens otte medlemsstater( 207 ) indtil videre har undertegnet, men ikke ratificeret den moderniserede konvention. Kommissionen opfordrer den resterende medlemsstat til at undertegne den moderniserede konvention og alle andre medlemsstater til hurtigt at ratificere konventionen, så den kan træde i kraft i den nærmeste fremtid. Derudover vil den fortsætte med proaktivt at tilskynde tredjelande til tiltrædelse.

På G20- og G7-niveau har i drøftelserne om privatlivets fred og datastrømme fokuseret på at operationalisere begrebet "frie datastrømme med tillid" (DFFT), som oprindeligt blev foreslået af Japan, og som anerkender, at databeskyttelse og -sikkerhed kan bidrage til tilliden til den digitale økonomi og lette datastrømme( 208 ). OECD spiller en særlig vigtig rolle i denne forbindelse ved at skabe et forum for et DFFT-ekspertfællesskab, der samler en bred vifte af interessenter (regeringer, lovgivere, industrien, civilsamfundet, den akademiske verden) for at give input til specifikke projekter og spørgsmål vedrørende DFFT. Desuden er et væsentligt resultat af DFFT-initiativet, som Kommissionen har bidraget væsentligt til, OECD's vedtagelse af en erklæring om offentlig adgang til personoplysninger, der opbevares af enheder i den private sektor, som er det første internationale instrument på dette område. Den indeholder en række fælles krav for at beskytte privatlivets fred, når der gives adgang til personoplysninger med henblik på national sikkerhed og retshåndhævelse. På baggrund af den stigende verdensomspændende erkendelse af, at tilliden til dataoverførsler påvirkes negativt af uforholdsmæssigt stor offentlig adgang, er denne erklæring et vigtigt bidrag til at lette pålidelige datastrømme. Kommissionen vil fortsat tilskynde landene til at tilslutte sig erklæringen, som også er åben for ikke-OECD-medlemmer.

Kommissionen samarbejder også med forskellige regionale organisationer og netværk, der udformer fælles databeskyttelsesgarantier. Dette vedrører f.eks. ASEAN, Den Afrikanske Union, forummet for databeskyttelsesmyndigheder i Asien og Stillehavsområdet, det iberoamerikanske databeskyttelsesnetværk og Netværket af afrikanske databeskyttelsesmyndigheder (NADPA – RADPD). Udarbejdelsen af ovennævnte EU-ASEAN-vejledning om standardbestemmelser er et konkret eksempel på et sådant frugtbart samarbejde.

Endelig opretholder Kommissionen en dialog med forskellige internationale organisationer, herunder for at undersøge, hvordan datastrømmene mellem EU og sådanne organisationer kan lettes yderligere. Da mange organisationer har moderniseret deres databeskyttelsesrammer i de seneste år eller er i færd med at gøre det, opstår der også nye muligheder for at udveksle erfaringer og bedste praksis. I den forbindelse har de årlige workshopper med internationale organisationer og en særlig taskforce om internationale dataoverførsler arrangeret af Den Europæiske Tilsynsførende for Databeskyttelse vist sig at være særligt nyttige fora til udveksling og undersøgelse af konkrete samarbejdsinstrumenter, herunder udveksling af personoplysninger( 209 ).

8KONKLUSION

I de seks år, der er gået, siden den trådte i kraft, har GDPR styrket mennesker ved at give dem reel kontrol over deres data. Den har også bidraget til at skabe lige vilkår for virksomhederne og været af grundlæggende betydning for en bred vifte af initiativer, der er drivkraften bag den digitale omstilling i EU.

For fuldt ud at nå de to mål i GDPR, nemlig en stærk beskyttelse af enkeltpersoner og sikring af fri udveksling af personoplysninger inden for EU og sikre datastrømme uden for EU, skal der være fokus på:

·en solid håndhævelse af GDPR begyndende med en hurtig vedtagelse af Kommissionens forslag om procedureregler med henblik på at tilvejebringe hurtige retsmidler og retssikkerhed i sager, der berører enkeltpersoner i hele EU

·proaktiv støtte fra databeskyttelsesmyndighederne til interessenter i deres bestræbelser på at overholde reglerne, navnlig SMV'er og små operatører

·en ensartet fortolkning og anvendelse af GDPR i hele EU

·et effektivt samarbejde mellem reguleringsmyndigheder på både nationalt plan og EU-plan for at sikre en konsekvent og sammenhængende anvendelse af det voksende antal digitale EU-regler

·yderligere fremme af Kommissionens internationale strategi for databeskyttelse.

For at støtte en effektiv anvendelse af GDPR og som grundlag for yderligere overvejelser om databeskyttelse er der behov for en række foranstaltninger, som er identificeret her. Kommissionen vil støtte og overvåge gennemførelsen heraf, også med henblik på den næste rapport i 2028. 

Udvikling af effektive samarbejdsstrukturer

Europa-Parlamentet og Rådet opfordres til hurtigt at vedtage forslaget om procedureregler for GDPR.

Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at:

-etablere et regelmæssigt samarbejde med andre sektorspecifikke tilsynsmyndigheder om spørgsmål, der har indvirkning på databeskyttelsen, navnlig dem, der er fastsat i EU's nye digitale lovgivning, og aktivt deltage i strukturer på EU-plan, der har til formål at lette samarbejdet på tværs af lovgivningerne

-gøre mere omfattende brug af de samarbejdsværktøjer, der er fastsat i GDPR, således at tvistbilæggelse kun anvendes som en sidste udvej

-gennemføre mere effektive og målrettede arbejdsordninger for retningslinjer, udtalelser og afgørelser og prioritere centrale spørgsmål for at mindske byrden for databeskyttelsesmyndighederne og reagere hurtigere på markedsudviklingen.

Medlemsstaterne skal:

-sikre de nationale databeskyttelsesmyndigheders effektive og fulde uafhængighed

-afsætte tilstrækkelige ressourcer til databeskyttelsesmyndighederne til at sætte dem i stand til at udføre deres opgaver, navnlig ved at give dem de tekniske ressourcer og den ekspertise, der er nødvendig for at håndtere nye teknologier og opfylde nye ansvarsområder i henhold til digital lovgivning

-udstyre databeskyttelsesmyndighederne med de undersøgelsesværktøjer, der er nødvendige for, at de effektivt kan anvende de håndhævelsesbeføjelser, der er fastsat i GDPR

-støtte dialogen mellem databeskyttelsesmyndighederne og andre nationale tilsynsmyndigheder, navnlig dem, der er oprettet i henhold til den nye digitale lovgivning.

Kommissionen vil:

-aktivt støtte medlovgivernes hurtige vedtagelse af forslaget om procedureregler for GDPR

-fortsætte med nøje at overvåge, at de nationale databeskyttelsesmyndigheder reelt er fuldt uafhængige

-opbygge synergier og sammenhæng mellem GDPR og al lovgivning, der vedrører behandling af personoplysninger, på grundlag af erfaringer og om nødvendigt træffe passende foranstaltninger for at skabe retssikkerhed

-overveje, hvordan behovet for et struktureret og effektivt tværregulerende samarbejde imødekommes bedre, for at sikre en effektiv, konsekvent og sammenhængende anvendelse af EU's digitale regler, samtidig med at databeskyttelsesmyndighedernes kompetence i forbindelse med alle spørgsmål vedrørende behandling af personoplysninger respekteres.

Gennemførelse og supplering af den retlige ramme

Medlemsstaterne skal:

-sikre, at databeskyttelsesmyndighederne høres rettidigt forud for vedtagelsen af lovgivning om behandling af personoplysninger.

Kommissionen vil:

-fortsætte med at gøre brug af alle de redskaber, den råder over, herunder traktatbrudssager, for at sikre, at medlemsstaterne overholder GDPR

-fortsætte med at støtte udvekslingen af synspunkter og national praksis mellem medlemsstaterne, herunder gennem medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om Databeskyttelse

-træffe foranstaltninger til at sikre, at børn beskyttes, styrkes og respekteres online

-overveje de mulige næste skridt vedrørende forslaget til forordning om e-databeskyttelse, herunder dets forbindelse med GDPR.

Støtte til interessenter

Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at:

-indgå i en konstruktiv dialog med dataansvarlige og databehandlere om overholdelse af GDPR

-øge indsatsen for at støtte SMV'ers overholdelse ved at yde skræddersyet vejledning og tilvejebringe skræddersyede værktøjer, fjerne ubegrundede problemer med overholdelse hos SMV'er, der ikke har behandling af personoplysninger som deres kernevirksomhed, og bistå dem i deres overholdelsesbestræbelser

-støtte virksomhedernes gennemførelse af effektive overholdelsesforanstaltninger såsom certificering og adfærdskodekser (herunder som værktøjer til overførsler) ved at samarbejde med interessenter under godkendelsesprocessen, fastsætte klare tidsfrister for godkendelser og som fastsat i Databeskyttelsesrådets strategi for 2024-2027 forklare centrale grupper af interessenter, hvordan disse værktøjer kan anvendes

-sikre, at nationale retningslinjer og anvendelsen af GDPR på nationalt plan er i overensstemmelse med Databeskyttelsesrådets retningslinjer og Domstolens retspraksis

-løse problemer med divergerende fortolkninger af GDPR mellem databeskyttelsesmyndigheder, herunder mellem myndigheder i samme medlemsstat

-udstikke retningslinjer, der er koncise, praktiske og tilgængelige for den relevante målgruppe som fastsat i Databeskyttelsesrådets strategi for 2024-2027

-sikre en tidligere og mere meningsfuld høring om retningslinjer og udtalelser for bedre at forstå markedsdynamikken og forretningspraksis, tage tilstrækkeligt hensyn til den modtagne feedback og tage hensyn til den konkrete anvendelse af de vedtagne fortolkninger

-prioritere afslutningen af det igangværende arbejde med retningslinjer for børns data, videnskabelig forskning, anonymisering, pseudonymisering og legitime interesser

-intensivere oplysningsaktiviteter og informations- og håndhævelsesforanstaltninger for at sikre, at databeskyttelsesansvarlige kan udfylde deres rolle i henhold til GDPR.

Kommissionen vil:

-fortsætte med at yde finansiel støtte til databeskyttelsesmyndighedernes aktiviteter, der letter SMV'ers gennemførelse af GDPR-forpligtelser

-anvende alle tilgængelige midler til at levere hensigtsmæssige præciseringer af spørgsmål af betydning for interessenter, herunder SMV'er, navnlig ved at anmode om udtalelser fra Databeskyttelsesrådet.

Videreudvikling af værktøjskassen til dataoverførsler og internationalt samarbejde

Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at:

-fuldføre arbejdet med at strømline og afkorte godkendelsesprocessen for bindende virksomhedsregler samt med at ajourføre vejledningen om elementer, der skal findes i bindende virksomhedsregler for databehandlere

-undersøge måder/værktøjer til yderligere at bistå dataeksportører i deres bestræbelser på at overholde Schrems II-kravene

-undersøge yderligere metoder til at sikre effektiv håndhævelse over for operatører, der er etableret i tredjelande, som er omfattet af GDPR's territoriale anvendelsesområde.

Medlemsstaterne skal:

-sikre, at Europarådets moderniserede konvention 108+ undertegnes og ratificeres så hurtigt som muligt, således at den kan træde i kraft.

Kommissionen vil:

-gøre yderligere fremskridt i de igangværende drøftelser om tilstrækkeligheden af beskyttelsesniveauet, undersøge den videre udvikling af eksisterende konklusioner om tilstrækkeligheden af beskyttelsesniveauet og føre nye dialoger om tilstrækkeligheden af beskyttelsesniveauet med interesserede partnere

-støtte øget samarbejde mellem netværket af lande, der er omfattet af afgørelser om tilstrækkeligheden af beskyttelsesniveauet

-afslutte arbejdet med yderligere standardkontraktbestemmelser, navnlig for dataoverførsler til dataimportører, hvis behandling er direkte omfattet af GDPR, og overførsler i henhold til forordning (EU) 2018/1725 for dataoverførsler foretaget af EU's institutioner og organer

-samarbejde med internationale partnere om at lette datastrømme på grundlag af standardkontraktbestemmelser

-støtte igangværende reformprocesser i tredjelande om nye eller moderniserede databeskyttelsesregler ved udveksling af erfaringer og bedste praksis

-samarbejde med internationale og regionale organisationer såsom OECD og G7 om at fremme troværdige udvekslinger af oplysninger baseret på høje databeskyttelsesgarantier, herunder i forbindelse med initiativet "frie datastrømme med tillid"

-lette og støtte udvekslinger mellem europæiske og internationale tilsynsmyndigheder, herunder gennem dens databeskyttelsesakademi

-bidrage til at lette internationalt håndhævelsessamarbejde mellem tilsynsmyndigheder, bl.a. gennem forhandling af samarbejdsaftaler og aftaler om gensidig bistand.

(1) ()    Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse, 24. juni 2020 (COM(2020) 264 final).

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/da/pdf .

(3) ()    Sammenfatning af inputtet fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse kan findes her: Report from Multistakeholder Expert group on GDPR application - June 2024.pdf . De input, der er modtaget som svar på den offentlige indkaldelse af feedback og gennem bilaterale møder med interessenter, afspejler i vid udstrækning de synspunkter, som medlemmerne af Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse har givet udtryk for.

(4) ()     https://ec.europa.eu/info/law/better-regulation/ .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | Det Europæiske Databeskyttelsesråd (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | Den Europæiske Unions Agentur for Grundlæggende Rettigheder (europa.eu).

(7) ()    Forslag til Europa-Parlamentets og Rådets forordning om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679 (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_da .

(9) ()    Gennem Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse og en indkaldelse af feedback, der blev iværksat i februar 2023.

(10) ()    Navnlig gennem medlemsstaternes Ekspertgruppe vedrørende Den Generelle Forordning om Databeskyttelse: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=da&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Artikel 61 i GDPR.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .

(13) ()    Artikel 62 i GDPR.

(14) ()    Artikel 65 i GDPR.

(15) ()    Pr. 3. november 2023 (Databeskyttelsesrådets bidrag).

(16) ()    I henhold til artikel 60, stk. 3 i GDPR.

(17) ()    Pr. 3. november 2023.

(18) ()    Den irske myndighed fremsatte flest formelle anmodninger (246), mens de tyske myndigheder modtog flest anmodninger (516).

(19) ()    Den irske myndighed fremsatte flest uformelle anmodninger (4 245) efterfulgt af de tyske myndigheder (2 036).

(20) ()    Af de 289 relevante og begrundede indsigelser, som myndighederne indberettede, blev 101 (35 %) rejst af de tyske myndigheder. Graden af succes med at nå til enighed om relevante og begrundede indsigelser varierer fra 15 % (af de tyske myndigheders indsigelser) til 100 % (af de polske myndigheders indsigelser).

(21)

()    Henholdsvis artikel 64, 65 og 66 i GDPR.

(22) ()    Udtalelser i henhold til artikel 64, stk. 2, i GDPR.

(23)

()    I henhold til artikel 65, stk. 1, litra a), i GDPR.

(24) ()    I henhold til artikel 66, stk. 2, i GDPR.

(25) ()    Se afsnit 5.3.4 Databeskyttelsesrådets bidrag.

(26) ()    FRA-rapporten, s. 36.

(27) ()    Forslag til procedureregler, artikel 5.

(28) ()    I Rumænien blev alle 26 afgørelser, hvori der blev fastslået en overtrædelse, anfægtet ved domstolene, mens andelen af anfægtelser i Nederlandene var 23 %. Succesraten for anfægtelser var højest i Belgien (39 %).

(29) ()    Databeskyttelsesmyndighederne i Tyskland iværksatte det højeste antal undersøgelser på eget initiativ (7 647) efterfulgt af Ungarn (3 332), Østrig (1 681) og Frankrig (1 571).

(30) ()    I 2022 modtog ni databeskyttelsesmyndigheder over 2 000 klager. Det højeste antal klager blev registreret af Tyskland (32 300), Italien (30 880), Spanien (15 128), Nederlandene (13 133) og Frankrig (12 193), mens det laveste antal blev registreret af Liechtenstein (40), Island (140) og Kroatien (271).

(31) ()    Alle myndigheder pålagde administrative bøder med undtagelse af Danmark, som ikke anvender administrative bøder. Det højeste antal bøder blev pålagt i Tyskland (2 106) og Spanien (1 596). De færreste bøder blev pålagt i Liechtenstein (3), Island (15) og Finland (20).

(32) ()    FRA-rapporten, s. 38.

(33) ()    FRA-rapporten, s. 20 og 23. Se også Rådets holdning og resultater, punkt 17.

(34) ()    Artikel 70, stk. 1, i GDPR.

(35) ()    FRA-rapporten, s. 64.

(36) ()    FRA-rapporten, s. 67. I 2023 afsatte de tyske databeskyttelsesmyndigheder flest ressourcer til Databeskyttelsesrådets aktiviteter (26 fuldtidsækvivalenter) efterfulgt af Irland (16) og Frankrig (12) (Databeskyttelsesrådets bidrag).

(37) ()    FRA-rapporten, s. 67.

(38) ()    FRA-rapporten side 67, sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(39) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(40) ()    Se også Rådets holdning og resultater, punkt 45.

(41) ()    Se også Rådets holdning og resultater, punkt 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Se også Rådets holdning og resultater, punkt 31, litra d).

(44) ()    De har navnlig behov for klarhed om betydningen af udtrykket "videnskabelig forskning", rollen af samtykke til behandling af personoplysninger til forskning, det relevante retsgrundlag og de involverede aktørers roller og ansvar.

(45) ()    Se også Rådets holdning og resultater, punkt 31, litra b).

(46) ()    Rådets holdning og resultater, punkt 27 og 28.

(47) ()    Artikel 52 i GDPR.

(48) ()    FRA-rapporten, s. 31.

(49) ()    Se afsnit 4.4.1 Databeskyttelsesrådets bidrag, også for de absolutte tal.

(50) ()    Kun fem databeskyttelsesmyndigheder mener, at de har tilstrækkelige menneskelige ressourcer (bidrag fra Databeskyttelsesrådet, s. 33).

(51) ()    FRA-rapporten, s. 20. Nogle databeskyttelsesmyndigheder outsourcer visse opgaver til eksterne kontrahenter, f.eks. klagebehandling, juridisk analyse og kriminalteknisk analyse.

(52) ()    FRA-rapporten, s. 24.

(53) ()    FRA-rapporten, s. 22.

(54) ()    Se afsnit 4.4.5 Databeskyttelsesrådets bidrag.

(55) ()    Databeskyttelsesrådets bidrag, s. 32.

(56) ()    FRA-rapporten, side 48.

(57) ()    FRA-rapporten, s. 45. Databeskyttelsesmyndighederne anser ex officio-undersøgelser for at være særligt vigtige, da der er mange overtrædelser af GDPR, som klagere måske ikke vil være opmærksomme på.

(58) ()    FRA-rapporten, s. 8.

(59) ()    FRA-rapporten, s. 39.

(60) ()    FRA-rapporten, s. 41.

(61) ()    Betragtning 9 i GDPR.

(62) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(63) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(64) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(65) ()    Henholdsvis artikel 6, stk. 1, litra f), og artikel 6, stk. 1, litra a), i GDPR.

(66) ()    Artikel 22, stk. 2, i GDPR.

(67) ()    Betragtning 4.

(68) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse. 

(69) ()    F.eks. minimumsalderen for børns samtykke i forbindelse med informationssamfundstjenester (artikel 8, stk. 1, i GDPR).

(70) ()    Artikel 8, stk. 1, i GDPR.

(71) ()    En mulighed, der er fastsat i artikel 9, stk. 4, i GDPR.

(72) ()    Artikel 10 i GDPR.

(73) ()    Rådets holdning og resultater, punkt 30.

(74) ()    Artikel 36 i GDPR.

(75) ()    FRA-rapporten, s. 11.

(76) ()    Belgien (2021/4045) og Belgien (2022/2160).

(77) ()    Finland (2022/4010) og Sverige (2022/2022).

(78) ()    Med oplysninger om sagsreferencen, undersøgelsestypen (eget initiativ eller klagebaseret), et resumé af undersøgelsens omfang, de berørte databeskyttelsesmyndigheder, de vigtigste proceduremæssige skridt, der er taget, og datoer, de undersøgelses- eller andre foranstaltninger, der er truffet, og datoer.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=da&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=da&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Sag C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Sag C-184/20, ECLI:EU:C:2022:601 og C-252/21, ECLI:EU:C:2023:537.

(83) ()    Sag C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214 og C-231/22, ECLI:EU:C:2024:7.

(84) ()    Sag C-61/19, ECLI:EU:C:2020:901.

(85) ()    Sag C-597/19, ECLI:EU:C:2021:492 og C-252/21, ECLI:EU:C:2023:537.

(86) ()    Sag C-307/22, ECLI:EU:C:2023:811 og C-154/21, ECLI:EU:C:2023:3.

(87) ()    Sag C-460/20, ECLI:EU:C:2022:962.

(88) ()    Sag C-300/21, ECLI:EU:C:2023:370; C-687/21, ECLI:EU:C:2024:72 og C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Forenede sager C26/22 og C64/22, ECLI:EU:C:2023:958.

(90) ()    Sag C-807/21, ECLI:EU:C:2023:950 og C-683/21, ECLI:EU:C:2023:949.

(91) ()    Sag C‑371/21, ECLI:EU:C:2023:79.

(92) ()    Sag C-439/19, ECLI:EU:C:2021:504 og C-184/20, ECLI:EU:C:2022:601.

(93) ()    Sag C-33/22, ECLI:EU:C:2024:46 og C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Rådets holdning og resultater, punkt 13.

(95) ()    Databeskyttelsesrådets bidrag, afsnit 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    FRA-rapporten, s. 9 og 48.

(98) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(99) ()    Artikel 10 i forordning (EU) 2022/868 (forordningen om datastyring) (EUT L 152 af 3.6.2022, s. 1).

(100) ()    Artikel 12, stk. 5, i GDPR.

(101) ()    Domstolen har imidlertid præciseret, at den registrerede ikke er forpligtet til at begrunde sin anmodning om indsigt i personoplysninger: sag C-307/22, CS, ECLI:EU:C:2023:811, præmis 38.

(102) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse. 

(103) ()    Rådets holdning og resultater, punkt 27 og 28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Platformsarbejdere:   Rådet bekræfter enighed om nye regler, der forbedrer deres arbejdsvilkår – Consilium (europa.eu) .

(106) ()    Forslag til forordning om det europæiske sundhedsdataområde (COM/2022/197 final).

(107) ()    Forslag til forordning om en ramme for adgang til finansielle data og om ændring af forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 og (EU) 2022/2554 (COM/2023/360 final).

(108) ()    Direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF – EUT L 409 af 4.12.2020, s. 1.

(109) ()    Betragtning 38 i GDPR.

(110) ()    Henstilling om udvikling og styrkelse af integrerede børnebeskyttelsessystemer, der er i barnets tarv https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_da .

(111) ()    Se også Rådets holdning og resultater, punkt 31, litra a).

(112) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .

(115) ()    Forordning (EU) 2024/1183 om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af den europæiske ramme for digital identitet (EUT L 2024/1183 af 30.4.2024).

(116) ()    Som anerkendt i rapporten fra "Fit for future"-platformen blev der nedsat en ekspertgruppe på højt plan for at hjælpe Kommissionen i dens bestræbelser på at forenkle EU-lovgivningen og reducere de dermed forbundne unødvendige omkostninger: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_da . Se også sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse og Rådets holdning og resultater, punkt 12.

(117) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(118) ()    Kommissionens gennemførelsesafgørelse (EU) 2021/915 af 4. juni 2021 om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i GDPR og artikel 29, stk. 7, i GDPR (C/2021/3701) - EUT L 199, 7.6.2021, s. 18.

(119) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(120) ()    Rådets holdning og resultater, punkt 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_da?f%5B0%5D=coc_scope%3Anational .

(122) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(127) ()    Rådets holdning og resultater, punkt 24, sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(128) ()    Artikel 30, stk. 5, i GDPR.

(129) ()    Hvis organisationen beskæftiger færre end 250 personer, medmindre den databehandling, den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, i GDPR eller personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10 i GDPR.

(130) ()    Rådets holdning og resultater, punkt 26, EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse. 

(132) ()    Se anbefalingerne i Databeskyttelsesrådets koordinerede håndhævelsesindsats.

(133) ()    Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordningen om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).

(134) ()    Forordning (EU) 2022/1925 (forordningen om digitale markeder) (EUT L 265 af 12.10.2022, s. 1).

(135) ()    Forordning (EU) 2024/1689 (forordningen om kunstig intelligens) (EUT L 2024/1689, 12.07.2024).

(136) ()     Platformsarbejdere: Rådet bekræfter enighed om nye regler, der forbedrer deres arbejdsvilkår – Consilium (europa.eu) .

(137) ()    Forordning (EU) 2024/900 om gennemsigtighed og målretning i forbindelse med politisk reklame (EUT L 2024/900 af 20.3.2024).

(138) ()    Forslag til forordning om privatlivets fred og elektronisk kommunikation (COM/2017/010 final).

(139) ()    Direktiv 2002/58/EF (e-databeskyttelsesdirektivet) (EFT L 201 af 31.7.2002, s. 37).

(140)

()    Forordning (EU) 2024/903 (forordningen om et interoperabelt Europa) (EUT L 2024/903, 22.3.2024).

(141) ()    Jf. Rådets holdning og resultater, punkt 31, litra f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .

(143) ()    Forordning (EU) 2022/868 (forordningen om datastyring) (EUT L 152 af 3.6.2022, s. 1).

(144) ()    Forordning (EU) 2023/2854 (dataforordningen) (EUT L 2023/2854 af 22.12.2023).

(145)

()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_DA.html .

(146) ()    Se Rådets holdning og resultater, punkt 40-41, Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(147) ()    Se f.eks. dataforordningens artikel 37, stk. 3.

(148) ()    Direktiv (EU) 2022/2555 (NIS2-direktivet) (EUT L 333, 27.12.2022, s. 80).

(149) () Se Rådets holdning og resultater, punkt 18, 40 og 41, og sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(150) ()     Tyskland har oprettet en "digital klynge", som omfatter tilsynsmyndigheder fra forskellige områder, med det formål at udvide deres samarbejde om alle aspekter af digitalisering og udveksle viden og bedste praksis: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Databeskyttelsesrådets retningslinjer 05/2021.

(152) ()     Afsnit 2 i Databeskyttelsesrådets retningslinjer 05/2021.

(153) ()     Sag C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Schrems II, præmis 93.

(155) ()     Schrems II, præmis 96 og 105.

(156) ()     Schrems II, præmis 131.

(157) ()     Schrems II, præmis 105.

(158) ()     Databeskyttelsesrådets henstilling 02/2020 og Adequacy Referential, WP 254 rev. 01.

(159) ()     Databeskyttelsesrådets henstillinger 01/2020 suppleret af henstillinger 02/2020.

(160) ()     Se f.eks. punkt 8-13 og 32-33 i Databeskyttelsesrådets henstilling 01/2020.

(161) ()     Se f.eks. Databeskyttelsesrådets bidrag, s. 7-8; Rådets holdning og resultater, stk. 36 og Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(162) ()    Gennemførelse af "Kommissionens meddelelse om udveksling og beskyttelse af personoplysninger i en globaliseret verden" af 10.1.2017 (COM(2017) 7 final).

(163) ()     Kommissionens gennemførelsesafgørelse (EU) 2021/1772 (EUT L 360 af 11.10.2021, s. 1).

(164) ()    Kommissionens gennemførelsesafgørelse (EU) 2022/254 (EUT L 44 af 17.8.2017, s. 1).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .

(166) ()    Kommissionens gennemførelsesafgørelse (EU) 2023/1795 (EUT L 231 af 20.9.2023, s. 118).

(167) ()     Den Europæiske Patentorganisation er en mellemstatslig organisation, der er oprettet på grundlag af den europæiske patentkonvention. Dens vigtigste opgave er at udstede europæiske patenter. I den forbindelse arbejder den tæt sammen med virksomheder og offentlige myndigheder i EU's medlemsstater samt med forskellige EU-institutioner og -organer.

(168) ()     Databeskyttelsesrådets bidrag, s. 7-8.

(169) ()    Artikel 45, stk. 4 og 5, i GDPR. Se også Schrems I, præmis 76.

(170) ()     Kommissionens gennemførelsesafgørelse (EU) 2019/419 (EUT L 76 af 19.3.2019, s. 1). Se også https://ec.europa.eu/commission/presscorner/detail/da/IP_19_421 . Denne afgørelse udgjorde den første afgørelse om tilstrækkeligheden af beskyttelsesniveauet, der blev vedtaget i henhold til GDPR, og den første gensidige aftale om tilstrækkeligheden af beskyttelsesniveauet.

(171) ()     Kommissionens rapport om den første gennemgang af, hvordan afgørelsen om tilstrækkeligheden af beskyttelsesniveauet fungerer for Japan, 3.4.2023, COM(2023) 275 final (og SWD(2023) 75 final).

(172) ()     Andorra, Argentina, Canada (for kommercielle operatører), Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay.

(173) ()     Kommissionens rapport om den første revision af funktionen af de afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der blev vedtaget på grundlag af artikel 25, stk. 6, i direktiv 95/46/EF, 15.1.2024, COM(2024) 7 final (og SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/da/mex_24_1307#11 .

(175) ()     Som f.eks. Argentina, Colombia, Israel, Marokko, Schweiz og Uruguay.

(176) ()     Kommissionens gennemførelsesafgørelse (EU) 2021/914 (EUT L 199 af 7.6.2021, s. 31).

(177) ()     Dette omfattede f.eks. fælles udtalelse 2/2021 fra Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse som led i vedtagelsesproceduren for standardkontraktbestemmelserne.

(178) ()     Rådets holdning og resultater, punkt 37, Databeskyttelsesrådets bidrag, s. 9, sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_da .

(180) ()     Se f.eks. sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(181) ()     I henhold til artikel 48, stk. 2, litra b), i forordning (EU) 2018/1725.

(182) ()     Rådets holdning og resultater, punkt 37, Databeskyttelsesrådets bidrag, s. 9, og sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(183) () Databeskyttelsesrådets retningslinjer 05/2021, s. 3.

(184) ()     Som det også fremgår af Databeskyttelsesrådets retningslinjer 05/2021, afsnit 4.

(185) ()     Databeskyttelsesrådets bidrag, s. 9, sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(186) ()     F.eks. Det Forenede Kongerige ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) og Schweiz ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     F.eks. New Zealand ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) og Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Se https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 , https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractes-en.pdf og https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Databeskyttelsesrådets bidrag, s. 9.

(191) ()     Databeskyttelsesrådets henstilling 1/2022.

(192) ()     Databeskyttelsesrådets bidrag, s. 9.

(193) ()     Sammenfatning af feedbacken fra Multiinteressent-Ekspertgruppen vedrørende Den Generelle Forordning om Databeskyttelse.

(194) ()    Databeskyttelsesrådets retningslinjer 07/2022 og 04/2021.

(195) ()     Databeskyttelsesrådets retningslinjer 2/2020.

(196) ()     Anden tillægsprotokol til konventionen om IT-kriminalitet vedrørende forstærket samarbejde og videregivelse af elektronisk bevismateriale (CETS nr. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Forslag til Rådets afgørelse om undertegnelse på Den Europæiske Unions vegne af en aftale mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger (PNR-oplysninger), COM/2024/94 final.

(199) ()     Det drejede sig om høringer tilrettelagt af f.eks. Australien, Kina, Rwanda, Argentina, Brasilien, Etiopien, Indonesien, Peru, Malaysia og Thailand.

(200) ()     For eksempel for de parlamentariske organer i Chile, Ecuador og Paraguay.

(201) () Dette omfattede også tilrettelæggelse af seminarer og studiebesøg, f.eks. med Kenya, Indonesien og Singapore.

(202) ()     Databeskyttelsesrådets bidrag, s. 8. Rådets holdning og resultater, punkt 38.

(203) ()     Databeskyttelsesrådets bidrag, s. 8.

(204) ()     Rådets holdning og resultater, punkt 39.

(205) ()     Protokol om ændring af konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (CETS nr. 223).

(206) ()    Danmark.

(207) ()    Belgien, Tjekkiet, Grækenland, Irland, Letland, Luxembourg, Nederlandene og Sverige.

(208) ()     Se f.eks. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .