18. fundur Evrópska persónuverndarráðsins í Brussel 18.-19. febrúar 2020
Dagana 18.-19. febrúar 2020 fór fram 18. fundur Evrópska persónuverndarráðsins (EDPB) en hann sitja fulltrúar allra persónuverndarstofnana innan EES og Evrópsku persónuverndarstofnunarinnar (EDPS).
Á fundinum voru að venju fjölmörg atriði til umræðu en þau helstu voru:
Mat framkvæmdastjórnar ESB á almennu persónuverndarreglugerðinni (GDPR)
EDPB og einstakar persónuverndarstofnanir hafa nú sent
framkvæmdastjórninni athugasemdir sínar um mat þeirra á reglugerðinni eins og
mælt er fyrir um í 97. gr. hennar. EDPB er þeirrar skoðunar að beiting
reglugerðarinnar á fyrstu 20 mánuðum gildistíma hennar hafi verið vel heppnuð.
Þrátt fyrir þetta er enn áhyggjuefni að persónuverndarstofnanir hafi ekki yfir
að ráða nægum fjármunum eða mannafla. Þá eru ýmsar áskoranir enn til staðar,
t.a.m. hvað varðar mismunandi málsmeðferðarreglur milli landa. Engu að síður er
það mat ráðsins að samvinna milli persónuverndarstofnana muni leiða til
sameiginlegrar persónuverndarmenningar og samræmdrar beitingar á löggjöfinni. Ráðið
er einnig að skoða mögulegar leiðir til að leysa úr þessum áskorunum og að bæta
hina sameiginlegu málsmeðferð. Þá kallar ráðið eftir því að framkvæmdastjórn
ESB kanni hvort málsmeðferðarreglur aðildarríkja hamli virkni þeirrar samvinnu
og til þess gæti komið að löggjafarvald ESB þyrfti að koma að frekari
samræmingu á milli landa. Í mati EDPB er einnig snert á atriðum er varða þær
leiðir sem nota má til að flytja persónuupplýsingar á milli landa, áhrif á
lítil og meðalstór fyrirtæki, fjárheimildir persónuverndarstofnana og þróun nýrrar
tækni. Loks er það niðurstaða EDPB að það sé of snemmt að endurskoða ákvæði
persónuverndarreglugerðarinnar.
Drög að leiðbeiningum um
beitingu a-liðar 2. mgr. 46. gr. og b-liðar 3. mgr. 46. gr.
persónuverndarreglugerðarinnar
Ráðið samþykkti drög að leiðbeiningum um framangreind ákvæði en þau fjalla um ráðstafanir í tengslum við flutning persónuupplýsinga frá opinberum stofnunum innan EES til opinberra stofnana í þriðju löndum eða til alþjóðastofnana, þegar flutningurinn byggist ekki á ákvörðun um fullnægjandi vernd tiltekins ríkis eða svæðis. Leiðbeiningarnar fjalla um hvaða verndarráðstafanir sé nauðsynlegt að innleiða í lagalega bindandi gerningum (a-liður 2. mgr. 46. gr.) eða í ákvæði sem felld eru inn í stjórnvaldsráðstafanir (b-liður 3. mgr. 46. gr.) þannig að fullnægjandi vernd einstaklinga samkvæmt löggjöfinni sé tryggð. Leiðbeiningarnar munu í kjölfarið fara í samráðsferli.
Yfirlýsing um álitefni tengd persónuvernd við samruna fyrirtækja
EDPB samþykkti yfirlýsingu þar sem lögð er áhersla á þá miklu áhættu sem er til staðar hvað varðar friðhelgi einkalífs og persónuvernd við mögulega samsetningu og söfnun viðkvæmra persónuupplýsinga um einstaklinga, sem staðsettir eru í Evrópu, af hálfu stórfyrirtækja í tækniiðnaði. Er yfirlýsingin sett fram í kjölfar yfirlýsingar Google LLC um þá fyrirætlan þeirra að taka yfir fyrirtækið Fitbit (sem framleiðir heilsuúr). EDPB minnir þá aðila sem koma að hinum ætlaða samruna á skyldur þeirra samkvæmt persónuverndarreglugerðinni. Þá eru aðilar hvattir til þess, áður en samruninn verður tilkynntur til framkvæmdastjórnar ESB, að framkvæma ítarlegt mat á skilyrðum persónuverndarlöggjafarinnar og hvaða afleiðingar samruninn gæti haft fyrir friðhelgi einkalífsins. EDPB muni taka til skoðunar allar mögulegar afleiðingar samrunans fyrir vernd persónuupplýsinga innan EES og lýsir sig reiðubúið til að koma á framfæri athugasemdum við framkvæmdastjórnina, ef eftir því er óskað.