Forslag til beslutning - B9-0211/2021Forslag til beslutning
B9-0211/2021

FORSLAG TIL BESLUTNING om Kommissionens evalueringsrapport om gennemførelsen af den generelle forordning om databeskyttelse to år efter dens anvendelse

17.3.2021 - (2020/2717(RSP))

på baggrund af Kommissionens redegørelse
jf. forretningsordenens artikel 132, stk. 2

Juan Fernando López Aguilar
for Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender


Procedure : 2020/2717(RSP)
Forløb i plenarforsamlingen
Dokumentforløb :  
B9-0211/2021
Indgivne tekster :
B9-0211/2021
Vedtagne tekster :

B9‑0211/2021

Europa-Parlamentets beslutning om Kommissionens evalueringsrapport om gennemførelsen af den generelle forordning om databeskyttelse to år efter dens anvendelse

(2020/2717(RSP))

Europa-Parlamentet,

 der henviser til artikel 8 i chartret om grundlæggende rettigheder,

 der henviser til artikel 16 i traktaten om Den Europæiske Unions funktionsmåde,

 der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med hensyn til behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (persondataforordningen – GDPR)[1],

 der henviser til erklæringen af 24. juni 2020 fra Kommissionen om Kommissionens meddelelse til Europa-Parlamentet og Rådet med titlen "Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling – to års anvendelse af den generelle forordning om databeskyttelse",

 der henviser til meddelelsen af 24. juni 2020 fra Kommissionen til Europa-Parlamentet og Rådet med titlen "Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling – to års anvendelse af den generelle forordning om databeskyttelse" (COM(2020)0264),

 der henviser til Kommissionens meddelelse af 24. juli 2019 med titlen "Databeskyttelsesregler som en tillidsskabende katalysator i og uden for EU – status" (COM(2019)0374),

 der henviser til bidraget fra Det Europæiske Databeskyttelsesråd (EDPB) til evalueringen af den generelle forordning om databeskyttelse i henhold til artikel 97, vedtaget den 18. februar 2020[2],

 der henviser til Det Europæiske Databeskyttelsesråds dokument af 26. februar 2019 med titlen "First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities" (første oversigt over gennemførelsen af den generelle forordning om databeskyttelse og de nationale tilsynsmyndigheders roller og midler)[3],

 der henviser til de retningslinjer, som Det Europæiske Databeskyttelsesråd har vedtaget i henhold til artikel 70, stk. 1, litra e), i den generelle forordning om databeskyttelse,

 der henviser til forretningsordenens artikel 132, stk. 2,

 der henviser til forslag til beslutning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender,

A. der henviser til, at den generelle forordning om databeskyttelse har fundet anvendelse siden den 25. maj 2018; der henviser til, at alle medlemsstater med undtagelse af Slovenien har vedtaget ny lovgivning eller tilpasset deres nationale databeskyttelseslovgivning;

B. der henviser til, at enkeltpersoner i stadig større grad ifølge undersøgelsen om grundlæggende rettigheder, som Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) har foretaget, bliver klar over deres rettigheder i medfør af den generelle forordning om databeskyttelse; der henviser til, at selv om organisationer har truffet foranstaltninger for at lette udøvelsen af den registreredes rettigheder, står enkeltpersoner fortsat over for vanskeligheder, når de forsøger at udøve disse rettigheder, navnlig retten til indsigt, retten til dataportabilitet og øget gennemsigtighed;

C. der henviser til, at tilsynsmyndighederne siden starten på anvendelsen af den generelle forordning om databeskyttelse har modtaget massivt flere klager; der henviser til, at dette viser, at de registrerede er mere bevidste om deres rettigheder og ønsker at beskytte deres personoplysninger i overensstemmelse med den generelle forordning om databeskyttelse; der henviser til, at dette også viser, at store mængder ulovlig databehandling fortsat finder sted;

D. der henviser til, at mange virksomheder har brugt overgangsperioden mellem den generelle forordning om databeskyttelses ikrafttrædelse og gyldighed til en "forårsrengøring" på dataområdet for at vurdere, hvilken databehandling der reelt finder sted, og hvilken databehandling der måske ikke længere er nødvendig eller berettiget;

E. der henviser til, at mange databeskyttelsesmyndigheder ikke er i stand til at håndtere antallet af klager; der henviser til, at mange databeskyttelsesmyndigheder er underbemandede, har for få ressourcer og mangler et tilstrækkeligt antal IT-eksperter;

F. der henviser til, at det i generelle forordning om databeskyttelse anerkendes, at medlemsstaternes lovgivning bør forene reglerne om ytrings- og informationsfrihed, herunder i forbindelse med journalistisk, akademisk, kunstnerisk og/eller litterær virksomhed, med retten til beskyttelse af personoplysninger; der henviser til, at medlemsstaternes lovgivning ifølge artikel 85 bør fastsætte undtagelser for behandling af oplysninger i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed, hvis de er nødvendige for at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden;

G. der henviser til, at beskyttelsen af journalistiske kilder er hjørnestenen i pressefriheden, som det også er blevet understreget af Det Europæiske Databeskyttelsesråd; der henviser til, at den generelle forordning om databeskyttelse ikke bør misbruges mod journalister eller bruges til at begrænse adgangen til oplysninger; der henviser til, at den under ingen omstændigheder må anvendes af de nationale myndigheder til at undertrykke mediefriheden;

Generelle bemærkninger

1. glæder sig over, at den generelle forordning om databeskyttelse er blevet en global standard for beskyttelse af personoplysninger og er en konvergensfaktor i udviklingen af normer; glæder sig over, at den generelle forordning om databeskyttelse har sat EU i spidsen for internationale drøftelser om databeskyttelse, og at en række tredjelande har tilpasset deres databeskyttelseslovgivning til den generelle forordning om databeskyttelse; påpeger, at Europarådets konvention 108 om databeskyttelse er bragt i overensstemmelse med den generelle forordning om databeskyttelse ("konvention 108+") og allerede er undertegnet af 42 lande; opfordrer indtrængende Kommissionen og medlemsstaterne til at benytte denne lejlighed til på FN-, OECD-, G8- og G20-plan at presse på for, at der udarbejdes internationale standarder, som udformes i tråd med de europæiske værdier og principper uden at undergrave den generelle forordning om databeskyttelse; understreger, at en dominerende europæisk holdning på dette område ville hjælpe vores kontinent med bedre at forsvare borgernes rettigheder, beskytte vores værdier og principper, fremme pålidelig digital innovation og fremskynde den økonomiske vækst ved at undgå fragmentering;

2. konkluderer, at den generelle forordning om databeskyttelse to år efter dens ikrafttræden generelt har været en succes, og er enig med Kommissionen i, at det på nuværende tidspunkt ikke er nødvendigt at ajourføre eller revidere lovgivningen;

3. er enig i, at indtil Kommissionens næste evaluering skal fokus fortsat være på forbedring af gennemførelsen og foranstaltninger til styrkelse af den generelle forordning om databeskyttelse;

4. er enig i, at der er behov for en stærk og effektiv håndhævelse af den generelle forordning om databeskyttelse over for store digitale platforme, integrerede virksomheder og andre digitale tjenester, navnlig på områder som onlinereklame, mikromålretning, algoritmisk profilering, rangordning, udbredelse og forstærkelse af indhold;

Retsgrundlag for behandling

5. understreger, at alle seks retsgrundlag, der er fastsat i artikel 6 i den generelle forordning om databeskyttelse, også gælder for behandling af personoplysninger, og at den samme behandlingsaktivitet kan falde ind under mere end ét grundlag; opfordrer indtrængende datatilsynsmyndighederne til at præcisere, at de dataansvarlige ikke kan bruge mere end ét retsgrundlag for hver behandlingsaktivitet og skal tydeliggøre, hvordan hvert retsgrundlag anvendes for deres behandlingsaktiviteter; er bekymret over, at dataansvarlige ofte nævner hele retsgrundlaget for den generelle forordning om databeskyttelse i deres privatlivspolitik uden yderligere forklaring og uden at henvise til den specifikke behandlingsaktivitet, der er tale om; forstår, at en sådan praksis forhindrer de registrerede og tilsynsmyndighederne i at vurdere, hvorvidt disse retsgrundlag er relevante; minder om, at det for at kunne behandle særlige kategorier af personoplysninger er nødvendigt at angive en lovlig grund i henhold til artikel 6 og en særskilt betingelse for behandling i henhold til artikel 9; minder de dataansvarlige om deres juridiske pligt til at foretage en konsekvensanalyse vedrørende databeskyttelse, når databehandlingen sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

6. minder om, at "samtykke" siden starten på anvendelsen af den generelle forordning om databeskyttelse betyder enhver frivillig, specifik, informeret og utvetydig tilkendegivelse af den registreredes ønsker; understreger, at dette også gælder for e-databeskyttelsesdirektivet; bemærker, at gennemførelsen af gyldigt samtykke fortsat bringes i fare som følge af brugen af skjulte mønstre, udbredt tracking og anden uetisk praksis; er bekymret over, at enkeltpersoner ofte udsættes for økonomisk pres for at give samtykke for at få rabat eller modtage andre kommercielle tilbud eller er tvunget til at give samtykke, når det er en betingelse for at få adgang til en tjeneste, hvilket er i strid med artikel 7 i den generelle forordning om databeskyttelse; minder om Det Europæiske Databeskyttelsesråds harmoniserede regler om, hvad der udgør gyldigt samtykke, som erstatter mange nationale databeskyttelsesmyndigheders forskellige fortolkninger og undgår fragmentering på det digitale indre marked; minder også Det Europæiske Databeskyttelsesråd og Kommissionen om, at i tilfælde, hvor den registrerede oprindeligt har givet sit samtykke, men hvor personoplysningerne viderebehandles til et andet formål end det formål, som den registrerede har givet sit samtykke til, kan det oprindelige samtykke ikke legitimere yderligere behandling, da samtykket skal være informeret og specifikt for at være gyldigt; noterer sig Databeskyttelsesrådets kommende retningslinjer for behandling af personoplysninger til videnskabelig forskning, som vil skabe klarhed om betydningen af betragtning 50 i GDPR;

7. er bekymret over, at "legitim interesse" meget ofte uretmæssigt angives som retsgrundlag for behandlingen; påpeger, at dataansvarlige fortsat påberåber sig en legitim interesse uden at foretage den påkrævede afvejning af interesser, hvilket omfatter en vurdering af de grundlæggende rettigheder; er særlig bekymret over, at nogle medlemsstater vedtager national lovgivning for at fastlægge betingelserne for behandling baseret på legitim interesse ved at sørge for en afvejning af den dataansvarliges og de pågældende personers respektive interesser, selv om den generelle forordning om databeskyttelse giver alle dataansvarlige pligt til at foretage en sådan afvejning individuelt og til at henholde sig til dette retsgrundlag; er bekymret over, at visse nationale fortolkninger af legitime interesser ikke overholder betragtning 47 og reelt forbyder behandling på grundlag af legitime interesser; glæder sig over, at Databeskyttelsesrådet allerede har indledt arbejdet med at ajourføre artikel 29-Gruppens udtalelse om anvendelsen af legitim interesse som retsgrundlag for behandling med henblik på at behandle de spørgsmål, der er fremhævet i Kommissionens rapport;

Registreredes rettigheder

8. understreger, at der er behov for at lette udøvelsen af individuelle rettigheder i henhold til den generelle forordning om databeskyttelse, såsom dataportabilitet eller rettigheder i forbindelse med automatisk behandling, herunder profilering; bifalder Det Europæiske Databeskyttelsesråds retningslinjer om automatiseret beslutningstagning og om dataportabilitet; bemærker, at retten til dataportabilitet ikke er blevet gennemført fuldt ud i flere sektorer; opfordrer Det Europæiske Databeskyttelsesråd til at tilskynde onlineplatformene til at oprette et enkelt kontaktpunkt for alle deres underliggende digitale platforme, hvorfra brugeranmodninger kan videresendes til den rigtige modtager; påpeger, at i henhold til princippet om dataminimering forhindrer indførelsen af retten til anonymitet effektivt uautoriseret videregivelse, identitetstyveri og andre former for misbrug af personoplysninger;

9. understreger, at overholdelsen af retten til at blive underrettet kræver, at virksomhederne leverer oplysningerne på en kortfattet, gennemsigtig, lettilgængelig og letforståelig måde og undgår at anvende en legalistisk tilgang, når de udarbejder databeskyttelsesmeddelelser; er bekymret over, at nogle virksomhederne fortsat ikke opfylder deres forpligtelser i henhold til artikel 12, stk. 1, i den generelle forordning om databeskyttelse og ikke leverer alle de relevante oplysninger, som Det Europæiske Databeskyttelsesråd anbefaler, bl.a. med hensyn til angivelsen af navnene på de enheder, de deler dataene med; minder om, at pligten til at give oplysninger, som er enkle og tilgængelige, er særligt streng, når det gælder børn; er bekymret over den udbredte mangel på velfungerende mekanismer for registreredes ret til indsigt; påpeger, at enkeltpersoner ofte ikke er i stand til at tvinge internetplatformene til at afsløre deres adfærdsprofiler til dem; er bekymret over, at virksomhederne for ofte ignorerer den kendsgerning, at udledte data også er personoplysninger, som er omfattet af alle garantierne i den generelle forordning om databeskyttelse;

Små virksomheder og organisationer

10. bemærker, at visse interessenter beretter om, at anvendelsen af den generelle forordning om databeskyttelse har været særligt udfordrende for små og mellemstore virksomheder (SMV'er), nystartede virksomheder, organisationer og sammenslutninger, herunder skoler, klubber og foreninger; bemærker dog, at mange af rettighederne og pligterne i den generelle forordning om databeskyttelse ikke er nye, eftersom de allerede var i kraft i direktiv 95/46/EF, men dog sjældent blev håndhævet; mener, at den generelle forordning om databeskyttelse og håndhævelsen heraf ikke må føre til utilsigtede konsekvenser vedrørende overholdelsen heraf for mindre virksomheder, som store virksomheder ikke ville blive berørt af; mener, at der bør sørges for mere støtte, information og uddannelse ved hjælp af informationskampagner fra de nationale myndigheder og Kommissionen for at bidrage til større viden om, kvalitet i gennemførelsen af og bevidsthed om kravene i og formålet med den generelle forordning om databeskyttelse;

11. påpeger, at der ikke er nogen undtagelser for SMV'er, nystartede virksomheder, organisationer og sammenslutninger, herunder skoler, klubber og foreninger, og at de er omfattet af anvendelsesområdet for den generelle forordning om databeskyttelse; opfordrer derfor Det Europæiske Databeskyttelsesråd til at sørge for klar information for at undgå enhver misforståelse af den generelle forordning om databeskyttelse og til at stille praktiske værktøjer til rådighed for at lette gennemførelsen af den generelle forordning om databeskyttelse for SMV'er, nystartede virksomheder, organisationer og sammenslutninger, herunder skoler, klubber og foreninger, hvor der foregår lavrisikobehandlingsaktiviteter; opfordrer medlemsstaterne til at stille tilstrækkelige midler til rådighed for databeskyttelsesmyndighederne, så de kan udsprede oplysninger om disse praktiske værktøjer; opfordrer Databeskyttelsesrådet til at udvikle modeller for politikken for beskyttelse af privatlivets fred, som organisationer kan bruge, for således at bistå dem med at dokumentere, at de faktisk overholder den generelle forordning om databeskyttelse i praksis uden at skulle forlade sig på dyre tredjepartstjenester;

Håndhævelse

12. udtrykker bekymring over de nationale databeskyttelsesmyndigheders uensartede og undertiden ikke-eksisterende håndhævelse af den generelle forordning om databeskyttelse mere end to år efter påbegyndelsen af dens anvendelse, og beklager derfor, at håndhævelsessituationen ikke er blevet væsentligt forbedret i forhold til situationen, hvor direktiv 95/46/EF fandt anvendelse;

13. noterer sig, at der blev indgivet ca. 275 000 klager, og at der blev pålagt 785 administrative bøder for forskellige overtrædelser i de første 18 måneder af anvendelsen af den generelle forordning om databeskyttelse, men påpeger, at der hidtil kun er blevet fulgt op på en meget lille andel af klagerne; er opmærksom på de problemer, der forårsages af brud på persondatasikkerheden, og minder om de nuværende retningslinjer fra Det Europæiske Databeskyttelsesråd, der giver klarhed om tidsplanen for anmeldelse, kommunikation til registrerede og retsmidler; påpeger, at en europæisk standardformular til anmeldelse af brud på datasikkerheden kunne være gavnlig med hensyn til at harmonisere forskellige nationale tilgange; beklager dog, at bødebeløbene varierer betydeligt på tværs af medlemsstaterne, og at nogle af de bøder, der udstedes til store virksomheder, er for små til at have den tilsigtede afskrækkende virkning mod overtrædelser af databeskyttelsesreglerne; opfordrer databeskyttelsesmyndighederne til at styrke håndhævelsen af brud på den generelle forordning om databeskyttelse, forfølgelsen af disse brud og pålæggelsen af bøder herfor og til fuldt ud at udnytte mulighederne i den generelle forordning om databeskyttelse til at pålægge bøder og bruge andre korrigerende foranstaltninger; understreger, at forbud mod behandling eller pligt til at slette personoplysninger opnået på en måde, som ikke er i overensstemmelse med den generelle forordning om databeskyttelse, kan virke mindst lige så afskrækkende som bøder; opfordrer Kommissionen og Det Europæiske Databeskyttelsesråd til at harmonisere sanktionerne ved at udarbejde retningslinjer og klare kriterier, sådan som dette er blevet gjort af de tyske tilsynsmyndigheder, med det formål at øge retssikkerheden og hindre virksomhederne i at etablere sig de steder, der pålægger de mindste sanktioner;

14. er bekymret over varigheden af visse databeskyttelsesmyndigheders efterforskning af sager og den negative indvirkning på den effektive håndhævelse og på borgernes tillid; opfordrer indtrængende databeskyttelsesmyndighederne til at fremskynde løsningen af sager og til at udnytte hele spektret af muligheder i henhold til den generelle forordning om databeskyttelse, navnlig hvis der er tale om systematiske og vedvarende overtrædelser, herunder når der er tale om indtægtsgivende interesser og et stort antal berørte registrerede;

15. er bekymret over det forhold, at tilsynsmyndighederne i 21 lande ud af de i alt 31 lande, som anvender den generelle forordning om databeskyttelse , dvs. alle medlemsstater i Den Europæiske Union, Norge, Island og Det Forenede Kongerige, udtrykkeligt har erklæret, at de ikke har tilstrækkelige menneskelige, tekniske og finansielle ressourcer, lokaler og infrastruktur til effektivt at udføre deres opgaver og udøve deres beføjelser; er bekymret over manglen på specialiseret teknisk personale i de fleste tilsynsmyndigheder i hele EU, hvilket vanskeliggør efterforskning og håndhævelse; bemærker med bekymring, at tilsynsmyndighederne er under pres på grund af det voksende misforhold mellem deres ansvar for at beskytte personoplysninger og deres ressourcer til at gøre dette; bemærker, at digitale tjenester vil blive stadig mere komplekse som følge af den øgede brug af innovationer som kunstig intelligens (dvs. at problemet med begrænset gennemsigtighed i databehandling forværres, navnlig i forbindelse med algoritmisk træning); påpeger derfor betydningen af, at EU's tilsynsmyndigheder og Det Europæiske Databeskyttelsesråd har tilstrækkelige finansielle, tekniske og menneskelige ressourcer til at kunne håndtere et stigende antal ressourcekrævende og komplekse sager hurtigt, men grundigt, og til at koordinere og lette samarbejdet mellem nationale databeskyttelsesmyndigheder, til på passende vis at overvåge anvendelsen af den generelle forordning om databeskyttelse og beskytte de grundlæggende rettigheder og frihedsrettigheder; udtrykker bekymring over, at utilstrækkelige ressourcer til databeskyttelsesmyndighederne – navnlig når disse ressourcer sammenlignes med de store teknologivirksomheders indtægter – kan give sig udslag i aftaler om forlig, eftersom dette ville begrænse omkostningerne ved langvarige og besværlige retssager;

16. opfordrer Kommissionen til at evaluere muligheden for at forpligte store multinationale teknologivirksomheder til at betale for deres eget tilsyn gennem indførelse af en digital skat i EU;

17. bemærker med bekymring, at databeskyttelsesmyndighedernes manglende håndhævelse – og Kommissionens passivitet, når det gælder om at behandle databeskyttelsesmyndighedernes manglende ressourcer – lægger håndhævelsesbyrden på de enkelte borgere, som indbringer databeskyttelsessager for en domstol; er bekymret over, at domstolene undertiden pålægger individuelle sagsøgere at få erstatning uden at pålægge organisationen eller virksomheden at løse strukturelle problemer; mener, at privat håndhævelse kan give anledning til vigtig retspraksis, men at den ikke udgør en erstatning for databeskyttelsesmyndighedernes håndhævelse eller Kommissionens indsats for at behandle de manglende ressourcer; beklager, at disse medlemsstater overtræder artikel 52, stk. 4, i den generelle forordning om databeskyttelse; opfordrer medlemsstaterne til at opfylde deres juridiske forpligtelse i henhold til artikel 52, stk. 4 til at afsætte tilstrækkelige midler til deres databeskyttelsesmyndigheder, så de bliver i stand til at udføre deres arbejde på den bedst mulige måde og sikre lige vilkår i Europa, hvad angår håndhævelsen af den generelle forordning om databeskyttelse; beklager, at Kommissionen endnu ikke har indledt traktatbrudsprocedurer mod de medlemsstater, der ikke har opfyldt deres forpligtelser i henhold til den generelle forordning om databeskyttelse, og opfordrer indtrængende Kommissionen til at gøre dette hurtigst muligt; opfordrer Kommissionen og Det Europæiske Databeskyttelsesråd til at tilrettelægge en opfølgning på Kommissionens meddelelse af den 24. juni 2020 med en vurdering af, hvordan den generelle forordning om databeskyttelse fungerer, og hvordan den håndhæves;

18. beklager, at flertallet af medlemsstaterne har besluttet ikke at gennemføre artikel 80, stk. 2, i den generelle forordning om databeskyttelse; opfordrer alle medlemsstater til at gøre brug af artikel 80, stk. 2, og indføre en ret til at indgive klager og gå i retten uden at være bemyndiget af den registrerede; opfordrer medlemsstaterne til at præcisere klagernes stilling under sagsbehandlingen i den nationale lovgivning om administrative procedurer, der gælder for tilsynsmyndigheder; påpeger, at dette bør præcisere, at klagerne ikke begrænses til at have en passiv rolle under proceduren, men bør være i stand til at intervenere på forskellige stadier;

Samarbejde og sammenhæng

19. påpeger, at en svag håndhævelse er særlig tydelig i grænseoverskridende klager, og beklager, at databeskyttelsesmyndighederne i 14 medlemsstater ikke har de rette ressourcer til at bidrage til samarbejds- og sammenhængsmekanismerne; opfordrer Det Europæiske Databeskyttelsesråd til at øge sine bestræbelser på at sikre korrekt anvendelse af artikel 60 og 63 i den generelle forordning om databeskyttelse, og minder tilsynsmyndighederne om, at hvis ekstraordinære omstændigheder gør sig gældende, kan de gøre brug af hasteproceduren i artikel 66 i den generelle forordning om databeskyttelse, navnlig de foreløbige foranstaltninger;

20. understreger kvikskrankemekanismens vigtighed, når det gælder om at skabe retssikkerhed og reducere den administrative byrde for både virksomheder og borgere; udtrykker dog stor bekymring over kvikskrankemekanismens måde at fungere på, navnlig når det gælder den irske og den luxembourgske databeskyttelsesmyndigheds rolle; bemærker, at disse databeskyttelsesmyndigheder er ansvarlige for håndteringen af et stort antal sager, eftersom mange teknologivirksomheder har registreret deres EU-hovedkvarter i Irland eller Luxembourg; er navnlig bekymret over, at den irske databeskyttelsesmyndighed generelt afslutter de fleste sager med et forlig i stedet for en sanktion, og at de sager, der henvises til Irland i 2018, end ikke har nået stadiet for et udkast til afgørelse i henhold til artikel 60, stk. 3, i den generelle forordning om databeskyttelse; opfordrer disse databeskyttelsesmyndigheder til at fremskynde deres igangværende efterforskning af større sager for at vise EU-borgerne, at databeskyttelse er en ret, der kan håndhæves i EU; påpeger, at denne "kvikskrankemekanismes" succes afhænger af, hvor meget tid og hvor mange kræfter databeskyttelsesmyndighederne kan bruge på håndteringen af og samarbejdet om de enkelte grænseoverskridende sager i Det Europæiske Databeskyttelsesråd, og at manglen på politisk vilje og ressourcer har umiddelbare konsekvenser for, i hvilket omfang denne mekanisme kan fungere korrekt;

21. bemærker, at der er uoverensstemmelser mellem medlemsstaternes retningslinjer og Det Europæiske Databeskyttelsesråds retningslinjer; påpeger, at de nationale databeskyttelsesmyndigheder kan nå frem til forskellige fortolkninger af den generelle forordning om databeskyttelse, hvilket resulterer i forskellige anvendelser af den blandt medlemsstaterne; bemærker, at denne situation skaber geografiske fordele og ulemper for virksomhederne; opfordrer indtrængende Kommissionen til at vurdere, om de nationale administrative procedurer hindrer det fulde samarbejde i henhold til artikel 60 i GDPR, samt den effektive gennemførelse heraf; opfordrer databeskyttelsesmyndighederne til at bestræbe sig på at give konsekvent vejledning med bistand fra Det Europæiske Databeskyttelsesråd; opfordrer specifikt Det Europæiske Databeskyttelsesråd til at fastlægge grundelementerne i en fælles administrativ procedure til behandling af klager i grænseoverskridende sager under samarbejdsmekanismen i henhold til artikel 60; opfordrer til, at det sker i form af vejledning om fælles tidsplaner for gennemførelse af undersøgelser og vedtagelse af afgørelser; opfordrer Kommissionen og Det Europæiske Databeskyttelsesråd til at styrke sammenhængsmekanismen og gøre den obligatorisk i alle almindeligt forekommende sager og i alle sager med grænseoverskridende virkninger for at forhindre inkonsekvente tilgange og afgørelser fra de enkelte databeskyttelsesmyndigheder, eftersom dette ville skabe en trussel mod den ensartede fortolkning og anvendelse af GDPR; mener, at denne fælles fortolkning, anvendelse og vejledning vil bidrage til skabelsen af et velfungerende digitalt indre marked;

22. opfordrer Det Europæiske Databeskyttelsesråd til at offentliggøre dagsordenen før sine møder og offentliggøre et mere detaljeret mødereferat og forelægge det for Europa-Parlamentet;

Fragmenteret gennemførelse af den generelle forordning om databeskyttelse

23. beklager, at medlemsstaternes anvendelse af fakultative specialbestemmelser (f.eks. behandling i offentlighedens interesse eller offentlige myndigheders behandling på grundlag af medlemsstatens lovgivning og børns alder for at give samtykke) har været til skade for opnåelsen af fuld harmonisering af databeskyttelse og for fjernelsen af forskellige markedsvilkår for virksomheder i hele EU, og udtrykker bekymring over, at dette kan øge omkostningerne til overholdelse af den generelle forordning om databeskyttelse; opfordrer Det Europæiske Databeskyttelsesråd til at give vejledning om, hvordan den forskellige gennemførelse af fakultative specialbestemmelser i medlemsstaterne skal håndteres; opfordrer Kommissionen til at bruge sine beføjelser til at gribe ind over for medlemsstater, hvor nationale foranstaltninger, tiltag og beslutninger undergraver ånd, mål og ordlyd i den generelle forordning om databeskyttelse, med henblik på at forhindre ulige beskyttelse af borgerne og markedsfordrejninger; fremhæver i denne forbindelse, at medlemsstaterne har vedtaget forskellige aldersgrænser for forældrenes samtykke; opfordrer derfor Kommissionen og medlemsstaterne til at vurdere indvirkningen af denne fragmentering på børns aktiviteter og på deres beskyttelse på internettet; understreger, at bestemmelserne i den generelle forordning om databeskyttelse bør have forrang i tilfælde af lovkonflikt mellem en medlemsstats nationale lovgivning og den generelle forordning om databeskyttelse;

24. udtrykker stærk bekymring over visse medlemsstaters offentlige myndigheders misbrug af den generelle forordning om databeskyttelse til at modarbejde journalister og ikkestatslige organisationer; er helt enig med Kommissionen i, at databeskyttelsesreglerne ikke må påvirke udøvelsen af ytrings‑ og informationsfriheden, navnlig ved at virke afskrækkende eller ved, at de fortolkes som en metode til at lægge pres på journalister, for at de skal afsløre deres kilder; er imidlertid skuffet over, at Kommissionen stadig ikke har afsluttet sin analyse af afvejningen mellem retten til beskyttelse af personoplysninger og ytrings‑ og informationsfriheden, som er skitseret i artikel 85 i den generelle forordning om databeskyttelse; opfordrer Kommissionen til hurtigst muligt at afslutte sin vurdering af medlemsstaternes lovgivning i denne henseende og bruge alle tilgængelige værktøjer, herunder traktatbrudssager, til at sikre, at medlemsstaterne overholder bestemmelserne i den generelle forordning om databeskyttelse, og begrænse enhver fragmentering af databeskyttelseslovgivningen;

Indbygget databeskyttelse

25. opfordrer tilsynsmyndighederne til at evaluere gennemførelsen af artikel 25 om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, navnlig med henblik på at sikre de tekniske og operationelle foranstaltninger, der er nødvendige til at gennemføre principperne om dataminimering og formålsbegrænsning, og til at fastslå den virkning, som bestemmelsen indtil videre har haft på virksomheder, der producerer databehandlingsteknologi; glæder sig over, at Databeskyttelsesrådet i oktober 2020 vedtog retningslinje 04/2019 om artikel 25 om databeskyttelse gennem design og databeskyttelse gennem indstillinger for at bidrage til begrebernes juridiske klarhed; opfordrer tilsynsmyndighederne til også at undersøge passende brug af standardindstillinger, jf. artikel 25, stk. 2, herunder fra større onlinetjenesteudbyderes side; anbefaler, at Det Europæiske Databeskyttelsesråd vedtager retningslinjer for, på hvilke specifikke betingelser og i hvilke (kategorier af) tilfælde, IKT-producenter skal betragtes som dataansvarlige i henhold til artikel 4, stk. 7, i den generelle forordning om databeskyttelse, i den forstand, at de afgør, med hvilke hjælpemiddel der foretages behandling af personoplysninger; påpeger, at databeskyttelsen stadig i vid udstrækning afhænger af manuelle opgaver og tilfældige formater og plages af inkompatible systemer; opfordrer Det Europæiske Databeskyttelsesråd til at udarbejde retningslinjer, der bidrager til at gennemføre databeskyttelseskrav i praksis, herunder standarder for konsekvensanalyser vedrørende databeskyttelse (artikel 35), databeskyttelse gennem design og databeskyttelses gennem standardindstillinger (artikel 25), oplysninger til registrerede (artikel 12‑14), udøvelse af registreredes rettigheder (artikel 15‑18 og 20‑21) og fortegnelser over behandlingsaktiviteter (artikel 30); opfordrer Det Europæiske Databeskyttelsesråd til at sikre, at sådanne retningslinjer er nemme at anvende og også at muliggøre maskine-til-maskine-kommunikation mellem registrerede, dataansvarlige og databeskyttelsesmyndigheder (automatiseret databeskyttelse); opfordrer Kommissionen til at udvikle de maskinlæsbare ikoner, jf. artikel 12, stk. 8, til oplysning af registrerede i tæt samarbejde med Det Europæiske Databeskyttelsesråd; opfordrer Det Europæiske Databeskyttelsesråd og tilsynsmyndighederne til at fuldt ud at udnytte artikel 21, stk. 5, om automatiske midler til at gøre indsigelse mod behandling af personoplysninger;

Retningslinjer

26. opfordrer Databeskyttelsesrådet til at harmonisere gennemførelsen af databeskyttelseskravene i praksis gennem udvikling af retningslinjer, bl.a. i forbindelse med behovet for at vurdere risici i forbindelse med databehandlingsoplysninger til registrerede (artikel 12-14), udøvelsen af de registreredes rettigheder (artikel 15-18 og 20-21) og gennemførelsen af ansvarlighedsprincippet; opfordrer Det Europæiske Databeskyttelsesråd til at udstikke retningslinjer, der inddeler profileringssagerne efter de forskellige legitime anvendelsesformål og efter risiciene for de registreredes rettigheder og frihedsrettigheder, såvel som anbefalinger til passende tekniske og organisatoriske foranstaltninger og med en klar afgrænsning af, hvornår der er tale om ulovlig anvendelse; opfordrer Det Europæiske Databeskyttelsesråd til at revidere Artikel 29-Gruppens udtalelse 05/2014 om anonymiseringsteknikker og til at udarbejde en liste over utvetydige kriterier for at opnå anonymisering; opfordrer Databeskyttelsesrådet til at præcisere databehandlingen med henblik på menneskelige ressourcer; noterer sig Databeskyttelsesrådets konklusion om, at behovet for at vurdere risici i forbindelse med databehandling som fastsat i den generelle forordning om databeskyttelse bør opretholdes, da risiciene for registrerede ikke er relateret til de registeransvarliges størrelse; opfordrer til en bedre anvendelse af den mekanisme, under hvilken Kommissionen kan anmode om rådgivning fra Databeskyttelsesrådet om de spørgsmål, der er omfattet af den generelle forordning om databeskyttelse;

27. bemærker, at covid-19-pandemien har understreget nødvendigheden af klare retningslinjer fra databeskyttelsesmyndighederne og Det Europæiske Databeskyttelsesråd om en korrekt gennemførelse af den generelle forordning om databeskyttelse i folkesundhedspolitikker; minder i denne forbindelse om retningslinjerne 03/2020 om behandling af helbredsoplysninger med henblik på videnskabelig forskning i forbindelse med covid-19-udbruddet og retningslinjerne 04/2020 om anvendelse af lokaliseringsdata og kontaktopsporingsværktøjer i forbindelse med covid-19-udbruddet; opfordrer Kommissionen til at sikre fuld overholdelse af den generelle forordning om databeskyttelse, når der skabes et fælles europæisk sundhedsdataområde;

Internationale strømme af personoplysninger og samarbejde

28. understreger betydningen af at tillade fri udveksling af personoplysninger på internationalt plan uden at sænke det beskyttelsesniveau, der garanteres i henhold til den generelle forordning om databeskyttelse; støtter Kommissionens praksis med at behandle spørgsmål om data- og persondatastrømme adskilt fra handelsaftaler; tror på, at internationalt samarbejde på databeskyttelsesområdet og de relevante reglers konvergens mod den generelle forordning om databeskyttelse vil øge den gensidige tillid, skabe forståelse for de teknologiske og juridiske udfordringer og i sidste ende fremme grænseoverskridende datastrømme, som er afgørende for den internationale handel; anerkender dog, at der eksisterer modstridende juridiske krav til virksomheder, der driver databehandlingsaktiviteter i EU og i tredjelande, navnlig USA;

29. understreger, at afgørelser om tilstrækkeligheden af beskyttelsesniveauet ikke bør være politiske, men retlige afgørelser; tilskynder til fortsatte bestræbelser på at fremme globale retlige rammer for at muliggøre dataoverførsler på grundlag af den generelle forordning om databeskyttelse og Europarådets konvention 108+; bemærker desuden, at interessenter betragter afgørelser om tilstrækkelighed som et afgørende redskab til sådanne datastrømme, eftersom de ikke gør dem betinget af yderligere krav eller tilladelser; fremhæver dog, at afgørelser om tilstrækkeligheden af beskyttelsesniveauet indtil videre kun er vedtaget for ni lande, selv om mange andre tredjelande for nylig har vedtaget ny lovgivning om databeskyttelse med regler og principper i lighed med GDPR; bemærker, at ingen enkelt mekanisme, der garanterer lovlig overførsel af kommercielle personoplysninger mellem EU og USA, hidtil har været genstand for en retlig klage ved Den Europæiske Unions Domstol (EU-Domstolen);

30. bifalder vedtagelsen af den første gensidige afgørelse om tilstrækkeligheden af beskyttelsesniveauet mellem EU og Japan, som har skabt verdens største område med frie og sikre datastrømme; opfordrer imidlertid Kommissionen til at tage hensyn til alle de spørgsmål, som Parlamentet har rejst i forbindelse med den første revision af dette instrument, og gøre resultaterne offentligt tilgængelige så hurtigt som muligt, eftersom revisionen burde have været vedtaget i januar 2021;

31. opfordrer Kommissionen til at offentliggøre det sæt kriterier, der anvendes til at afgøre, om et tredjeland anses for at have et "i det væsentlige tilsvarende" beskyttelsesniveau som det, der gives i EU, navnlig med hensyn til adgang til retsmidler og statslig adgang til data; fastholder, at det er nødvendigt at sikre effektiv anvendelse og overholdelse af bestemmelserne om overførsler eller videregivelser, som EU ikke tillader, jf. artikel 48 i GDPR, især anmodninger fra tredjelandsmyndigheder om adgang til personoplysninger i EU, og opfordrer Det Europæiske Databeskyttelsesråd og databeskyttelsesmyndighederne til at give vejledning om og håndhæve disse bestemmelser, herunder i forbindelse med vurderingen og udviklingen af mekanismer for overførsel af personoplysninger;

32. opfordrer Kommissionen til at vedtage delegerede retsakter med henblik på at præcisere de krav, der skal tages i betragtning i forbindelse med certificeringsmekanismen for databeskyttelse i henhold til artikel 42, stk. 1, for at fremme anvendelsen af sidstnævnte, sammen med bindende og håndhævelige forpligtelser for den dataansvarlige eller databehandleren i tredjelandet til at anvende de fornødne garantier, herunder for så vidt angår registreredes rettigheder, som et middel til international videregivelse, jf. artikel 46, stk. 2, litra f);

33. gentager, at masseovervågningsprogrammer, der omfatter indsamling af massedata, er en hindring, når tilstrækkeligheden af beskyttelsen skal vurderes; opfordrer Kommissionen til at følge Domstolens konklusioner i sagerne Schrems I[4], II[5] og Privacy International & al (2020)[6] i forbindelse med alle gennemgange af afgørelser om tilstrækkeligheden af beskyttelsesniveauet og i forbindelse med igangværende og fremtidige forhandlinger; minder om, at overførsler, der er baseret på undtagelser i særlige situationer i henhold til artikel 49 i den generelle forordning om databeskyttelse, fortsat bør være en undtagelse; glæder sig over Databeskyttelsesrådets og databeskyttelsesmyndighedernes retningslinjer i denne henseende og opfordrer dem til at sikre en konsekvent fortolkning af anvendelsen af og kontrollen med sådanne undtagelser i overensstemmelse med Databeskyttelsesrådets retningslinjer 02/2018;

34. opfordrer databeskyttelsesmyndighederne og Kommissionen til systematisk at vurdere, om databeskyttelsesreglerne anvendes i praksis i tredjelande i overensstemmelse med EU-Domstolens retspraksis;

35. opfordrer indtrængende Kommissionen til uden unødig forsinkelse at offentliggøre sin gennemgang af de afgørelser om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget i henhold til direktivet fra 1995; understreger, at hvis ikke der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, er standardkontraktbestemmelser det mest brugte redskab i forbindelse med internationale dataoverførsler; bemærker, at EU-Domstolen stadfæstede gyldigheden af afgørelse 2010/87/EU om standardkontraktbestemmelser[7], samtidig med at den krævede en vurdering af beskyttelsesniveauet for oplysninger, der overføres til et tredjeland, og af de relevante aspekter af det pågældende tredjelands retssystem for så vidt angår offentlige myndigheders adgang til de overførte personoplysninger; opfordrer indtrængende Kommissionen til at fremskynde sit arbejde med moderniserede standardkontraktbestemmelser for international dataoverførsel for at sikre lige vilkår for SMV'er på internationalt plan; glæder sig over Kommissionens offentliggørelse af udkast til standardkontraktbestemmelser og målet om at gøre standardkontraktbestemmelser mere brugervenlig og om at afhjælpe konstaterede mangler ved de nuværende standarder;

36. minder om Databeskyttelsesrådets retningslinjer 1/2019 for adfærdskodekser og kontrolorganer i henhold til forordning 2016/679; anerkender, at dette instrument i øjeblikket er underudnyttet til trods for, at det sikres, at den generelle forordning om databeskyttelse overholdes, når det anvendes sammen med bindende og håndhævelige forpligtelser for den dataansvarlige eller databehandleren i tredjelandet til at anvende de fornødne garantier; fremhæver dette instruments potentiale til bedre at støtte SMV'er og skabe større retssikkerhed i forbindelse med internationale dataoverførsler på tværs af forskellige sektorer;

Fremtidig EU-lovgivning

37. er af den holdning, at den generelle forordning om databeskyttelse ved at være teknologineutral udgør en solid lovgivningsmæssig ramme for nye teknologier; mener ikke desto mindre, at der er behov for en yderligere indsats for at tackle bredere digitaliseringsspørgsmål, såsom monopolsituationer og magtskævheder gennem specifik regulering, og for nøje at overveje sammenhængen mellem den generelle forordning om databeskyttelse og hvert nyt lovgivningsinitiativ med henblik på at sikre konsekvens og afhjælpe juridiske huller; minder Kommissionen om dens forpligtelse til at sikre, at lovgivningsforslag, såsom dataforvaltning, datahandling, digitale tjenester eller kunstig intelligens, altid skal være i fuld overensstemmelse med den generelle forordning om databeskyttelse og direktivet om retshåndhævelse[8]; mener, at de endelige tekster, der vedtages af medlovgiverne gennem interinstitutionelle forhandlinger, skal overholde gældende EU-ret om databeskyttelse fuldt ud; beklager imidlertid, at Kommissionen selv ikke altid har en konsekvent tilgang til databeskyttelse i lovgivningsforslag; understreger, at en henvisning til anvendelsen af den generelle forordning om databeskyttelse eller "med forbehold for den generelle forordning om databeskyttelse", uden yderligere forklaring i teksten, ikke nødvendigvis gør, at forslaget er i overensstemmelse med den generelle forordning om databeskyttelse; opfordrer Kommissionen til at høre Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og Det Europæiske Databeskyttelsesråd, når der er en indvirkning på beskyttelsen af fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger efter vedtagelsen af forslag til en lovgivningsmæssig retsakt; opfordrer endvidere Kommissionen til, når den udarbejder forslag eller henstillinger, at bestræbe sig på at høre Den Europæiske Tilsynsførende for Databeskyttelse for at sikre konsekvens i databeskyttelsesreglerne i hele Unionen og til altid at foretage en konsekvensanalyse;

38. bemærker, at profilering, selv om det kun er tilladt i henhold til artikel 22 i den generelle forordning om databeskyttelse på strenge og snævre betingelser, i stigende grad anvendes, da enkeltpersoners onlineaktiviteter giver mulighed for indgående indsigt i deres psykologi og privatliv; noterer sig, at da profilering giver mulighed for at manipulere brugernes adfærd, bør indsamling og anvendelse af personoplysninger vedrørende brugen af digitale tjenester begrænses til det omfang, der er strengt nødvendigt for at levere tjenesten og fakturere brugerne; opfordrer Kommissionen til at foreslå streng sektorspecifik databeskyttelseslovgivning for følsomme kategorier af personoplysninger i de sektorer, hvor det endnu ikke er sket; kræver streng håndhævelse af den generelle forordning om databeskyttelse i forbindelse med behandling af personoplysninger;

39. opfordrer til at styrke forbrugernes indflydelse, så de kan træffe informerede beslutninger om konsekvenserne for privatlivets fred af anvendelsen af nye teknologier og sikre en retfærdig og gennemsigtig behandling ved at give brugervenlige muligheder for at give og tilbagetrække samtykke til behandling af deres personoplysninger som fastsat i den generelle forordning om databeskyttelse;

Direktivet om retshåndhævelse

40. er bekymret over, at de databeskyttelsesregler, der anvendes til retshåndhævelsesformål, overhovedet ikke er tilstrækkelige til at holde trit med de nye kompetencer inden for retshåndhævelse; opfordrer derfor Kommissionen til at evaluere retshåndhævelsesdirektivet før den frist, der er fastsat i direktivet, og til at gøre revisionen offentligt tilgængelig;

E-databeskyttelsesforordningen

41. udtrykker dyb bekymring over medlemsstaternes manglende gennemførelse af e-databeskyttelsesdirektivet[9] i lyset af de ændringer, der er indført med den generelle forordning om databeskyttelse; opfordrer Kommissionen til at fremskynde sin vurdering og indlede overtrædelsesprocedurer mod de medlemsstater, der ikke har gennemført e-databeskyttelsesdirektivet korrekt; er meget bekymret over, at den i flere år forsinkede reform af e-databeskyttelsesdirektivet skaber fragmenterede retlige forhold i EU til skade for både virksomheder og borgere; minder om, at e-databeskyttelsesforordningen[10] blev udformet med henblik på at supplere og præcisere den generelle forordning om databeskyttelse og falde sammen med ikrafttrædelsen af den generelle forordning om databeskyttelse; understreger, at reformen af e-databeskyttelsesreglerne ikke må føre til en sænkning af det nuværende beskyttelsesniveau, der gives under den generelle forordning om databeskyttelse og e-databeskyttelsesdirektivet; beklager, at det tog fire år for Rådet til i sidste ende at vedtage sin forhandlingsposition til forslaget til e-databeskyttelsesforordningen, mens Parlamentet vedtog sin forhandlingsposition i oktober 2017; minder om betydningen af at opgradere e-databeskyttelsesreglerne fra 2002 og 2009 for at forbedre beskyttelsen af borgernes grundlæggende rettigheder og retssikkerheden for virksomheder som et supplement til den generelle forordning om databeskyttelse;

°

° °

42. pålægger sin formand at sende denne beslutning til Kommissionen, Det Europæiske Råd, medlemsstaternes regeringer og nationale parlamenter, Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse.

 

Seneste opdatering: 22. marts 2021
Juridisk meddelelse - Databeskyttelsespolitik