Seneste nyt fra Det Europæiske Databeskyttelsesråd
Udtalelser om EU-Kommissionens udkast til EU-UK-tilstrækkelighedsafgørelser
Ifølge EU-Kommissionens udkast til to tilstrækkelighedsafgørelser er beskyttelsesniveauet i Storbritannien tilstrækkeligt – både ift. databeskyttelsesforordningen og retshåndhævelsesdirektivet.
Det Europæiske Databeskyttelsesråd (EDPB) forholder sig overordnet positivt til udkastene og bemærker, at der i høj grad er overensstemmelse mellem den europæiske og britiske databeskyttelseslovgivning. Det skyldes blandt andet, at Storbritannien implementerede store dele af GDPR i sin nationale lovgivning før Brexit.
EDPB ser dog også en række områder, som EU-Kommissionen bør vurdere, inden tilstrækkelighedsafgørelserne vedtages. Det drejer sig eksempelvis om reglerne for videreoverførsel af personoplysninger. Det vil sige oplysninger, som er overført fra et EU-/EØS-land til Storbritannien, og som herfra overføres til et andet tredjeland.
Derudover mener EDPB, at Kommissionen bør se nærmere på "indvandringsundtagelsen" og Investigatory Powers Act 2016.
Indvandringsundtagelsen
Efter den britiske databeskyttelseslovs "indvandringsundtagelse" finder visse regler i databeskyttelsesforordningen ikke anvendelse. Eksempelvis gælder reglerne ikke ved behandling af personoplysninger i forbindelse med vedligeholdelsen af indvandringskontrollen.
Undtagelsen fratager altså den registrerede en række rettigheder, herunder retten til at gøre indsigelse.
Investigatory Powers Act 2016
Storbritanniens Investigatory Powers Act 2016 giver retshåndhævende myndigheder en række beføjelser, som blandt andet gør det lettere for myndighederne at få adgang til borgeres digitale færden. Efterretningstjenesten, politiet og en række regeringsdepartementer kan eksempelvis kræve personoplysninger udleveret af teleselskaber eller selv anskaffe sig dem uden en retskendelse.
EDPB understreger vigtigheden af, at EU-Kommissionen løbende monitorerer den britiske databeskyttelseslovgivning for at sikre, at der fortsat er overensstemmelse mellem den europæiske og britiske databeskyttelseslovgivning. Derudover bemærker EDPB, at tilstrækkelighedsafgørelserne – hvis de vedtages – bør revurderes af EU-Kommissionen inden for fire år.
Læs EDPB's udtalelse om tilstrækkelighedsafgørelsen i forhold til databeskyttelsesforordningen.
Læs EDPB's udtalelse om tilstrækkelighedsafgørelsen i forhold til retshåndhævelsesdirektivet.
Du kan blive klogere på EU-Kommissionens udkast til EU-UK tilstrækkelighedsafgørelserne i vores tidligere nyhed: EU-UK tilstrækkelighedsafgørelser er på vej
Vejledning om målrettet markedsføring på sociale medier
EDPB har udgivet en vejledning om målrettet markedsføring på sociale medier. Her understreger EDPB, at virksomheder, som bruger sociale medier til at målrette sin markedsføring, ofte vil være fælles dataansvarlige med udbyderen af det sociale medie. Vejledningen afdækker også, hvornår de skal betragtes som selvstændige dataansvarlige.
Med afsæt i forskellige former for målretningsmekanismer giver EDPB eksempler på rollefordelingen mellem virksomheder og platformsudbydere, og hvilket behandlingsgrundlag markedsføringen kan baseres på.
Vejledningen fokuserer på tre forskellige former for målretningsmekanismer. Ifølge vejledningen kan den målrettede markedsføring være baseret på:
- personoplysninger, som den registrerede selv har videregivet til det sociale medie eller den dataansvarlige, som iværksætter den målrettede markedsføring
- observeret data, dvs. den registreredes brugeradfærd
- modificeret/konstrueret data, der stammer fra den registrerede, eksempelvis oplysninger om, hvilket indhold den registrerede sandsynligvis vil være interesseret i.
Vejledningen identificerer også potentielle risici for de registreredes rettigheder og frihedsrettigheder og klarlægger de sociale mediers forpligtelser. Derudover indeholder vejledningen retningslinjer for iagttagelsen af de registreredes rettigheder, behandling af følsomme personoplysninger og udarbejdelsen af konsekvensanalyser.
Læs vejledningen om målrettet markedsføring på sociale medier.
Påmindelse om medlemsstaters internationale aftaler
Medlemsstater indgår indimellem internationale aftaler, der indebærer, at der bliver udvekslet personoplysninger mellem offentlige myndigheder i de pågældende stater. Det kan være i forbindelse med skat, sundhedsydelser, gensidig juridisk assistance og politisamarbejde.
Nu minder EDPB medlemsstaterne om, at sådanne internationale aftaler skal være i overensstemmelse med databeskyttelseslovgivningen. Med andre ord skal medlemsstaterne sikre, at de registreredes beskyttelse ikke undermineres, når personoplysninger overføres til tredjelande.