MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse
Tilhører sager:
- Hovedtilknytning: MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse {SWD(2020) 115 final} ()
- Hovedtilknytning: MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse {SWD(2020) 115 final} ()
Aktører:
1_EN_ACT_part1_v7.pdf
https://www.ft.dk/samling/20201/kommissionsforslag/kom(2020)0264/forslag/1675382/2217034.pdf
EN EN EUROPEAN COMMISSION Brussels, 24.6.2020 COM(2020) 264 final COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation {SWD(2020) 115 final} Europaudvalget 2020 KOM (2020) 0264 Offentligt 1 COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation 1 DATA PROTECTION RULES AS A PILLAR OF CITIZENS’ EMPOWERMENT AND EU’S APPROACH TO DIGITAL TRANSITION This report is the first one on the evaluation and review of the General Data Protection Regulation1 (hereafter ‘GDPR’), in particular on the application and functioning of the rules on the transfer of personal data to third countries and international organisations and of the rules on cooperation and consistency, pursuant to Article 97 GDPR. The GDPR, which applies since 25 May 2018, is at the heart of the EU framework2 guaranteeing the fundamental right to data protection, as enshrined in the Charter of Fundamental Rights of the European Union (Article 8) and in the Treaties (Article 16 of the Treaty on the Functioning of the European Union, ‘TFEU’). The GDPR strengthened data protection safeguards, provides individuals with additional and stronger rights, increased transparency, and ensures that all those that handle personal data under its scope of application are more accountable and responsible. It equips the independent data protection authorities with stronger and harmonised enforcement powers and sets up a new governance system. It also creates a level playing field for all companies operating in the EU market, regardless of where they are established, and it ensures the free flow of data within the EU, thereby strengthening the internal market. The GDPR is an important component of the human-centric approach to technology and a compass for the use of technology in the twin green and the digital transitions that characterises EU policy-making. This has been highlighted more recently by the White Paper on Artificial Intelligence3 and the Communication on a European Strategy for Data4 (hereafter the Data Strategy) of February 2020. In an economy increasingly based on the processing of data, including personal data, the GDPR is an essential tool to ensure that individuals have better control over their personal data and that these data are processed for a legitimate purpose, in a lawful, fair and transparent way. At the same time, the GDPR helps to foster trust-worthy 1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC - OJ L 119, 4.5.2016, p. 1–88 2 Following its incorporation in the European Economic Area (EEA) Agreement, the Regulation also applies to Norway, Iceland and Liechtenstein. 3 https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach- excellence-and-trust_en 4 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy 2 innovation, notably through its risk-based approach and principles such as privacy by design and by default. The Commission has proposed complementing the data protection and privacy legislative framework5 by the e-Privacy Regulation6 , which is intended to replace the current e-Privacy Directive7 . This proposal is currently being examined by the co-legislators and it is very important to ensure its rapid adoption. As part of the Commission’s key priorities of a “Europe fit for the digital age”8 and the “European Green Deal”9 , new initiatives may be developed to empower citizens to play a more active role in the digital transition and in harnessing the use of digital tools to bring about a climate-neutral society and a more sustainable development. The GDPR sets a framework for these initiatives and ensures that they are designed to effectively empower individuals. The Data Strategy10 calls for the creation of a “single European data space”, a genuine single market for data, as well as of ten sectoral common European data spaces that are relevant for the twin green and digital transitions11 . For all these priorities, a clear and workable framework for safe data sharing and increased data availability is key. The Data Strategy also announced the intention of the Commission to explore in future legislation how to enable the use of data held in public databases for scientific research purposes in a manner compliant with the GDPR. The data spaces are to be supported by European cloud federation, providing data processing and cloud infrastructure services compliant with the GDPR. The GDPR ensures a high level of protection of personal data and a central role for individuals in all these data spaces while providing the necessary flexibility to accommodate different approaches. The need to ensure trust and the demand for the protection of personal data are certainly not limited to the EU. Individuals around the world increasingly value the privacy and security of their data. As shown by a recent global survey12 , they consider 5 This legislative framework also includes the Data Protection Law Enforcement Directive (Directive 2016/680) and the Data Protection Regulation for EU institutions and bodies (Regulation 2018/1725). 6 Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) - COM/2017/010 final - 2017/03 (COD) 7 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) - OJ L 201, 31/07/2002 P. 0037 - 0047 8 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en 9 Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions - The European Green Deal - COM/2019/640 final 10 Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions - A European strategy for data - COM/2020/66 final. 11 These ten sectoral common European data spaces are for: health, industrial manufacturing, energy, mobility, agriculture, financial data, public administration, a common European data skills data space, a European Green Deal data space and a European Open Science Cloud. 12 See e.g. Cisco’s Consumer Privacy Study 2019 (https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf). According to this study that surveyed 2,600 consumers worldwide, a significant number of consumers have already taken action to protect their privacy, for example, by switching companies or providers because of their data policies or data sharing practices. 3 this an important factor that influences their buying decisions and their online behaviour. A growing number of companies have responded to this demand for privacy notably by voluntarily extending some of the rights and safeguards provided for in the GDPR to their non-EU based customers. Many businesses also promote respect for personal data as a competitive differentiator and a selling point on the global marketplace, by offering innovative products and services with novel privacy or data security solutions. Moreover, the increased ability for private and public sector actors to collect and process data on a large scale raises important and complex questions that increasingly place privacy at the centre of the public debate in different parts of the world. The adoption of the GDPR has spurred other countries in many regions of the world to consider following suit. This is a truly global trend running from Chile to South Korea, from Brazil to Japan, from Kenya to India, and from California to Indonesia. The EU’s leadership on data protection shows it can act as a global standard-setter for the regulation of the digital economy and has been welcomed by important voices of the international community such as UN Secretary General António Guterres who has noted how the GDPR has “set an example […] inspiring similar measures elsewhere” and “urge[d] the EU and its Member States to continue to lead to shape the digital age and to be at the forefront of technological innovation and regulation”.13 The current COVID-19 pandemic crisis offers a vivid illustration of this globalisation of the privacy debate both during the crisis and as the world seeks to emerge from it. In the EU, several Member States took emergency measures in an effort to protect public health. The GDPR is clear in that any restriction must respect the essence of the fundamental rights and freedoms, and be a necessary and proportionate measure in a democratic society to safeguard a public interest, such as public health. As containment measures are being phased out, decision makers need to address the expectation of citizens that they are offered digital solutions which are trustworthy and which respect the rights to privacy and personal data protection. In many countries built-in privacy protections such as voluntary signing up by users, data minimisation and security as well as the exclusion of geolocation, are considered essential to ensure the reliability and societal acceptance of data-driven solutions aimed at monitoring and containing the spread of the virus, calibrating public policy countermeasures, assisting patients or implementing exit strategies. In the EU, the data protection and privacy legislative framework14 has proven to be a sufficiently flexible tool to allow practical solutions (e.g. tracing apps) to be developed while ensuring a high level of protection of personal data. In this context, on 16 April 2020, the Commission published guidance on apps supporting the fight against the pandemic in relation to data protection.15 13 Address of the UN Secretary-General to the Italian Senate, 18 December 2019 (available at: https://www.un.org/press/en/2019/sgsm19916.doc.htm). 14 This framework comprises, in addition to the GDPR, the ePrivacy Directive (Directive 2002/58/EC) that provides rules, among others, on accessing and storing information on the user's terminal equipment. 15 Communication from the Commission Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection 2020/C 124 I/01 - C/2020/2523 - OJ C 124I , 17.4.2020, p. 1–9 On 16 April 2020 EU Members States, supported by the Commission, have developed an EU toolbox for the use of mobile applications for contact tracing and warning in response to the coronavirus 4 Protecting personal data is also instrumental in preventing the manipulation of citizens’ choices, in particular via the micro-targeting of voters based on the unlawful processing of personal data, avoiding interference in democratic processes and preserving the open debate, the fairness and the transparency that are essential in a democracy. For this reason, in September 2018, the Commission published its guidance on the application of Union data protection law in the electoral context16 . For this evaluation and review, the Commission took into account the contributions from the Council17 , the European Parliament18 , the European Data Protection Board (hereafter ‘the Board’)19 and individual data protection authorities20 , the Multi- stakeholder expert Group21 and other stakeholders, including through the feedback provided to the roadmap22 . The general view is that two years after it started to apply, the GDPR has successfully, met its objectives of strengthening the protection of the individual’s right to personal data protection and guaranteeing the free flow of personal data within the EU23 . However a number of areas for future improvement have also been identified. Like most stakeholders and data protection authorities, the Commission is of the view that it would be premature at this stage to draw definite conclusions regarding the application of the GDPR. It is likely that most of the issues identified by Member States and stakeholders will benefit from more experience in applying the GDPR in the coming years. Nevertheless, this report highlights the challenges encountered so far in applying the GDPR and sets out possible ways to address them. Notwithstanding its focus is on the two issues highlighted in Article 97(2) of the GDPR, namely international transfers and the cooperation and consistency mechanisms, this evaluation and review takes a broader approach to also address issues which have been raised by various actors during the last two years. pandemic. This is part of a common coordinated approach to support the gradual lifting of confinement measures. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf. 16 Commission guidance on the application of Union data protection law in the electoral context A contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20 September 2018 - COM/2018/638 final. 17 Council position and findings on the application of the General Data Protection Regulation: https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/en/pdf 18 Letter of the LIBE Committee of the European Parliament of 21 February 2020 to Commissioner Reynders, Ref.: IPOL-COM-LIBE D (2020)6525. 19 Contribution of the Board to the evaluation of the GDPR under Article 97, adopted on 18 February 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr- under-article-97_en 20 https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en 21 The Multi-stakeholder expert group on the Regulation set up by the Commission involves civil society and business representatives, academics and practitioners: https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 22 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the- application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437 23 See for instance Council position and findings as well as the Board contribution. 5 2 MAIN FINDINGS Enforcement of the GDPR and the functioning of the cooperation and consistency mechanisms The GDPR set up an innovative governance system, based on independent data protection authorities in the Member States and their cooperation in cross-border cases and within the European Data Protection Board (‘the Board’). The general view is that data protection authorities have made balanced use of their strengthened corrective powers, including warnings and reprimands, fines and temporary or definitive processing limitations24 . The Commission notes that the authorities made use of administrative fines ranging from a few thousand euros to several million, depending on the gravity of the infringements. Other sanctions, such as bans on processing, may have an equally if not higher deterrent effect than fines. The ultimate objective of the GDPR is to change the culture and behaviour of all actors involved for the benefit of the individuals. More detailed information on the use of the corrective powers by data protection authorities is presented in the accompanying staff working document. While it is still early to fully assess the functioning of the new cooperation and consistency mechanisms, data protection authorities developed their cooperation through the one-stop-shop mechanism25 and through a large use of mutual assistance26 . The one-stop-shop mechanism, which is a key asset of the internal market, is used to decide many cross-border cases27 . Important decisions with cross- border dimension that will be subject to the one-stop-shop mechanism, are currently pending. These decisions, involving often multinational big tech companies, will have a substantial impact on individuals’ rights in many Member States. However, developing a truly common European data protection culture between data protection authorities is still an on-going process. Data protection authorities have not yet made full use of the tools the GDPR provides, such as joint operations that could lead to joint investigations. At times, finding a common approach meant moving to the lowest common denominator and as a result, opportunities to foster more harmonisation were missed28 . Further progress is needed to make the handling of cross-border cases more efficient and harmonised across the EU, including from a procedural point of view, for instance on issues such as complaint handling procedures, the admissibility criteria for complaints, the duration of proceedings due to different timeframes or the absence of deadlines in the national administrative procedural law, the moment in the procedure where the right to be heard is granted, or the information and involvement of the complainants during the procedure. The reflection process launched by the Board in 24 See point 2.1 of the Staff Working Document. 25 If a company is processing data cross-border, the competent data protection authority is the one of the Member States where the company has its main establishment. 26 See point 2.2 of the Staff working Document. 27 Between 25 May 2018 and 31 December 2019, 141 draft decisions were submitted through the one- stop-shop procedure, out of which 79 resulted in final decisions. 28 For instance the national lists of the kinds of processing operations which requires data protection impact assessment under Article 35 of the GDPR could have been better harmonised. 6 relation to this is welcomed, and the Commission is participating in these discussions29 . The activities and the guidance of the Board are of key importance for the consistent further development of exchanges between the Board and stakeholders30 . As of the end of 2019, the Board had adopted 67 documents, including 10 new guidelines31 , and 43 opinions32 . Stakeholders generally welcome the guidelines from the Board and request additional ones on key concepts of the GDPR, but also point to inconsistencies between the national guidance and the Board guidelines. They underline the need for more practical advice, in particular more concrete examples, and the need for data protection authorities to be equipped with the necessary human, technical and financial resources to effectively carry out their tasks. The Commission consistently stressed the obligation for Member States to allocate sufficient human, financial and technical resources to national data protection authorities33 . Most authorities benefitted from an increase in staff and budget between 2016 and 201934 , with the Irish, Dutch, Icelandic, Luxembourgish and Finnish authorities having benefitted from the largest relative increases in staff. Given that the largest big tech multinationals are established in Ireland and Luxembourg, the data protection authorities of these countries act as lead authorities in many important cross-border cases and may need larger resources than their population would otherwise suggest. However, the situation is still uneven between Member States and is not yet satisfactory overall. Data protection authorities play an essential role in ensuring that the GDPR is enforced at national level and that the cooperation and consistency mechanisms within the Board functions effectively, including in particular the one-stop-shop mechanism for cross-border cases. Member States are therefore called upon to provide them with adequate resources as required by the GDPR35 . Harmonised rules but still a degree of fragmentation and diverging approaches The Commission is monitoring the implementation of the GDPR in national legislation. At the time of this report, with the exception of Slovenia, all Member States adopted new legislation or adapted their national data protection law. 29 See point 2.2 of the Staff Working Document. 30 In particular business and civil society representatives. See point 2.3 of the Staff Working Document. 31 They are in addition to the 10 guidelines which were adopted by the Article 29 Working Party in the run-up to the entry into application of the Regulation and endorsed by the Board. The Board has also adopted 4 additional guidelines between January and the end of May 2020, and updated an existing one. 32 42 of these opinions were adopted under Article 64 of the GDPR and one was adopted under Article 70(1)(s) of the GDPR and concerned the adequacy decision with respect to Japan. 33 Communication from the Commission to the European Parliament and the Council, Data Protection as a trust-enabler in the EU and beyond – taking stock – COM(2019) 374 final, 24.7.2019 34 Overall there has been a 42% increase in staff and 49% in budget for national data protection authorities taken together in the EEA between 2016 and 2019. 35 See point 2.4 of the Staff Working Document. 7 Slovenia36 has been requested to provide clarifications to the Commission on the finalisation of that process37 . The GDPR provides for a consistent approach for data protection rules throughout the EU. However, it requires Member States to legislate in some areas38 and provides them with the possibility to further specify the GDPR in others39 . As a result, there is still a degree of fragmentation which is notably due to the extensive use of facultative specification clauses. For instance, the difference between Member States in the age of children consent in relation to information society services creates uncertainty to children and their parents as to the application of their data protection rights in the Single Market. This fragmentation also creates challenges to conducting cross-border business, innovation, in particular as regards new technological developments and cybersecurity solutions. For the effective functioning of the internal market and to avoid unnecessary burden on companies, it is also essential that national legislation does not go beyond the margins set by the GDPR or introduces additional requirements when there is no margin. A specific challenge for national legislation is the reconciliation of the right to the protection of personal data with freedom of expression and information, and the proper balancing of these rights. Some national legislations lay down the principle of precedence of freedom of expression, whilst others lay down the precedence of the protection of personal data and exempt the application of data protection rules only in specific situations, such as where a person with public status is concerned. Finally, other Member States provide for a certain balancing by the legislator and/or or a case- by-case assessment as regards derogations from certain provisions of the GDPR. The Commission will continue its assessment of national legislation. The reconciliation must be provided for by law, respect the essence of those fundamental rights, and be proportional and necessary40 . Data protection rules (as well as their interpretation and application) should not affect the exercise of freedom of expression and information, for instance by creating a chilling effect or putting pressure on journalists to disclose their sources. The balancing of these two rights by national laws should be framed by the case law of the Court of Justice and of the European Court of Human Rights41 . Member State legislation follows different approaches when implementing derogations from the general prohibition for processing special categories of personal data, as regards the level of specification and safeguards, including for health and research purposes. To address this issue, the Commission is, as a first step, mapping the different approaches of Member States42 and will, as a following step, support the 36 Most recently through a letter from Commissioner Reynders in March 2020. 37 It has to be noted that the national data protection authority in Slovenia is established on the basis of the current national data protection law and supervising the application of the GDPR in that Member State. 38 See point 3.1 of the Staff Working Document. 39 See point 3.2 of the Staff Working Document. 40 Article 52(1) of the Charter. 41 See under point 3.1 of the Staff Working Document: Reconciliation of the right to the protection of personal data with freedom of expression and information. 42 The Commission has launched a study on the “Assessment of the Member States’ rules on health data in the light of GDPR”, Chafea/2018/Health/03, specific contract No 2019 70 01. 8 establishment of code(s) of conducts that would contribute to a more consistent approach in this area and make the cross-border processing of personal data easier43 . In addition, the Board’s future guidelines on the use of personal data in the field of scientific research will contribute to a harmonised approach. The Commission will provide input to the Board in particular in relation to health research, including in the form of concrete questions and analysis of specific scenarios which it has received from the research community. Empowering individuals to control their data According to a Fundamental Rights Survey44 , 69% of the EU population above the age of 16 have heard about the GDPR and 71% of people in the EU know about their national data protection authority. Individuals are increasingly aware of their rights: the rights of access, rectification, erasure, and portability of their personal data, the right to object to a processing, as well as enhanced transparency. The GDPR strengthened procedural rights, encompassing the right to lodge a complaint with a data protection authority, including through representative actions, and to judicial redress. Individuals are increasingly using these rights, but there is a need to facilitate their exercise and their full enforcement. The reflections being led by the Board will clarify and further facilitate the exercise of individual rights, while the proposed Directive on representative actions45 , once adopted, is expected to enable individuals to bring collective actions in all Member States and will lower the costs of cross-border actions. The right to data portability has a clear potential, still not fully used, to put individuals at the centre of the data economy by enabling them to switch between different service providers, to combine different services, use other innovative services and to choose the most data protection-friendly services. This will, indirectly, foster competition and support innovation. Unlocking this potential is one of the Commission’s priorities, in particular since, with the increasing use of ‘Internet of Things’ devices, more and more data are generated by consumers, who risk being faced with unfair practices and ‘lock-in’ effects. Portability could yield significant benefits in relation to health and wellness, reduced environmental footprint and access to public and private services, higher productivity in manufacturing and increased product quality and safety. The Data Strategy emphasised the need to address difficulties such as lack of standards enabling the provision of data in a machine-readable format, to increase the effective use of the right to data portability, which is currently limited to a few sectors (e.g. banking and telecommunications). This could be done notably through the design of appropriate tools, standardised format and interfaces46 . This increased use 43 See actions announced in the European Strategy for Data, page 30. 44 European Union Agency for Fundamental Rights (FRA) (2020): Fundamental Rights Survey 2019. Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey- data-protection 45 The proposed Directive on representative actions for the protection of the collective interests of consumers (COM/2018/0184 final - 2018/089 (COD)), once adopted, is expected to strengthen the framework for representative actions also in the field of data protection. 46 Those tools may include consent management tools, and personal information management apps. 9 could also be achieved notably by mandating technical interfaces and machine- readable formats allowing portability of data in real-time. An increased use of the right to portability could, amongst other things, make it easier for individuals to allow the use of their data for the public good (for instance to foster research in the health sector), if they wish to do so (‘data altruism’). In preparation of the Digital Services Act package47 , the Commission will explore more broadly the role of data and data- related practices in the platform ecosystem. Opportunities and challenges for organisations, in particular small and medium-sized enterprises The GDPR, together with the Free Flow of Non-Personal Data Regulation48 offers opportunities to companies by fostering competition and innovation, ensuring the free flow of data within the EU and creating a level playing field with companies established outside the EU49 . The right to portability, coupled with an increasing number of individuals in search of more privacy-friendly solutions, have the potential to lower the barriers to entry for businesses and open the possibilities for growth based on trust and innovation. Some stakeholders report that the application of the GDPR is challenging especially for small and medium sized enterprises (SMEs). According to the risk-based approach, it would not be appropriate to provide derogations based on the size of the operators, as their size is not in itself an indication of the risks the processing of personal data that it undertakes can create for individuals. Several data protection authorities have provided practical tools to facilitate the implementation of the GDPR by SMEs with low risk processing activities. These efforts should be intensified and widespread, preferably within a common European approach in order not to create barriers to the Single Market. Data protection authorities have developed a number of activities to help SMEs comply with the GDPR, for instance through the provision of templates for processing contracts and records for processing activities, seminars and hotlines for consultation. A number of these initiatives benefited from EU funding50 . Further activities should be considered to facilitate the application of the GDPR for SMEs. The GDPR makes a toolbox available to all types of companies and organisations to help them demonstrate compliance, such as codes of conduct, certification mechanisms and standard contractual clause. This toolbox should be used to its full extent. SMEs stress in particular the importance and usefulness of codes of conduct which are tailored to their situation and which do not entail disproportionate costs. As 47 https://ec.europa.eu/commission/presscorner/detail/en/ip_20_962 48 Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union - OJ L 303, 28.11.2018, p. 59–68 49 See point 5 of the Staff Working Document. See also COM/2019/250 final Guidance on the Regulation on a framework for the free flow of non-personal data in the European Union, explaining the rules governing the processing of mixed datasets, composed of both personal and non-personal data, making it practical for businesses, including SMEs. 50 The Commission provided financial support through three waves of grants, for a total of EUR 5 million, with the two most recent ones specifically aimed at supporting national data protection authorities in their efforts to reach out to individuals and small and medium-size enterprises: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting- implementation-gdpr_en. An additional EUR 1 million will be allocated in 2020. 10 regards certification schemes, security (including cybersecurity) and data protection by design are key elements to be considered under the GDPR and would benefit from a common and ambitious approach throughout the EU. The Commission is currently working on standard contractual clauses between controllers and processors51 , building on the on-going work on the modernisation of the standard contractual clauses for international transfers52 . The application of the GDPR to new technologies The GDPR, having been conceived in a technology neutral way, is based on principles, and is therefore designed to cover new technologies as they develop. It is seen as an essential and flexible tool to ensure that the development of new technologies is in compliance with fundamental rights. The data protection and privacy legislative framework proved its importance and flexibility during the COVID-19 crisis, notably in relation to the design of the tracing apps and other technological solutions to fight the pandemic. Future challenges lie ahead in clarifying how to apply the proven principles to specific technologies such as artificial intelligence, blockchain, Internet of Things or facial recognition which require a monitoring on a continuous basis. The Commission White Paper on Artificial Intelligence53 , for instance, opened up a public debate on the specific circumstances, if any, which might justify the use of artificial intelligence for remote biometric identification purposes (such as facial recognition) in public places, and on common safeguards. In this respect, data protection authorities should be ready to accompany technical design processes early on. Moreover, strong and effective enforcement of the GDPR vis-à-vis large digital platforms and integrated companies, including in areas such as online advertising and micro-targeting, is an essential element for protecting individuals. Developing a modern international data transfer toolbox The GDPR offers a modernised toolbox to facilitate the transfer of personal data from the EU to a third country or international organisation, while ensuring that the data continues to benefit from a high level of protection. In the past two years, the Commission stepped up its work to harness the full potential of the tools available under the GDPR. This has included actively engaging with key partners with a view to reaching an “adequacy decision”. The effect of such a decision is to enable the safe and free flow of personal data to the concerned third country without the need for the data exporter to provide further safeguards or obtain any authorisation. In particular, the EU-Japan mutual adequacy decisions, which entered into force in February 2019, created the world’s largest area of free and safe data flows. In addition, the adequacy process with the Republic of Korea is at an advanced stage and exploratory talks are ongoing with other important partners in Asia and Latin America. 51 Under Article 28 GDPR 52 Under Article 46 GDPR. 53 White Paper on Artificial Intelligence - A European approach to excellence and trust - COM/2020/65 final. 11 Adequacy also plays an important role in the context of the future relationship with the United Kingdom, provided that the applicable conditions are met. It constitutes an enabling factor for trade, including digital trade, and an essential prerequisite for a close and ambitious cooperation in the area of law enforcement and security. Moreover, a high degree of convergence in data protection is an important element for ensuring a level playing field between two so closely integrated economies. In line with the Political Declaration on the Future Relationship between the EU and the UK, the Commission is currently carrying out an adequacy assessment under both the GDPR and the Data Protection Law Enforcement Directive54 . As part of the first evaluation of the GDPR, the Commission is also required to review the adequacy decisions that were adopted under the former rules55 . The Commission services have engaged in an intense dialogue with each of the 11 concerned third countries and territories56 to assess how their data protection systems have evolved since the adoption of the adequacy decision and whether they meet the standard set by the GDPR. The need to ensure the continuity of such decisions, as a key tool for trade and international cooperation, is one of the factors that has prompted several of these countries and territories to modernise and strengthen their privacy laws. Additional safeguards are being discussed with some of these countries and territories to address relevant differences in protection. However, given that the Court of Justice in a judgment to be delivered on 16 July may provide clarifications that could be relevant for certain elements of the adequacy standard, the Commission will report separately on the evaluation of the existing adequacy decisions after the Court of Justice has handed down its judgment in that case57 . Beside its adequacy work, the Commission is working on a comprehensive modernisation of standard contractual clauses, to update them in light of new requirements introduced by the GDPR. The aim is to better reflect the realities of processing operations in the modern digital economy and consider the possible need, including in light of the upcoming case law of the Court of Justice58 , to further clarify certain safeguards. These clauses represent by far the most widely used data transfer mechanism, with thousands of EU companies relying on them in order to provide a wide range of services to their clients, suppliers, partners and employees. The Board has also played an active role in developing the international aspects of the GDPR. This includes updating guidance on existing transfer mechanisms, such as binding corporate rules and so-called ‘derogations’, as well as developing the legal 54 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89–131. 55 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p. 31–50. 56 These countries and territories are: Andorra, Argentina, Canada, Faeroe Islands, Guernsey, Jersey, Isle of Man, Israel, New Zealand, Switzerland and Uruguay. 57 See Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), that concerns a reference for a preliminary ruling on the so-called Standard Contractual Clauses. However, certain elements of the adequacy standard may also be further clarified by the Court. 58 See Schrems II case. 12 infrastructure for the use of new tools introduced by the GDPR, i.e. codes of conduct and certification. To allow stakeholders to make full use of the GDPR transfer toolbox, it is important that the Board intensifies its ongoing work on the various transfer mechanisms, including by further streamlining the approval process for binding corporate rules, finalising the guidance on codes of conduct and certification as tools for transfers, and clarifying the interplay between the rules on international data transfers (Chapter V) with the GDPR territorial scope of application (Article 3). Another important aspect of the international dimension of EU data protection rules is the GDPR’s extended territorial scope, which also covers the processing activities of foreign operators that are active in the EU market. To ensure effective compliance with the GDPR and a true level playing field, it is essential that this extension is appropriately reflected in the enforcement action by the data protection authorities. They should, in particular, involve, where necessary, the controller’s or processor’s representative in the EU, who can be addressed in addition to or instead of the company based outside the EU. This approach should be pursued more vigorously in order to send a clear message that the lack of an establishment in the EU does not relieve foreign operators of their responsibilities under the GDPR. Promoting convergence and international cooperation in the area of data protection The GDPR has already emerged as a key reference point at international level and acted as a catalyst for many countries around the world to consider introducing modern privacy rules. This trend towards global convergence is a very positive development that brings new opportunities to better protect individuals in the EU when their data is transferred abroad while, at the same time, facilitating data flows. Building on this trend, the Commission has intensified its dialogue in a number of bilateral, regional and multilateral fora to foster a global culture of respect for privacy and develop elements of convergence between different privacy systems. In its efforts, the Commission has relied and will continue to count on the active support of the European External Action Service and the network of EU delegations in third countries and missions to international organisations. This has also allowed for greater consistency and complementarity between different aspects of the external dimension of EU policies – from trade to the new EU-Africa partnership. The G20 and G7 have also recently recognised the contribution of data protection to trust in the digital economy and data flows, in particular through the concept of ‘Data Free Flow with Trust’ originally proposed by the Japanese G20 Presidency.59 The Data Strategy highlights the Commission’s intention to continue promoting data sharing with trusted partners while fighting against abuses such as disproportionate access of (foreign) public authorities to personal data. While promoting convergence of data protection standards at international level, as a way to facilitate data flows and thus trade, the Commission is also determined to tackle digital protectionism, as recently highlighted in the Data Strategy.60 To that 59 See e.g. text of the G20 Osaka Leaders’ Declaration: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf 60 Data Strategy, p. 23. 13 end, it has developed specific provisions on data flows and data protection in trade agreements61 which it systematically tables in its bilateral – most recently with Australia, New Zealand, and the UK – and multilateral negotiations such as the current WTO e-commerce talks62 . These horizontal provisions rule out unjustified restrictions, such as forced data localisation requirements, while preserving the regulatory autonomy of the parties to protect the fundamental right to data protection. Synergies between trade and data protections instruments should thus be further explored to ensure free and safe international data flows that are essential for the business operations, competitiveness and growth of European companies, including SMEs, in the increasingly digitalised economy. Similarly, it is important to ensure that when companies active in the European market are called on the basis of a legitimate request to share data for law enforcement purposes, they can do so without facing conflicts of law and in full respect of EU fundamental rights. To improve such transfers, the Commission is committed to develop appropriate legal frameworks with its international partners to avoid conflicts of law and support effective forms of cooperation, notably by providing for the necessary data protection safeguards, and thereby contribute to a more effective fight against crime. Finally, at a time when privacy compliance issues or data security incidents may affect large numbers of individuals simultaneously in several jurisdictions, cooperation ‘on the ground’ between European and international regulators should be further strengthened. In particular, this requires appropriate legal instruments to be developed for closer forms of cooperation and mutual assistance, including by allowing the necessary exchanges of information in the context of investigations. It is also in this spirit that the Commission is setting up a ‘Data Protection Academy’, a platform where EU and foreign data protection authorities would share knowledge, experience and best practices to facilitate and support cooperation between privacy enforcers. 3 WAY FORWARD To meet the full potential of the GDPR, it is important to create a harmonised approach and a European common culture of data protection, and to foster a more efficient and harmonised handling of cross-border cases. This is expected by people and businesses and constitutes an essential objective of the reform of EU data protection rules. It is equally important to ensure that all tools available in the GDPR are used fully to ensure an efficient application for individuals and businesses. 61 See text of horizontal provisions for cross-border data flows and for personal data protection (in EU trade and investment agreements): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf 62 84 WTO Members are now engaged in plurilateral negotiations on e-commerce, further to a Joint Statement Initiative adopted by Ministers on 25 January 2019 in Davos. As part of this process, the EU tabled its text proposal on future rules and obligations on e-commerce on 3 May 2019. The proposal includes horizontal provisions on data flows and personal data protection: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf. 14 The Commission will continue its bilateral exchanges with Member States on the implementation of the GDPR and, where necessary, will continue to use all the tools at its disposal to foster compliance by Member States with their obligations under the GDPR. Given the ongoing assessment of national legislation, the short period of practical experience since the GDPR has become applicable, and the fact that sector-specific legislation is still being revised in many Member States, it is still too soon to draw definitive conclusions on the existing level of fragmentation. As regards the possible conflict of laws due to the implementation by Member States of specification clauses, it is first necessary to better understand the consequences for controllers and processors63 . When following-up on these issues, the relevant case law of national courts and the Court of Justice helps to create a consistent interpretation of data protection rules. National courts have recently issued judgements invalidating provisions in national laws which depart from the GDPR64 . As regards the international dimension, the Commission will continue to focus on promoting convergence of data protection rules as a way to ensure safe data flows. This includes various forms of ‘upstream’ work, for instance in the context of ongoing reforms for new or updated data protection laws, or the push for the ‘Data Free Flow with Trust’ concept in multilateral fora. It also covers various adequacy dialogues and the modernisation and expansion of our transfer toolbox through updating the standard contractual clauses and laying the groundwork for certification mechanisms. This work also includes international negotiations, such as in the area of cross-border access to electronic evidence, to ensure that data transfers will take place with appropriate data protection safeguards. Finally, by engaging in negotiations on international cooperation and mutual assistance between data protection enforcers, the Commission will strive to bring convergence ‘from the books to the ground’. Based on this evaluation of the application of the GDPR since May 2018, the actions listed below have been identified as necessary to support its application. The Commission will monitor their implementation also in view of the forthcoming evaluation report in 2024. Implementing and complementing the legal framework Member States should - complete the alignment of their sectoral laws to the GDPR; - consider limiting the use of specification clauses which might create fragmentation and jeopardise the free flow of data within the EU; - assess whether national law implementing the GDPR is in all circumstances within the margins provided for Member State legislation. The Commission will 63 Cf. Council position and findings on the application of the GDPR. 64 This has been the case in Germany and in Spain, or, in Austria, closing a gap in the national legislation. 15 - pursue bilateral exchanges with Member States on the compliance of national laws with the GDPR, including on the independence and resources of national data protection authorities; make use of all the tools at its disposal, including infringement procedures, to ensure that Member States comply with the GDPR; - support further exchanges of views and national practices between Member States on topics which are subject to further specification at national level so as to reduce the level of fragmentation of the single market, such as processing of personal data relating to health and research, or which are subject to balancing with other rights such as the freedom of expression; - support a consistent application of the data protection framework in relation to new technologies to support innovation and technological developments; - use the GDPR Member States Expert Group (established during the transitory phase before the GDPR became applicable) to facilitate discussions and sharing of experience between Member States and with the Commission; - explore whether, in the light of further experience and relevant case-law, proposing possible future targeted amendments to certain provisions of the GDPR might be appropriate, in particular regarding records of processing by SMEs that do not have the processing of personal data as their core business (low risk)65 , and the possible harmonisation of the age of children consent in relation to information society services. Making the new governance system deliver its full potential The Board and data protection authorities are invited to - develop efficient arrangements between data protection authorities regarding the functioning of the cooperation and consistency mechanisms, including on procedural aspects, building on the expertise of its members and by strengthening the involvement of its secretariat; - support harmonisation in applying and enforcing the GDPR using all means at its disposal, including by further clarifying key concepts of the GDPR, and ensuring that national guidance is fully in line with guidelines adopted by the Board; - encourage the use of all tools provided for in the GDPR to ensure that it is applied consistently; - step up cooperation among data protection authorities, for instance by conducting joint investigations. The Commission will - continue to closely monitor the effective and full independence of national data protection authorities; 65 Article 30(5) GDPR. 16 - encourage cooperation between regulators (in particular in fields such as competition, electronic communications, security of network and information systems and consumer policy); - support the reflection within the Board on the procedures applied by the national data protection authorities in order to improve the cooperation on the cross-border cases. Member States shall - allocate resources to data protection authorities that are sufficient for them to perform their tasks. Supporting stakeholders The Board and data protection authorities are invited to - adopt further guidelines which are practical, easily understandable, and which provide clear answers and avoid ambiguities on issues related to the application of the GDPR, for example on processing children’s data and data subject rights, including the exercise of the right of access and the right to erasure, consulting stakeholders in the process; - review the guidelines when further clarifications are necessary in the light of experience and developments including in the case law of the Court of Justice; - develop practical tools, such as harmonised forms for data breaches and simplified records of processing activities, to help low-risk SMEs meeting their obligations. The Commission will - provide standard contractual clauses both for international transfers and the controller/processor-relationship; - provide for tools clarifying/supporting the application of data protection rules to children66 ; - in line with the Data Strategy, explore practical means to facilitate increased use of the right to portability by individuals, such as by giving them more control over who can access and use machine-generated data; - support standardisation/certification in particular on cybersecurity aspects through the cooperation between the European Union Agency for Cybersecurity (ENISA), the data protection authorities and the Board; - when appropriate, make use of its right to request the Board to prepare guidelines and opinions on specific issues of importance to stakeholders; - when necessary provide guidance, while fully respecting the role of the Board; 66 Commission project on age identification tools – pilot project to demonstrate an interoperable technical infrastructure for child protection, including age-verification and parental consent. This is expected to support the implementation of the child protection mechanisms based on existing EU legislation relevant for children protection online. 17 - support the activities of data protection authorities that facilitate implementation of GDPR obligations by SMEs, through financial support, especially for practical guidance and digital tools that can be replicated in other Member States. Encouraging innovation The Commission will - monitor the application of the GDPR to new technologies, also taking into account of possible future initiatives in the field of artificial intelligence and under the Data Strategy; - encourage, including through financial support, the drafting of EU codes of conduct in the area of health and research; - closely follow the development and the use of apps in the context of the COVID-19 pandemic. The Board is invited to - issue guidelines on the application of the GDPR in the area of scientific research, artificial intelligence, blockchain, and possible other technological developments; - review the guidelines when further clarifications are necessary in the light of technological development. Further developing the toolkit for data transfers The Commission will - pursue adequacy dialogues with interested third countries, in line with the strategy set out in its 2017 Communication ‘Exchanging and Protecting Personal Data in a Globalised World’, including where possible by covering data transfers to criminal law enforcement authorities (under the Data Protection Law Enforcement Directive) and other public authorities; this includes finalisation of the adequacy process with the Republic of Korea as soon as possible; - finalise the ongoing evaluation of the existing adequacy decisions and report to the European Parliament and the Council; - finalise the work on the modernisation of the standard contractual clauses, with a view to updating them in light of the GDPR, covering all relevant transfer scenarios and better reflecting modern business practices. The Board is invited to - further clarify the interplay between the rules on international data transfers (Chapter V) with the GDPR’s territorial scope of application (Article 3); - ensure effective enforcement against operators established in third countries falling within the GDPR’s territorial scope of application, including as regards the appointment of a representative where applicable (Article 27); 18 - streamline the assessment and eventual approval of binding corporate rules with a view to speed up the process; - complete the work on the architecture, procedures and assessment criteria for codes of conduct and certification mechanisms as tools for data transfers. Promoting convergence and developing international cooperation The Commission will - support ongoing reform processes in third countries on new or modernised data protection rules by sharing experience and best practices; - engage with African partners to promote regulatory convergence and support capacity-building of supervisory authorities as part of the digital chapter of the new EU-Africa partnership; - assess how cooperation between private operators and law enforcement authorities could be facilitated, including by negotiating bilateral and multilateral frameworks for data transfers in the context of access by foreign criminal law enforcement authorities to electronic evidence, to avoid conflicts of law while ensuring appropriate data protection safeguards; - engage with international and regional organisations such as the OECD, ASEAN or the G20 to promote trusted data flows based on high data protection standards, including in the context of the Data Flow with Trust initiative; - set up a ‘Data Protection Academy’ to facilitate and support exchanges between European and international regulators; - promote international enforcement cooperation between supervisory authorities, including through the negotiation of cooperation and mutual assistance agreements.
1_DA_ACT_part1_v2.pdf
https://www.ft.dk/samling/20201/kommissionsforslag/kom(2020)0264/forslag/1675382/2224829.pdf
DA DA EUROPA- KOMMISSIONEN Bruxelles, den 24.6.2020 COM(2020) 264 final MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse {SWD(2020) 115 final} Europaudvalget 2020 KOM (2020) 0264 Offentligt 1 MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse 1 DATABESKYTTELSESREGLER SOM EN HJØRNESTEN I BORGERNES INDFLYDELSE OG EU'S TILGANG TIL DEN DIGITALE OMSTILLING Denne rapport er den første om evalueringen og revisionen af den generelle forordning om databeskyttelse1 (herefter "persondataforordningen"), og handler især om, hvordan reglerne om overførsel af personoplysninger til tredjelande og internationale organisationer og reglerne om samarbejde og sammenhæng anvendes og fungerer, jf. persondataforordningens artikel 97. Persondataforordningen, som har været gældende siden den 25. maj 2018, er en central del af EU's ramme2 for sikring af den grundlæggende ret til databeskyttelse som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder (artikel 8) og i traktaterne (artikel 16 i traktaten om Den Europæiske Unions funktionsmåde, "TEUF"). Persondataforordningen styrker databeskyttelsesgarantierne, giver personer yderligere og styrkede rettigheder, skaber øget gennemsigtighed og sikrer, at alle de, der behandler personoplysninger, og som er omfattet af dens anvendelsesområde, holdes mere ansvarlige og er mere ansvarsbevidste. Den giver de uafhængige datatilsynsmyndigheder større og mere ensartede håndhævelsesbeføjelser og indfører et nyt forvaltningssystem. Den skaber også lige vilkår for alle virksomheder, som udøver aktivitet på EU-markedet, uanset hvor de er etablerede, og den sikrer fri udveksling af oplysninger inden for EU og styrker dermed det indre marked. Persondataforordningen er en vigtig del af den menneskecentrerede tilgang til teknologi og en rettesnor for brugen af teknologi i den grønne og den digitale omstilling, som kendetegner EU's politikudformning. Dette er for nylig blevet understreget i hvidbogen om kunstig intelligens3 og i meddelelsen om en europæisk datastrategi4 (herefter "datastrategien") fra februar 2020. I en økonomi, der i stigende grad bygger på behandling af data, herunder personoplysninger, er persondataforordningen et vigtigt værktøj til at sikre, at personer har bedre kontrol over deres personoplysninger, og at disse oplysninger behandles til et lovligt formål på en lovlig, rimelig og gennemsigtig måde. Samtidig 1 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1). 2 Efter at forordningen blev indarbejdet i aftalen om Det Europæiske Økonomiske Samarbejdsområde, finder den også anvendelse på Norge, Island og Liechtenstein. 3 https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach- excellence-and-trust_en. 4 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy. 2 bidrager persondataforordningen til at fremme innovation, man kan have tillid til, især via dens risikobaserede tilgang og principper såsom databeskyttelse gennem design og gennem standardindstillinger. Kommissionen har foreslået at supplere regelkomplekset for databeskyttelse og beskyttelse af privatlivets fred5 med forordningen om e-databeskyttelse6 , som har til formål at erstatte det nuværende direktiv om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor7 . Forslaget behandles i øjeblikket af Europa-Parlamentet og Rådet, og det er meget vigtigt, at det bliver vedtaget hurtigt. Der kan som led i Kommissionens centrale prioriteter i "Et Europa klar til den digitale tidsalder"8 og "Den europæiske grønne pagt"9 skabes nye initiativer, som giver borgerne mulighed for at spille en mere aktiv rolle i den digitale omstilling og for at udnytte brugen af digitale værktøjer til at skabe et klimaneutralt samfund og en mere bæredygtig udvikling. Persondataforordningen fastsætter rammen for sådanne initiativer og sikrer, at de udformes, så de reelt styrker den enkeltes indflydelse. I datastrategien10 opfordres der til at skabe et "fælles europæisk dataområde", et ægte indre marked for data samt ti fælles europæiske sektorspecifikke dataområder, der er relevante for den grønne og den digitale omstilling11 . Det gælder for alle disse prioriteter, at en klar og velfungerende ramme for sikker datadeling og øget datatilgængelighed er helt afgørende. Det fremgår også af datastrategien, at Kommissionen agter at undersøge, hvordan der er i fremtidig lovgivning kan gives mulighed for at udnytte data i offentlige databaser til videnskabelig forskning på en måde, der er i overensstemmelse med persondataforordningen. Dataområderne skal understøttes af en europæisk cloudsammenslutning, som udbyder databehandlingstjenester og cloudinfrastrukturtjenester, der er i overensstemmelse med persondataforordningen. Persondataforordningen sikrer en høj beskyttelse af personoplysninger, og at personer får en central rolle på alle disse dataområder, samtidig med at den giver den nødvendige fleksibilitet til at tilgodese forskellige tilgange. Behovet for at sikre tillid og kravet om beskyttelse af personoplysninger er bestemt ikke begrænset til EU. Rundt om i verden sætter personer i stigende grad pris på 5 Dette regelkompleks omfatter også direktivet om databeskyttelse på retshåndhævelsesområdet (direktiv 2016/680) og databeskyttelsesforordningen for EU's institutioner og organer (forordning (EU) 2018/1725). 6 Forslag til Europa-Parlamentets og Rådets forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation og ophævelse af direktiv 2002/58/EF (forordning om databeskyttelse inden for elektronisk kommunikation) (COM (2017) 10 final - 2017/03 (COD)). 7 Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37). 8 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_da. 9 Meddelelse fra Kommissionen til Europa-Parlamentet, Det Europæiske Råd, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget – Den europæiske grønne pagt (COM(2019) 640 final). 10 Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget — En europæisk strategi for data (COM(2020) 66 final). 11 De ti fælles europæiske sektorspecifikke dataområder vedrører: sundhed, industriel produktion, energi, mobilitet, landbrug, finansielle data, offentlig administration, et fælles europæisk dataområde for færdigheder, et europæisk dataområde for den grønne pagt og en europæiske åben videnskabscloud. 3 privatlivets fred og deres oplysningers sikkerhed. Det fremgår af en nylig global undersøgelse12 , at dette er en vigtig faktor, som påvirker deres beslutninger om indkøb og adfærd på nettet. Et stigende antal virksomheder har efterkommet dette ønske om beskyttelse af privatlivets fred ved blandt andet frivilligt at udvide nogle af de rettigheder og garantier, der findes i persondataforordningen, til deres kunder uden for EU. Mange virksomheder benytter også beskyttelsen af personoplysninger som en konkurrenceparameter og et salgsargument på den globale markedsplads ved at tilbyde innovative produkter og tjenester med nye muligheder for beskyttelse af privatlivets fred eller datasikkerhed. De øgede muligheder, som aktører i den offentlige og private sektor har for at indsamle og behandle data i stor skala, rejser desuden vigtige og komplekse spørgsmål, som i stigende grad placerer beskyttelsen af privatlivets fred i centrum for den offentlige debat i forskellige dele af verden. Vedtagelsen af persondataforordningen har fået andre lande mange steder i verden til at følge trop. Der er tale om en global udvikling fra Chile til Sydkorea, Brasilien til Japan, Kenya til Indien og Californien til Indonesien. EU's lederskab inden for databeskyttelse viser, at EU kan sætte standarden for reguleringen af den digitale økonomi på globalt plan, og det er blevet vel modtaget af indflydelsesrige personer fra det internationale samfund såsom FN's generalsekretær António Guterres, som har udtalt, at persondataforordningen har "vist det gode eksempel […] og inspireret til lignende foranstaltninger andre steder" og "opfordret EU og dets medlemsstater til fortsat at spille en ledende rolle med henblik på at forme den digitale tidsalder og være førende inden for teknologisk innovation og regulering"13 . Den aktuelle pandemiske krise som følge af covid-19 illustrerer tydeligt globaliseringen af databeskyttelsesdebatten både under krisen og i takt med, at verden forsøger at komme ud af den. I EU traf flere medlemsstater nødforanstaltninger i et forsøg på at beskytte folkesundheden. Det fremgår klart af persondataforordningen, at enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til samfundsinteresser såsom folkesundheden. I takt med at inddæmningsforanstaltningerne udfases, skal beslutningstagerne se på borgernes forventninger om, at de tilbydes digitale løsninger, de kan have tillid til, og som overholder retten til privatlivets fred og beskyttelse af personoplysninger. I mange lande anses indbygget databeskyttelse, som f.eks. brugeres frivillige undertegnelse, dataminimering, datasikkerhed og udelukkelse af geolokalisering, for at være en forudsætning for at kunne skabe datadrevne løsninger, som har til formål at overvåge og inddæmme virusspredningen, justere de offentlige modforanstaltninger, bistå patienter eller gennemføre exitstrategier, og som folk har tillid til og generelt 12 Se f.eks. Ciscos "Consumer Privacy Study" fra 2019 (https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf). Ifølge undersøgelsen, som omfatter 2 600 forbrugere verden over, har et stort antal forbrugere allerede truffet foranstaltninger til at beskytte deres personoplysninger, f.eks. ved at gå over til andre virksomheder eller udbydere på grund af deres datapolitik eller datadelingspraksis. 13 FN's generalsekretærens tale til det italienske senat den 18.12.2019 (findes på: https://www.un.org/press/en/2019/sgsm19916.doc.htm). 4 accepterer. I EU har regelkomplekset vedrørende databeskyttelse og privatlivets fred14 vist sig at være tilstrækkeligt fleksibelt til, at der kan udvikles praktiske løsninger (f.eks. opsporingsapp), samtidig med at personoplysninger sikres en høj grad af beskyttelse. Den 16. april 2020 offentliggjorde Kommissionen i den forbindelse en offentlig vejledning om apps til støtte for bekæmpelse af pandemien i forbindelse med databeskyttelse15 . Beskyttelse af personoplysninger er også vigtig for at forhindre manipulation af borgernes valg, især via mikromålretning af vælgere baseret på ulovlig behandling af personoplysninger, for at undgå indblanding i de demokratiske processer og for at bevare den åbne debat og den fairness og gennemsigtighed, der er afgørende i et demokrati. Det var grunden til, at Kommissionen i september 2018 offentliggjorde en vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med afholdelse af valg16 . Med henblik på denne evaluering og revision har Kommissionen taget hensyn til bidragene fra Rådet17 , Europa-Parlamentet18 , Det Europæiske Databeskyttelsesråd (herefter "Databeskyttelsesrådet")19 de enkelte datatilsynsmyndigheder20 , flerpartsekspertgruppen21 og andre interessenter, blandt andet feedbacken til køreplanen22 . Den generelle holdning er, at persondataforordningen, som nu har været anvendt i to år, opfylder målene om at forbedre personers databeskyttelsesrettigheder og garantere fri udveksling af personoplysninger inden for EU23 . Der er dog også konstateret en række områder, som kan forbedres. Som de fleste interessenter og 14 Regelkomplekset omfatter ud over persondataforordningen e-databeskyttelsesdirektivet (direktiv 2002/58/EF), som blandt andet indeholder regler om adgang til og lagring af oplysninger på brugerens terminaludstyr. 15 Meddelelse fra Kommissionen: Vejledning om apps til støtte for bekæmpelse af covid-19-pandemien i forbindelse med databeskyttelse 2020/C 124 I/01 - C/2020/2523 (EUT C 124I af 17.4.2020, s. 1). Den 16. april 2020 udviklede EU-medlemsstaterne med støtte fra Kommissionen en EU-værktøjskasse for anvendelse af mobilapplikationer til kontaktopsporing og -varsling som reaktion på coronapandemien. Dette er en del af en fælles koordineret tilgang til støtte for den gradvise ophævelse af inddæmningsforanstaltninger. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid- 19_apps_en.pdf. 16 Kommissionens vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med afholdelse af valg: Et bidrag fra Europa-Kommissionen til mødet mellem lederne i Salzburg den 19.-20. september 2018 (COM(2018) 638 final). 17 Rådets holdning og resultater vedrørende anvendelse af den generelle forordning om databeskyttelse: https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/da/pdf. 18 Brev fra Europa-Parlamentets LIBE-udvalg af 21.2.2020 til Kommissær Didier Reynders, Ref.: IPOL-COM-LIBE D (2020)6525. 19 Bidrag fra Databeskyttelsesrådet til evalueringen af persondataforordningen, jf. artikel 97, vedtaget den 18.2.2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb- evaluation-gdpr-under-article-97_en. 20 https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_da. 21 Flerpartsekspertgruppen, som beskæftiger sig med forordningen og er oprettet af Kommissionen, inddrager civilsamfundet, repræsentanter for erhvervslivet, akademikere og fagfolk: https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537. 22 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the- application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437. 23 Se f.eks. Rådets holdning og resultater samt Databeskyttelsesrådets bidrag. 5 datatilsynsmyndigheder mener Kommissionen, at det på nuværende tidspunkt er for tidligt at drage nogen endelige konklusioner om persondataforordningens anvendelse. For de fleste af de problemer, som medlemsstaterne og interessenterne har peget på, gælder det, at det sandsynligvis vil være en fordel at høste lidt større erfaring med persondataforordningens anvendelse i de kommende år. Ikke desto mindre fremhæver rapporten de problemer, der hidtil har været med at anvende persondataforordningen, og den indeholder også forslag til, hvordan de kan løses. Selv om der i rapporten fokuseres på de to områder i persondataforordningens artikel 97, stk. 2, nemlig internationale overførsler og samarbejds- og sammenhængsmekanismer, ses der i denne evaluering og revision også på spørgsmål, som forskellige aktører har rejst i de seneste to år. 2 HOVEDKONKLUSIONER Håndhævelse af persondataforordningen og samarbejds- og sammenhængsmekanismernes virke Med persondataforordningen indføres et innovativt forvaltningssystem, som bygger på uafhængige datatilsynsmyndigheder i medlemsstaterne og deres samarbejde i grænseoverskridende sager og i Det Europæiske Databeskyttelsesråd ("Databeskyttelsesrådet"). Generelt kan det konkluderes, at datatilsynsmyndighederne har gjort rimelig brug af deres øgede korrigerende beføjelser, herunder advarsler, kritik, bøder og midlertidig eller definitiv begrænsning af behandlinger24 . Kommissionen bemærker, at myndighederne har gjort brug af administrative bøder fra nogle få tusinde euro til flere millioner euro afhængigt at overtrædelsernes alvor. Andre sanktioner såsom forbud mod behandling kan have en lige så stor om ikke større afskrækkende virkning end bøder. Det endelige mål med persondataforordningen er at ændre kulturen og adfærden blandt alle involverede aktører til gavn for personerne. Der findes nærmere oplysninger om datatilsynsmyndighedernes brug af korrigerende beføjelser i det ledsagende arbejdsdokument fra Kommissionens tjenestegrene. Selv om det stadig er for tidligt fuldt ud at vurdere, hvordan de nye samarbejds- og sammenhængsmekanismer fungerer, har datatilsynsmyndighederne udviklet deres samarbejde via one-stop-shop mekanismen25 og via omfattende brug af gensidig bistand26 . One-stop-shop mekanismen, som er en vigtig fordel ved det indre marked, anvendes tit, når der skal træffes afgørelse i grænseoverskridende sager27 . Der er i øjeblikket vigtige afgørelser med en grænseoverskridende dimension, som behandles via one-stop-shop mekanismen, som endnu ikke af afsluttede. Disse afgørelser, som involverer store multinationale teknologivirksomheder, vil få stor indflydelse på den enkeltes rettigheder i mange medlemsstater. 24 Se punkt 2.1 i arbejdsdokumentet fra Kommissionens tjenestegrene. 25 Hvis virksomhed behandler oplysninger på tværs af grænser, er det datatilsynsmyndigheden i den medlemsstat, hvor virksomheden har hovedsæde, der er kompetent. 26 Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene. 27 Mellem den 25.5.2018 og den 31.12.2019 blev der indgivet 141 udkast til afgørelser efter one-stop- shop proceduren, hvoraf 79 resulterede i endelige afgørelser. 6 Udviklingen af en egentlig fælles europæisk databeskyttelseskultur mellem datatilsynsmyndighederne er dog en kontinuerlig proces. Datatilsynsmyndighederne har endnu ikke fuldt ud gjort brug af de værktøjer, persondataforordningen giver mulighed for, f.eks. fælles aktiviteter, som kunne føre til fælles undersøgelser. Til tider medførte det at skulle nå frem til en fælles fremgangsmåde, at den laveste fællesnævner blev valgt, hvilket betød, at mulighederne for at fremme en øget harmonisering ikke blev udnyttet28 . Der bør gøres mere for at gøre behandlingen af grænseoverskridende sager mere effektiv og harmoniseret i hele EU, blandt andet fra et proceduremæssigt synspunkt, f.eks. i forbindelse med spørgsmål om klagebehandlingsprocedurer, kriterier for antagelse af klager, sagsbehandlingstiden på grund af forskellige frister eller mangel på frister i de nationale administrative procedureregler, tidspunkter i sagsbehandlingen, hvor retten til at blive hørt indrømmes, eller underretning og inddragelse af klagerne i løbet af sagsbehandlingen. Den refleksionsproces, der i den forbindelse er sat i gang af Databeskyttelsesrådet, er velkommen, og Kommissionen deltager i de pågældende drøftelser29 . Databeskyttelsesrådets aktiviteter og vejledning spiller en vigtig rolle for den videre udvikling af udvekslingerne mellem Databeskyttelsesrådet og interessenterne30 . Ved udgangen af 2019 havde Databeskyttelsesrådet vedtaget 67 dokumenter, herunder 10 nye retningslinjer31 og 43 udtalelser32 . Interessenterne er generelt glade for Databeskyttelsesrådets retningslinjer og ønsker flere om centrale begreber i persondataforordningen, men påpeger også, at der er uoverensstemmelser mellem den nationale vejledning og Databeskyttelsesrådets retningslinjer. De understreger behovet for mere praktisk rådgivning, især flere konkrete eksempler, og behovet for at give datatilsynsmyndighederne de fornødne menneskelige, tekniske og finansielle ressourcer til effektivt at kunne udføre deres opgaver. Kommissionen har hele tiden understreget medlemsstaternes forpligtelse til at afsætte tilstrækkelige menneskelige, finansielle og tekniske ressourcer til de nationale datatilsynsmyndigheder33 . De fleste myndigheder fik tildelt yderligere personale og budget mellem 2016 og 201934 med den forholdsvise største stigning i personalet hos de irske, nederlandske, islandske, luxembourgske og finske myndigheder. I betragtning af at de største multinationale teknologivirksomheder er etableret i Irland og Luxembourg, fungerer datatilsynsmyndighederne i disse lande som ledende 28 F.eks. kunne der være foretaget en større harmonisering af de nationale lister over, hvilke typer behandlinger der kræver en analyse af konsekvenserne for beskyttelsen af personoplysninger, jf. persondataforordningens artikel 35. 29 Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene. 30 Især repræsentanter for erhvervslivet og civilsamfundet. Se punkt 2.3 i arbejdsdokumentet fra Kommissionens tjenestegrene. 31 Ud over de 10 retningslinjer, der blev vedtaget af artikel 29-gruppen forud for forordningens anvendelse og godkendt af Databeskyttelsesrådet. Databeskyttelsesrådet har også vedtaget yderligere 4 retningslinjer mellem januar og slutningen af maj 2020 og ajourført en af de eksisterende. 32 42 af disse udtalelser blev vedtaget i henhold til persondataforordningens artikel 64, og en blev vedtaget i henhold til persondataforordningens artikel 70, stk. 1, litra s) og vedrørte beslutningen om tilstrækkeligt beskyttelsesniveau vedrørende Japan. 33 Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Databeskyttelsesregler som en tillidsskabende katalysator i og uden for EU — status (COM(2019) 374 final af 24.7.2019). 34 Overordnet har der samlet set været en stigning på 42 % i personalet hos og 49 % i budgettet for de nationale datatilsynsmyndigheder i EØS mellem 2016 og 2019. 7 tilsynsmyndigheder i mange vigtige grænseoverskridende sager og kan have brug for flere ressourcer end landenes indbyggertal umiddelbart giver indtryk af. Situationen er dog stadig meget forskellig fra medlemsstat til medlemsstat og endnu ikke generelt tilfredsstillende. Datatilsynsmyndighederne spiller en vigtig rolle med hensyn til at sikre, at persondataforordningen håndhæves nationalt, og at samarbejds- og sammenhængsmekanismerne i Databeskyttelsesrådet fungerer effektivt, især one- stop-shop mekanismen i grænseoverskridende sager. Medlemsstaterne opfordres derfor til at sørge for, at de har de nødvendige ressourcer i overensstemmelse med persondataforordningen35 . Harmoniserede regler, men stadig en vis fragmentering og forskellige fremgangsmåder Kommissionen fører tilsyn med gennemførelsen af persondataforordningen i national lovgivning. På tidspunktet for denne rapports udarbejdelse havde alle medlemsstater, med undtagelse af Slovenien, vedtaget ny lovgivning eller tilpasset deres nationale databeskyttelseslovgivning. Kommissionen har anmodet Slovenien36 om at redegøre nærmere for afslutningen af denne proces37 . Persondataforordningen sikrer en sammenhængende tilgang til databeskyttelsesreglerne i hele EU. Dette forudsætter dog, at medlemsstaterne lovgiver på visse områder38 , og giver dem mulighed for at specificere persondataforordningen nærmere på andre områder39 . Der er som følge heraf stadig en vis fragmentering, som især skyldes den udbredte brug af fakultative specificerende bestemmelser. F.eks. skaber den forskel, der er mellem medlemsstaterne på, i hvilken alder et barn kan give samtykke i forbindelse med informationssamfundstjenester, usikkerhed for børnene og deres forældre med hensyn til, hvordan deres databeskyttelsesrettigheder på det indre marked gøres gældende. Denne fragmentering giver også udfordringer med hensyn til virksomhedsudøvelse og innovation på tværs af grænserne, især for så vidt angår ny teknologisk udvikling og cybersikkerhedsløsninger. Hvis det indre marked skal fungere effektivt, og virksomhederne ikke skal pålægges unødige byrder, er det også vigtigt, at national lovgivning ikke går videre end de grænser, der sættes i persondataforordningen, eller indfører yderligere krav, hvor der ikke noget råderum. En særlig vanskelighed i national lovgivning er at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden og at få skabt den rette balance mellem disse rettigheder. I nogle landes nationale lovgivning er det princippet om ytringsfrihed, der har forrang, mens lovgivningen i andre lande giver beskyttelsen af personoplysninger forrang og kun tillader undtagelser for anvendelsen af databeskyttelsesreglerne i helt særlige situationer, f.eks. hvis der er tale om en offentlig person. Endelig sikrer andre medlemsstater, at lovgiveren kan foretage en vis 35 Se punkt 2.4 i arbejdsdokumentet fra Kommissionens tjenestegrene. 36 Senest ved brev fra kommissær Didier Reynders i marts 2020. 37 Det skal bemærkes, at den slovenske nationale tilsynsmyndighed er oprettet på grundlag af den gældende nationale databeskyttelseslovgivning og fører tilsyn med persondataforordningens anvendelse i landet. 38 Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene. 39 Se punkt 3.2 i arbejdsdokumentet fra Kommissionens tjenestegrene. 8 afvejning og/eller, at der kan foretages en vurdering i den enkelte sag, for så vidt angår afvigelser fra visse bestemmelser i persondataforordningen. Kommissionen vil fortsat vurdere den nationale lovgivning. Afvejningen af hensyn skal være fastlagt i lovgivningen, respektere de grundlæggende rettigheders væsentlige indhold, iagttage proportionalitetsprincippet og være nødvendig40 . Databeskyttelsesregler (samt fortolkningen og anvendelsen heraf) bør ikke påvirke udøvelsen af ytrings- og informationsfriheden, f.eks. ved at have en afdæmpende virkning eller lægge pres på journalister til at afsløre deres kilder. Afvejningen af disse to rettigheder i national lovgivning bør ske under hensyntagen til Domstolens og Den Europæiske Menneskerettighedsdomstols retspraksis41 . Tilgangen i medlemsstaternes lovgivning er forskellig med hensyn til gennemførelsen af undtagelser fra det generelle forbud mod behandling af særlige kategorier af personoplysninger, for så vidt angår specifikationsgraden og garantier, herunder til sundheds- og forskningsformål. For at afhjælpe dette er Kommissionen som et første skridt i gang med at kortlægge medlemsstaternes forskellige tilgange42 , og den vil dernæst støtte indførelsen af adfærdskodekser, som kan bidrage til en mere konsekvent tilgang på området og til at lette behandlingen af personoplysninger på tværs af grænserne43 . Derudover vil Databeskyttelsesrådets kommende retningslinjer om brugen af personoplysninger inden for forskning bidrage til en harmoniseret tilgang. Kommissionen vil give Databeskyttelsesrådet input, især i forbindelse med sundhedsforskning, herunder i form af konkrete spørgsmål og analyser af specifikke scenarier, som den har modtaget fra forskningsverdenen. Personer skal have større mulighed for at kontrollere deres oplysninger Ifølge undersøgelsen om grundlæggende rettigheder44 har 69 % af EU's befolkning over 16 år hørt om persondataforordningen, og 71 % af borgerne i EU har kendskab til den nationale datatilsynsmyndighed i deres land. Personer er i stigende grad klar over deres rettigheder: retten til indsigt i, berigtigelse, sletning og portabilitet af deres personoplysninger, retten til at gøre indsigelse mod en behandling samt til øget gennemsigtighed. Persondataforordningen har styrket de processuelle rettigheder, som omfatter retten til at indgive en klage til en datatilsynsmyndighed, herunder gennem adgang til indbringelse af sager til varetagelse af kollektive interesser, og til retslig prøvelse. Disse rettigheder gøres i stigende grad gældende af personer, men der er behov for at lette udøvelsen og den fulde håndhævelse af dem. De refleksioner, som ledes af Databeskyttelsesrådet, vil præcisere og yderligere lette udøvelsen af den enkeltes rettigheder, mens det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af kollektive 40 Chartres artikel 52, stk. 1. 41 Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene: Reconciliation of the right to the protection of personal data with freedom of expression and information. 42 Kommissionen har iværksat en undersøgelse om "Assessment of the Member States' rules on health data in the light of GDPR", Chafea/2018/Health/03, specifik kontrakt nr. 2019 70 01. 43 Se tiltag anført i den europæiske strategi for data, s. 30. 44 Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) (2020): Fundamental Rights Survey 2019. Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection. 9 interesser45 , når det bliver vedtaget, forventes at give personer mulighed for at indbringe kollektive søgsmål i alle medlemsstater og at mindske omkostningerne ved grænseoverskridende søgsmål. Retten til dataportabilitet har et klart endnu ikke fuldt udnyttet potentiale til at sætte individet i centrum for dataøkonomien ved at gøre det muligt for personer at skifte mellem forskellige tjenesteudbydere, kombinere forskellige tjenester, anvende andre innovative tjenester og vælge de tjenester, der beskytter oplysningerne bedst. Dette vil indirekte fremme konkurrence og innovation. Det er en af Kommissionens prioriteter at udnytte dette potentiale, især fordi flere og flere data med den stigende brug af tingenes internet genereres af forbrugere, som risikerer at blive udsat for urimelig praksis og "fastlåsning". Dataportabilitet kunne generere betydelige fordele i forbindelse med sundhed og velvære, reduceret miljøaftryk, adgang til offentlige og private tjenester, øget produktivitet inden for fremstilling og øget produktkvalitet og - sikkerhed. I datastrategien understreges nødvendigheden af at tackle problemer såsom manglende standarder, der gør det muligt at levere data i et maskinlæsbart format, og at øge den effektive udøvelse af retten til dataportabilitet, som i øjeblikket er begrænset til nogle få sektorer (f.eks. banksektoren og telekommunikationssektoren). Dette kunne blandt andet ske ved at udvikle de rette værktøjer og standardiserede formater og grænseflader46 . En øget udøvelse af denne ret kunne også opnås ved f.eks. at stille krav om tekniske grænseflader og maskinlæsbare formater, som muliggør dataportabilitet i realtid. En øget udøvelse af retten til dataportabilitet kunne blandt andet gøre det lettere for personer at tillade brugen af deres oplysninger i almenvellets interesse (f.eks. til at fremme forskning i sundhedssektoren), hvis de ønsker det ("dataaltruisme"). Som led i udarbejdelsen af pakken om digitale tjenester47 vil Kommissionen undersøge, hvilken rolle data og datarelateret praksis spiller i platformsøkosystemet. Muligheder og udfordringer for organisationer, især små og mellemstore virksomheder Persondataforordningen skaber sammen med forordningen om fri udveksling af andre data end personoplysninger48 muligheder for virksomhederne ved at fremme konkurrence og innovation, sikre fri udveksling af data inden for EU og lige konkurrencevilkår med virksomheder, der er etableret uden for EU49 . Retten til 45 Det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af forbrugernes kollektive interesser (COM/2018/0184 final - 2018/089 (COD)), forventes, når det bliver vedtaget, at styrke rammen for kollektive søgsmål inden for databeskyttelse. 46 Disse værktøjer kunne omfatte værktøjer til administration af samtykke og applikationer til forvaltning af personoplysninger. 47 https://ec.europa.eu/commission/presscorner/detail/da/ip_20_962. 48 Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59). 49 Se punkt 5 i arbejdsdokumentet fra Kommissionens tjenestegrene. Se også COM(2019) 250 final om vejledning vedrørende forordningen om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union, hvori der redegøres for reglerne for behandling af blandede datasæt, som består af både personoplysninger og andre data end personoplysninger, og som indeholder praktisk vejledning for virksomheder, herunder SMV'er. 10 dataportabilitet samt et stigende antal personer, der efterspørger løsninger, som i højere grad sikrer beskyttelse af privatlivets fred, kan bidrage til at mindske hindringerne for virksomheder og skabe muligheder for vækst baseret på tillid og innovation. Nogle interessenter har meddelt, at anvendelsen af persondataforordningen giver udfordringer, især for små og mellemstore virksomheder (SMV'er). Ifølge en risikobaseret tilgang ville det ikke være hensigtsmæssigt at give mulighed for undtagelser baseret på operatørernes størrelse, da deres størrelse ikke i sig selv er en indikator for, hvilke risici deres databehandling kan medføre for personer. Flere datatilsynsmyndigheder har stillet praktiske værktøjer til rådighed for at lette gennemførelsen af persondataforordningen i de SMV'er, hvis behandlingsaktiviteter udgør en lavere risiko. Sådanne bestræbelser bør øges og udbredes, helst med en fælles europæisk tilgang for ikke at skabe hindringer for det indre marked. Datatilsynsmyndigheder har iværksat en række initiativer, der skal gøre det lettere for SMV'er at efterleve persondataforordningen, f.eks. modeller for behandlingskontrakter og fortegnelser over behandlingsaktiviteter, seminarer og hotlines. En række af disse initiativer har fået EU-midler50 . Det bør overvejes at iværksætte yderligere initiativer for at fremme SMV'ers anvendelse af persondataforordningen. Persondataforordningen stiller en værktøjskasse til rådighed for alle typer virksomheder og organisationer, f.eks. adfærdskodekser, certificeringsmekanismer og standardkontraktbestemmelser, som kan hjælpe dem til at påvise, at de overholder kravene. Denne værktøjskasse bør udnyttes fuldt ud. SMV'er understreger især betydningen og nytten af adfærdskodekser, som er skræddersyet til deres situation, og som ikke medfører uforholdsmæssigt store omkostninger. Hvad angår certificeringsordninger, er sikkerhed (herunder cybersikkerhed) og databeskyttelse gennem design vigtige elementer, som skal tages i betragtning i henhold til persondataforordningen, og til hvilke der med fordel kunne anlægges en fælles og ambitiøs tilgang i hele EU. Kommissionen arbejder i øjeblikket på standardkontraktbestemmelser mellem dataansvarlige og databehandlere51 , idet den bygger på det igangværende arbejde med at modernisere standardkontraktbestemmelserne for internationale overførsler52 . Anvendelsen af persondataforordningen på ny teknologi Persondataforordningen, der er udtænkt på en teknologineutral måde, er baseret på principper og er derfor udformet således, at den kan omfatte nye teknologier, i takt med at de udvikles. Den anses for et vigtigt og fleksibelt redskab til at sikre, at nyudviklede teknologier er i overensstemmelse med de grundlæggende rettigheder. Den retlige ramme for databeskyttelse og beskyttelse af privatlivets fred har vist sin betydning og 50 Kommissionen ydede finansiel støtte i form af tilskud ad tre omgange på i alt 5 mio. EUR, hvor de seneste to specifikt havde til formål at hjælpe de nationale tilsynsmyndigheder i deres bestræbelser på at nå ud til personer og mellemstore virksomheder: https://ec.europa.eu/info/law/law-topic/data- protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en. Der vil blive tildelt yderligere 1 mio. EUR i 2020. 51 jf. persondataforordningens artikel 28. 52 jf. persondataforordningens artikel 46. 11 fleksibilitet under covid-19-krisen, navnlig i forbindelse med udformningen af opsporingsapps og andre teknologiske løsninger til bekæmpelse af pandemien. De fremtidige udfordringer vil være at tydeliggøre, hvordan de velafprøvede principper skal anvendes på specifikke teknologier såsom kunstig intelligens, blockchain, tingenes internet og ansigtsgenkendelse, som kræver løbende overvågning. F.eks. iværksatte Kommissionens hvidbog om kunstig intelligens53 en offentlig debat om, hvorvidt der eventuelt er særlige omstændigheder, der kan berettige anvendelsen af kunstig intelligens med henblik på biometrisk fjernidentifikation (f.eks. ansigtsgenkendelse) på offentlige steder, og om fælles garantier. I den forbindelse bør datatilsynsmyndighederne være parate til på et tidligt tidspunkt at følge processerne i forbindelse med den tekniske udformning. Derudover udgør en stringent og effektiv håndhævelse af persondataforordningen over for store digitale platforme og integrerede virksomheder, herunder på områder som onlinereklame og mikromålretning, et væsentligt element i beskyttelsen af enkeltpersoner. Udvikling af en moderne international værktøjskasse for overførsel af oplysninger Persondataforordningen udgør en moderniseret værktøjskasse til at lette overførslen af personoplysninger fra EU til et tredjeland eller en international organisation, samtidig med at det sikres, at oplysningerne fortsat er omfattet af et højt beskyttelsesniveau. De seneste to år har Kommissionen optrappet sin indsats for at udnytte det fulde potentiale af de værktøjer, persondataforordningen giver. Dette har omfattet et aktivt samarbejde med vigtige partnere med henblik på at nå frem til en "beslutning om et tilstrækkeligt beskyttelsesniveau". Virkningen af en sådan beslutning er at sikre en sikker og fri overførsel af personoplysninger til det pågældende tredjeland, uden at dataeksportøren skal stille yderligere garantier eller opnå godkendelse. Navnlig de gensidige beslutninger mellem EU og Japan om et tilstrækkeligt beskyttelsesniveau, som trådte i kraft i februar 2019, skabte verdens største område med frie og sikre overførsler af oplysninger. Derudover er processen med henblik på at nå frem til denne type beslutning med Republikken Korea nået meget langt, og der pågår sonderende drøftelser med andre vigtige partnere i Asien og Latinamerika. Et tilstrækkeligt beskyttelsesniveau spiller også en vigtig rolle i forbindelse med de fremtidige forbindelser med Det Forenede Kongerige, forudsat at de gældende betingelser er opfyldt. Det udgør en fremmende faktor for handel, herunder digital handel, og en vigtig forudsætning for et tæt og ambitiøst samarbejde på området retshåndhævelse og sikkerhed. Derudover indgår en høj grad af konvergens i forbindelse med databeskyttelse som et vigtigt element for at sikre lige konkurrencevilkår mellem to så tæt integrerede økonomier. I overensstemmelse med den politiske erklæring om de fremtidige forbindelser mellem Den Europæiske Union og Det Forenede Kongerige er Kommissionen i øjeblikket ved at gennemføre en 53 Hvidbog om kunstig intelligens — En europæisk tilgang til ekspertise og tillid (COM(2020) 65 final). 12 tilstrækkelighedsvurdering inden for rammerne af både persondataforordningen og direktivet om databeskyttelse på retshåndhævelsesområdet54 . Som led i den første evaluering af persondataforordningen er det også nødvendigt, at Kommissionen gennemgår de beslutninger om et tilstrækkeligt beskyttelsesniveau, som blev vedtaget i henhold til de tidligere regler55 . Kommissionens tjenestegrene har indledt en intens dialog med hver af de 11 berørte tredjelande og territorier56 for at vurdere, hvordan deres databeskyttelsessystemer har udviklet sig siden vedtagelsen af beslutningen om et tilstrækkeligt beskyttelsesniveau, og hvorvidt de opfylder standarden i persondataforordningen. Behovet for at sikre kontinuiteten i forbindelse med sådanne beslutninger som et vigtigt værktøj for handel og internationalt samarbejde er en af de faktorer, der har fået flere af disse lande og territorier til at modernisere og styrke deres lovgivning om privatlivets fred. Der pågår i øjeblikket drøftelser om yderligere garantier med nogle af disse lande og territorier for at tage højde for relevante forskelle i beskyttelsen. Da Domstolen i en dom, den skal afsige den 16. juli, kan tilvejebringe præciseringer, der kan være relevante for visse elementer af tilstrækkelighedsstandarden, vil Kommissionen særskilt aflægge rapport om evalueringen af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau, efter at Domstolen har afsagt dom i den pågældende sag57 . Ud over indsatsen for at sikre et tilstrækkeligt beskyttelsesniveau arbejder Kommissionen på en omfattende modernisering af standardkontraktbestemmelserne for at ajourføre dem i lyset af de nye krav i persondataforordningen. Målet er, at de i højere grad skal afspejle virkeligheden i forbindelse med databehandlingsaktiviteter i den moderne digitale økonomi, og at overveje, om der bl.a. i lyset af Domstolens kommende praksis58 eventuelt er behov for at tydeliggøre visse garantier yderligere. Disse bestemmelser udgør langt den mest udbredte mekanisme for overførsel af oplysninger, som tusindvis af virksomheder i EU er afhængige af for at kunne levere en lang række tjenester til deres kunder, leverandører, partnere og ansatte. Databeskyttelsesrådet har også spillet en aktiv rolle ved udviklingen af de internationale aspekter af persondataforordningen. Dette omfatter ajourføring af vejledningen om eksisterende overførselsmekanismer såsom bindende virksomhedsregler og såkaldte "undtagelser" samt udvikling af den retlige infrastruktur med henblik på brugen for de nye redskaber, der blev indført ved persondataforordningen, dvs. adfærdskodekser og certificering. 54 Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89). 55 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23. november 1995, s. 31). 56 Disse lande og territorier er: Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay. 57 Se sag C-311/18, Data Protection Commissioner mod Facebook Ireland Limited, Maximillian Schrems ("Schrems II), der vedrører en henvisning til en præjudiciel afgørelse vedrørende de såkaldte standardkontraktbestemmelser. Domstolen kan dog også tydeliggøre bestemte elementer af tilstrækkelighedsstandarden yderligere. 58 Se sag Schrems II. 13 For at gøre det muligt for interessenter fuldt ud at udnytte overførselsværktøjerne i persondataforordningen er det vigtigt, at Databeskyttelsesrådet intensiverer sit igangværende arbejde med de forskellige overførselsmekanismer, bl.a. ved yderligere at strømline godkendelsesprocessen for bindende virksomhedsregler, færdiggøre vejledningen om adfærdskodekser og certificering som overførselsværktøjer og tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3). Et andet vigtigt aspekt af den internationale dimension af EU's databeskyttelsesregler er persondataforordningens udvidede territoriale anvendelsesområde, som også omfatter databehandlingsaktiviteterne hos udenlandske operatører, der er aktive på EU-markedet. For at sikre en effektiv overholdelse af persondataforordningen og sikre lige konkurrencevilkår er det vigtigt, at denne udvidelse afspejles på passende vis i databeskyttelsesmyndighedernes håndhævelsesforanstaltninger. De bør navnlig om nødvendigt inddrage den dataansvarliges eller databehandlerens repræsentant i EU, som der kan rettes henvendelse til som supplement til eller i stedet for en virksomhed, der er etableret uden for EU. Denne tilgang bør følges mere aktivt for at sende et klart budskab om, at det forhold, at en virksomhed ikke er etableret i EU, ikke fritager udenlandske operatører for deres ansvar i henhold til persondataforordningen. Fremme af konvergens og internationalt samarbejde på databeskyttelsesområdet Persondataforordningen er allerede blevet et centralt referencepunkt på internationalt plan og har fået mange lande i hele verden til at overveje at indføre moderne regler for beskyttelse af privatlivets fred. Denne tendens i retning af global konvergens udgør en meget positiv udvikling, som giver nye muligheder for bedre beskyttelse af enkeltpersoner i EU, når deres oplysninger overføres til udlandet, samtidig med at udvekslingen af oplysninger lettes. På grundlag af denne tendens har Kommissionen intensiveret sin dialog i en række bilaterale, regionale og multilaterale fora for at fremme en global kultur med respekt for privatlivets fred og udvikle en række elementer, der skal sikre konvergens mellem forskellige private systemer til beskyttelse af privatlivets fred. Kommissionen har i sin indsats støttet sig til og vil fortsat regne med aktiv støtte fra EU-Udenrigstjenesten og nettet af EU-delegationer i tredjelande og missioner ved internationale organisationer. Dette har også gjort det muligt at skabe større sammenhæng og komplementaritet mellem de forskellige aspekter af den eksterne dimension af EU's politikker — fra handel til det nye partnerskab mellem EU og Afrika. På møder i G20 og G7 har man også for nylig anerkendt betydningen af databeskyttelse for at skabe tillid til den digitale økonomi og udvekslingen af oplysninger, navnlig gennem begrebet "Data Free Flow with Trust", som oprindeligt blev foreslået af det japanske G20- formandskab59 . I datastrategien fremhæves det, at Kommissionen har til hensigt at fortsætte med at fremme datadelingen med betroede partnere, samtidig med at den fortsat bekæmper misbrug såsom (udenlandske) offentlige myndigheders uforholdsmæssigt omfattende adgang til personoplysninger. 59 Se f.eks. teksten til erklæringen fra lederne på G20-topmødet i Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf 14 Samtidig med at Kommissionen arbejder på at fremme konvergensen i databeskyttelsesstandarder på internationalt plan som et middel til at lette udvekslingen af oplysninger og dermed handelen, er den også fast besluttet på at bekæmpe digital protektionisme, således som det for nylig blev fremhævet i datastrategien60 . Med henblik herpå har den udviklet specifikke bestemmelser om udveksling af oplysninger og databeskyttelse i handelsaftaler61 , som den systematisk fremlægger i sine bilaterale forhandlinger — senest med Australien, New Zealand og Det Forenede Kongerige — og multilaterale forhandlinger såsom de nuværende WTO-drøftelser om e-handel62 . Disse generelle bestemmelser udelukker ubegrundede foranstaltninger såsom tvungne datalokaliseringskrav og sikrer samtidig parternes reguleringsmæssige autonomi til at beskytte den grundlæggende ret til databeskyttelse. Synergier mellem handels- og databeskyttelsesinstrumenter bør derfor undersøges nærmere for at sikre frie og sikre internationale overførsler af oplysninger, som er vigtige for europæiske virksomheders, herunder SMV'ers, forretningsaktiviteter, konkurrenceevne og vækst i den stadig mere digitaliserede økonomi. På samme måde er det vigtigt at sikre, at når virksomheder, der er aktive på det europæiske marked, på grundlag en legitim anmodning opfordres til at dele oplysninger med henblik på retshåndhævelse, kan de gøre dette uden at opleve lovkonflikter og under fuld overholdelse af EU's grundlæggende rettigheder. For at forbedre sådanne overførsler er Kommissionen fast besluttet på at udvikle passende retlige rammer sammen med sine internationale partnere for at undgå lovkonflikter og støtte effektive samarbejdsformer, navnlig ved at sikre de nødvendige databeskyttelsesgarantier, og derved bidrage til en mere effektiv bekæmpelse af kriminalitet. På et tidspunkt, hvor problemer med overholdelsen af privatlivets fred eller datasikkerhedshændelser kan påvirke et stort antal personer samtidigt i forskellige jurisdiktioner, bør det praktiske samarbejde mellem europæiske og internationale tilsynsmyndigheder styrkes yderligere. Dette kræver navnlig, at der udarbejdes hensigtsmæssige retsforskrifter med henblik på tættere samarbejde og gensidig bistand, bl.a. ved at tillade de nødvendige udvekslinger af oplysninger i forbindelse med undersøgelser. Det er også i denne ånd, at Kommissionen opretter et "databeskyttelsesakademi", en platform, hvor EU og udenlandske datatilsynsmyndigheder skal dele viden, erfaringer og bedste praksis for at lette og støtte samarbejdet mellem myndigheder med ansvar for håndhævelse af beskyttelsen af privatlivets fred. 60 Datastrategien, s. 23. 61 Se teksten til de generelle bestemmelser om grænseoverskridende udveksling af oplysninger og beskyttelse af personoplysninger (i EU's handels- og investeringsaftaler): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf 62 84 WTO-medlemmer deltager nu i plurilaterale forhandlinger om e-handel i forlængelse af et forslag til en fælles erklæring, som ministrene vedtog den 25.1.2019 i Davos. Som en del af denne proces fremsatte EU den 3.1.2019 et forslag til fremtidige regler og forpligtelser vedrørende e-handel. Forslaget indeholder generelle bestemmelser om udveksling af oplysninger og beskyttelse af personoplysninger: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf. 15 3 VEJEN FREMAD For at udnytte persondataforordningens fulde potentiale er det vigtigt at skabe en harmoniseret tilgang og en fælles europæisk databeskyttelseskultur og fremme en mere effektiv og harmoniseret håndtering af grænseoverskridende sager. Det er det, borgere og virksomheder forventer, og det udgør et væsentligt mål for reformen af EU's databeskyttelsesregler. Det er lige så vigtigt at sikre, at alle de værktøjer, persondataforordningen giver, fuldt ud anvendes til at sikre en effektiv anvendelse af reglerne til gavn for enkeltpersoner og virksomheder. Kommissionen vil fortsætte sine bilaterale udvekslinger med medlemsstaterne om gennemførelsen af persondataforordningen og vil om nødvendigt fortsætte med at anvende alle de redskaber, den råder over, til at fremme medlemsstaternes overholdelse af deres forpligtelser i henhold til persondataforordningen. I lyset af den igangværende vurdering af national lovgivning, det korte tidsrum, hvori der siden persondataforordningens ikrafttrædelse er gjort praktiske erfaringer, og det forhold, at mange medlemsstater er i gang med at revidere deres sektorspecifikke lovgivning, er det endnu for tidligt at drage endelige konklusioner om omfanget af den nuværende fragmentering. Med hensyn til en eventuel lovkonflikt som følge af medlemsstaternes gennemførelse af specificerende bestemmelser er det nødvendigt først at få en bedre forståelse af konsekvenserne for dataansvarlige og databehandlere63 . Ved opfølgningen på disse spørgsmål er de nationale domstoles og Domstolens praksis med til at skabe en ensartet fortolkning af databeskyttelsesreglerne. De nationale domstole har for nylig afsagt domme, der ugyldiggør bestemmelser i nationale love, som afviger fra persondataforordningen64 . Med hensyn til den internationale dimension vil Kommissionen fortsat fokusere på at fremme konvergensen af databeskyttelsesbestemmelserne som en måde til at skabe sikre overførsler af oplysninger. Dette omfatter forskellige former for forudgående arbejde f.eks. i forbindelse med igangværende reformer med henblik på nye eller ajourførte databeskyttelseslove eller for at fremme begrebet "Data Free Flow with Trust" i multilaterale fora. Det omfatter også forskellige dialoger om et tilstrækkeligt beskyttelsesniveau og modernisering og udvidelse af vores overførselsværktøjskasse ved at ajourføre standardkontraktbestemmelserne og skabe grundlaget for certificeringsmekanismer. Dette arbejde omfatter også internationale forhandlinger som f.eks. inden for grænseoverskridende adgang til elektronisk bevismateriale for at sikre, at når der finder overførsler af oplysninger sted, er de omfattet af passende databeskyttelsesgarantier. Endelig vil Kommissionen ved at indlede forhandlinger om internationalt samarbejde og gensidig bistand mellem databeskyttelsesmyndighederne bestræbe sig på at skabe konvergens ikke bare i teorien, men også i praksis. På grundlag af denne evaluering af anvendelsen af persondataforordningen siden maj 2018 er det konstateret, at de nedenfor anførte foranstaltninger er nødvendige til støtte for dens anvendelse. Kommissionen vil også overvåge gennemførelsen heraf med henblik på den kommende evalueringsrapport i 2024. 63 Jf. Rådets holdning og konklusioner vedrørende anvendelsen af persondataforordningen. 64 Det har været tilfældet i Tyskland og Spanien eller i Østrig, hvor der blev lukket et hul i den nationale lovgivning. 16 Gennemførelse og supplering af den retlige ramme Medlemsstaterne bør - afslutte tilpasningen af deres sektorspecifikke lovgivning til persondataforordningen - overveje at begrænse anvendelsen af specificerende bestemmelser, som kan skabe fragmentering og bringe den frie udveksling af oplysninger internt i EU i fare - vurdere, om den nationale lovgivning til gennemførelse af persondataforordningen i alle tilfælde ligger inden for de marginer, der er fastsat for medlemsstaternes lovgivning. Kommissionen vil - fortsætte de bilaterale udvekslinger med medlemsstaterne om deres nationale lovgivnings overholdelse af persondataforordningen, herunder om de nationale databeskyttelsesmyndigheders uafhængighed og ressourcer; gøre brug af alle de redskaber, den råder over, herunder traktatbrudssager, for at sikre, at medlemsstaterne overholder persondataforordningen - støtte yderligere udvekslinger af synspunkter og national praksis mellem medlemsstaterne om emner, der er genstand for yderligere specificering på nationalt plan med henblik på at mindske fragmenteringen af det indre marked såsom behandlingen af personoplysninger vedrørende sundhed og forskning, eller som er genstand for en opvejning af hensynet til andre rettigheder såsom ytringsfrihed - støtte en konsekvent anvendelse af databeskyttelsesrammen i forbindelse med nye teknologier til støtte for innovation og teknologisk udvikling - anvende medlemsstaternes ekspertgruppe vedrørende persondataforordningen (oprettet i overgangsperioden, inden persondataforordningen trådte i kraft) for at lette drøftelserne og udvekslingen af erfaringer mellem medlemsstaterne og med Kommissionen - undersøge, om det i lyset af de yderligere erfaringer og den relevante retspraksis vil være hensigtsmæssigt at foreslå eventuelle fremtidige målrettede ændringer af visse bestemmelser i persondataforordningen, navnlig for så vidt angår registreringer af databehandling i SMV'er, hvis hovedaktivitet ikke er behandling af personoplysninger (lav risiko)65 , og en mulig harmonisering af, hvor gamle børn skal være for at kunne give deres samtykke i forbindelse med informationssamfundstjenester. 65 Persondataforordningens artikel 30, stk. 5. 17 Et nyt forvaltningssystem, der udnytter sit potentiale fuldt ud Databeskyttelsesrådet og datatilsynsmyndighederne opfordres til at - udvikle effektive ordninger mellem datatilsynsmyndighederne vedrørende den måde, hvorpå samarbejds- og sammenhængsmekanismerne fungerer, herunder vedrørende proceduremæssige aspekter, på grundlag af dets medlemmers ekspertise og ved at styrke inddragelsen af dets sekretariat - støtte en harmonisering af anvendelsen og håndhævelsen af persondataforordningen ved brug af alle de midler, det råder over, herunder ved yderligere at tydeliggøre nøglebegreber i persondataforordningen og sikre, at de nationale retningslinjer er i fuld overensstemmelse med de retningslinjer, Databeskyttelsesrådet har vedtaget - fremme brugen af alle de redskaber, persondataforordningen giver, for at sikre, at den anvendes konsekvent - optrappe samarbejdet mellem databeskyttelsesmyndighederne, f.eks. ved at gennemføre fælles undersøgelser. Kommissionen vil: - fortsætte med nøje af overvåge, at de nationale databeskyttelsesmyndigheder reelt er fuldt uafhængige - fremme samarbejdet mellem tilsynsmyndighederne (navnlig på områder som konkurrence, elektronisk kommunikation, netværks og informationssystemers sikkerhed og forbrugerpolitik) - støtte overvejelserne i Databeskyttelsesrådet om de procedurer, de nationale datatilsynsmyndigheder anvender, med henblik på at forbedre samarbejdet om grænseoverskridende sager. Medlemsstaterne skal: - afsætte tilstrækkelige ressourcer til datatilsynsmyndighederne til, at de kan udføre deres opgaver. Støtte til interessenter Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at - at vedtage yderligere retningslinjer, som er praktiske og letforståelige, og som giver klare svar og ikke indeholder uklarheder om spørgsmål i forbindelse med anvendelsen af persondataforordningen, f.eks. om behandling af børns data og registreredes rettigheder, herunder udøvelse af retten til indsigt og retten til sletning, og høring af interessenter i processen - revidere retningslinjerne, når der er behov for yderligere tydeliggørelse i lyset af erfaringer og udviklingen, herunder Domstolens praksis - udvikle praktiske redskaber såsom harmoniserede formularer til brug i forbindelse med brud på datasikkerheden og forenklede registre over databehandlingsaktiviteter med henblik på at bistå SMV'er, der ikke udgør en risiko, med at opfylde deres forpligtelser. Kommissionen vil 18 - forelægge standardkontraktbestemmelser med henblik på både internationale overførsler og forholdet mellem den dataansvarlige/databehandleren - tilvejebringe redskaber, der tydeliggør/støtter anvendelsen af databeskyttelsesreglerne på børn66 - i overensstemmelse med datastrategien undersøge de praktiske metoder til at fremme brugen af enkeltpersoners ret til dataportabilitet, f.eks. ved at give dem mere kontrol over, hvem der kan få adgang til og anvende maskingenererede oplysninger - støtte standardisering/certificering, navnlig i forbindelse med cybersikkerhed, gennem samarbejde mellem Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), datatilsynsmyndighederne og Databeskyttelsesrådet - gøre brug af sin ret til at anmode Databeskyttelsesrådet om at udarbejde retningslinjer og udtalelser om specifikke spørgsmål af betydning for interessenter, når det er hensigtsmæssigt - om nødvendigt forelægge retningslinjer, samtidig med at den fuldt ud respekterer den rolle, Databeskyttelsesrådet spiller - støtte datatilsynsmyndighedernes aktiviteter, som letter SMV'ers opfyldelse af forpligtelserne i henhold til persondataforordningen, gennem finansiel støtte, navnlig til praktisk vejledning og digitale værktøjer, der kan kopieres i andre medlemsstater. Fremme af innovation Kommissionen vil - overvåge anvendelsen af persondataforordningen på ny teknologi, idet den også tager hensyn til eventuelle fremtidige initiativer inden for kunstig intelligens og inden for rammerne af datastrategien - fremme udarbejdelsen af EU-adfærdskodekser inden for sundhed og forskning, bl.a. gennem finansiel støtte - nøje følge udviklingen og brugen af apps i forbindelse med covid-19- pandemien. Databeskyttelsesrådet opfordres til at - udstede retningslinjer for anvendelsen af persondataforordningen inden for videnskabelig forskning, kunstig intelligens, blockchain og eventuel anden teknologisk udvikling - revidere retningslinjerne for, hvornår der er behov for yderligere tydeliggørelse i lyset af den teknologiske udvikling. 66 Kommissionens projekt vedrørende aldersbestemmelsesværktøjer — pilotprojekt med henblik på at demonstrere en interoperabel teknisk infrastruktur for beskyttelse af børn, herunder alderskontrol og forældresamtykke. Dette forventes at støtte gennemførelsen af børnebeskyttelsesmekanismer på grundlag af eksisterende EU-lovgivning vedrørende beskyttelse af børn på internettet. 19 Videreudvikling af værktøjskassen til brug ved overførsler af oplysninger Kommissionen vil - fortsætte dialogerne om et tilstrækkeligt beskyttelsesniveau med interesserede tredjelande i overensstemmelse strategien i dens meddelelse fra 2017 om udveksling og beskyttelse af personoplysninger i en globaliseret verden, bl.a. ved om muligt at medtage overførsler af oplysninger til strafferetshåndhævende myndigheder (inden for rammerne af direktivet om databeskyttelse på retshåndhævelsesområdet) og andre offentlige myndigheder; dette omfatter afslutning af processen med at sikre et tilstrækkeligt databeskyttelsesniveau med Republikken Korea så hurtigt som muligt - afslutte den igangværende evaluering af de eksisterende beslutninger om et tilstrækkeligt beskyttelsesniveau og rapportere til Europa-Parlamentet og Rådet - afslutte arbejdet med moderniseringen af standardkontraktbestemmelserne med henblik på at ajourføre dem i lyset af persondataforordningen, idet der tages hensyn til alle relevante overførselsscenarier, og ajourføringen i højere grad afspejler moderne forretningspraksis. Databeskyttelsesrådet opfordres til - yderligere at tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger (kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3) - sikre en effektiv håndhævelse over for operatører, der er etableret i tredjelande, som er omfattet af persondataforordningens territoriale anvendelsesområde, bl.a. med hensyn til udpegelse af en repræsentant, når det er relevant (artikel 27) - strømline vurderingen og den eventuelle godkendelse af bindende virksomhedsregler med henblik på at fremskynde processen - afslutte arbejdet med arkitekturen, procedurerne og vurderingskriterierne for adfærdskodekser og certificeringsordninger som redskaber til overførsel af oplysninger. Fremme af konvergens og udvikling af internationalt samarbejde Kommissionen vil - støtte igangværende reformprocesser i tredjelande om nye eller moderniserede databeskyttelsesregler ved udveksling af erfaringer og bedste praksis - samarbejde med afrikanske partnere om fremme af lovgivningsmæssig konvergens og støtte til kapacitetsopbygning hos tilsynsmyndigheder som en del af det digitale kapitel i det nye partnerskab mellem EU og Afrika - vurdere, hvordan samarbejdet mellem private operatører og retshåndhævende myndigheder kan lettes, bl.a. ved at forhandle om bilaterale og multilaterale rammer for overførsel af oplysninger i forbindelse med udenlandske 20 strafferetshåndhævende myndigheders adgang til elektronisk bevismateriale, for at undgå lovkonflikter og sikre passende databeskyttelsesgarantier - samarbejde med internationale og regionale organisationer såsom OECD, ASEAN og G20 om at fremme troværdige udvekslinger af oplysninger baseret på høje databeskyttelsesgarantier, herunder i forbindelse med initiativet "Data Free Flow with Trust" - oprette et "databeskyttelsesakademi" for at lette og støtte udvekslinger mellem europæiske og internationale tilsynsmyndigheder - fremme internationalt håndhævelsessamarbejde mellem tilsynsmyndigheder, bl.a. gennem forhandling af samarbejdsaftaler og aftaler om gensidig bistand.