Europaparlamentet utfärdar denna resolution

–  med beaktande av artikel 8 i EU-stadgan om de grundläggande rättigheterna,

–  med beaktande av artikel 16 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (dataskyddsförordningen)(1),

–  med beaktande av kommissionens uttalande av den 24 juni 2020 om kommissionens meddelande till Europaparlamentet och rådet Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid,

–  med beaktande av kommissionens meddelande av den 24 juni 2020 till Europaparlamentet och rådet Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid (COM(2020)0264),

–  med beaktande av kommissionens meddelande av den 24 juli 2019 Dataskyddsregler som förtroendeskapande faktor i EU och övriga världen – en kartläggning (COM(2019)0374),

–  med beaktande av Europeiska dataskyddsstyrelsens (EDPB) bidrag till utvärderingen av dataskyddsförordningen enligt artikel 97, som antogs den 18 februari 2020(2),

–  med beaktande av EDPB:s dokument First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities av den 26 februari 2019(3),

–  med beaktande av de riktlinjer som antagits av EDPB i enlighet med artikel 70.1 e i dataskyddsförordningen,

–  med beaktande av artikel 132.2 i arbetsordningen,

–  med beaktande av förslaget till resolution från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, och av följande skäl:

A.  Dataskyddsförordningen har varit tillämplig sedan den 25 maj 2018. Alla medlemsstater förutom Slovenien har antagit ny lagstiftning eller anpassat sin nationella dataskyddslagstiftning.

B.  Enligt den undersökning om grundläggande rättigheter som utförts av Europeiska unionens byrå för grundläggande rättigheter blir enskilda personer allt mer medvetna om sina rättigheter enligt dataskyddsförordningen. Trots att organisationer har satt in åtgärder för att göra det lättare för registrerade att utöva sina rättigheter, fortsätter enskilda personer att möta svårigheter när de försöker utöva dessa rättigheter, i synnerhet rätten till tillgång, portabilitet och förbättrad öppenhet.

C.  Sedan dataskyddsförordningen började tillämpas har tillsynsmyndigheter tagit emot ett kraftigt ökat antal klagomål. Detta visar att registrerade är mer medvetna om sina rättigheter och vill skydda sina personuppgifter i enlighet med dataskyddsförordningen. Det visar också att det fortfarande förekommer stora mängder olagliga databehandlingar.

D.  Många företag har använt övergångsperioden mellan dataskyddsförordningens ikraftträdande respektive tillämpning för en ”vårstädning” av uppgifter, genom att bedöma vilken databehandling som faktiskt äger rum och vilken databehandling som inte längre behövs eller är motiverad.

E.  Många dataskyddsmyndigheter kan inte hantera antalet klagomål. Många dataskyddsmyndigheter har för lite personal och resurser och saknar ett tillräckligt antal it-experter.

F.  I dataskyddsförordningen erkänns att medlemsstaternas lagstiftning bör förena bestämmelserna om yttrande- och informationsfrihet, som inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till integritet. I artikel 85 anges att medlemsstaternas lagstiftning bör fastställa undantag med avseende på databehandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

G.  Skyddet av journalistiska källor är hörnstenen i pressfriheten, vilket också EDPB har betonat. Dataskyddsförordningen bör inte missbrukas gentemot journalister eller för att begränsa tillgången till information. Förordningen bör under inga omständigheter användas av nationella myndigheter för att undertrycka mediefriheten.

Allmänna kommentarer

1.  Europaparlamentet ser positivt på att dataskyddsförordningen har blivit en global standard för skydd av personuppgifter och bidrar med konvergens i utvecklingen av normer. Parlamentet välkomnar att dataskyddsförordningen har placerat EU i främsta ledet i internationella diskussioner om dataskydd, och att ett antal tredjeländer har anpassat sin dataskyddslagstiftning efter dataskyddsförordningen. Parlamentet påpekar att Europarådets konvention 108 om dataskydd har anpassats till dataskyddsförordningen (”konvention 108+”) och redan har undertecknats av 42 länder. Parlamentet uppmanar eftertryckligen kommissionen och medlemsstaterna att utnyttja detta tillfälle till att driva på FN, OECD, G8 och G20 för att skapa internationella standarder som utformas efter europeiska värden och principer utan att dataskyddsförordningen undergrävs. Parlamentet understryker att en dominant europeisk ståndpunkt inom detta område skulle hjälpa vår världsdel att bättre skydda sina medborgares rättigheter, garantera våra värden och principer, främja pålitlig digital innovation och påskynda ekonomisk tillväxt genom att undvika fragmentering.

2.  Två år efter att dataskyddsförordningen trädde i kraft drar Europaparlamentet slutsatsen att den generellt sett har varit en framgång och håller med kommissionen om att det i detta skede inte är nödvändigt att uppdatera eller se över lagstiftningen.

3.  Europaparlamentet konstaterar att fram till kommissionens nästa utvärdering måste fokus fortsätta att ligga på att förbättra genomförandet och på åtgärder för att stärka efterlevnaden av dataskyddsförordningen.

4.  Europaparlamentet är medvetet om att dataskyddsförordningen behöver verkställas på ett kraftfullt och ändamålsenligt sätt inom stora digitala plattformar, integrerade företag och andra digitala tjänster, särskilt på områdena onlinereklam, individuellt riktat innehåll, algoritmisk profilering, rangordning, spridning och förstärkning av innehåll.

Rättslig grund för behandling

5.  Europaparlamentet understryker att alla de sex rättsliga grunder som fastställs i artikel 6 i dataskyddsförordningen är lika giltiga för behandling av personuppgifter och att samma slags behandling kan falla inom ramen för fler än en av dessa grunder. Parlamentet vädjar till datatillsynsmyndigheterna att slå fast att de personuppgiftsansvariga endast får använda en rättslig grund för varje ändamål för behandling och att specificera hur varje rättslig grund ska användas för deras respektive behandling. Parlamentet är oroat över att personuppgiftsansvariga ofta nämner alla rättsliga grunder i dataskyddsförordningen i sina integritetspolicyer utan vidare förklaring och utan att hänvisa till den särskilda behandling som berörs. Parlamentet förstår att detta slags praxis gör att de registrerade och tillsynsmyndigheterna inte kan bedöma om dessa rättsliga grunder är lämpliga. Parlamentet påminner om att det för att kunna behandla särskilda kategorier av personuppgifter måste identifieras en grund för laglighet enligt artikel 6 och ett separat villkor för behandling enligt artikel 9. Parlamentet påminner de personuppgiftsansvariga om deras rättsliga skyldighet att utföra en konsekvensbedömning avseende dataskydd när databehandling sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter.

6.  Europaparlamentet påminner om att sedan dataskyddsförordningen började tillämpas likställs ”samtycke” med varje form av frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida. Parlamentet understryker att detta även gäller för direktivet om integritet och elektronisk kommunikation. Parlamentet noterar att genomförandet av giltigt samtycke fortsätter att äventyras av användningen av så kallade dark patterns, genomgripande spårning och andra oetiska metoder. Parlamentet är oroat över att enskilda ofta utsätts för finansiella påtryckningar att ge sitt samtycke i utbyte mot rabatter eller andra kommersiella erbjudanden, eller tvingas ge sitt samtycke för att få tillgång till en tjänst genom bindningsbestämmelser, vilket strider mot artikel 7 i dataskyddsförordningen. Parlamentet påminner om EDPB:s harmoniserade regler om vad som utgör ett giltigt samtycke, som ersätter de olika tolkningar som gjorts av flera nationella dataskyddsmyndigheter, för att undvika fragmentering inom den digitala inre marknaden. Parlamentet påminner även om EDPB:s och kommissionens riktlinjer som fastställer att i fall där den registrerade inledningsvis har lämnat samtycke men där personuppgifterna behandlas ytterligare för ett annat ändamål än ändamålet för den ursprungliga insamlingen, kan det första samtycket inte legitimera ytterligare behandling, eftersom samtycket måste vara informerat och specifikt. Parlamentet noterar EDPB:s kommande riktlinjer om behandling av personuppgifter för vetenskaplig forskning, som kommer att klargöra innebörden av skäl 50 i dataskyddsförordningen.

7.  Europaparlamentet oroas av att begreppet ”berättigat intresse” mycket ofta missbrukas när det nämns som rättslig grund för behandling. Parlamentet påpekar att personuppgiftsansvariga fortsätter att åberopa berättigat intresse utan att utföra den obligatoriska prövningen av hur pass avvägda intressena är, som innehåller en bedömning av grundläggande rättigheter. Parlamentet oroas särskilt av att vissa medlemsstater antar nationell lagstiftning för att avgöra villkoren för behandling grundad på berättigat intresse genom att föreskriva avvägning mellan de respektive intressena för den personuppgiftsansvarige och de berörda enskilda personerna, trots att det i dataskyddsförordningen krävs att varje personuppgiftsansvarig individuellt ska göra en sådan avvägning, och för att använda sig av denna rättsliga grund. Parlamentet är oroat över att vissa nationella tolkningar av berättigat intresse inte är förenliga med skäl 47, utan i praktiken förbjuder behandling på grundval av berättigat intresse. Parlamentet välkomnar att EDPB redan har påbörjat arbetet med att uppdatera artikel 29-gruppens yttrande om tillämpningen av berättigat intresse som en rättslig grund för behandling, i syfte att få bukt med de problem som understryks i kommissionens rapport.

Den registrerades rättigheter

8.  Europaparlamentet betonar att det måste bli enklare att utöva de individuella rättigheter som fastställs i dataskyddsförordningen, såsom dataportabilitet och rättigheter i samband med automatiserad behandling, inbegripet profilering. Parlamentet välkomnar riktlinjerna från EDPB om automatiserat beslutsfattande och om dataportabilitet. Parlamentet noterar att rätten till dataportabilitet inte har genomförts fullt ut inom flera sektorer. Parlamentet uppmanar EDPB att uppmuntra onlineplattformar att skapa en gemensam kontaktpunkt för alla sina underliggande digitala plattformar, varifrån användarförfrågningar kan vidarebefordras till rätt mottagare. Parlamentet påpekar att genomförandet av rätten till anonymitet, i enlighet med principen om uppgiftsminimering, effektivt förhindrar obehörigt röjande och identifierar stöld och andra former av missbruk av personuppgifter.

9.  Europaparlamentet betonar att företag för att efterleva rätten till information måste tillhandahålla information på ett koncist, klart och tydligt, begripligt och lätt tillgängligt sätt och undvika att använda en alltför stelbent juridisk metod när de gör utkast till dataskyddsmeddelanden. Parlamentet oroas av att vissa företag fortsätter bryta mot sina skyldigheter enligt artikel 12.1 i dataskyddsförordningen och inte tillhandahåller all den relevanta information som rekommenderas av EPDB, däribland förteckningar över namnen på de organ som de delar uppgifter med. Parlamentet påminner om att skyldigheten att lämna information som är enkel och tillgänglig är särskilt strikt när det gäller barn. Parlamentet är oroat över den utbredda bristen på korrekt fungerande mekanismer för tillgång för registrerade. Parlamentet påpekar att enskilda personer ofta inte kan tvinga internetplattformar att avslöja deras beteendeprofiler för dem. Parlamentet är bekymrat över att företag alltför ofta ignorerar att antydda uppgifter också är personuppgifter, som är underställda samtliga skyddsåtgärder enligt dataskyddsförordningen.

Små företag och organisationer

10.  Europaparlamentet understryker att vissa berörda parter uppger att tillämpningen av dataskyddsförordningen har varit en särskilt stor utmaning, framför allt för både små och medelstora företag, nystartade företag, organisationer och föreningar, inbegripet skolor, klubbar och sällskap. Parlamentet noterar emellertid att många av rättigheterna och skyldigheterna i dataskyddsförordningen inte är nya utan gällde redan enligt direktiv 95/46/EG(4), även om de sällan genomfördes. Parlamentet anser att dataskyddsförordningen och dess genomförande inte får leda till att det uppstår oavsiktliga konsekvenser för de mindre företagens efterlevnad som stora företag inte skulle ha. Parlamentet anser att mer stöd, information och utbildning bör tillgängliggöras av nationella myndigheter och genom kommissionens informationskampanjer för att bidra till ökad kunskap, kvalitet i genomförandet och medvetenhet om dataskyddsförordningens krav och syfte.

11.  Europaparlamentet framhåller att det inte finns några undantag för små och medelstora företag, nystartade företag, organisationer eller föreningar, inbegripet skolor, klubbar och sällskap, och att de omfattas av dataskyddsförordningens tillämpningsområde. Parlamentet uppmanar därför EDPB att tillhandahålla tydlig information för att undvika all förvirring angående tolkningen av dataskyddsförordningen, och att inrätta ett praktiskt verktyg för dataskyddsförordningen för att underlätta för små och medelstora företag, nystartade företag, organisationer och föreningar, inbegripet skolor, klubbar och sällskap, som bedriver behandlingsverksamhet med låg risk att genomföra dataskyddsförordningen. Parlamentet uppmanar medlemsstaterna att göra tillräckliga medel tillgängliga för dataskyddsmyndigheterna så de kan sprida kunskap om dessa praktiska verktyg. Parlamentet uppmuntrar EDPB att utarbeta mallar för integritetspolicy som organisationer kan använda för att hjälpa dem att i praktiken uppvisa faktisk efterlevnad av dataskyddsförordningen, utan att de behöver ta till kostsamma tjänster av tredje part.

Verkställighet

12.  Europaparlamentet uttrycker sin oro över de nationella dataskyddsmyndigheternas ojämna och i vissa fall icke-befintliga efterlevnad av dataskyddsförordningen över två år efter att den började tillämpas, och beklagar därmed att situationen för verkställigheten inte påtagligt har förbättrats jämfört med hur den såg ut för direktiv 95/46/EG.

13.  Europaparlamentet noterar att ca 275 000 klagomål framfördes och 785 administrativa sanktionsavgifter infördes för olika överträdelser under de första 18 månaderna av dataskyddsförordningens tillämpning, men framhåller att endast en mycket liten andel av de inlämnade klagomålen hittills har följts upp. Parlamentet är medvetet om de problem som orsakas av persondataintrång och påminner om att EDPB:s nuvarande vägledning skapar klarhet bland annat angående tidsramen för anmälan, kommunikation till registrerade och rättsmedel. Parlamentet påpekar att ett europeiskt standardformulär för anmälningar om dataintrång skulle kunna vara gynnsamt för att harmonisera olika nationella tillvägagångssätt. Parlamentet beklagar dock att sanktionsavgifterna varierar markant mellan medlemsstaterna och att vissa sanktionsavgifter som ålagts stora företag är för låga för att ha den avsedda avskräckande effekten mot dataskyddsbrott. Parlamentet uppmanar dataskyddsmyndigheterna att skärpa bekämpningen, lagförandet och bestraffandet av dataskyddsbrott, och att fullt ut använda sig av dataskyddsförordningens möjligheter att ålägga sanktionsavgifter och använda andra korrigerande åtgärder. Parlamentet betonar att förbud mot behandling, eller en skyldighet att radera personuppgifter som förvärvats på ett sätt som inte överensstämmer med dataskyddsförordningen, kan ha en lika avskräckande verkan som sanktionsavgifter, om inte en ännu större. Parlamentet uppmanar kommissionen och EDPB att harmonisera sanktionerna med hjälp av riktlinjer och tydliga kriterier, på samma sätt som de tyska tillsynsmyndigheterna gjort vid sin konferens, för att öka rättssäkerheten och förhindra att företag slår sig ner på de platser som påför de lägsta sanktionerna.

14.  Europaparlamentet är oroat över vissa dataskyddsmyndigheters långa utredningar av ärenden och över de skadliga effekter detta får för ett effektivt verkställande och allmänhetens förtroende. Parlamentet uppmanar dataskyddsmyndigheterna att påskynda beslut i ärenden och att använda sig av hela utbudet av möjligheter enligt dataskyddsförordningen, i synnerhet om det gäller systematiska och ihållande brott, bland annat kopplat till vinstintresse och ett stort antal berörda registrerade.

15.  Europaparlamentet är oroat över att tillsynsmyndigheterna i 21 av de sammanlagt 31 stater som tillämpar dataskyddsförordningen, nämligen alla medlemsstater i EU och EES samt Förenade kungariket, uttryckligen har förklarat att de inte har tillräckligt med personal, tekniska och ekonomiska resurser, lokaler eller infrastrukturer för att effektivt kunna utföra sina uppgifter och utöva sina befogenheter. Parlamentet är oroat över att det råder brist på särskilt avsedd teknisk personal på de flesta tillsynsmyndigheterna runtom i EU, något som försvårar utredningar och verkställighet. Parlamentet noterar med oro att tillsynsmyndigheter befinner sig i ett ansträngt läge med tanke på den tilltagande obalansen mellan deras ansvar att skydda personuppgifter och deras resurser för att göra detta. Parlamentet noterar att digitala tjänster kommer att bli allt mer komplexa på grund av den ökande användningen av innovationer i form av t.ex. artificiell intelligens (vilket förvärrar problemet med den begränsade öppenheten inom databehandling, särskilt vid träning av algoritmer). Parlamentet framhåller därför vikten av att EU:s tillsynsmyndigheter och EDPB har tillräckliga ekonomiska och tekniska resurser samt personalresurser för att skyndsamt men noggrant kunna behandla allt fler resursintensiva och komplicerade fall och samordna och underlätta samarbete mellan de nationella dataskyddsmyndigheterna, för att övervaka tillämpningen av dataskyddsförordningen på lämpligt sätt och skydda grundläggande rättigheter och friheter. Parlamentet uttrycker sin oro över att otillräckliga resurser inom dataskyddsmyndigheterna, i synnerhet om man jämför deras resurser med de stora informationsteknikföretagens intäkter, kan leda till överenskommelser om förlikning, eftersom det skulle begränsa kostnaden för långdragna och besvärliga förfaranden.

16.  Europaparlamentet uppmanar kommissionen att undersöka möjligheten att tvinga stora multinationella teknikföretag att betala för sin egen tillsyn genom införandet av en digitalskatt i EU.

17.  Europaparlamentet noterar med oro att dataskyddsmyndigheternas bristande verkställighet och kommissionens underlåtenhet att åtgärda dataskyddsmyndigheternas brist på resurser gör att verkställighetsbördan läggs på enskilda medborgare, som blir de som får gå till domstol med dataskyddsanspråk. Parlamentet är oroat över att domstolar ibland beslutar att enskilda rättssökande ska få ersättning utan att besluta att organisationen eller företaget ska lösa strukturella problem. Parlamentet anser att privat verkställighet kan ge upphov till viktig rättspraxis, men att det inte utgör någon ersättning för dataskyddsmyndigheternas verkställighet eller kommissionens åtgärder för att ta itu med bristen på resurser. Parlamentet beklagar djupt att dessa medlemsstater bryter mot artikel 52.4 i dataskyddsförordningen. Parlamentet uppmanar därför medlemsstaterna att fullgöra sin rättsliga skyldighet enligt artikel 52.4 genom att anslå tillräckliga medel till sina dataskyddsmyndigheter så att de kan utföra sitt arbete på bästa möjliga sätt och säkerställa lika villkor i hela Europa i verkställandet av dataskyddsförordningen. Parlamentet beklagar att kommissionen ännu inte har inlett överträdelseförfaranden mot de medlemsstater som inte har fullgjort sina skyldigheter enligt dataskyddsförordningen och uppmanar kommissionen att utan dröjsmål göra detta. Parlamentet uppmanar kommissionen och EDPB att ordna med en uppföljning av kommissionens meddelande av den 24 juni 2020 för att bedöma dataskyddsförordningens funktion samt den praktiska efterlevnaden.

18.  Europaparlamentet beklagar att de flesta medlemsstater har beslutat att inte genomföra artikel 80.2 i dataskyddsförordningen. Parlamentet uppmanar alla medlemsstater att tillämpa artikel 80.2 och genomföra rätten att lämna in klagomål och gå till domstol utan att detta sker på uppdrag av den registrerade. Parlamentet uppmanar medlemsstaterna att klargöra de enskildas ställning vid förfaranden i den nationella lagstiftning om administrativa förfaranden som gäller för tillsynsmyndigheter. Parlamentet påpekar att det här bör klargöras att de enskilda inte är begränsade till en passiv roll under förfarandet utan bör kunna ingripa i olika skeden.

Samarbete och enhetlighet

19.  Europaparlamentet påpekar att den svaga verkställigheten är särskilt tydlig vid gränsöverskridande klagomål, och beklagar att dataskyddsmyndigheterna i 14 medlemsstater inte har rätt resurser för att bidra till mekanismerna för samarbete och enhetlighet. Parlamentet uppmanar EDPB att göra mer för att säkerställa att artiklarna 60 och 63 i dataskyddsförordningen tillämpas korrekt, och påminner tillsynsmyndigheterna om att de under exceptionella omständigheter kan utnyttja det skyndsamma förfarande som föreskrivs i artikel 66 i förordningen, i synnerhet de provisoriska åtgärderna.

20.  Europaparlamentet understryker att mekanismen för en enda kontaktpunkt är viktig för att åstadkomma rättssäkerhet och minska den administrativa bördan för såväl företag som medborgare. Parlamentet uttrycker dock stark oro över hur mekanismen fungerar, särskilt när det gäller de irländska och luxemburgiska dataskyddsmyndigheternas roll. Parlamentet noterar att dessa dataskyddsmyndigheter är ansvariga för att hantera ett stort antal ärenden, eftersom många teknikföretag har registrerat sina EU-huvudkontor i Irland eller Luxemburg. Parlamentet är särskilt oroat över att den irländska dataskyddsmyndigheten i allmänhet avslutar de flesta ärenden med en förlikning i stället för en sanktion och att ärenden som hänsköts till Irland 2018 ännu inte ens har nått stadiet för ett utkast till beslut enligt artikel 60.3 i dataskyddsförordningen. Parlamentet uppmanar dessa dataskyddsmyndigheter att påskynda sina pågående utredningar av framträdande ärenden för att visa EU-medborgarna att dataskydd är en verkställbar rättighet i EU. Parlamentet påpekar att ”mekanismen för en enda kontaktpunkt” för att ge ett lyckat resultat är beroende av den tid och det arbete som dataskyddsmyndigheterna kan ägna åt att hantera och samarbeta kring enskilda gränsöverskridande ärenden hos EDPB, och att bristen på politisk vilja och resurser får omedelbara konsekvenser för i vilken utsträckning denna mekanism kan fungera ordentligt.

21.  Europaparlamentet konstaterar att medlemsstaternas vägledningar och EDPB:s riktlinjer inte alltid är samstämda. Parlamentet påpekar att nationella dataskyddsmyndigheter kan göra olika tolkning av dataskyddsförordningen, vilket leder till olika tillämpningar bland medlemsstaterna. Parlamentet noterar att denna situation ger upphov både till geografiska fördelar och nackdelar för företag. Parlamentet uppmanar kommissionen att bedöma om nationella administrativa förfaranden förhindrar att samarbetet är fullständigt ändamålsenligt enligt artikel 60 i dataskyddsförordningen samt genomförs ändamålsenligt. Parlamentet uppmanar dataskyddsmyndigheterna att eftersträva en konsekvent tolkning och vägledning med hjälp av EDPB. Parlamentet uppmanar i synnerhet EDPB att fastställa de grundläggande beståndsdelarna i ett gemensamt administrativt förfarande för att behandla klagomål i gränsöverskridande ärenden enligt det samarbete som fastställs i artikel 60. Parlamentet yrkar på att detta ska göras genom vägledning om gemensamma tidsramar för att utföra utredningar och anta beslut. Parlamentet uppmanar EDPB att stärka mekanismen för enhetlighet och göra den obligatorisk för varje fråga med allmän räckvidd eller varje ärende med gränsöverskridande följder, för att undvika inkonsekventa arbetssätt och beslut från enskilda dataskyddsmyndigheter, eftersom detta skulle äventyra den enhetliga tolkningen och tillämpningen av dataskyddsförordningen. Parlamentet anser att denna gemensamma tolkning, tillämpning och vägledning kommer att bidra till att skapa och lyckas med den digitala inre marknaden.

22.  Europaparlamentet uppmanar EDPB att i förväg offentliggöra sin mötesagenda och att tillhandahålla mer detaljerade sammanfattningar av sina möten till allmänheten och Europaparlamentet.

Ett fragmenterat genomförande av dataskyddsförordningen

23.  Europaparlamentet beklagar djupt att medlemsstaternas användning av frivilliga specifikationsklausuler (t.ex. angående behandling i allmänhetens intresse eller av offentliga myndigheter på grundval av medlemsstatens lagstiftning och angående vilken ålder ett barn ska ge sitt samtycke) har inverkat negativt på uppnåendet av fullständig harmonisering av dataskyddet och undanröjandet av de olikartade marknadsvillkoren för företag runtom i EU, och uttrycker sin oro för att detta kan driva upp kostnaden för efterlevnaden av dataskyddsförordningen. Parlamentet uppmanar EDPB att lägga fram vägledning om hur man ska hantera olika grad av införande av frivilliga specifikationsklausuler mellan medlemsstaterna. Parlamentet uppmanar kommissionen att använda sig av sina befogenheter att ingripa i medlemsstater när nationella åtgärder, insatser och beslut undergräver dataskyddsförordningens anda, mål och formuleringar, i syfte att förhindra ett ojämlikt skydd för medborgarna och marknadsstörningar. Parlamentet betonar i detta sammanhang att medlemsstaterna har antagit olika åldersgränser för föräldrars samtycke. Parlamentet uppmanar därför kommissionen och medlemsstaterna att bedöma vad denna fragmentering har för effekt på barns verksamhet och skydd online. Parlamentet betonar att i händelse av lagkonflikter mellan en nationell lag i en medlemsstat och dataskyddsförordningen bör bestämmelserna i dataskyddsförordningen gå före.

24.  Europaparlamentet uttrycker stark oro över att dataskyddsförordningen missbrukas av vissa medlemsstaters offentliga myndigheter för att göra inskränkningar för journalister och icke-statliga organisationer. Parlamentet håller helt med kommissionen om att dataskyddsregler inte bör påverka utövandet av yttrandefrihet och informationsfrihet, särskilt inte genom att de orsakar en nedkylande effekt eller tolkas som ett sätt att sätta press på journalister att avslöja sina källor. Parlamentet uttrycker dock sin besvikelse över att kommissionen inte har slutfört sin bedömning av avvägningen mellan rätten till skydd av personuppgifter och yttrande- och informationsfriheten, i enlighet med artikel 85 i dataskyddsförordningen. Parlamentet uppmanar kommissionen att utan onödigt dröjsmål slutföra sin bedömning av den nationella lagstiftningen i detta avseende och att använda alla tillgängliga verktyg, däribland överträdelseförfaranden, för att säkerställa att medlemsstaterna följer dataskyddsförordningen och för att begränsa all fragmentering av dataskyddsregelverket.

Inbyggt dataskydd

25.  Europaparlamentet uppmanar tillsynsmyndigheterna att utvärdera genomförandet av artikel 25 om inbyggt dataskydd och dataskydd som standard, särskilt i syfte att säkerställa de tekniska och operativa åtgärder som krävs för att genomföra principerna om uppgiftsminimering och ändamålsbegränsning, och fastställa den effekt som denna bestämmelse har haft på tillverkare av behandlingsteknik. Parlamentet välkomnar att EDPB i oktober 2020 antog sina riktlinjer 04/2019 för inbyggt dataskydd och dataskydd som standard enligt artikel 25 för att bidra till klarhet angående rättsläget för dessa begrepp. Parlamentet uppmanar tillsynsmyndigheterna att även bedöma om standardinställningar används korrekt enligt vad som föreskrivs i artikel 25.2, inklusive av stora leverantörer av onlinetjänster. Parlamentet rekommenderar att EDPB antar riktlinjer för att avgöra under vilka särskilda förhållanden och i vilka (klasser av) ärenden IKT-tillverkare ska anses vara personuppgiftsansvariga enligt artikel 4.7, i den mening de avgör medlen för behandlingen. Parlamentet påpekar att dataskyddsrutinerna fortfarande i hög grad är beroende av manuella uppgifter och godtyckliga format, och är översållade med inkompatibla system. Parlamentet uppmanar EDPB att ta fram riktlinjer som bidrar till att omsätta dataskyddskrav i praktiken, däribland riktlinjer för konsekvensbedömningar avseende dataskydd (artikel 35), inbyggt dataskydd och dataskydd som standard (artikel 25), information riktad till registrerade (artiklarna 12–14), utövandet av registrerades rättigheter (artiklarna 15–18 och 20–21) och register över behandling (artikel 30). Parlamentet uppmanar EDPB att se till att sådana riktlinjer är enkla att tillämpa och även möjliggör kommunikation från maskin till maskin mellan registrerade, personuppgiftsansvariga och dataskyddsmyndigheter (automatisering av dataskydd). Parlamentet uppmanar kommissionen att ta fram de maskinläsbara ikonerna enligt artikel 12.8 för att informera registrerade, i nära samarbete med EDPB. Parlamentet uppmuntrar EDPB och tillsynsmyndigheterna att utnyttja hela potentialen enligt artikel 21.5 om automatiserade sätt att invända mot behandling av personuppgifter.

Riktlinjer

26.  Europaparlamentet uppmanar EDPB att harmonisera omsättningen av dataskyddskrav i praktiken genom att ta fram riktlinjer, bland annat för behovet att bedöma risker i samband med information om databehandling till registrerade (artiklarna 12–14), utövandet av registrerades rättigheter (artiklarna 15–18 och 20–21) och genomförandet av principen om ansvarsskyldighet. Parlamentet uppmanar EDPB att utfärda riktlinjer med klassificering av olika fall av berättigad användning av profilering utifrån vilka risker de medför för registrerades rättigheter och friheter, tillsammans med rekommendationer för lämpliga tekniska och organisatoriska åtgärder, och med en tydlig beskrivning av olagliga användningsfall. Parlamentet uppmanar EDPB att se över artikel 29-gruppens yttrande 05/2014 av den 10 april 2014 om avidentifieringsmetoder och att upprätta en förteckning med otvetydiga kriterier för att uppnå anonymisering. Parlamentet uppmuntrar EDPB att klargöra behandling av uppgifter i personalsyfte. Parlamentet noterar EDPB:s slutsats att behovet att bedöma risker i samband med databehandling, i enlighet med dataskyddsförordningen, bör upprätthållas, eftersom risker för registrerade inte är kopplade till den personuppgiftsansvariges storlek. Parlamentet efterlyser ett bättre utnyttjande av den mekanism enligt vilken kommissionen kan begära rådgivning från EDPB i ärenden som omfattas av dataskyddsförordningen.

27.  Europaparlamentet noterar att covid-19-pandemin har betonat behovet av tydlig vägledning från dataskyddsmyndigheterna och EDPB om hur dataskyddsförordningen lämpligen genomförs och verkställs inom folkhälsopolitiken. Parlamentet påminner i detta hänseende om riktlinjerna 03/2020 om databehandling som rör hälsa för vetenskaplig forskning i samband med covid-19-utbrottet och riktlinjerna 04/2020 om användning av lokaliseringsuppgifter och smittspårningsverktyg i samband med covid-19-utbrottet. Parlamentet uppmanar kommissionen att säkerställa fullständig efterlevnad av dataskyddsförordningen när det europeiska hälsodataområdet inrättas.

Internationella flöden av personuppgifter och internationellt samarbete

28.  Europaparlamentet betonar att det är viktigt att tillåta fria flöden av personuppgifter på internationell nivå utan att sänka den skyddsnivå som garanteras enligt dataskyddsförordningen. Parlamentet stöder kommissionens praxis att behandla dataskydd och flöden av personuppgifter separat från handelsavtal. Parlamentet anser att internationellt samarbete på området dataskydd och konvergens mellan relevanta regler i förhållande till dataskyddsförordningen kommer att förbättra den ömsesidiga tilliten, gynna förståelsen av de tekniska och rättsliga utmaningarna och i slutändan underlätta gränsöverskridande uppgiftsflöden som är av central betydelse för internationell handel. Parlamentet erkänner den verklighet som råder, med motstridiga rättsliga krav för företag som utför databehandling i såväl EU som tredjelandsjurisdiktioner, främst Förenta staterna.

29.  Europaparlamentet betonar att beslut om adekvat skyddsnivå inte bör vara politiska utan rättsliga beslut. Parlamentet uppmuntrar till fortsatta insatser för att främja globala rättsliga ramar och möjliggöra dataöverföringar på grundval av dataskyddsförordningen och Europarådets konvention 108+. Parlamentet noterar även att berörda parter anser att beslut om adekvat skyddsnivå är ett väsentligt instrument för sådana dataflöden, eftersom de inte förbinder dem med ytterligare villkor eller tillstånd. Parlamentet betonar dock att beslut om adekvat skyddsnivå hittills bara har antagits för nio länder, trots att många ytterligare tredjeländer nyligen har antagit nya dataskyddslagar med liknande bestämmelser och principer som i dataskyddsförordningen. Parlamentet noterar att fram till i dag har ingen enskild mekanism för att garantera laglig överföring av kommersiella personuppgifter mellan EU och Förenta staterna godkänts i en prövning i Europeiska unionens domstol.

30.  Europaparlamentet välkomnar antagandet av det första ömsesidiga beslutet om adekvat skyddsnivå mellan EU och Japan, som har gett upphov till världens största område med fria och säkra uppgiftsflöden. Parlamentet uppmanar dock kommissionen att ta hänsyn till alla de frågor som väckts av parlamentet i den första granskningen av detta instrument och att offentliggöra resultaten så snart som möjligt, eftersom granskningen skulle ha antagits i januari 2021.

31.  Europaparlamentet uppmanar kommissionen att offentliggöra de kriterier som används för att avgöra om ett tredjeland anses ha en ”väsentligen likvärdig” skyddsnivå som den som ges i EU, särskilt i fråga om tillgång till rättsmedel och myndigheters tillgång till uppgifter. Parlamentet insisterar på att det finns ett behov av att säkerställa ändamålsenlig tillämpning och efterlevnad av bestämmelserna angående överföringar eller utlämnanden som inte är tillåtna av unionen enligt artikel 48 i dataskyddsförordningen, i synnerhet när myndigheter i tredjeländer begär tillgång till personuppgifter i unionen, och uppmanar EDPB och dataskyddsmyndigheterna att ge vägledning och verkställa dessa bestämmelser, däribland vid bedömningen och utarbetandet av mekanismer för överföring av personuppgifter.

32.  Europaparlamentet uppmanar kommissionen att anta delegerade akter för att ange de krav som ska beaktas för certifieringsmekanismen för dataskydd enligt artikel 42.1, i syfte att öka användningen av denna, tillsammans rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i tredjelandet att tillämpa lämpliga skyddsåtgärder, även vad gäller den registrerades rättigheter, som ett verktyg för internationella överföringar, i enlighet med vad som föreskrivs i artikel 46.2 f.

33.  Europaparlamentet upprepar att massövervakningsprogram som omfattar insamling av bulkdata utgör ett hinder vid bedömningar av adekvat skyddsnivå. Parlamentet vädjar till kommissionen att tillämpa EU-domstolens slutsatser i målen Schrems I(5), II(6) och Privacy International m.fl. (2020)(7) på alla granskningar av beslut om adekvat skyddsnivå och på pågående och framtida förhandlingar. Parlamentet påminner om att överföringar som bygger på undantag för särskilda situationer enligt artikel 49 i dataskyddsförordningen bör fortsätta att endast gälla i undantagsfall. Parlamentet välkomnar riktlinjerna från EDPB och dataskyddsmyndigheterna i detta hänseende och uppmanar dem att säkerställa en enhetlig tolkning när det gäller tillämpningen och kontrollen av sådana undantag i enlighet med EDPB:s riktlinjer 02/2018.

34.  Europaparlamentet uppmanar dataskyddsmyndigheterna och kommissionen att systematiskt bedöma huruvida dataskyddsregler tillämpas i praktiken i tredjeländer, i enlighet med EU-domstolens rättspraxis.

35.  Europaparlamentet uppmanar med kraft kommissionen att utan onödigt dröjsmål offentliggöra sin översyn av de beslut om adekvat skyddsnivå som har antagits enligt 1995 års direktiv. Parlamentet betonar att standardavtalsklausuler, i brist på beslut om adekvat skyddsnivå, är det mest allmänt använda verktyget för internationella dataöverföringar. Parlamentet noterar att EU-domstolen bekräftat giltigheten av beslut 2010/87/EU om standardavtalsklausuler(8) och kräver samtidigt en bedömning av den skyddsnivå som ges uppgifter som överförs till ett tredjeland och de relevanta aspekterna av det berörda tredjelandets rättssystem när det gäller offentliga myndigheters tillgång till de överförda personuppgifterna. Parlamentet vädjar till kommissionen att påskynda sitt arbete med moderniserade standardavtalsklausuler för internationella dataöverföringar, för att säkerställa rättvisa villkor för små och medelstora företag på internationell nivå. Parlamentet välkomnar kommissionens offentliggörande av utkast till standardavtalsklausuler och målet att göra dem mer användarvänliga liksom att åtgärda konstaterade brister i de nuvarande standarderna.

36.  Europaparlamentet påminner om EDPB:s riktlinjer 1/2019 om uppförandekoder och tillsynsorgan enligt förordning (EU) 2016/679. Parlamentet erkänner att detta instrument för närvarande inte utnyttjas tillräckligt trots garanterad efterlevnad av dataskyddsförordningen när det används tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige eller personuppgiftsbiträdet i det berörda tredjelandet att tillämpa lämpliga skyddsåtgärder. Parlamentet understryker den potential som detta instrument har för att bättre stödja små och medelstora företag och skapa större rättslig säkerhet i samband med internationella dataöverföringar mellan olika sektorer.

Framtida unionslagstiftning

37.  Europaparlamentet anser att dataskyddsförordningen genom att vara teknikneutral åstadkommer ett stabilt regelverk för framväxande ny teknik. Parlamentet anser ändå att det krävs ytterligare insatser för att ta itu med mer omfattande digitaliseringsproblem, såsom monopolsituationer och maktobalans genom särskilda regelverk, och för att noggrant beakta sambandet mellan dataskyddsförordningen och varje nytt lagstiftningsinitiativ i syfte att säkerställa enhetlighet och motverka rättsliga vakuum. Parlamentet påminner kommissionen om dess skyldighet att se till att lagstiftningsförslag, exempelvis beträffande dataförvaltning, dataakt, rättsakt om digitala tjänster eller artificiell intelligens, alltid måste vara fullständigt förenliga med dataskyddsförordningen och dataskyddsdirektivet för polis- och åklagarmyndigheterna(9). Parlamentet anser att de slutliga texter som antas av medlagstiftarna genom interinstitutionella förhandlingar fullt ut måste respektera regelverket för dataskydd. Parlamentet beklagar dock att kommissionen själv inte alltid har en enhetlig strategi för dataskydd i sina lagstiftningsförslag. Parlamentet betonar att en hänvisning till tillämpning av dataskyddsförordningen, eller formuleringen ”utan att det påverkar dataskyddsförordningen”, inte automatiskt gör ett förslag förenligt med dataskyddsförordningen. Parlamentet uppmanar kommissionen att rådfråga Europeiska datatillsynsmannen (EDPS) och EDPB i fall där behandling av personuppgifter inverkar på skyddet av enskilda personers rättigheter och friheter efter antagande av förslag till en lagstiftningsakt. Parlamentet uppmanar dessutom kommissionen att när den utarbetar förslag eller rekommendationer sträva efter att rådfråga EDPS, för att säkerställa enhetliga dataskyddsregler i hela unionen, och att alltid utföra en konsekvensbedömning.

38.  Europaparlamentet noterar att trots att profilering endast tillåts under strikta och begränsade villkor enligt artikel 22 i dataskyddsförordningen, används denna praxis allt oftare eftersom enskildas onlineverksamhet möjliggör djupa inblickar i deras psykologi och privatliv. Eftersom profilering gör det möjligt att manipulera användarnas beteende, bör insamling och behandling av personuppgifter avseende användning av digitala tjänster begränsas till vad som är absolut nödvändigt för att tillhandahålla användarna tjänsten i fråga och fakturera dem. Parlamentet uppmanar kommissionen att föreslå strikt sektorsspecifik dataskyddslagstiftning för känsliga kategorier av personuppgifter där den ännu inte har gjort detta. Parlamentet kräver strikt verkställighet av dataskyddsförordningen vid behandling av personuppgifter.

39.  Europaparlamentet begär att konsumenterna ska ges möjlighet att fatta informerade beslut om följderna för deras privatliv när denna nya teknik används och att en rättvis och insynsvänlig behandling ska säkerställas genom att konsumenterna ges lätthanterliga möjligheter att lämna och dra tillbaka sitt samtycke till behandling av deras personuppgifter enligt vad som föreskrivs i dataskyddsförordningen.

Dataskyddsdirektivet för polis- och åklagarmyndigheterna

40.  Europaparlamentet oroas av att de dataskyddsregler som används av polis- och åklagarmyndigheter inte alls räcker till för att hålla jämna steg med dessa myndigheters nyligen inrättade befogenheter. Parlamentet uppmanar därför kommissionen att utvärdera dataskyddsdirektivet för polis- och åklagarmyndigheterna tidigare än vad som föreskrivs i direktivet och att offentliggöra översynen.

Förordningen om integritet och elektronisk kommunikation

41.  Europaparlamentet uttrycker sin djupa oro över medlemsstaternas bristande genomförande av direktivet om integritet och elektronisk kommunikation(10) mot bakgrund av de ändringar som införts genom dataskyddsförordningen. Parlamentet uppmanar kommissionen att påskynda sin bedömning och inleda överträdelseförfaranden mot de medlemsstater som inte har genomfört direktivet om integritet och elektronisk kommunikation på ett korrekt sätt. Parlamentet är mycket oroat över att den flera år försenade reformen av den digitala integriteten leder till ett fragmenterat rättsligt landskap i EU, till skada för både företag och medborgare. Parlamentet påminner om att förordningen om integritet och elektronisk kommunikation(11) har utformats för att komplettera och specificera dataskyddsförordningen samt sammanfaller med dataskyddsförordningens ikraftträdande. Parlamentet understryker att reformen av reglerna för integritet och elektronisk kommunikation inte får leda till att den nuvarande skyddsnivån enligt dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation sänks. Parlamentet beklagar att det har tagit fyra år för rådet att slutligen inta sin förhandlingsposition om förslaget till förordningen om integritet och elektronisk kommunikation, medan parlamentet intog sin förhandlingsposition i oktober 2017. Parlamentet påminner om betydelsen av att uppgradera reglerna om integritet och elektronisk kommunikation från 2002 och 2009 för att förbättra skyddet av medborgarnas grundläggande rättigheter och rättssäkerheten för företag, som komplement till dataskyddsförordningen.

o
o   o

42.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till kommissionen, Europeiska rådet, regeringarna och de nationella parlamenten i medlemsstaterna, Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen.

(1) EUT L 119, 4.5.2016, s. 1. (2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf (3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf (4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EUT L 281, 23.11.1995, s. 31). (5) Domstolens dom av den 6 oktober 2015, Maximillian Schrems mot Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (6) Domstolens dom av den 16 juli 2020, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (7) Domarna i målen C-623/17, Privacy International mot Secretary of State for Foreign and Commonwealth Affairs m.fl., C-511/18, La Quadrature du Net m.fl., C-512/18, French Data Network m.fl., och C-520/18, Ordre des barreaux francophones och germanophone m.fl. (8) Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG, ändrat genom kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016 (EUT L 39, 12.2.2010, s. 5). (9) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89). (10) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (EGT L 201, 31.7.2002, s. 37). (11) Förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (COM(2017)0010).