Sameiginlegt álit EDPB og EDPS um nýja gagnalöggjöf ESB
Þann 5. maí síðastliðinn gáfu Evrópska persónuverndarstofnunin (EDPS) og Evrópska persónuverndarráðið (EDPB) út sameiginlegt álit sitt á drögum að nýrri gagnalöggjöf ESB (e. The Data Act). Persónuvernd á Íslandi á sæti í Evrópska persónuverndarráðinu.
Gagnalöggjöfinni er ætlað að sameina reglur um aðgang og notkun upplýsinga og gagna á Evrópska efnahagssvæðinu.
Bæði EDPS og EDPB fagna þeirri viðleitni framkvæmdastjórnarinnar að tryggja að gagnalöggjöfin hafi ekki áhrif á persónuverndarlöggjöfina. Hins vegar leggja EDPS og EDPB áherslu á að löggjafarvald ESB tryggi að réttindi einstaklinga séu sannarlega vernduð, þar sem fyrirhuguð gagnalöggjöf sé einnig ætlað að taka til mjög viðkvæmra persónuupplýsinga. Aðgangurinn, notkun og deiling persónuupplýsinga af hálfu annarra en einstaklinganna sjálfra ættu að vera í fullu samræmi við allar meginreglur og ákvæði persónuverndarlaga. Þar að auki ættu vörur að vera hannaðar þannig að einstaklingum sé boðið upp á þann möguleika að nota tæki nafnlaust eða á þann hátt að það hafi sem minnst áhrif á einkalíf fólks.
Gagnalöggjöfin miðar að því að samræma reglur um aðgang og notkun þeirra sem verða til úr fjölmörgum vörum og þjónustu, þar á meðal frá nettengdum tækjum (Interneti allra hluta, e. Internet of Things), lækninga- eða heilsutengdum tækjum ásamt sýndaraðstoðarforritum (e. virtual assistants). Löggjöfin miðar einnig að því að efla flutningsrétt einstaklinga skv. 20. gr. almennu persónuverndarreglugerðarinnar.
Í álitinu leggja EDPS og EDPB til að settar séu takmarkanir eða hömlur á notkun gagna sem verða til við notkun á vöru eða þjónustu af öðrum aðila en einstaklingunum, sérstaklega þegar gögnin eru líkleg til að geta leitt til þess að dregnar eru nákvæmar ályktanir varðandi einkalíf einstaklinga, eða þegar gögnin gætu falið í sér mikla áhættu fyrir réttindi og frelsi einstaklinga. EDPS og EDPB leggja til að skýrum takmörkunum verði bætt við löggjöfina um notkun viðeigandi gagna í þeim tilgangi að nota við beina markaðssetningu eða í auglýsingum, við; eftirlit með starfsfólki, við útreikning tryggingariðgjalda og við útreikning á lánshæfnismati. Einnig ætti að bæta við takmörkunum á notkun gagna til að vernda viðkvæma hópa einstaklinga, sérstaklega ólögráða einstaklinga.
Bæði EDPS og EDPB lýsa yfir miklum áhyggjum sínum af lögmæti, nauðsyn og meðalhófi í tengslum við þá tillögu í löggjöfinni sem felur í sér skyldu til að gera gögn aðgengileg opinberum stofnunum í aðildarríkjum ESB sem og stofnunum innan ESB þegar fyrir hendi er „sérstök þörf“. Í álitinu er því lögð áhersla á hverskonar takmörkun á rétti til verndar persónuupplýsingum þurfi að byggja á lögum sem séu nægilega aðgengileg og fyrirsjáanleg. Lagagrundvöllurinn verður einnig að skilgreina umfang -og hvenær heimilt sé að beita umræddri heimild af hálfu lögbærra yfirvalda. Þá þurfi að vera til staðar verndar-ráðstafanir sem hlífi einstaklingum gegn geðþóttaákvörðunum stjórnvalda.
Hvað varðar eftirlit með gagnalöggjöfinni, fagna EDPS og EDPB því að persónuverndarstofnanir séu tilnefndar -sem lögbær yfirvöld til að fylgjast með beitingu gagnaverndarlöggjafarinnar að því marki sem þau varða vernd persónuupplýsinga en óska eftir að löggjafinn tilnefni persónuverndarstofnanir sem samhæfingaraðila hvað varðar eftirlit með gagnalöggjöfinni.