12. fundur Evrópska persónuverndarráðsins í Brussel 9. og 10. júlí 2019
Dagana 9. og 10. júlí 2019 fór fram 12. fundur Evrópska persónuverndarráðsins (EDPB) en hann sitja fulltrúar allra persónuverndarstofnana innan EES og Evrópska persónuverndarstofnunin (EDPS).
Á fundinum voru að venju fjölmörg atriði til umræðu en þau helstu voru:
Leiðbeiningar um vinnslu persónuupplýsinga í tengslum við
myndbandseftirlit (e. Guidelines on Video Surveillance)
EDPB samþykkti leiðbeiningar um vinnslu
persónuupplýsinga í tengslum við myndbandseftirlit, sem er ætlað að skýra
hvernig persónuverndarreglugerðin tekur á vinnslu persónuupplýsinga þegar
notast er við myndbandstækni. Leiðbeiningunum er jafnframt ætlað að tryggja
samræmda túlkun og beitingu reglugerðarinnar hvað þetta varðar. Þær taka bæði
til hefðbundinnar myndbandsupptökutækni og snjalltækni. Hvað seinna atriðið
varðar fjalla leiðbeiningarnar einkum um lögmæti vinnslunnar, hvenær
undantekning vegna einkaafnota á við og miðlun upptakna til þriðju aðila.
Leiðbeiningarnar eru nú í samráðsferli til 9. september 2019 en hægt er að
senda athugasemdir á netfangið edpb@edpb.europa.eu
Sameiginlegt svar EDPB og EDPS til LIBE-nefndarinnar varðandi
afleiðingar skýjalöggjafar Bandaríkjanna (US Cloud Act)
EDPB samþykkti sameiginlegt svar til LIBE-þingnefndarinnar á Evrópuþinginu
en nefndin óskaði eftir lagalegu mati ráðsins á afleiðingum skýjalöggjafar
Bandaríkjanna á hið evrópska lagaumhverfi persónuverndar. Skýjalöggjöfin
heimilar löggæsluyfirvöldum í Bandaríkjunum að krefjast afhendingar á gögnum
þjónustuaðila sem staðsettir eru innan Bandaríkjanna, óháð því hvar gögnin eru
vistuð. Bæði EDPB og EDPS leggja áherslu á að heppilegast væri að gerður yrði
ítarlegur samningur milli ESB og Bandaríkjanna um aðgang að rafrænum
sönnunargögnum, sem innihaldi strangar verndarráðstafanir hvað varðar bæði
málsmeðferðina og efnismeðferð þannig að grundvallarréttindi einstaklinga séu
tryggð. Slíkur samningur myndi tryggja nauðsynlega vernd fyrir hina skráðu og
auka lagalega vissu fyrirtækja.
Álit á stöðluðum samningsskilmálum fyrir vinnsluaðila innan Danmerkur
skv. 8. mgr. 28. gr. persónuverndarreglugerðarinnar
EDPB samþykkti álit sitt á drögum að stöðluðum samningsskilmálum sem er
ætlað að kortleggja vinnslu vinnsluaðila en drögin voru lögð fram af hálfu
dönsku persónuverndarstofnunarinnar. Álitinu, sem er hið fyrsta sinnar tegundar
hjá ráðinu, er ætlað að tryggja samræmda beitingu 28. gr. reglugerðarinnar hvað
varðar vinnsluaðila. Í álitinu leggur ráðið fram þónokkrar tillögur sem danska
stofnunin þarf að taka mið af til þess að hægt verði að líta á drögin sem
staðlaða samningsskilmála. Ef allar tillögurnar eru samþykktar verður dönsku
stofnuninni heimilt að nota drögin í samræmi við 8. mgr. 28. gr.
persónuverndarreglugerðarinnar.
Álit á mælikvörðum fyrir vottun eftirlitsaðila með hátternisreglum innan
Austurríkis
EDPB samþykkti álit sitt í kjölfar þess að
austurríska persónuverndarstofnunin lagði fram drög að ákvörðun um mælikvarða
fyrir vottun eftirlitsaðila með hátternisreglum. Ráðið var sammála um að skylt væri
að hafa vottaða eftirlitsaðila með öllum hátternisreglum sem vörðuðu
einkaaðila, í samræmi við persónuverndarreglugerðina.
Álit á valdbærni eftirlitsyfirvalds þegar breyting verður á höfuðstöðvum
fyrirtækis
EDPB samþykkti álit varðandi valdbærni
eftirlitsyfirvalda þegar breytingar verða á því hvar höfuðstöðvar fyrirtækis
eru. Þetta getur átt sér stað þegar höfuðstöðvar eru færðar innan EES,
höfuðstöðvar eru færðar til EES frá þriðja landi eða þegar höfuðstöðvar eru
færðar út fyrir EES. Við slíkar kringumstæður er ráðið þeirrar skoðunar að
valdbærni forystustjórnvalds geti færst til annars forystustjórnvalds innan
EES. Í þeim tilvikum mun samræmingarkerfið, eins og mælt er fyrir um í 60. gr.
persónuverndarreglugerðarinnar, gilda áfram og er hinu nýja forystustjórnvaldi
skylt að vinna með hinu fyrra stjórnvaldi og öðrum hlutaðeigandi stjórnvöldum
með það að markmiði að ná samkomulagi um niðurstöðu. Þessi breyting getur átt
sér stað svo lengi sem endanleg ákvörðun hefur ekki verið tekin af þar til bæra
stjórnvaldinu.
Sameiginlegt álit á eHDSI (e. EDPB-EDPS Joint Opinion on the eHDSI)
EDPB samþykkti sameiginlegt álit EDPB og EDPS um
álitaefni í tengslum við vinnslu sjúkraskrárupplýsinga innan grunnvirkis
rafrænnar heilbrigðisþjónustu. Í álitinu er komist að þeirri niðurstöðu að
framkvæmdastjórn ESB sé vinnsluaðili þegar kemur að vinnslu persónuupplýsinga í
umræddu kerfi. Leggja báðir aðilar áherslu á að allar skyldur
framkvæmdastjórnarinnar, sem vinnsluaðila, séu tilgreindar með skýrum hætti í
viðeigandi innleiðingarlöggjöf.
MÁP-listi Kýpur
EDPB samþykkti álit á lista kýpversku
persónuverndarstofnunarinnar yfir þær vinnsluaðgerðir sem ávallt þurfa að fara
í mat á áhrifum á persónuvernd.
64. gr. álit á listum skv. 5. mgr. 35. gr. persónuverndarreglugerðarinnar
varðandi undanþágur frá því að gera Mat á áhrifum á persónuvernd (MÁP)
EDPB samþykkti álit á lista frönsku, spænsku og tékknesku persónuverndarstofnananna yfir þær vinnsluaðgerðir
sem ekki þurfa að fara í mat á áhrifum á persónuvernd.