MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse

EN EN
EUROPEAN
COMMISSION
Brussels, 24.6.2020
COM(2020) 264 final
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN
PARLIAMENT AND THE COUNCIL
Data protection as a pillar of citizens’ empowerment and the EU’s approach to the
digital transition - two years of application of the General Data Protection Regulation
{SWD(2020) 115 final}
Europaudvalget 2020
KOM (2020) 0264
Offentligt
1
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN
PARLIAMENT AND THE COUNCIL
Data protection as a pillar of citizens’ empowerment and the EU’s approach to the
digital transition - two years of application of the General Data Protection Regulation
1 DATA PROTECTION RULES AS A PILLAR OF CITIZENS’ EMPOWERMENT AND EU’S
APPROACH TO DIGITAL TRANSITION
This report is the first one on the evaluation and review of the General Data
Protection Regulation1
(hereafter ‘GDPR’), in particular on the application and
functioning of the rules on the transfer of personal data to third countries and
international organisations and of the rules on cooperation and consistency, pursuant
to Article 97 GDPR.
The GDPR, which applies since 25 May 2018, is at the heart of the EU framework2
guaranteeing the fundamental right to data protection, as enshrined in the Charter of
Fundamental Rights of the European Union (Article 8) and in the Treaties (Article 16
of the Treaty on the Functioning of the European Union, ‘TFEU’). The GDPR
strengthened data protection safeguards, provides individuals with additional and
stronger rights, increased transparency, and ensures that all those that handle personal
data under its scope of application are more accountable and responsible. It equips the
independent data protection authorities with stronger and harmonised enforcement
powers and sets up a new governance system. It also creates a level playing field for
all companies operating in the EU market, regardless of where they are established,
and it ensures the free flow of data within the EU, thereby strengthening the internal
market.
The GDPR is an important component of the human-centric approach to technology
and a compass for the use of technology in the twin green and the digital transitions
that characterises EU policy-making. This has been highlighted more recently by the
White Paper on Artificial Intelligence3
and the Communication on a European
Strategy for Data4
(hereafter the Data Strategy) of February 2020.
In an economy increasingly based on the processing of data, including personal data,
the GDPR is an essential tool to ensure that individuals have better control over their
personal data and that these data are processed for a legitimate purpose, in a lawful,
fair and transparent way. At the same time, the GDPR helps to foster trust-worthy
1
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC - OJ L 119, 4.5.2016, p. 1–88
2
Following its incorporation in the European Economic Area (EEA) Agreement, the Regulation also
applies to Norway, Iceland and Liechtenstein.
3
https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-
excellence-and-trust_en
4
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy
2
innovation, notably through its risk-based approach and principles such as privacy by
design and by default. The Commission has proposed complementing the data
protection and privacy legislative framework5
by the e-Privacy Regulation6
, which is
intended to replace the current e-Privacy Directive7
. This proposal is currently being
examined by the co-legislators and it is very important to ensure its rapid adoption.
As part of the Commission’s key priorities of a “Europe fit for the digital age”8
and
the “European Green Deal”9
, new initiatives may be developed to empower citizens to
play a more active role in the digital transition and in harnessing the use of digital
tools to bring about a climate-neutral society and a more sustainable development.
The GDPR sets a framework for these initiatives and ensures that they are designed to
effectively empower individuals.
The Data Strategy10
calls for the creation of a “single European data space”, a genuine
single market for data, as well as of ten sectoral common European data spaces that
are relevant for the twin green and digital transitions11
. For all these priorities, a clear and
workable framework for safe data sharing and increased data availability is key. The Data
Strategy also announced the intention of the Commission to explore in future
legislation how to enable the use of data held in public databases for scientific
research purposes in a manner compliant with the GDPR. The data spaces are to be
supported by European cloud federation, providing data processing and cloud
infrastructure services compliant with the GDPR. The GDPR ensures a high level of
protection of personal data and a central role for individuals in all these data spaces
while providing the necessary flexibility to accommodate different approaches.
The need to ensure trust and the demand for the protection of personal data are
certainly not limited to the EU. Individuals around the world increasingly value the
privacy and security of their data. As shown by a recent global survey12
, they consider
5
This legislative framework also includes the Data Protection Law Enforcement Directive (Directive
2016/680) and the Data Protection Regulation for EU institutions and bodies (Regulation 2018/1725).
6
Proposal for a Regulation of the European Parliament and of the Council concerning the respect for
private life and the protection of personal data in electronic communications and repealing Directive
2002/58/EC (Regulation on Privacy and Electronic Communications) - COM/2017/010 final - 2017/03
(COD)
7
Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the
processing of personal data and the protection of privacy in the electronic communications sector
(Directive on privacy and electronic communications) - OJ L 201, 31/07/2002 P. 0037 - 0047
8
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en
9
Communication from the Commission to the European Parliament, the European Council, the
Council, the European Economic and Social Committee and the Committee of the Regions - The
European Green Deal - COM/2019/640 final
10
Communication from the Commission to the European Parliament, the Council, the European
Economic and Social Committee and the Committee of the Regions - A European strategy for data -
COM/2020/66 final.
11
These ten sectoral common European data spaces are for: health, industrial manufacturing, energy,
mobility, agriculture, financial data, public administration, a common European data skills data space,
a European Green Deal data space and a European Open Science Cloud.
12
See e.g. Cisco’s Consumer Privacy Study 2019
(https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf).
According to this study that surveyed 2,600 consumers worldwide, a significant number of consumers
have already taken action to protect their privacy, for example, by switching companies or providers
because of their data policies or data sharing practices.
3
this an important factor that influences their buying decisions and their online
behaviour. A growing number of companies have responded to this demand for
privacy notably by voluntarily extending some of the rights and safeguards provided
for in the GDPR to their non-EU based customers. Many businesses also promote
respect for personal data as a competitive differentiator and a selling point on the
global marketplace, by offering innovative products and services with novel privacy
or data security solutions. Moreover, the increased ability for private and public sector
actors to collect and process data on a large scale raises important and complex
questions that increasingly place privacy at the centre of the public debate in different
parts of the world.
The adoption of the GDPR has spurred other countries in many regions of the world
to consider following suit. This is a truly global trend running from Chile to South
Korea, from Brazil to Japan, from Kenya to India, and from California to Indonesia.
The EU’s leadership on data protection shows it can act as a global standard-setter for
the regulation of the digital economy and has been welcomed by important voices of
the international community such as UN Secretary General António Guterres who has
noted how the GDPR has “set an example […] inspiring similar measures elsewhere”
and “urge[d] the EU and its Member States to continue to lead to shape the digital
age and to be at the forefront of technological innovation and regulation”.13
The current COVID-19 pandemic crisis offers a vivid illustration of this globalisation
of the privacy debate both during the crisis and as the world seeks to emerge from it.
In the EU, several Member States took emergency measures in an effort to protect
public health. The GDPR is clear in that any restriction must respect the essence of
the fundamental rights and freedoms, and be a necessary and proportionate measure in
a democratic society to safeguard a public interest, such as public health. As
containment measures are being phased out, decision makers need to address the
expectation of citizens that they are offered digital solutions which are trustworthy
and which respect the rights to privacy and personal data protection.
In many countries built-in privacy protections such as voluntary signing up by users,
data minimisation and security as well as the exclusion of geolocation, are considered
essential to ensure the reliability and societal acceptance of data-driven solutions
aimed at monitoring and containing the spread of the virus, calibrating public policy
countermeasures, assisting patients or implementing exit strategies. In the EU, the
data protection and privacy legislative framework14
has proven to be a sufficiently
flexible tool to allow practical solutions (e.g. tracing apps) to be developed while
ensuring a high level of protection of personal data. In this context, on 16 April 2020,
the Commission published guidance on apps supporting the fight against the
pandemic in relation to data protection.15
13
Address of the UN Secretary-General to the Italian Senate, 18 December 2019 (available at:
https://www.un.org/press/en/2019/sgsm19916.doc.htm).
14
This framework comprises, in addition to the GDPR, the ePrivacy Directive (Directive 2002/58/EC)
that provides rules, among others, on accessing and storing information on the user's terminal
equipment.
15
Communication from the Commission Guidance on Apps supporting the fight against COVID 19
pandemic in relation to data protection 2020/C 124 I/01 - C/2020/2523 - OJ C 124I , 17.4.2020, p. 1–9
On 16 April 2020 EU Members States, supported by the Commission, have developed an EU toolbox
for the use of mobile applications for contact tracing and warning in response to the coronavirus
4
Protecting personal data is also instrumental in preventing the manipulation of
citizens’ choices, in particular via the micro-targeting of voters based on the unlawful
processing of personal data, avoiding interference in democratic processes and
preserving the open debate, the fairness and the transparency that are essential in a
democracy. For this reason, in September 2018, the Commission published its
guidance on the application of Union data protection law in the electoral context16
.
For this evaluation and review, the Commission took into account the contributions
from the Council17
, the European Parliament18
, the European Data Protection Board
(hereafter ‘the Board’)19
and individual data protection authorities20
, the Multi-
stakeholder expert Group21
and other stakeholders, including through the feedback
provided to the roadmap22
.
The general view is that two years after it started to apply, the GDPR has
successfully, met its objectives of strengthening the protection of the individual’s
right to personal data protection and guaranteeing the free flow of personal data
within the EU23
. However a number of areas for future improvement have also been
identified. Like most stakeholders and data protection authorities, the Commission is
of the view that it would be premature at this stage to draw definite conclusions
regarding the application of the GDPR. It is likely that most of the issues identified by
Member States and stakeholders will benefit from more experience in applying the
GDPR in the coming years. Nevertheless, this report highlights the challenges
encountered so far in applying the GDPR and sets out possible ways to address them.
Notwithstanding its focus is on the two issues highlighted in Article 97(2) of the
GDPR, namely international transfers and the cooperation and consistency
mechanisms, this evaluation and review takes a broader approach to also address
issues which have been raised by various actors during the last two years.
pandemic. This is part of a common coordinated approach to support the gradual lifting of confinement
measures. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf.
16
Commission guidance on the application of Union data protection law in the electoral context A
contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20
September 2018 - COM/2018/638 final.
17
Council position and findings on the application of the General Data Protection Regulation:
https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/en/pdf
18
Letter of the LIBE Committee of the European Parliament of 21 February 2020 to Commissioner
Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.
19
Contribution of the Board to the evaluation of the GDPR under Article 97, adopted on 18 February
2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-
under-article-97_en
20
https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en
21
The Multi-stakeholder expert group on the Regulation set up by the Commission involves civil
society and business representatives, academics and practitioners:
https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537
22
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-
application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437
23
See for instance Council position and findings as well as the Board contribution.
5
2 MAIN FINDINGS
Enforcement of the GDPR and the functioning of the cooperation and consistency
mechanisms
The GDPR set up an innovative governance system, based on independent data
protection authorities in the Member States and their cooperation in cross-border
cases and within the European Data Protection Board (‘the Board’). The general view
is that data protection authorities have made balanced use of their strengthened
corrective powers, including warnings and reprimands, fines and temporary or
definitive processing limitations24
. The Commission notes that the authorities made
use of administrative fines ranging from a few thousand euros to several million,
depending on the gravity of the infringements. Other sanctions, such as bans on
processing, may have an equally if not higher deterrent effect than fines. The ultimate
objective of the GDPR is to change the culture and behaviour of all actors involved
for the benefit of the individuals. More detailed information on the use of the
corrective powers by data protection authorities is presented in the accompanying
staff working document.
While it is still early to fully assess the functioning of the new cooperation and
consistency mechanisms, data protection authorities developed their cooperation
through the one-stop-shop mechanism25
and through a large use of mutual
assistance26
. The one-stop-shop mechanism, which is a key asset of the internal
market, is used to decide many cross-border cases27
. Important decisions with cross-
border dimension that will be subject to the one-stop-shop mechanism, are currently
pending. These decisions, involving often multinational big tech companies, will have
a substantial impact on individuals’ rights in many Member States.
However, developing a truly common European data protection culture between data
protection authorities is still an on-going process. Data protection authorities have not
yet made full use of the tools the GDPR provides, such as joint operations that could
lead to joint investigations. At times, finding a common approach meant moving to
the lowest common denominator and as a result, opportunities to foster more
harmonisation were missed28
.
Further progress is needed to make the handling of cross-border cases more efficient
and harmonised across the EU, including from a procedural point of view, for
instance on issues such as complaint handling procedures, the admissibility criteria for
complaints, the duration of proceedings due to different timeframes or the absence of
deadlines in the national administrative procedural law, the moment in the procedure
where the right to be heard is granted, or the information and involvement of the
complainants during the procedure. The reflection process launched by the Board in
24
See point 2.1 of the Staff Working Document.
25
If a company is processing data cross-border, the competent data protection authority is the one of
the Member States where the company has its main establishment.
26
See point 2.2 of the Staff working Document.
27
Between 25 May 2018 and 31 December 2019, 141 draft decisions were submitted through the one-
stop-shop procedure, out of which 79 resulted in final decisions.
28
For instance the national lists of the kinds of processing operations which requires data protection
impact assessment under Article 35 of the GDPR could have been better harmonised.
6
relation to this is welcomed, and the Commission is participating in these
discussions29
.
The activities and the guidance of the Board are of key importance for the consistent
further development of exchanges between the Board and stakeholders30
. As of the
end of 2019, the Board had adopted 67 documents, including 10 new guidelines31
, and
43 opinions32
. Stakeholders generally welcome the guidelines from the Board and
request additional ones on key concepts of the GDPR, but also point to
inconsistencies between the national guidance and the Board guidelines. They
underline the need for more practical advice, in particular more concrete examples,
and the need for data protection authorities to be equipped with the necessary human,
technical and financial resources to effectively carry out their tasks.
The Commission consistently stressed the obligation for Member States to allocate
sufficient human, financial and technical resources to national data protection
authorities33
. Most authorities benefitted from an increase in staff and budget between
2016 and 201934
, with the Irish, Dutch, Icelandic, Luxembourgish and Finnish
authorities having benefitted from the largest relative increases in staff. Given that the
largest big tech multinationals are established in Ireland and Luxembourg, the data
protection authorities of these countries act as lead authorities in many important
cross-border cases and may need larger resources than their population would
otherwise suggest. However, the situation is still uneven between Member States and
is not yet satisfactory overall. Data protection authorities play an essential role in
ensuring that the GDPR is enforced at national level and that the cooperation and
consistency mechanisms within the Board functions effectively, including in
particular the one-stop-shop mechanism for cross-border cases. Member States are
therefore called upon to provide them with adequate resources as required by the
GDPR35
.
Harmonised rules but still a degree of fragmentation and diverging approaches
The Commission is monitoring the implementation of the GDPR in national
legislation. At the time of this report, with the exception of Slovenia, all Member
States adopted new legislation or adapted their national data protection law.
29
See point 2.2 of the Staff Working Document.
30
In particular business and civil society representatives. See point 2.3 of the Staff Working Document.
31
They are in addition to the 10 guidelines which were adopted by the Article 29 Working Party in the
run-up to the entry into application of the Regulation and endorsed by the Board. The Board has also
adopted 4 additional guidelines between January and the end of May 2020, and updated an existing
one.
32
42 of these opinions were adopted under Article 64 of the GDPR and one was adopted under Article
70(1)(s) of the GDPR and concerned the adequacy decision with respect to Japan.
33
Communication from the Commission to the European Parliament and the Council, Data Protection
as a trust-enabler in the EU and beyond – taking stock – COM(2019) 374 final, 24.7.2019
34
Overall there has been a 42% increase in staff and 49% in budget for national data protection
authorities taken together in the EEA between 2016 and 2019.
35
See point 2.4 of the Staff Working Document.
7
Slovenia36
has been requested to provide clarifications to the Commission on the
finalisation of that process37
.
The GDPR provides for a consistent approach for data protection rules throughout the
EU. However, it requires Member States to legislate in some areas38
and provides
them with the possibility to further specify the GDPR in others39
. As a result, there is
still a degree of fragmentation which is notably due to the extensive use of facultative
specification clauses. For instance, the difference between Member States in the age
of children consent in relation to information society services creates uncertainty to
children and their parents as to the application of their data protection rights in the
Single Market. This fragmentation also creates challenges to conducting cross-border
business, innovation, in particular as regards new technological developments and
cybersecurity solutions. For the effective functioning of the internal market and to
avoid unnecessary burden on companies, it is also essential that national legislation
does not go beyond the margins set by the GDPR or introduces additional
requirements when there is no margin.
A specific challenge for national legislation is the reconciliation of the right to the
protection of personal data with freedom of expression and information, and the
proper balancing of these rights. Some national legislations lay down the principle of
precedence of freedom of expression, whilst others lay down the precedence of the
protection of personal data and exempt the application of data protection rules only in
specific situations, such as where a person with public status is concerned. Finally,
other Member States provide for a certain balancing by the legislator and/or or a case-
by-case assessment as regards derogations from certain provisions of the GDPR.
The Commission will continue its assessment of national legislation. The
reconciliation must be provided for by law, respect the essence of those fundamental
rights, and be proportional and necessary40
. Data protection rules (as well as their
interpretation and application) should not affect the exercise of freedom of expression
and information, for instance by creating a chilling effect or putting pressure on
journalists to disclose their sources. The balancing of these two rights by national
laws should be framed by the case law of the Court of Justice and of the European
Court of Human Rights41
.
Member State legislation follows different approaches when implementing
derogations from the general prohibition for processing special categories of personal
data, as regards the level of specification and safeguards, including for health and
research purposes. To address this issue, the Commission is, as a first step, mapping
the different approaches of Member States42
and will, as a following step, support the
36
Most recently through a letter from Commissioner Reynders in March 2020.
37
It has to be noted that the national data protection authority in Slovenia is established on the basis of
the current national data protection law and supervising the application of the GDPR in that Member
State.
38
See point 3.1 of the Staff Working Document.
39
See point 3.2 of the Staff Working Document.
40
Article 52(1) of the Charter.
41
See under point 3.1 of the Staff Working Document: Reconciliation of the right to the protection of
personal data with freedom of expression and information.
42
The Commission has launched a study on the “Assessment of the Member States’ rules on health
data in the light of GDPR”, Chafea/2018/Health/03, specific contract No 2019 70 01.
8
establishment of code(s) of conducts that would contribute to a more consistent
approach in this area and make the cross-border processing of personal data easier43
.
In addition, the Board’s future guidelines on the use of personal data in the field of
scientific research will contribute to a harmonised approach. The Commission will
provide input to the Board in particular in relation to health research, including in the
form of concrete questions and analysis of specific scenarios which it has received
from the research community.
Empowering individuals to control their data
According to a Fundamental Rights Survey44
, 69% of the EU population above the
age of 16 have heard about the GDPR and 71% of people in the EU know about their
national data protection authority.
Individuals are increasingly aware of their rights: the rights of access, rectification,
erasure, and portability of their personal data, the right to object to a processing, as
well as enhanced transparency. The GDPR strengthened procedural rights,
encompassing the right to lodge a complaint with a data protection authority,
including through representative actions, and to judicial redress. Individuals are
increasingly using these rights, but there is a need to facilitate their exercise and their
full enforcement. The reflections being led by the Board will clarify and further
facilitate the exercise of individual rights, while the proposed Directive on
representative actions45
, once adopted, is expected to enable individuals to bring
collective actions in all Member States and will lower the costs of cross-border
actions.
The right to data portability has a clear potential, still not fully used, to put individuals
at the centre of the data economy by enabling them to switch between different
service providers, to combine different services, use other innovative services and to
choose the most data protection-friendly services. This will, indirectly, foster
competition and support innovation. Unlocking this potential is one of the
Commission’s priorities, in particular since, with the increasing use of ‘Internet of
Things’ devices, more and more data are generated by consumers, who risk being
faced with unfair practices and ‘lock-in’ effects. Portability could yield significant
benefits in relation to health and wellness, reduced environmental footprint and access
to public and private services, higher productivity in manufacturing and increased
product quality and safety.
The Data Strategy emphasised the need to address difficulties such as lack of
standards enabling the provision of data in a machine-readable format, to increase the
effective use of the right to data portability, which is currently limited to a few sectors
(e.g. banking and telecommunications). This could be done notably through the
design of appropriate tools, standardised format and interfaces46
. This increased use
43
See actions announced in the European Strategy for Data, page 30.
44
European Union Agency for Fundamental Rights (FRA) (2020): Fundamental Rights Survey 2019.
Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-
data-protection
45
The proposed Directive on representative actions for the protection of the collective interests of
consumers (COM/2018/0184 final - 2018/089 (COD)), once adopted, is expected to strengthen the
framework for representative actions also in the field of data protection.
46
Those tools may include consent management tools, and personal information management apps.
9
could also be achieved notably by mandating technical interfaces and machine-
readable formats allowing portability of data in real-time. An increased use of the
right to portability could, amongst other things, make it easier for individuals to allow
the use of their data for the public good (for instance to foster research in the health
sector), if they wish to do so (‘data altruism’). In preparation of the Digital Services
Act package47
, the Commission will explore more broadly the role of data and data-
related practices in the platform ecosystem.
Opportunities and challenges for organisations, in particular small and medium-sized
enterprises
The GDPR, together with the Free Flow of Non-Personal Data Regulation48
offers
opportunities to companies by fostering competition and innovation, ensuring the free
flow of data within the EU and creating a level playing field with companies
established outside the EU49
. The right to portability, coupled with an increasing
number of individuals in search of more privacy-friendly solutions, have the potential
to lower the barriers to entry for businesses and open the possibilities for growth
based on trust and innovation. Some stakeholders report that the application of the
GDPR is challenging especially for small and medium sized enterprises (SMEs).
According to the risk-based approach, it would not be appropriate to provide
derogations based on the size of the operators, as their size is not in itself an
indication of the risks the processing of personal data that it undertakes can create for
individuals. Several data protection authorities have provided practical tools to
facilitate the implementation of the GDPR by SMEs with low risk processing
activities. These efforts should be intensified and widespread, preferably within a
common European approach in order not to create barriers to the Single Market.
Data protection authorities have developed a number of activities to help SMEs
comply with the GDPR, for instance through the provision of templates for processing
contracts and records for processing activities, seminars and hotlines for consultation.
A number of these initiatives benefited from EU funding50
. Further activities should
be considered to facilitate the application of the GDPR for SMEs.
The GDPR makes a toolbox available to all types of companies and organisations to
help them demonstrate compliance, such as codes of conduct, certification
mechanisms and standard contractual clause. This toolbox should be used to its full
extent. SMEs stress in particular the importance and usefulness of codes of conduct
which are tailored to their situation and which do not entail disproportionate costs. As
47
https://ec.europa.eu/commission/presscorner/detail/en/ip_20_962
48
Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on
a framework for the free flow of non-personal data in the European Union - OJ L 303, 28.11.2018, p.
59–68
49
See point 5 of the Staff Working Document. See also COM/2019/250 final Guidance on the
Regulation on a framework for the free flow of non-personal data in the European Union, explaining
the rules governing the processing of mixed datasets, composed of both personal and non-personal
data, making it practical for businesses, including SMEs.
50
The Commission provided financial support through three waves of grants, for a total of EUR 5
million, with the two most recent ones specifically aimed at supporting national data protection
authorities in their efforts to reach out to individuals and small and medium-size enterprises:
https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-
implementation-gdpr_en. An additional EUR 1 million will be allocated in 2020.
10
regards certification schemes, security (including cybersecurity) and data protection
by design are key elements to be considered under the GDPR and would benefit from
a common and ambitious approach throughout the EU. The Commission is currently
working on standard contractual clauses between controllers and processors51
,
building on the on-going work on the modernisation of the standard contractual
clauses for international transfers52
.
The application of the GDPR to new technologies
The GDPR, having been conceived in a technology neutral way, is based on
principles, and is therefore designed to cover new technologies as they develop.
It is seen as an essential and flexible tool to ensure that the development of new
technologies is in compliance with fundamental rights. The data protection and
privacy legislative framework proved its importance and flexibility during the
COVID-19 crisis, notably in relation to the design of the tracing apps and other
technological solutions to fight the pandemic. Future challenges lie ahead in clarifying
how to apply the proven principles to specific technologies such as artificial
intelligence, blockchain, Internet of Things or facial recognition which require a
monitoring on a continuous basis. The Commission White Paper on Artificial
Intelligence53
, for instance, opened up a public debate on the specific circumstances,
if any, which might justify the use of artificial intelligence for remote biometric
identification purposes (such as facial recognition) in public places, and on common
safeguards. In this respect, data protection authorities should be ready to accompany
technical design processes early on.
Moreover, strong and effective enforcement of the GDPR vis-à-vis large digital
platforms and integrated companies, including in areas such as online advertising and
micro-targeting, is an essential element for protecting individuals.
Developing a modern international data transfer toolbox
The GDPR offers a modernised toolbox to facilitate the transfer of personal data from
the EU to a third country or international organisation, while ensuring that the data
continues to benefit from a high level of protection. In the past two years, the
Commission stepped up its work to harness the full potential of the tools available
under the GDPR.
This has included actively engaging with key partners with a view to reaching an
“adequacy decision”. The effect of such a decision is to enable the safe and free flow
of personal data to the concerned third country without the need for the data exporter
to provide further safeguards or obtain any authorisation. In particular, the EU-Japan
mutual adequacy decisions, which entered into force in February 2019, created the
world’s largest area of free and safe data flows. In addition, the adequacy process with
the Republic of Korea is at an advanced stage and exploratory talks are ongoing with
other important partners in Asia and Latin America.
51
Under Article 28 GDPR
52
Under Article 46 GDPR.
53
White Paper on Artificial Intelligence - A European approach to excellence and trust - COM/2020/65
final.
11
Adequacy also plays an important role in the context of the future relationship with
the United Kingdom, provided that the applicable conditions are met. It constitutes an
enabling factor for trade, including digital trade, and an essential prerequisite for a
close and ambitious cooperation in the area of law enforcement and security.
Moreover, a high degree of convergence in data protection is an important element for
ensuring a level playing field between two so closely integrated economies. In line
with the Political Declaration on the Future Relationship between the EU and the UK,
the Commission is currently carrying out an adequacy assessment under both the
GDPR and the Data Protection Law Enforcement Directive54
.
As part of the first evaluation of the GDPR, the Commission is also required to review
the adequacy decisions that were adopted under the former rules55
. The Commission
services have engaged in an intense dialogue with each of the 11 concerned third
countries and territories56
to assess how their data protection systems have evolved
since the adoption of the adequacy decision and whether they meet the standard set by
the GDPR. The need to ensure the continuity of such decisions, as a key tool for trade
and international cooperation, is one of the factors that has prompted several of these
countries and territories to modernise and strengthen their privacy laws. Additional
safeguards are being discussed with some of these countries and territories to address
relevant differences in protection. However, given that the Court of Justice in a
judgment to be delivered on 16 July may provide clarifications that could be relevant
for certain elements of the adequacy standard, the Commission will report separately
on the evaluation of the existing adequacy decisions after the Court of Justice has
handed down its judgment in that case57
.
Beside its adequacy work, the Commission is working on a comprehensive
modernisation of standard contractual clauses, to update them in light of new
requirements introduced by the GDPR. The aim is to better reflect the realities of
processing operations in the modern digital economy and consider the possible need,
including in light of the upcoming case law of the Court of Justice58
, to further clarify
certain safeguards. These clauses represent by far the most widely used data transfer
mechanism, with thousands of EU companies relying on them in order to provide a
wide range of services to their clients, suppliers, partners and employees.
The Board has also played an active role in developing the international aspects of the
GDPR. This includes updating guidance on existing transfer mechanisms, such as
binding corporate rules and so-called ‘derogations’, as well as developing the legal
54
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data by competent authorities for
the purposes of the prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and on the free movement of such data, and repealing Council
Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89–131.
55
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the
protection of individuals with regard to the processing of personal data and on the free movement of
such data, OJ L 281, 23.11.1995, p. 31–50.
56
These countries and territories are: Andorra, Argentina, Canada, Faeroe Islands, Guernsey, Jersey,
Isle of Man, Israel, New Zealand, Switzerland and Uruguay.
57
See Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited, Maximillian
Schrems (“Schrems II”), that concerns a reference for a preliminary ruling on the so-called Standard
Contractual Clauses. However, certain elements of the adequacy standard may also be further clarified
by the Court.
58
See Schrems II case.
12
infrastructure for the use of new tools introduced by the GDPR, i.e. codes of conduct
and certification.
To allow stakeholders to make full use of the GDPR transfer toolbox, it is important
that the Board intensifies its ongoing work on the various transfer mechanisms,
including by further streamlining the approval process for binding corporate rules,
finalising the guidance on codes of conduct and certification as tools for transfers, and
clarifying the interplay between the rules on international data transfers (Chapter V)
with the GDPR territorial scope of application (Article 3).
Another important aspect of the international dimension of EU data protection rules is
the GDPR’s extended territorial scope, which also covers the processing activities of
foreign operators that are active in the EU market. To ensure effective compliance
with the GDPR and a true level playing field, it is essential that this extension is
appropriately reflected in the enforcement action by the data protection authorities.
They should, in particular, involve, where necessary, the controller’s or processor’s
representative in the EU, who can be addressed in addition to or instead of the
company based outside the EU. This approach should be pursued more vigorously in
order to send a clear message that the lack of an establishment in the EU does not
relieve foreign operators of their responsibilities under the GDPR.
Promoting convergence and international cooperation in the area of data protection
The GDPR has already emerged as a key reference point at international level and
acted as a catalyst for many countries around the world to consider introducing
modern privacy rules. This trend towards global convergence is a very positive
development that brings new opportunities to better protect individuals in the EU
when their data is transferred abroad while, at the same time, facilitating data flows.
Building on this trend, the Commission has intensified its dialogue in a number of
bilateral, regional and multilateral fora to foster a global culture of respect for privacy
and develop elements of convergence between different privacy systems. In its
efforts, the Commission has relied and will continue to count on the active support of
the European External Action Service and the network of EU delegations in third
countries and missions to international organisations. This has also allowed for greater
consistency and complementarity between different aspects of the external dimension
of EU policies – from trade to the new EU-Africa partnership. The G20 and G7 have
also recently recognised the contribution of data protection to trust in the digital
economy and data flows, in particular through the concept of ‘Data Free Flow with
Trust’ originally proposed by the Japanese G20 Presidency.59
The Data Strategy
highlights the Commission’s intention to continue promoting data sharing with trusted
partners while fighting against abuses such as disproportionate access of (foreign)
public authorities to personal data.
While promoting convergence of data protection standards at international level, as a
way to facilitate data flows and thus trade, the Commission is also determined to
tackle digital protectionism, as recently highlighted in the Data Strategy.60
To that
59
See e.g. text of the G20 Osaka Leaders’ Declaration:
https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf
60
Data Strategy, p. 23.
13
end, it has developed specific provisions on data flows and data protection in trade
agreements61
which it systematically tables in its bilateral – most recently with
Australia, New Zealand, and the UK – and multilateral negotiations such as the
current WTO e-commerce talks62
. These horizontal provisions rule out unjustified
restrictions, such as forced data localisation requirements, while preserving the
regulatory autonomy of the parties to protect the fundamental right to data protection.
Synergies between trade and data protections instruments should thus be further
explored to ensure free and safe international data flows that are essential for the
business operations, competitiveness and growth of European companies, including
SMEs, in the increasingly digitalised economy.
Similarly, it is important to ensure that when companies active in the European
market are called on the basis of a legitimate request to share data for law
enforcement purposes, they can do so without facing conflicts of law and in full
respect of EU fundamental rights. To improve such transfers, the Commission is
committed to develop appropriate legal frameworks with its international partners to
avoid conflicts of law and support effective forms of cooperation, notably by
providing for the necessary data protection safeguards, and thereby contribute to a
more effective fight against crime.
Finally, at a time when privacy compliance issues or data security incidents may
affect large numbers of individuals simultaneously in several jurisdictions,
cooperation ‘on the ground’ between European and international regulators should be
further strengthened. In particular, this requires appropriate legal instruments to be
developed for closer forms of cooperation and mutual assistance, including by
allowing the necessary exchanges of information in the context of investigations. It is
also in this spirit that the Commission is setting up a ‘Data Protection Academy’, a
platform where EU and foreign data protection authorities would share knowledge,
experience and best practices to facilitate and support cooperation between privacy
enforcers.
3 WAY FORWARD
To meet the full potential of the GDPR, it is important to create a harmonised
approach and a European common culture of data protection, and to foster a more
efficient and harmonised handling of cross-border cases. This is expected by people
and businesses and constitutes an essential objective of the reform of EU data
protection rules. It is equally important to ensure that all tools available in the GDPR
are used fully to ensure an efficient application for individuals and businesses.
61
See text of horizontal provisions for cross-border data flows and for personal data protection (in EU
trade and investment agreements):
https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf
62
84 WTO Members are now engaged in plurilateral negotiations on e-commerce, further to a Joint
Statement Initiative adopted by Ministers on 25 January 2019 in Davos. As part of this process, the EU
tabled its text proposal on future rules and obligations on e-commerce on 3 May 2019. The proposal
includes horizontal provisions on data flows and personal data protection:
https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf.
14
The Commission will continue its bilateral exchanges with Member States on the
implementation of the GDPR and, where necessary, will continue to use all the tools
at its disposal to foster compliance by Member States with their obligations under the
GDPR.
Given the ongoing assessment of national legislation, the short period of practical
experience since the GDPR has become applicable, and the fact that sector-specific
legislation is still being revised in many Member States, it is still too soon to draw
definitive conclusions on the existing level of fragmentation. As regards the possible
conflict of laws due to the implementation by Member States of specification clauses,
it is first necessary to better understand the consequences for controllers and
processors63
.
When following-up on these issues, the relevant case law of national courts and the
Court of Justice helps to create a consistent interpretation of data protection rules.
National courts have recently issued judgements invalidating provisions in national
laws which depart from the GDPR64
.
As regards the international dimension, the Commission will continue to focus on
promoting convergence of data protection rules as a way to ensure safe data flows.
This includes various forms of ‘upstream’ work, for instance in the context of ongoing
reforms for new or updated data protection laws, or the push for the ‘Data Free Flow
with Trust’ concept in multilateral fora. It also covers various adequacy dialogues and
the modernisation and expansion of our transfer toolbox through updating the
standard contractual clauses and laying the groundwork for certification mechanisms.
This work also includes international negotiations, such as in the area of cross-border
access to electronic evidence, to ensure that data transfers will take place with
appropriate data protection safeguards. Finally, by engaging in negotiations on
international cooperation and mutual assistance between data protection enforcers, the
Commission will strive to bring convergence ‘from the books to the ground’.
Based on this evaluation of the application of the GDPR since May 2018, the actions
listed below have been identified as necessary to support its application. The
Commission will monitor their implementation also in view of the forthcoming
evaluation report in 2024.
Implementing and complementing the legal framework
Member States should
- complete the alignment of their sectoral laws to the GDPR;
- consider limiting the use of specification clauses which might create
fragmentation and jeopardise the free flow of data within the EU;
- assess whether national law implementing the GDPR is in all circumstances
within the margins provided for Member State legislation.
The Commission will
63
Cf. Council position and findings on the application of the GDPR.
64
This has been the case in Germany and in Spain, or, in Austria, closing a gap in the national
legislation.
15
- pursue bilateral exchanges with Member States on the compliance of national
laws with the GDPR, including on the independence and resources of national
data protection authorities; make use of all the tools at its disposal, including
infringement procedures, to ensure that Member States comply with the
GDPR;
- support further exchanges of views and national practices between Member
States on topics which are subject to further specification at national level so
as to reduce the level of fragmentation of the single market, such as processing
of personal data relating to health and research, or which are subject to
balancing with other rights such as the freedom of expression;
- support a consistent application of the data protection framework in relation to
new technologies to support innovation and technological developments;
- use the GDPR Member States Expert Group (established during the transitory
phase before the GDPR became applicable) to facilitate discussions and
sharing of experience between Member States and with the Commission;
- explore whether, in the light of further experience and relevant case-law,
proposing possible future targeted amendments to certain provisions of the
GDPR might be appropriate, in particular regarding records of processing by
SMEs that do not have the processing of personal data as their core business
(low risk)65
, and the possible harmonisation of the age of children consent in
relation to information society services.
Making the new governance system deliver its full potential
The Board and data protection authorities are invited to
- develop efficient arrangements between data protection authorities regarding
the functioning of the cooperation and consistency mechanisms, including on
procedural aspects, building on the expertise of its members and by
strengthening the involvement of its secretariat;
- support harmonisation in applying and enforcing the GDPR using all means at
its disposal, including by further clarifying key concepts of the GDPR, and
ensuring that national guidance is fully in line with guidelines adopted by the
Board;
- encourage the use of all tools provided for in the GDPR to ensure that it is
applied consistently;
- step up cooperation among data protection authorities, for instance by
conducting joint investigations.
The Commission will
- continue to closely monitor the effective and full independence of national
data protection authorities;
65
Article 30(5) GDPR.
16
- encourage cooperation between regulators (in particular in fields such as
competition, electronic communications, security of network and information
systems and consumer policy);
- support the reflection within the Board on the procedures applied by the
national data protection authorities in order to improve the cooperation on the
cross-border cases.
Member States shall
- allocate resources to data protection authorities that are sufficient for them to
perform their tasks.
Supporting stakeholders
The Board and data protection authorities are invited to
- adopt further guidelines which are practical, easily understandable, and which
provide clear answers and avoid ambiguities on issues related to the
application of the GDPR, for example on processing children’s data and data
subject rights, including the exercise of the right of access and the right to
erasure, consulting stakeholders in the process;
- review the guidelines when further clarifications are necessary in the light of
experience and developments including in the case law of the Court of Justice;
- develop practical tools, such as harmonised forms for data breaches and
simplified records of processing activities, to help low-risk SMEs meeting
their obligations.
The Commission will
- provide standard contractual clauses both for international transfers and the
controller/processor-relationship;
- provide for tools clarifying/supporting the application of data protection rules
to children66
;
- in line with the Data Strategy, explore practical means to facilitate increased
use of the right to portability by individuals, such as by giving them more
control over who can access and use machine-generated data;
- support standardisation/certification in particular on cybersecurity aspects
through the cooperation between the European Union Agency for
Cybersecurity (ENISA), the data protection authorities and the Board;
- when appropriate, make use of its right to request the Board to prepare
guidelines and opinions on specific issues of importance to stakeholders;
- when necessary provide guidance, while fully respecting the role of the Board;
66
Commission project on age identification tools – pilot project to demonstrate an interoperable
technical infrastructure for child protection, including age-verification and parental consent. This is
expected to support the implementation of the child protection mechanisms based on existing EU
legislation relevant for children protection online.
17
- support the activities of data protection authorities that facilitate
implementation of GDPR obligations by SMEs, through financial support,
especially for practical guidance and digital tools that can be replicated in
other Member States.
Encouraging innovation
The Commission will
- monitor the application of the GDPR to new technologies, also taking into
account of possible future initiatives in the field of artificial intelligence and
under the Data Strategy;
- encourage, including through financial support, the drafting of EU codes of
conduct in the area of health and research;
- closely follow the development and the use of apps in the context of the
COVID-19 pandemic.
The Board is invited to
- issue guidelines on the application of the GDPR in the area of scientific
research, artificial intelligence, blockchain, and possible other technological
developments;
- review the guidelines when further clarifications are necessary in the light of
technological development.
Further developing the toolkit for data transfers
The Commission will
- pursue adequacy dialogues with interested third countries, in line with the
strategy set out in its 2017 Communication ‘Exchanging and Protecting
Personal Data in a Globalised World’, including where possible by covering
data transfers to criminal law enforcement authorities (under the Data
Protection Law Enforcement Directive) and other public authorities; this
includes finalisation of the adequacy process with the Republic of Korea as
soon as possible;
- finalise the ongoing evaluation of the existing adequacy decisions and report
to the European Parliament and the Council;
- finalise the work on the modernisation of the standard contractual clauses,
with a view to updating them in light of the GDPR, covering all relevant
transfer scenarios and better reflecting modern business practices.
The Board is invited to
- further clarify the interplay between the rules on international data transfers
(Chapter V) with the GDPR’s territorial scope of application (Article 3);
- ensure effective enforcement against operators established in third countries
falling within the GDPR’s territorial scope of application, including as regards
the appointment of a representative where applicable (Article 27);
18
- streamline the assessment and eventual approval of binding corporate rules
with a view to speed up the process;
- complete the work on the architecture, procedures and assessment criteria for
codes of conduct and certification mechanisms as tools for data transfers.
Promoting convergence and developing international cooperation
The Commission will
- support ongoing reform processes in third countries on new or modernised
data protection rules by sharing experience and best practices;
- engage with African partners to promote regulatory convergence and support
capacity-building of supervisory authorities as part of the digital chapter of the
new EU-Africa partnership;
- assess how cooperation between private operators and law enforcement
authorities could be facilitated, including by negotiating bilateral and
multilateral frameworks for data transfers in the context of access by foreign
criminal law enforcement authorities to electronic evidence, to avoid conflicts
of law while ensuring appropriate data protection safeguards;
- engage with international and regional organisations such as the OECD,
ASEAN or the G20 to promote trusted data flows based on high data
protection standards, including in the context of the Data Flow with Trust
initiative;
- set up a ‘Data Protection Academy’ to facilitate and support exchanges
between European and international regulators;
- promote international enforcement cooperation between supervisory
authorities, including through the negotiation of cooperation and mutual
assistance agreements.


DA DA
EUROPA-
KOMMISSIONEN
Bruxelles, den 24.6.2020
COM(2020) 264 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG
RÅDET
Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale
omstilling — to års anvendelse af den generelle forordning om databeskyttelse
{SWD(2020) 115 final}
Europaudvalget 2020
KOM (2020) 0264
Offentligt
1
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG
RÅDET
Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den
digitale omstilling — to års anvendelse af den generelle forordning om databeskyttelse
1 DATABESKYTTELSESREGLER SOM EN HJØRNESTEN I BORGERNES INDFLYDELSE OG
EU'S TILGANG TIL DEN DIGITALE OMSTILLING
Denne rapport er den første om evalueringen og revisionen af den generelle
forordning om databeskyttelse1
(herefter "persondataforordningen"), og handler især
om, hvordan reglerne om overførsel af personoplysninger til tredjelande og
internationale organisationer og reglerne om samarbejde og sammenhæng anvendes
og fungerer, jf. persondataforordningens artikel 97.
Persondataforordningen, som har været gældende siden den 25. maj 2018, er en
central del af EU's ramme2
for sikring af den grundlæggende ret til databeskyttelse
som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder (artikel
8) og i traktaterne (artikel 16 i traktaten om Den Europæiske Unions funktionsmåde,
"TEUF"). Persondataforordningen styrker databeskyttelsesgarantierne, giver personer
yderligere og styrkede rettigheder, skaber øget gennemsigtighed og sikrer, at alle de,
der behandler personoplysninger, og som er omfattet af dens anvendelsesområde,
holdes mere ansvarlige og er mere ansvarsbevidste. Den giver de uafhængige
datatilsynsmyndigheder større og mere ensartede håndhævelsesbeføjelser og indfører
et nyt forvaltningssystem. Den skaber også lige vilkår for alle virksomheder, som
udøver aktivitet på EU-markedet, uanset hvor de er etablerede, og den sikrer fri
udveksling af oplysninger inden for EU og styrker dermed det indre marked.
Persondataforordningen er en vigtig del af den menneskecentrerede tilgang til
teknologi og en rettesnor for brugen af teknologi i den grønne og den digitale
omstilling, som kendetegner EU's politikudformning. Dette er for nylig blevet
understreget i hvidbogen om kunstig intelligens3
og i meddelelsen om en europæisk
datastrategi4
(herefter "datastrategien") fra februar 2020.
I en økonomi, der i stigende grad bygger på behandling af data, herunder
personoplysninger, er persondataforordningen et vigtigt værktøj til at sikre, at
personer har bedre kontrol over deres personoplysninger, og at disse oplysninger
behandles til et lovligt formål på en lovlig, rimelig og gennemsigtig måde. Samtidig
1
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1).
2
Efter at forordningen blev indarbejdet i aftalen om Det Europæiske Økonomiske Samarbejdsområde,
finder den også anvendelse på Norge, Island og Liechtenstein.
3
https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-
excellence-and-trust_en.
4
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy.
2
bidrager persondataforordningen til at fremme innovation, man kan have tillid til, især
via dens risikobaserede tilgang og principper såsom databeskyttelse gennem design og
gennem standardindstillinger. Kommissionen har foreslået at supplere
regelkomplekset for databeskyttelse og beskyttelse af privatlivets fred5
med
forordningen om e-databeskyttelse6
, som har til formål at erstatte det nuværende
direktiv om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor7
.
Forslaget behandles i øjeblikket af Europa-Parlamentet og Rådet, og det er meget
vigtigt, at det bliver vedtaget hurtigt.
Der kan som led i Kommissionens centrale prioriteter i "Et Europa klar til den digitale
tidsalder"8
og "Den europæiske grønne pagt"9
skabes nye initiativer, som giver
borgerne mulighed for at spille en mere aktiv rolle i den digitale omstilling og for at
udnytte brugen af digitale værktøjer til at skabe et klimaneutralt samfund og en mere
bæredygtig udvikling. Persondataforordningen fastsætter rammen for sådanne
initiativer og sikrer, at de udformes, så de reelt styrker den enkeltes indflydelse.
I datastrategien10
opfordres der til at skabe et "fælles europæisk dataområde", et ægte
indre marked for data samt ti fælles europæiske sektorspecifikke dataområder, der er
relevante for den grønne og den digitale omstilling11
. Det gælder for alle disse prioriteter,
at en klar og velfungerende ramme for sikker datadeling og øget datatilgængelighed er
helt afgørende. Det fremgår også af datastrategien, at Kommissionen agter at
undersøge, hvordan der er i fremtidig lovgivning kan gives mulighed for at udnytte
data i offentlige databaser til videnskabelig forskning på en måde, der er i
overensstemmelse med persondataforordningen. Dataområderne skal understøttes af
en europæisk cloudsammenslutning, som udbyder databehandlingstjenester og
cloudinfrastrukturtjenester, der er i overensstemmelse med persondataforordningen.
Persondataforordningen sikrer en høj beskyttelse af personoplysninger, og at personer
får en central rolle på alle disse dataområder, samtidig med at den giver den
nødvendige fleksibilitet til at tilgodese forskellige tilgange.
Behovet for at sikre tillid og kravet om beskyttelse af personoplysninger er bestemt
ikke begrænset til EU. Rundt om i verden sætter personer i stigende grad pris på
5
Dette regelkompleks omfatter også direktivet om databeskyttelse på retshåndhævelsesområdet
(direktiv 2016/680) og databeskyttelsesforordningen for EU's institutioner og organer (forordning (EU)
2018/1725).
6
Forslag til Europa-Parlamentets og Rådets forordning om respekt for privatliv og beskyttelse af
personoplysninger i forbindelse med elektronisk kommunikation og ophævelse af direktiv 2002/58/EF
(forordning om databeskyttelse inden for elektronisk kommunikation) (COM (2017) 10 final - 2017/03
(COD)).
7
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af
personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
(direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
8
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_da.
9
Meddelelse fra Kommissionen til Europa-Parlamentet, Det Europæiske Råd, Rådet, Det Europæiske
Økonomiske og Sociale Udvalg og Regionsudvalget – Den europæiske grønne pagt (COM(2019) 640
final).
10
Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og
Sociale Udvalg og Regionsudvalget — En europæisk strategi for data (COM(2020) 66 final).
11
De ti fælles europæiske sektorspecifikke dataområder vedrører: sundhed, industriel produktion,
energi, mobilitet, landbrug, finansielle data, offentlig administration, et fælles europæisk dataområde
for færdigheder, et europæisk dataområde for den grønne pagt og en europæiske åben videnskabscloud.
3
privatlivets fred og deres oplysningers sikkerhed. Det fremgår af en nylig global
undersøgelse12
, at dette er en vigtig faktor, som påvirker deres beslutninger om indkøb
og adfærd på nettet. Et stigende antal virksomheder har efterkommet dette ønske om
beskyttelse af privatlivets fred ved blandt andet frivilligt at udvide nogle af de
rettigheder og garantier, der findes i persondataforordningen, til deres kunder uden for
EU. Mange virksomheder benytter også beskyttelsen af personoplysninger som en
konkurrenceparameter og et salgsargument på den globale markedsplads ved at
tilbyde innovative produkter og tjenester med nye muligheder for beskyttelse af
privatlivets fred eller datasikkerhed. De øgede muligheder, som aktører i den
offentlige og private sektor har for at indsamle og behandle data i stor skala, rejser
desuden vigtige og komplekse spørgsmål, som i stigende grad placerer beskyttelsen af
privatlivets fred i centrum for den offentlige debat i forskellige dele af verden.
Vedtagelsen af persondataforordningen har fået andre lande mange steder i verden til
at følge trop. Der er tale om en global udvikling fra Chile til Sydkorea, Brasilien til
Japan, Kenya til Indien og Californien til Indonesien. EU's lederskab inden for
databeskyttelse viser, at EU kan sætte standarden for reguleringen af den digitale
økonomi på globalt plan, og det er blevet vel modtaget af indflydelsesrige personer fra
det internationale samfund såsom FN's generalsekretær António Guterres, som har
udtalt, at persondataforordningen har "vist det gode eksempel […] og inspireret til
lignende foranstaltninger andre steder" og "opfordret EU og dets medlemsstater til
fortsat at spille en ledende rolle med henblik på at forme den digitale tidsalder og
være førende inden for teknologisk innovation og regulering"13
.
Den aktuelle pandemiske krise som følge af covid-19 illustrerer tydeligt
globaliseringen af databeskyttelsesdebatten både under krisen og i takt med, at verden
forsøger at komme ud af den. I EU traf flere medlemsstater nødforanstaltninger i et
forsøg på at beskytte folkesundheden. Det fremgår klart af persondataforordningen, at
enhver begrænsning skal respektere det væsentligste indhold af de grundlæggende
rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig
foranstaltning i et demokratisk samfund af hensyn til samfundsinteresser såsom
folkesundheden. I takt med at inddæmningsforanstaltningerne udfases, skal
beslutningstagerne se på borgernes forventninger om, at de tilbydes digitale løsninger,
de kan have tillid til, og som overholder retten til privatlivets fred og beskyttelse af
personoplysninger.
I mange lande anses indbygget databeskyttelse, som f.eks. brugeres frivillige
undertegnelse, dataminimering, datasikkerhed og udelukkelse af geolokalisering, for
at være en forudsætning for at kunne skabe datadrevne løsninger, som har til formål at
overvåge og inddæmme virusspredningen, justere de offentlige modforanstaltninger,
bistå patienter eller gennemføre exitstrategier, og som folk har tillid til og generelt
12
Se f.eks. Ciscos "Consumer Privacy Study" fra 2019
(https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf).
Ifølge undersøgelsen, som omfatter 2 600 forbrugere verden over, har et stort antal forbrugere allerede
truffet foranstaltninger til at beskytte deres personoplysninger, f.eks. ved at gå over til andre
virksomheder eller udbydere på grund af deres datapolitik eller datadelingspraksis.
13
FN's generalsekretærens tale til det italienske senat den 18.12.2019 (findes på:
https://www.un.org/press/en/2019/sgsm19916.doc.htm).
4
accepterer. I EU har regelkomplekset vedrørende databeskyttelse og privatlivets fred14
vist sig at være tilstrækkeligt fleksibelt til, at der kan udvikles praktiske løsninger
(f.eks. opsporingsapp), samtidig med at personoplysninger sikres en høj grad af
beskyttelse. Den 16. april 2020 offentliggjorde Kommissionen i den forbindelse en
offentlig vejledning om apps til støtte for bekæmpelse af pandemien i forbindelse med
databeskyttelse15
.
Beskyttelse af personoplysninger er også vigtig for at forhindre manipulation af
borgernes valg, især via mikromålretning af vælgere baseret på ulovlig behandling af
personoplysninger, for at undgå indblanding i de demokratiske processer og for at
bevare den åbne debat og den fairness og gennemsigtighed, der er afgørende i et
demokrati. Det var grunden til, at Kommissionen i september 2018 offentliggjorde en
vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse med
afholdelse af valg16
.
Med henblik på denne evaluering og revision har Kommissionen taget hensyn til
bidragene fra Rådet17
, Europa-Parlamentet18
, Det Europæiske Databeskyttelsesråd
(herefter "Databeskyttelsesrådet")19
de enkelte datatilsynsmyndigheder20
,
flerpartsekspertgruppen21
og andre interessenter, blandt andet feedbacken til
køreplanen22
.
Den generelle holdning er, at persondataforordningen, som nu har været anvendt i to
år, opfylder målene om at forbedre personers databeskyttelsesrettigheder og garantere
fri udveksling af personoplysninger inden for EU23
. Der er dog også konstateret en
række områder, som kan forbedres. Som de fleste interessenter og
14
Regelkomplekset omfatter ud over persondataforordningen e-databeskyttelsesdirektivet (direktiv
2002/58/EF), som blandt andet indeholder regler om adgang til og lagring af oplysninger på brugerens
terminaludstyr.
15
Meddelelse fra Kommissionen: Vejledning om apps til støtte for bekæmpelse af covid-19-pandemien
i forbindelse med databeskyttelse 2020/C 124 I/01 - C/2020/2523 (EUT C 124I af 17.4.2020, s. 1). Den
16. april 2020 udviklede EU-medlemsstaterne med støtte fra Kommissionen en EU-værktøjskasse for
anvendelse af mobilapplikationer til kontaktopsporing og -varsling som reaktion på coronapandemien.
Dette er en del af en fælles koordineret tilgang til støtte for den gradvise ophævelse af
inddæmningsforanstaltninger. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-
19_apps_en.pdf.
16
Kommissionens vejledning i anvendelsen af Unionens databeskyttelseslovgivning i forbindelse
med afholdelse af valg: Et bidrag fra Europa-Kommissionen til mødet mellem lederne i Salzburg
den 19.-20. september 2018 (COM(2018) 638 final).
17
Rådets holdning og resultater vedrørende anvendelse af den generelle forordning om databeskyttelse:
https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/da/pdf.
18
Brev fra Europa-Parlamentets LIBE-udvalg af 21.2.2020 til Kommissær Didier Reynders, Ref.:
IPOL-COM-LIBE D (2020)6525.
19
Bidrag fra Databeskyttelsesrådet til evalueringen af persondataforordningen, jf. artikel 97, vedtaget
den 18.2.2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-
evaluation-gdpr-under-article-97_en.
20
https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_da.
21
Flerpartsekspertgruppen, som beskæftiger sig med forordningen og er oprettet af Kommissionen,
inddrager civilsamfundet, repræsentanter for erhvervslivet, akademikere og fagfolk:
https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537.
22
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-
application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437.
23
Se f.eks. Rådets holdning og resultater samt Databeskyttelsesrådets bidrag.
5
datatilsynsmyndigheder mener Kommissionen, at det på nuværende tidspunkt er for
tidligt at drage nogen endelige konklusioner om persondataforordningens anvendelse.
For de fleste af de problemer, som medlemsstaterne og interessenterne har peget på,
gælder det, at det sandsynligvis vil være en fordel at høste lidt større erfaring med
persondataforordningens anvendelse i de kommende år. Ikke desto mindre fremhæver
rapporten de problemer, der hidtil har været med at anvende persondataforordningen,
og den indeholder også forslag til, hvordan de kan løses.
Selv om der i rapporten fokuseres på de to områder i persondataforordningens artikel
97, stk. 2, nemlig internationale overførsler og samarbejds- og
sammenhængsmekanismer, ses der i denne evaluering og revision også på spørgsmål,
som forskellige aktører har rejst i de seneste to år.
2 HOVEDKONKLUSIONER
Håndhævelse af persondataforordningen og samarbejds- og
sammenhængsmekanismernes virke
Med persondataforordningen indføres et innovativt forvaltningssystem, som bygger
på uafhængige datatilsynsmyndigheder i medlemsstaterne og deres samarbejde i
grænseoverskridende sager og i Det Europæiske Databeskyttelsesråd
("Databeskyttelsesrådet"). Generelt kan det konkluderes, at datatilsynsmyndighederne
har gjort rimelig brug af deres øgede korrigerende beføjelser, herunder advarsler,
kritik, bøder og midlertidig eller definitiv begrænsning af behandlinger24
.
Kommissionen bemærker, at myndighederne har gjort brug af administrative bøder
fra nogle få tusinde euro til flere millioner euro afhængigt at overtrædelsernes alvor.
Andre sanktioner såsom forbud mod behandling kan have en lige så stor om ikke
større afskrækkende virkning end bøder. Det endelige mål med
persondataforordningen er at ændre kulturen og adfærden blandt alle involverede
aktører til gavn for personerne. Der findes nærmere oplysninger om
datatilsynsmyndighedernes brug af korrigerende beføjelser i det ledsagende
arbejdsdokument fra Kommissionens tjenestegrene.
Selv om det stadig er for tidligt fuldt ud at vurdere, hvordan de nye samarbejds- og
sammenhængsmekanismer fungerer, har datatilsynsmyndighederne udviklet deres
samarbejde via one-stop-shop mekanismen25
og via omfattende brug af gensidig
bistand26
. One-stop-shop mekanismen, som er en vigtig fordel ved det indre marked,
anvendes tit, når der skal træffes afgørelse i grænseoverskridende sager27
. Der er i
øjeblikket vigtige afgørelser med en grænseoverskridende dimension, som behandles
via one-stop-shop mekanismen, som endnu ikke af afsluttede. Disse afgørelser, som
involverer store multinationale teknologivirksomheder, vil få stor indflydelse på den
enkeltes rettigheder i mange medlemsstater.
24
Se punkt 2.1 i arbejdsdokumentet fra Kommissionens tjenestegrene.
25
Hvis virksomhed behandler oplysninger på tværs af grænser, er det datatilsynsmyndigheden i den
medlemsstat, hvor virksomheden har hovedsæde, der er kompetent.
26
Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.
27
Mellem den 25.5.2018 og den 31.12.2019 blev der indgivet 141 udkast til afgørelser efter one-stop-
shop proceduren, hvoraf 79 resulterede i endelige afgørelser.
6
Udviklingen af en egentlig fælles europæisk databeskyttelseskultur mellem
datatilsynsmyndighederne er dog en kontinuerlig proces. Datatilsynsmyndighederne
har endnu ikke fuldt ud gjort brug af de værktøjer, persondataforordningen giver
mulighed for, f.eks. fælles aktiviteter, som kunne føre til fælles undersøgelser. Til
tider medførte det at skulle nå frem til en fælles fremgangsmåde, at den laveste
fællesnævner blev valgt, hvilket betød, at mulighederne for at fremme en øget
harmonisering ikke blev udnyttet28
.
Der bør gøres mere for at gøre behandlingen af grænseoverskridende sager mere
effektiv og harmoniseret i hele EU, blandt andet fra et proceduremæssigt synspunkt,
f.eks. i forbindelse med spørgsmål om klagebehandlingsprocedurer, kriterier for
antagelse af klager, sagsbehandlingstiden på grund af forskellige frister eller mangel
på frister i de nationale administrative procedureregler, tidspunkter i
sagsbehandlingen, hvor retten til at blive hørt indrømmes, eller underretning og
inddragelse af klagerne i løbet af sagsbehandlingen. Den refleksionsproces, der i den
forbindelse er sat i gang af Databeskyttelsesrådet, er velkommen, og Kommissionen
deltager i de pågældende drøftelser29
.
Databeskyttelsesrådets aktiviteter og vejledning spiller en vigtig rolle for den videre
udvikling af udvekslingerne mellem Databeskyttelsesrådet og interessenterne30
. Ved
udgangen af 2019 havde Databeskyttelsesrådet vedtaget 67 dokumenter, herunder 10
nye retningslinjer31
og 43 udtalelser32
. Interessenterne er generelt glade for
Databeskyttelsesrådets retningslinjer og ønsker flere om centrale begreber i
persondataforordningen, men påpeger også, at der er uoverensstemmelser mellem den
nationale vejledning og Databeskyttelsesrådets retningslinjer. De understreger
behovet for mere praktisk rådgivning, især flere konkrete eksempler, og behovet for at
give datatilsynsmyndighederne de fornødne menneskelige, tekniske og finansielle
ressourcer til effektivt at kunne udføre deres opgaver.
Kommissionen har hele tiden understreget medlemsstaternes forpligtelse til at afsætte
tilstrækkelige menneskelige, finansielle og tekniske ressourcer til de nationale
datatilsynsmyndigheder33
. De fleste myndigheder fik tildelt yderligere personale og
budget mellem 2016 og 201934
med den forholdsvise største stigning i personalet hos
de irske, nederlandske, islandske, luxembourgske og finske myndigheder. I
betragtning af at de største multinationale teknologivirksomheder er etableret i Irland
og Luxembourg, fungerer datatilsynsmyndighederne i disse lande som ledende
28
F.eks. kunne der være foretaget en større harmonisering af de nationale lister over, hvilke typer
behandlinger der kræver en analyse af konsekvenserne for beskyttelsen af personoplysninger, jf.
persondataforordningens artikel 35.
29
Se punkt 2.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.
30
Især repræsentanter for erhvervslivet og civilsamfundet. Se punkt 2.3 i arbejdsdokumentet fra
Kommissionens tjenestegrene.
31
Ud over de 10 retningslinjer, der blev vedtaget af artikel 29-gruppen forud for forordningens
anvendelse og godkendt af Databeskyttelsesrådet. Databeskyttelsesrådet har også vedtaget yderligere 4
retningslinjer mellem januar og slutningen af maj 2020 og ajourført en af de eksisterende.
32
42 af disse udtalelser blev vedtaget i henhold til persondataforordningens artikel 64, og en blev
vedtaget i henhold til persondataforordningens artikel 70, stk. 1, litra s) og vedrørte beslutningen om
tilstrækkeligt beskyttelsesniveau vedrørende Japan.
33
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Databeskyttelsesregler som en
tillidsskabende katalysator i og uden for EU — status (COM(2019) 374 final af 24.7.2019).
34
Overordnet har der samlet set været en stigning på 42 % i personalet hos og 49 % i budgettet for de
nationale datatilsynsmyndigheder i EØS mellem 2016 og 2019.
7
tilsynsmyndigheder i mange vigtige grænseoverskridende sager og kan have brug for
flere ressourcer end landenes indbyggertal umiddelbart giver indtryk af. Situationen er
dog stadig meget forskellig fra medlemsstat til medlemsstat og endnu ikke generelt
tilfredsstillende. Datatilsynsmyndighederne spiller en vigtig rolle med hensyn til at
sikre, at persondataforordningen håndhæves nationalt, og at samarbejds- og
sammenhængsmekanismerne i Databeskyttelsesrådet fungerer effektivt, især one-
stop-shop mekanismen i grænseoverskridende sager. Medlemsstaterne opfordres
derfor til at sørge for, at de har de nødvendige ressourcer i overensstemmelse med
persondataforordningen35
.
Harmoniserede regler, men stadig en vis fragmentering og forskellige
fremgangsmåder
Kommissionen fører tilsyn med gennemførelsen af persondataforordningen i national
lovgivning. På tidspunktet for denne rapports udarbejdelse havde alle medlemsstater,
med undtagelse af Slovenien, vedtaget ny lovgivning eller tilpasset deres nationale
databeskyttelseslovgivning. Kommissionen har anmodet Slovenien36
om at redegøre
nærmere for afslutningen af denne proces37
.
Persondataforordningen sikrer en sammenhængende tilgang til
databeskyttelsesreglerne i hele EU. Dette forudsætter dog, at medlemsstaterne
lovgiver på visse områder38
, og giver dem mulighed for at specificere
persondataforordningen nærmere på andre områder39
. Der er som følge heraf stadig en
vis fragmentering, som især skyldes den udbredte brug af fakultative specificerende
bestemmelser. F.eks. skaber den forskel, der er mellem medlemsstaterne på, i hvilken
alder et barn kan give samtykke i forbindelse med informationssamfundstjenester,
usikkerhed for børnene og deres forældre med hensyn til, hvordan deres
databeskyttelsesrettigheder på det indre marked gøres gældende. Denne fragmentering
giver også udfordringer med hensyn til virksomhedsudøvelse og innovation på tværs
af grænserne, især for så vidt angår ny teknologisk udvikling og
cybersikkerhedsløsninger. Hvis det indre marked skal fungere effektivt, og
virksomhederne ikke skal pålægges unødige byrder, er det også vigtigt, at national
lovgivning ikke går videre end de grænser, der sættes i persondataforordningen, eller
indfører yderligere krav, hvor der ikke noget råderum.
En særlig vanskelighed i national lovgivning er at forene retten til beskyttelse af
personoplysninger med ytrings- og informationsfriheden og at få skabt den rette
balance mellem disse rettigheder. I nogle landes nationale lovgivning er det princippet
om ytringsfrihed, der har forrang, mens lovgivningen i andre lande giver beskyttelsen
af personoplysninger forrang og kun tillader undtagelser for anvendelsen af
databeskyttelsesreglerne i helt særlige situationer, f.eks. hvis der er tale om en
offentlig person. Endelig sikrer andre medlemsstater, at lovgiveren kan foretage en vis
35
Se punkt 2.4 i arbejdsdokumentet fra Kommissionens tjenestegrene.
36
Senest ved brev fra kommissær Didier Reynders i marts 2020.
37
Det skal bemærkes, at den slovenske nationale tilsynsmyndighed er oprettet på grundlag af den
gældende nationale databeskyttelseslovgivning og fører tilsyn med persondataforordningens
anvendelse i landet.
38
Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene.
39
Se punkt 3.2 i arbejdsdokumentet fra Kommissionens tjenestegrene.
8
afvejning og/eller, at der kan foretages en vurdering i den enkelte sag, for så vidt
angår afvigelser fra visse bestemmelser i persondataforordningen.
Kommissionen vil fortsat vurdere den nationale lovgivning. Afvejningen af hensyn
skal være fastlagt i lovgivningen, respektere de grundlæggende rettigheders
væsentlige indhold, iagttage proportionalitetsprincippet og være nødvendig40
.
Databeskyttelsesregler (samt fortolkningen og anvendelsen heraf) bør ikke påvirke
udøvelsen af ytrings- og informationsfriheden, f.eks. ved at have en afdæmpende
virkning eller lægge pres på journalister til at afsløre deres kilder. Afvejningen af
disse to rettigheder i national lovgivning bør ske under hensyntagen til Domstolens og
Den Europæiske Menneskerettighedsdomstols retspraksis41
.
Tilgangen i medlemsstaternes lovgivning er forskellig med hensyn til gennemførelsen
af undtagelser fra det generelle forbud mod behandling af særlige kategorier af
personoplysninger, for så vidt angår specifikationsgraden og garantier, herunder til
sundheds- og forskningsformål. For at afhjælpe dette er Kommissionen som et første
skridt i gang med at kortlægge medlemsstaternes forskellige tilgange42
, og den vil
dernæst støtte indførelsen af adfærdskodekser, som kan bidrage til en mere
konsekvent tilgang på området og til at lette behandlingen af personoplysninger på
tværs af grænserne43
. Derudover vil Databeskyttelsesrådets kommende retningslinjer
om brugen af personoplysninger inden for forskning bidrage til en harmoniseret
tilgang. Kommissionen vil give Databeskyttelsesrådet input, især i forbindelse med
sundhedsforskning, herunder i form af konkrete spørgsmål og analyser af specifikke
scenarier, som den har modtaget fra forskningsverdenen.
Personer skal have større mulighed for at kontrollere deres oplysninger
Ifølge undersøgelsen om grundlæggende rettigheder44
har 69 % af EU's befolkning
over 16 år hørt om persondataforordningen, og 71 % af borgerne i EU har kendskab
til den nationale datatilsynsmyndighed i deres land.
Personer er i stigende grad klar over deres rettigheder: retten til indsigt i, berigtigelse,
sletning og portabilitet af deres personoplysninger, retten til at gøre indsigelse mod en
behandling samt til øget gennemsigtighed. Persondataforordningen har styrket de
processuelle rettigheder, som omfatter retten til at indgive en klage til en
datatilsynsmyndighed, herunder gennem adgang til indbringelse af sager til
varetagelse af kollektive interesser, og til retslig prøvelse. Disse rettigheder gøres i
stigende grad gældende af personer, men der er behov for at lette udøvelsen og den
fulde håndhævelse af dem. De refleksioner, som ledes af Databeskyttelsesrådet, vil
præcisere og yderligere lette udøvelsen af den enkeltes rettigheder, mens det
foreslåede direktiv om adgang til indbringelse af sager til varetagelse af kollektive
40
Chartres artikel 52, stk. 1.
41
Se punkt 3.1 i arbejdsdokumentet fra Kommissionens tjenestegrene: Reconciliation of the right to the
protection of personal data with freedom of expression and information.
42
Kommissionen har iværksat en undersøgelse om "Assessment of the Member States' rules on health
data in the light of GDPR", Chafea/2018/Health/03, specifik kontrakt nr. 2019 70 01.
43
Se tiltag anført i den europæiske strategi for data, s. 30.
44
Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) (2020): Fundamental
Rights Survey 2019. Data protection and technology:
https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.
9
interesser45
, når det bliver vedtaget, forventes at give personer mulighed for at
indbringe kollektive søgsmål i alle medlemsstater og at mindske omkostningerne ved
grænseoverskridende søgsmål.
Retten til dataportabilitet har et klart endnu ikke fuldt udnyttet potentiale til at sætte
individet i centrum for dataøkonomien ved at gøre det muligt for personer at skifte
mellem forskellige tjenesteudbydere, kombinere forskellige tjenester, anvende andre
innovative tjenester og vælge de tjenester, der beskytter oplysningerne bedst. Dette vil
indirekte fremme konkurrence og innovation. Det er en af Kommissionens prioriteter
at udnytte dette potentiale, især fordi flere og flere data med den stigende brug af
tingenes internet genereres af forbrugere, som risikerer at blive udsat for urimelig
praksis og "fastlåsning". Dataportabilitet kunne generere betydelige fordele i
forbindelse med sundhed og velvære, reduceret miljøaftryk, adgang til offentlige og
private tjenester, øget produktivitet inden for fremstilling og øget produktkvalitet og -
sikkerhed.
I datastrategien understreges nødvendigheden af at tackle problemer såsom
manglende standarder, der gør det muligt at levere data i et maskinlæsbart format, og
at øge den effektive udøvelse af retten til dataportabilitet, som i øjeblikket er
begrænset til nogle få sektorer (f.eks. banksektoren og telekommunikationssektoren).
Dette kunne blandt andet ske ved at udvikle de rette værktøjer og standardiserede
formater og grænseflader46
. En øget udøvelse af denne ret kunne også opnås ved f.eks.
at stille krav om tekniske grænseflader og maskinlæsbare formater, som muliggør
dataportabilitet i realtid. En øget udøvelse af retten til dataportabilitet kunne blandt
andet gøre det lettere for personer at tillade brugen af deres oplysninger i almenvellets
interesse (f.eks. til at fremme forskning i sundhedssektoren), hvis de ønsker det
("dataaltruisme"). Som led i udarbejdelsen af pakken om digitale tjenester47
vil
Kommissionen undersøge, hvilken rolle data og datarelateret praksis spiller i
platformsøkosystemet.
Muligheder og udfordringer for organisationer, især små og mellemstore
virksomheder
Persondataforordningen skaber sammen med forordningen om fri udveksling af andre
data end personoplysninger48
muligheder for virksomhederne ved at fremme
konkurrence og innovation, sikre fri udveksling af data inden for EU og lige
konkurrencevilkår med virksomheder, der er etableret uden for EU49
. Retten til
45
Det foreslåede direktiv om adgang til indbringelse af sager til varetagelse af forbrugernes kollektive
interesser (COM/2018/0184 final - 2018/089 (COD)), forventes, når det bliver vedtaget, at styrke
rammen for kollektive søgsmål inden for databeskyttelse.
46
Disse værktøjer kunne omfatte værktøjer til administration af samtykke og applikationer til
forvaltning af personoplysninger.
47
https://ec.europa.eu/commission/presscorner/detail/da/ip_20_962.
48
Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for
fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af
28.11.2018, s. 59).
49
Se punkt 5 i arbejdsdokumentet fra Kommissionens tjenestegrene. Se også COM(2019) 250 final om
vejledning vedrørende forordningen om en ramme for fri udveksling af andre data end
personoplysninger i Den Europæiske Union, hvori der redegøres for reglerne for behandling af
blandede datasæt, som består af både personoplysninger og andre data end personoplysninger, og som
indeholder praktisk vejledning for virksomheder, herunder SMV'er.
10
dataportabilitet samt et stigende antal personer, der efterspørger løsninger, som i
højere grad sikrer beskyttelse af privatlivets fred, kan bidrage til at mindske
hindringerne for virksomheder og skabe muligheder for vækst baseret på tillid og
innovation. Nogle interessenter har meddelt, at anvendelsen af
persondataforordningen giver udfordringer, især for små og mellemstore
virksomheder (SMV'er). Ifølge en risikobaseret tilgang ville det ikke være
hensigtsmæssigt at give mulighed for undtagelser baseret på operatørernes størrelse,
da deres størrelse ikke i sig selv er en indikator for, hvilke risici deres databehandling
kan medføre for personer. Flere datatilsynsmyndigheder har stillet praktiske værktøjer
til rådighed for at lette gennemførelsen af persondataforordningen i de SMV'er, hvis
behandlingsaktiviteter udgør en lavere risiko. Sådanne bestræbelser bør øges og
udbredes, helst med en fælles europæisk tilgang for ikke at skabe hindringer for det
indre marked.
Datatilsynsmyndigheder har iværksat en række initiativer, der skal gøre det lettere for
SMV'er at efterleve persondataforordningen, f.eks. modeller for
behandlingskontrakter og fortegnelser over behandlingsaktiviteter, seminarer og
hotlines. En række af disse initiativer har fået EU-midler50
. Det bør overvejes at
iværksætte yderligere initiativer for at fremme SMV'ers anvendelse af
persondataforordningen.
Persondataforordningen stiller en værktøjskasse til rådighed for alle typer
virksomheder og organisationer, f.eks. adfærdskodekser, certificeringsmekanismer og
standardkontraktbestemmelser, som kan hjælpe dem til at påvise, at de overholder
kravene. Denne værktøjskasse bør udnyttes fuldt ud. SMV'er understreger især
betydningen og nytten af adfærdskodekser, som er skræddersyet til deres situation, og
som ikke medfører uforholdsmæssigt store omkostninger. Hvad angår
certificeringsordninger, er sikkerhed (herunder cybersikkerhed) og databeskyttelse
gennem design vigtige elementer, som skal tages i betragtning i henhold til
persondataforordningen, og til hvilke der med fordel kunne anlægges en fælles og
ambitiøs tilgang i hele EU. Kommissionen arbejder i øjeblikket på
standardkontraktbestemmelser mellem dataansvarlige og databehandlere51
, idet den
bygger på det igangværende arbejde med at modernisere
standardkontraktbestemmelserne for internationale overførsler52
.
Anvendelsen af persondataforordningen på ny teknologi
Persondataforordningen, der er udtænkt på en teknologineutral måde, er baseret på
principper og er derfor udformet således, at den kan omfatte nye teknologier, i takt
med at de udvikles.
Den anses for et vigtigt og fleksibelt redskab til at sikre, at nyudviklede teknologier er
i overensstemmelse med de grundlæggende rettigheder. Den retlige ramme for
databeskyttelse og beskyttelse af privatlivets fred har vist sin betydning og
50
Kommissionen ydede finansiel støtte i form af tilskud ad tre omgange på i alt 5 mio. EUR, hvor de
seneste to specifikt havde til formål at hjælpe de nationale tilsynsmyndigheder i deres bestræbelser på
at nå ud til personer og mellemstore virksomheder: https://ec.europa.eu/info/law/law-topic/data-
protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en. Der vil blive
tildelt yderligere 1 mio. EUR i 2020.
51
jf. persondataforordningens artikel 28.
52
jf. persondataforordningens artikel 46.
11
fleksibilitet under covid-19-krisen, navnlig i forbindelse med udformningen af
opsporingsapps og andre teknologiske løsninger til bekæmpelse af pandemien. De
fremtidige udfordringer vil være at tydeliggøre, hvordan de velafprøvede principper
skal anvendes på specifikke teknologier såsom kunstig intelligens, blockchain,
tingenes internet og ansigtsgenkendelse, som kræver løbende overvågning. F.eks.
iværksatte Kommissionens hvidbog om kunstig intelligens53
en offentlig debat om,
hvorvidt der eventuelt er særlige omstændigheder, der kan berettige anvendelsen af
kunstig intelligens med henblik på biometrisk fjernidentifikation (f.eks.
ansigtsgenkendelse) på offentlige steder, og om fælles garantier. I den forbindelse bør
datatilsynsmyndighederne være parate til på et tidligt tidspunkt at følge processerne i
forbindelse med den tekniske udformning.
Derudover udgør en stringent og effektiv håndhævelse af persondataforordningen
over for store digitale platforme og integrerede virksomheder, herunder på områder
som onlinereklame og mikromålretning, et væsentligt element i beskyttelsen af
enkeltpersoner.
Udvikling af en moderne international værktøjskasse for overførsel af oplysninger
Persondataforordningen udgør en moderniseret værktøjskasse til at lette overførslen af
personoplysninger fra EU til et tredjeland eller en international organisation, samtidig
med at det sikres, at oplysningerne fortsat er omfattet af et højt beskyttelsesniveau. De
seneste to år har Kommissionen optrappet sin indsats for at udnytte det fulde
potentiale af de værktøjer, persondataforordningen giver.
Dette har omfattet et aktivt samarbejde med vigtige partnere med henblik på at nå
frem til en "beslutning om et tilstrækkeligt beskyttelsesniveau". Virkningen af en
sådan beslutning er at sikre en sikker og fri overførsel af personoplysninger til det
pågældende tredjeland, uden at dataeksportøren skal stille yderligere garantier eller
opnå godkendelse. Navnlig de gensidige beslutninger mellem EU og Japan om et
tilstrækkeligt beskyttelsesniveau, som trådte i kraft i februar 2019, skabte verdens
største område med frie og sikre overførsler af oplysninger. Derudover er processen
med henblik på at nå frem til denne type beslutning med Republikken Korea nået
meget langt, og der pågår sonderende drøftelser med andre vigtige partnere i Asien og
Latinamerika.
Et tilstrækkeligt beskyttelsesniveau spiller også en vigtig rolle i forbindelse med de
fremtidige forbindelser med Det Forenede Kongerige, forudsat at de gældende
betingelser er opfyldt. Det udgør en fremmende faktor for handel, herunder digital
handel, og en vigtig forudsætning for et tæt og ambitiøst samarbejde på området
retshåndhævelse og sikkerhed. Derudover indgår en høj grad af konvergens i
forbindelse med databeskyttelse som et vigtigt element for at sikre lige
konkurrencevilkår mellem to så tæt integrerede økonomier. I overensstemmelse med
den politiske erklæring om de fremtidige forbindelser mellem Den Europæiske Union
og Det Forenede Kongerige er Kommissionen i øjeblikket ved at gennemføre en
53
Hvidbog om kunstig intelligens — En europæisk tilgang til ekspertise og tillid (COM(2020) 65
final).
12
tilstrækkelighedsvurdering inden for rammerne af både persondataforordningen og
direktivet om databeskyttelse på retshåndhævelsesområdet54
.
Som led i den første evaluering af persondataforordningen er det også nødvendigt, at
Kommissionen gennemgår de beslutninger om et tilstrækkeligt beskyttelsesniveau,
som blev vedtaget i henhold til de tidligere regler55
. Kommissionens tjenestegrene har
indledt en intens dialog med hver af de 11 berørte tredjelande og territorier56
for at
vurdere, hvordan deres databeskyttelsessystemer har udviklet sig siden vedtagelsen af
beslutningen om et tilstrækkeligt beskyttelsesniveau, og hvorvidt de opfylder
standarden i persondataforordningen. Behovet for at sikre kontinuiteten i forbindelse
med sådanne beslutninger som et vigtigt værktøj for handel og internationalt
samarbejde er en af de faktorer, der har fået flere af disse lande og territorier til at
modernisere og styrke deres lovgivning om privatlivets fred. Der pågår i øjeblikket
drøftelser om yderligere garantier med nogle af disse lande og territorier for at tage
højde for relevante forskelle i beskyttelsen. Da Domstolen i en dom, den skal afsige
den 16. juli, kan tilvejebringe præciseringer, der kan være relevante for visse
elementer af tilstrækkelighedsstandarden, vil Kommissionen særskilt aflægge rapport
om evalueringen af de eksisterende beslutninger om et tilstrækkeligt
beskyttelsesniveau, efter at Domstolen har afsagt dom i den pågældende sag57
.
Ud over indsatsen for at sikre et tilstrækkeligt beskyttelsesniveau arbejder
Kommissionen på en omfattende modernisering af standardkontraktbestemmelserne
for at ajourføre dem i lyset af de nye krav i persondataforordningen. Målet er, at de i
højere grad skal afspejle virkeligheden i forbindelse med databehandlingsaktiviteter i
den moderne digitale økonomi, og at overveje, om der bl.a. i lyset af Domstolens
kommende praksis58
eventuelt er behov for at tydeliggøre visse garantier yderligere.
Disse bestemmelser udgør langt den mest udbredte mekanisme for overførsel af
oplysninger, som tusindvis af virksomheder i EU er afhængige af for at kunne levere
en lang række tjenester til deres kunder, leverandører, partnere og ansatte.
Databeskyttelsesrådet har også spillet en aktiv rolle ved udviklingen af de
internationale aspekter af persondataforordningen. Dette omfatter ajourføring af
vejledningen om eksisterende overførselsmekanismer såsom bindende
virksomhedsregler og såkaldte "undtagelser" samt udvikling af den retlige
infrastruktur med henblik på brugen for de nye redskaber, der blev indført ved
persondataforordningen, dvs. adfærdskodekser og certificering.
54
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på
at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
55
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger (EFT L 281 af 23. november 1995, s. 31).
56
Disse lande og territorier er: Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel,
Jersey, New Zealand, Schweiz og Uruguay.
57
Se sag C-311/18, Data Protection Commissioner mod Facebook Ireland Limited, Maximillian
Schrems ("Schrems II), der vedrører en henvisning til en præjudiciel afgørelse vedrørende de såkaldte
standardkontraktbestemmelser. Domstolen kan dog også tydeliggøre bestemte elementer af
tilstrækkelighedsstandarden yderligere.
58
Se sag Schrems II.
13
For at gøre det muligt for interessenter fuldt ud at udnytte overførselsværktøjerne i
persondataforordningen er det vigtigt, at Databeskyttelsesrådet intensiverer sit
igangværende arbejde med de forskellige overførselsmekanismer, bl.a. ved yderligere
at strømline godkendelsesprocessen for bindende virksomhedsregler, færdiggøre
vejledningen om adfærdskodekser og certificering som overførselsværktøjer og
tydeliggøre samspillet mellem reglerne om internationale overførsler af oplysninger
(kapitel V) med persondataforordningens territoriale anvendelsesområde (artikel 3).
Et andet vigtigt aspekt af den internationale dimension af EU's databeskyttelsesregler
er persondataforordningens udvidede territoriale anvendelsesområde, som også
omfatter databehandlingsaktiviteterne hos udenlandske operatører, der er aktive på
EU-markedet. For at sikre en effektiv overholdelse af persondataforordningen og
sikre lige konkurrencevilkår er det vigtigt, at denne udvidelse afspejles på passende
vis i databeskyttelsesmyndighedernes håndhævelsesforanstaltninger. De bør navnlig
om nødvendigt inddrage den dataansvarliges eller databehandlerens repræsentant i
EU, som der kan rettes henvendelse til som supplement til eller i stedet for en
virksomhed, der er etableret uden for EU. Denne tilgang bør følges mere aktivt for at
sende et klart budskab om, at det forhold, at en virksomhed ikke er etableret i EU,
ikke fritager udenlandske operatører for deres ansvar i henhold til
persondataforordningen.
Fremme af konvergens og internationalt samarbejde på databeskyttelsesområdet
Persondataforordningen er allerede blevet et centralt referencepunkt på internationalt
plan og har fået mange lande i hele verden til at overveje at indføre moderne regler for
beskyttelse af privatlivets fred. Denne tendens i retning af global konvergens udgør en
meget positiv udvikling, som giver nye muligheder for bedre beskyttelse af
enkeltpersoner i EU, når deres oplysninger overføres til udlandet, samtidig med at
udvekslingen af oplysninger lettes.
På grundlag af denne tendens har Kommissionen intensiveret sin dialog i en række
bilaterale, regionale og multilaterale fora for at fremme en global kultur med respekt
for privatlivets fred og udvikle en række elementer, der skal sikre konvergens mellem
forskellige private systemer til beskyttelse af privatlivets fred. Kommissionen har i sin
indsats støttet sig til og vil fortsat regne med aktiv støtte fra EU-Udenrigstjenesten og
nettet af EU-delegationer i tredjelande og missioner ved internationale organisationer.
Dette har også gjort det muligt at skabe større sammenhæng og komplementaritet
mellem de forskellige aspekter af den eksterne dimension af EU's politikker — fra
handel til det nye partnerskab mellem EU og Afrika. På møder i G20 og G7 har man
også for nylig anerkendt betydningen af databeskyttelse for at skabe tillid til den
digitale økonomi og udvekslingen af oplysninger, navnlig gennem begrebet "Data
Free Flow with Trust", som oprindeligt blev foreslået af det japanske G20-
formandskab59
. I datastrategien fremhæves det, at Kommissionen har til hensigt at
fortsætte med at fremme datadelingen med betroede partnere, samtidig med at den
fortsat bekæmper misbrug såsom (udenlandske) offentlige myndigheders
uforholdsmæssigt omfattende adgang til personoplysninger.
59
Se f.eks. teksten til erklæringen fra lederne på G20-topmødet i Osaka:
https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf
14
Samtidig med at Kommissionen arbejder på at fremme konvergensen i
databeskyttelsesstandarder på internationalt plan som et middel til at lette
udvekslingen af oplysninger og dermed handelen, er den også fast besluttet på at
bekæmpe digital protektionisme, således som det for nylig blev fremhævet i
datastrategien60
. Med henblik herpå har den udviklet specifikke bestemmelser om
udveksling af oplysninger og databeskyttelse i handelsaftaler61
, som den systematisk
fremlægger i sine bilaterale forhandlinger — senest med Australien, New Zealand og
Det Forenede Kongerige — og multilaterale forhandlinger såsom de nuværende
WTO-drøftelser om e-handel62
. Disse generelle bestemmelser udelukker ubegrundede
foranstaltninger såsom tvungne datalokaliseringskrav og sikrer samtidig parternes
reguleringsmæssige autonomi til at beskytte den grundlæggende ret til
databeskyttelse.
Synergier mellem handels- og databeskyttelsesinstrumenter bør derfor undersøges
nærmere for at sikre frie og sikre internationale overførsler af oplysninger, som er
vigtige for europæiske virksomheders, herunder SMV'ers, forretningsaktiviteter,
konkurrenceevne og vækst i den stadig mere digitaliserede økonomi.
På samme måde er det vigtigt at sikre, at når virksomheder, der er aktive på det
europæiske marked, på grundlag en legitim anmodning opfordres til at dele
oplysninger med henblik på retshåndhævelse, kan de gøre dette uden at opleve
lovkonflikter og under fuld overholdelse af EU's grundlæggende rettigheder. For at
forbedre sådanne overførsler er Kommissionen fast besluttet på at udvikle passende
retlige rammer sammen med sine internationale partnere for at undgå lovkonflikter og
støtte effektive samarbejdsformer, navnlig ved at sikre de nødvendige
databeskyttelsesgarantier, og derved bidrage til en mere effektiv bekæmpelse af
kriminalitet.
På et tidspunkt, hvor problemer med overholdelsen af privatlivets fred eller
datasikkerhedshændelser kan påvirke et stort antal personer samtidigt i forskellige
jurisdiktioner, bør det praktiske samarbejde mellem europæiske og internationale
tilsynsmyndigheder styrkes yderligere. Dette kræver navnlig, at der udarbejdes
hensigtsmæssige retsforskrifter med henblik på tættere samarbejde og gensidig
bistand, bl.a. ved at tillade de nødvendige udvekslinger af oplysninger i forbindelse
med undersøgelser. Det er også i denne ånd, at Kommissionen opretter et
"databeskyttelsesakademi", en platform, hvor EU og udenlandske
datatilsynsmyndigheder skal dele viden, erfaringer og bedste praksis for at lette og
støtte samarbejdet mellem myndigheder med ansvar for håndhævelse af beskyttelsen
af privatlivets fred.
60
Datastrategien, s. 23.
61
Se teksten til de generelle bestemmelser om grænseoverskridende udveksling af oplysninger og
beskyttelse af personoplysninger (i EU's handels- og investeringsaftaler):
https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf
62
84 WTO-medlemmer deltager nu i plurilaterale forhandlinger om e-handel i forlængelse af et forslag
til en fælles erklæring, som ministrene vedtog den 25.1.2019 i Davos. Som en del af denne proces
fremsatte EU den 3.1.2019 et forslag til fremtidige regler og forpligtelser vedrørende e-handel.
Forslaget indeholder generelle bestemmelser om udveksling af oplysninger og beskyttelse af
personoplysninger: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf.
15
3 VEJEN FREMAD
For at udnytte persondataforordningens fulde potentiale er det vigtigt at skabe en
harmoniseret tilgang og en fælles europæisk databeskyttelseskultur og fremme en
mere effektiv og harmoniseret håndtering af grænseoverskridende sager. Det er det,
borgere og virksomheder forventer, og det udgør et væsentligt mål for reformen af
EU's databeskyttelsesregler. Det er lige så vigtigt at sikre, at alle de værktøjer,
persondataforordningen giver, fuldt ud anvendes til at sikre en effektiv anvendelse af
reglerne til gavn for enkeltpersoner og virksomheder.
Kommissionen vil fortsætte sine bilaterale udvekslinger med medlemsstaterne om
gennemførelsen af persondataforordningen og vil om nødvendigt fortsætte med at
anvende alle de redskaber, den råder over, til at fremme medlemsstaternes
overholdelse af deres forpligtelser i henhold til persondataforordningen.
I lyset af den igangværende vurdering af national lovgivning, det korte tidsrum, hvori
der siden persondataforordningens ikrafttrædelse er gjort praktiske erfaringer, og det
forhold, at mange medlemsstater er i gang med at revidere deres sektorspecifikke
lovgivning, er det endnu for tidligt at drage endelige konklusioner om omfanget af
den nuværende fragmentering. Med hensyn til en eventuel lovkonflikt som følge af
medlemsstaternes gennemførelse af specificerende bestemmelser er det nødvendigt
først at få en bedre forståelse af konsekvenserne for dataansvarlige og
databehandlere63
.
Ved opfølgningen på disse spørgsmål er de nationale domstoles og Domstolens
praksis med til at skabe en ensartet fortolkning af databeskyttelsesreglerne. De
nationale domstole har for nylig afsagt domme, der ugyldiggør bestemmelser i
nationale love, som afviger fra persondataforordningen64
.
Med hensyn til den internationale dimension vil Kommissionen fortsat fokusere på at
fremme konvergensen af databeskyttelsesbestemmelserne som en måde til at skabe
sikre overførsler af oplysninger. Dette omfatter forskellige former for forudgående
arbejde f.eks. i forbindelse med igangværende reformer med henblik på nye eller
ajourførte databeskyttelseslove eller for at fremme begrebet "Data Free Flow with
Trust" i multilaterale fora. Det omfatter også forskellige dialoger om et tilstrækkeligt
beskyttelsesniveau og modernisering og udvidelse af vores overførselsværktøjskasse
ved at ajourføre standardkontraktbestemmelserne og skabe grundlaget for
certificeringsmekanismer. Dette arbejde omfatter også internationale forhandlinger
som f.eks. inden for grænseoverskridende adgang til elektronisk bevismateriale for at
sikre, at når der finder overførsler af oplysninger sted, er de omfattet af passende
databeskyttelsesgarantier. Endelig vil Kommissionen ved at indlede forhandlinger om
internationalt samarbejde og gensidig bistand mellem databeskyttelsesmyndighederne
bestræbe sig på at skabe konvergens ikke bare i teorien, men også i praksis.
På grundlag af denne evaluering af anvendelsen af persondataforordningen siden maj
2018 er det konstateret, at de nedenfor anførte foranstaltninger er nødvendige til støtte
for dens anvendelse. Kommissionen vil også overvåge gennemførelsen heraf med
henblik på den kommende evalueringsrapport i 2024.
63
Jf. Rådets holdning og konklusioner vedrørende anvendelsen af persondataforordningen.
64
Det har været tilfældet i Tyskland og Spanien eller i Østrig, hvor der blev lukket et hul i den
nationale lovgivning.
16
Gennemførelse og supplering af den retlige ramme
Medlemsstaterne bør
- afslutte tilpasningen af deres sektorspecifikke lovgivning til
persondataforordningen
- overveje at begrænse anvendelsen af specificerende bestemmelser, som kan
skabe fragmentering og bringe den frie udveksling af oplysninger internt i EU
i fare
- vurdere, om den nationale lovgivning til gennemførelse af
persondataforordningen i alle tilfælde ligger inden for de marginer, der er
fastsat for medlemsstaternes lovgivning.
Kommissionen vil
- fortsætte de bilaterale udvekslinger med medlemsstaterne om deres nationale
lovgivnings overholdelse af persondataforordningen, herunder om de nationale
databeskyttelsesmyndigheders uafhængighed og ressourcer; gøre brug af alle
de redskaber, den råder over, herunder traktatbrudssager, for at sikre, at
medlemsstaterne overholder persondataforordningen
- støtte yderligere udvekslinger af synspunkter og national praksis mellem
medlemsstaterne om emner, der er genstand for yderligere specificering på
nationalt plan med henblik på at mindske fragmenteringen af det indre marked
såsom behandlingen af personoplysninger vedrørende sundhed og forskning,
eller som er genstand for en opvejning af hensynet til andre rettigheder såsom
ytringsfrihed
- støtte en konsekvent anvendelse af databeskyttelsesrammen i forbindelse med
nye teknologier til støtte for innovation og teknologisk udvikling
- anvende medlemsstaternes ekspertgruppe vedrørende persondataforordningen
(oprettet i overgangsperioden, inden persondataforordningen trådte i kraft) for
at lette drøftelserne og udvekslingen af erfaringer mellem medlemsstaterne og
med Kommissionen
- undersøge, om det i lyset af de yderligere erfaringer og den relevante
retspraksis vil være hensigtsmæssigt at foreslå eventuelle fremtidige
målrettede ændringer af visse bestemmelser i persondataforordningen, navnlig
for så vidt angår registreringer af databehandling i SMV'er, hvis hovedaktivitet
ikke er behandling af personoplysninger (lav risiko)65
, og en mulig
harmonisering af, hvor gamle børn skal være for at kunne give deres samtykke
i forbindelse med informationssamfundstjenester.
65
Persondataforordningens artikel 30, stk. 5.
17
Et nyt forvaltningssystem, der udnytter sit potentiale fuldt ud
Databeskyttelsesrådet og datatilsynsmyndighederne opfordres til at
- udvikle effektive ordninger mellem datatilsynsmyndighederne vedrørende den
måde, hvorpå samarbejds- og sammenhængsmekanismerne fungerer, herunder
vedrørende proceduremæssige aspekter, på grundlag af dets medlemmers
ekspertise og ved at styrke inddragelsen af dets sekretariat
- støtte en harmonisering af anvendelsen og håndhævelsen af
persondataforordningen ved brug af alle de midler, det råder over, herunder
ved yderligere at tydeliggøre nøglebegreber i persondataforordningen og sikre,
at de nationale retningslinjer er i fuld overensstemmelse med de retningslinjer,
Databeskyttelsesrådet har vedtaget
- fremme brugen af alle de redskaber, persondataforordningen giver, for at sikre,
at den anvendes konsekvent
- optrappe samarbejdet mellem databeskyttelsesmyndighederne, f.eks. ved at
gennemføre fælles undersøgelser.
Kommissionen vil:
- fortsætte med nøje af overvåge, at de nationale databeskyttelsesmyndigheder
reelt er fuldt uafhængige
- fremme samarbejdet mellem tilsynsmyndighederne (navnlig på områder som
konkurrence, elektronisk kommunikation, netværks og informationssystemers
sikkerhed og forbrugerpolitik)
- støtte overvejelserne i Databeskyttelsesrådet om de procedurer, de nationale
datatilsynsmyndigheder anvender, med henblik på at forbedre samarbejdet om
grænseoverskridende sager.
Medlemsstaterne skal:
- afsætte tilstrækkelige ressourcer til datatilsynsmyndighederne til, at de kan
udføre deres opgaver.
Støtte til interessenter
Databeskyttelsesrådet og databeskyttelsesmyndighederne opfordres til at
- at vedtage yderligere retningslinjer, som er praktiske og letforståelige, og som
giver klare svar og ikke indeholder uklarheder om spørgsmål i forbindelse med
anvendelsen af persondataforordningen, f.eks. om behandling af børns data og
registreredes rettigheder, herunder udøvelse af retten til indsigt og retten til
sletning, og høring af interessenter i processen
- revidere retningslinjerne, når der er behov for yderligere tydeliggørelse i lyset
af erfaringer og udviklingen, herunder Domstolens praksis
- udvikle praktiske redskaber såsom harmoniserede formularer til brug i
forbindelse med brud på datasikkerheden og forenklede registre over
databehandlingsaktiviteter med henblik på at bistå SMV'er, der ikke udgør en
risiko, med at opfylde deres forpligtelser.
Kommissionen vil
18
- forelægge standardkontraktbestemmelser med henblik på både internationale
overførsler og forholdet mellem den dataansvarlige/databehandleren
- tilvejebringe redskaber, der tydeliggør/støtter anvendelsen af
databeskyttelsesreglerne på børn66
- i overensstemmelse med datastrategien undersøge de praktiske metoder til at
fremme brugen af enkeltpersoners ret til dataportabilitet, f.eks. ved at give
dem mere kontrol over, hvem der kan få adgang til og anvende
maskingenererede oplysninger
- støtte standardisering/certificering, navnlig i forbindelse med cybersikkerhed,
gennem samarbejde mellem Den Europæiske Unions Agentur for
Cybersikkerhed (ENISA), datatilsynsmyndighederne og Databeskyttelsesrådet
- gøre brug af sin ret til at anmode Databeskyttelsesrådet om at udarbejde
retningslinjer og udtalelser om specifikke spørgsmål af betydning for
interessenter, når det er hensigtsmæssigt
- om nødvendigt forelægge retningslinjer, samtidig med at den fuldt ud
respekterer den rolle, Databeskyttelsesrådet spiller
- støtte datatilsynsmyndighedernes aktiviteter, som letter SMV'ers opfyldelse af
forpligtelserne i henhold til persondataforordningen, gennem finansiel støtte,
navnlig til praktisk vejledning og digitale værktøjer, der kan kopieres i andre
medlemsstater.
Fremme af innovation
Kommissionen vil
- overvåge anvendelsen af persondataforordningen på ny teknologi, idet den
også tager hensyn til eventuelle fremtidige initiativer inden for kunstig
intelligens og inden for rammerne af datastrategien
- fremme udarbejdelsen af EU-adfærdskodekser inden for sundhed og
forskning, bl.a. gennem finansiel støtte
- nøje følge udviklingen og brugen af apps i forbindelse med covid-19-
pandemien.
Databeskyttelsesrådet opfordres til at
- udstede retningslinjer for anvendelsen af persondataforordningen inden for
videnskabelig forskning, kunstig intelligens, blockchain og eventuel anden
teknologisk udvikling
- revidere retningslinjerne for, hvornår der er behov for yderligere
tydeliggørelse i lyset af den teknologiske udvikling.
66
Kommissionens projekt vedrørende aldersbestemmelsesværktøjer — pilotprojekt med henblik på at
demonstrere en interoperabel teknisk infrastruktur for beskyttelse af børn, herunder alderskontrol og
forældresamtykke. Dette forventes at støtte gennemførelsen af børnebeskyttelsesmekanismer på
grundlag af eksisterende EU-lovgivning vedrørende beskyttelse af børn på internettet.
19
Videreudvikling af værktøjskassen til brug ved overførsler af oplysninger
Kommissionen vil
- fortsætte dialogerne om et tilstrækkeligt beskyttelsesniveau med interesserede
tredjelande i overensstemmelse strategien i dens meddelelse fra 2017 om
udveksling og beskyttelse af personoplysninger i en globaliseret verden, bl.a.
ved om muligt at medtage overførsler af oplysninger til
strafferetshåndhævende myndigheder (inden for rammerne af direktivet om
databeskyttelse på retshåndhævelsesområdet) og andre offentlige
myndigheder; dette omfatter afslutning af processen med at sikre et
tilstrækkeligt databeskyttelsesniveau med Republikken Korea så hurtigt som
muligt
- afslutte den igangværende evaluering af de eksisterende beslutninger om et
tilstrækkeligt beskyttelsesniveau og rapportere til Europa-Parlamentet og
Rådet
- afslutte arbejdet med moderniseringen af standardkontraktbestemmelserne
med henblik på at ajourføre dem i lyset af persondataforordningen, idet der
tages hensyn til alle relevante overførselsscenarier, og ajourføringen i højere
grad afspejler moderne forretningspraksis.
Databeskyttelsesrådet opfordres til
- yderligere at tydeliggøre samspillet mellem reglerne om internationale
overførsler af oplysninger (kapitel V) med persondataforordningens territoriale
anvendelsesområde (artikel 3)
- sikre en effektiv håndhævelse over for operatører, der er etableret i
tredjelande, som er omfattet af persondataforordningens territoriale
anvendelsesområde, bl.a. med hensyn til udpegelse af en repræsentant, når det
er relevant (artikel 27)
- strømline vurderingen og den eventuelle godkendelse af bindende
virksomhedsregler med henblik på at fremskynde processen
- afslutte arbejdet med arkitekturen, procedurerne og vurderingskriterierne for
adfærdskodekser og certificeringsordninger som redskaber til overførsel af
oplysninger.
Fremme af konvergens og udvikling af internationalt samarbejde
Kommissionen vil
- støtte igangværende reformprocesser i tredjelande om nye eller moderniserede
databeskyttelsesregler ved udveksling af erfaringer og bedste praksis
- samarbejde med afrikanske partnere om fremme af lovgivningsmæssig
konvergens og støtte til kapacitetsopbygning hos tilsynsmyndigheder som en
del af det digitale kapitel i det nye partnerskab mellem EU og Afrika
- vurdere, hvordan samarbejdet mellem private operatører og retshåndhævende
myndigheder kan lettes, bl.a. ved at forhandle om bilaterale og multilaterale
rammer for overførsel af oplysninger i forbindelse med udenlandske
20
strafferetshåndhævende myndigheders adgang til elektronisk bevismateriale,
for at undgå lovkonflikter og sikre passende databeskyttelsesgarantier
- samarbejde med internationale og regionale organisationer såsom OECD,
ASEAN og G20 om at fremme troværdige udvekslinger af oplysninger baseret
på høje databeskyttelsesgarantier, herunder i forbindelse med initiativet "Data
Free Flow with Trust"
- oprette et "databeskyttelsesakademi" for at lette og støtte udvekslinger mellem
europæiske og internationale tilsynsmyndigheder
- fremme internationalt håndhævelsessamarbejde mellem tilsynsmyndigheder,
bl.a. gennem forhandling af samarbejdsaftaler og aftaler om gensidig bistand.