15. fundur Evrópska persónuverndarráðsins í Brussel 12.-13. nóvember 2019
Dagana 12. og 13. nóvember 2019 fór fram 15. fundur Evrópska persónuverndarráðsins (EDPB) en hann sitja fulltrúar allra persónuverndarstofnana innan EES og evrópsku persónuverndarstofnunarinnar (EDPS).
Á fundinum voru að venju fjölmörg atriði til umræðu en þau helstu voru:
Árleg úttekt á vernd persónuupplýsinga í Bandaríkjunum
EDPB samþykkti úttektarskýrslu um mat á vernd persónuupplýsinga í Bandaríkjunum. Er þetta í þriðja skipti sem slík skýrsla er samþykkt. Í skýrslunni fagnar EDPB þeim aðgerðum sem bandarísk stjórnvöld hafa gripið til í því skyni að innleiða ákvæði samkomulags Evrópusambandsins og Bandaríkjanna um vernd persónuupplýsinga (Privacy Shield-samkomulagsins), sérstaklega hvað varðar frumkvæðiseftirlit og eftirlitsaðgerðir sem gripið hefur verið til hvað varðar viðskiptalegan hluta samkomulagsins. Þá er því einnig fagnað að eftirlitsnefnd um friðhelgi einkalífsins og borgaralegt frelsi (PCLOB) sé nú fullskipuð sem og að skipað hafi verið í stöðu umboðsmanns samkomulagsins.
Hins vegar kemur fram í skýrslunni að eftir standi þó nokkur atriði sem veita þurfi sérstaka athygli. Ráðið bendir á að áfram valdi skortur á athugunum á því hvort fyrirtæki standi við efnisreglur samkomulagsins áhyggjum. Auk þess þurfi að skoða nánar skilyrði samkomulagsins um framsendingu upplýsinga, mannauðsupplýsingar og vinnsluaðila, sem og endurvottun. Þá telur ráðið að úttektarteymi þess myndi njóta góðs af því að fá víðtækari aðgang að upplýsingum, sem ekki teljast opinberar, hvað varðar viðskiptalega hlið samkomulagsins og yfirstandandi rannsóknir.
Hvað varðar þann þátt samkomulagsins sem snýr að vinnslu persónuupplýsinga hjá bandarískum stjórnvöldum hvetur ráðið PCLOB-nefndina til að gefa út frekari skýrslur til að hægt verði að framkvæma sjálfstætt mat á áætlunum um það eftirlit sem á sér stað utan bandarískrar lögsögu, þegar upplýsingar eru fluttar frá Evrópska efnahagssvæðinu til Bandaríkjanna. Ráðið ítrekar enn fremur að sérfræðingar þess séu reiðubúnir til að skoða trúnaðargögn ásamt því að vera til viðræðu um þá þætti eftirlitsins sem trúnaður ríkir um.
Þó svo að EDPB fagni þeim skrefum sem hafa verið tekin frá síðustu úttekt segir í skýrslunni að ráðið geti ekki fullyrt að umboðsmaður samkomulagsins hafi nægilegar valdheimildir til að fá aðgang að upplýsingum og bæta úr þegar farið sé á svig við samkomulagið.
Leiðbeiningar um landfræðilegt gildissvið
EDPB samþykkti endanlega útgáfu leiðbeininga um landfræðilegt gildissvið, að undangegnu samráðsferli. Leiðbeiningunum er ætlað að tryggja sameiginlega túlkun á ákvæðum persónuverndarreglugerðarinnar hjá persónuverndarstofnunum á Evrópska efnahagssvæðinu þegar lagt er mat á hvort tiltekin vinnsla persónuupplýsinga af hálfu ábyrgðaraðila eða vinnsluaðila falli innan landfræðilegs gildissviðs regluverksins, sbr. 3. gr. reglugerðarinnar. Leiðbeiningarnar veita einnig frekari skýringar á beitingu reglugerðarinnar í ýmsum tilvikum, t.d. þegar ábyrgðaraðili eða vinnsluaðili er staðsettur utan EES, þ.m.t. hvað varðar tilnefningu og hlutverk fulltrúa skv. 27. gr. reglugerðarinnar.
Í hinni endanlegu útgáfu leiðbeininganna hefur orðalag verið lagfært og bætt við lögfræðilega röksemdafærslu í þeim tilgangi að mæta þeim athugasemdum sem bárust í samráðsferlinu. Rétt er að taka fram að sú heildartúlkun og aðferðarfræði sem kynnt var í upphaflegum drögum er óbreytt.
Leiðbeiningar um innbyggða og sjálfgefna persónuvernd
EDPB samþykkti leiðbeiningar um innbyggða og sjálfgefna persónuvernd eins og henni er lýst í 25. gr. persónuverndarreglugerðarinnar. Grundvallarskyldan hér felst í skilvirkri innleiðingu á meginreglum löggjafarinnar og réttindum og frelsi hinna skráðu með því að persónuverndin sé byggð inn í og sjálfgefin í þeim kerfum sem notuð eru til að vinna með persónuupplýsingar. Þetta felur í sér að ábyrgðaraðilar innleiði hjá sér viðeigandi tæknilegar og skipulagslegar ráðstafanir sem séu nægjanlegar miðað við áhættuna af vinnslunni. Ráðstafanirnar eiga að hafa það að markmiði að gera ábyrgðaraðila kleift að fylgja meginreglum löggjafarinnar á skilvirkan hátt og standa vörð um réttindi og frelsi hinna skráðu. Þessu til viðbótar þurfa ábyrgðaraðilar að geta sýnt fram á að þær ráðstafanir sem gripið hefur verið til séu skilvirkar.
Álit á bindandi fyrirtækjareglum ExxonMobil
EDPB samþykkti álit á drögum að ákvörðun belgísku persónuverndarstofnunarinnar hvað varðar bindandi fyrirtækjareglur ExxonMobil. Í álitinu kemur fram að EDPB sé þeirrar skoðunar að reglurnar innihaldi viðeigandi verndarráðstafanir skv. b-lið 2. mgr. 46. gr. persónuverndarreglugerðarinnar og alla þá þætti sem krafist er skv. 47. gr. reglugerðarinnar.
Svarbréf til LIBE-nefndarinnar um upplýsingakerfi Evrópusambandsins
EDPB samþykkti svarbréf til LIBE-nefndarinnar hjá Evrópuþinginu varðandi upplýsingakerfi Evrópusambandsins. Nefndin hafði óskað eftir lagalegu mati ráðsins á tillögum framkvæmdastjórnarinnar að nýrri reglugerð þar sem mælt er fyrir um skilyrði fyrir aðgangi að upplýsingakerfum ESB í þágu ETIAS (rafrænnar auðkenningar á milli landa). Í svarbréfinu kemur fram að líta þurfi á tillögurnar sem hluta af stærri mynd, þ.e. sem einn lið í rammaáætlun um samvirkni (e. Interoperability Framework), og vísar ráðið í því samhengi til fyrri athugasemda forvera síns, 29. gr. vinnuhópsins. Þessu til viðbótar er bent á í bréfinu að ráðið hafi áhyggjur af því hvernig farið sé að grundvallarreglum persónuverndarlöggjafarinnar, einkum hvað varðar gagnsæi, innbyggða og sjálfgefna persónuvernd og takmörkun vegna tilgangs.
Viðbótarbókun við samning um netglæpi (Budapest Convention on Cybercrime)
EDPB samþykkti framlag til draga að annarri viðbótarbókun við samning Evrópuráðsins um netglæpi, í tengslum við samráðsferli um bókunina. Í framlaginu er minnt á að tryggja verði vernd persónuupplýsinga og lagalega vissu, en með því megi tryggja að komið verði á sjálfbæru samkomulagi til að skiptast á persónuupplýsingum við óörugg þriðju lönd í löggæslutilgangi, í fullu samræmi við sáttmála Evrópusambandsins og mannréttindaskrá sambandsins.