Europeiska datatillsynsmannen framhäver vikten av förordningen i brev till Rådet

Av Christine Storr (Kirchberger)

Europeiska datatillsynsmannen (EDPS) är tillsynsmyndighet för personuppgiftsbehandlingen som utförs av de EU:s institutioner, d.v.s. Rådet, Europeiska kommissionen, Europaparlamentet, etc. Efter att ha lämnat sitt officiella yttrande till förslaget redan i mars 2012 (se lagstiftningsprocessen), har Datatillsynsmannen nu skickat ett brev till Rådspresidenten i samband med de pågående diskussionerna i Rådet om dataskyddsförordningen. Datatillsynsmannen framhäver bl.a. hur viktig ett snabb genomförandet av förslaget är:

”We consider that EU rules on data protection need to be reformed urgently in order to provide more consistency and uniformity in data protection across the EU, thus creating a level playing field, both for online and traditional market players. Citizens, in turn, deserve a more effective protection of their fundamental rights to privacy and data protection, which can only be delivered if the applicable legal framework is coherent (i.e. covers the broadest possible range of data processing entities and activities), as well as consistent (i.e. is applied in a manner as uniform as practicable throughout the 28 Member States).”

Enligt Datatillsynsmannen diskuteras i Rådet också möjligheten för den offentliga sektorn att undantas från dataskyddsförordningen. Datatillsynsmannen påpekar att en distinktion mellan den offentliga och privata sektorn inte är önskvärd och inte bara skulle fördröja den pågående lagstiftningsprocessen utan även innebära en risk för att samma typ av personuppgiftsbehandling omfattas av olika regler, endast på grund av vem som är personuppgiftsansvarig. EDPS framhäver även att den privata och offentliga sektorn oftast överför personuppgifter mellan varandra, vilket ytterligare skulle försvåras om olika regelverk gäller.

Datatillsynsmannen påpekar i brevet även vikten av one-stop-shop principen (som stoppades i december i Rådet):

”The one-stop-shop principle is an important element of the proposed harmonisation of the legal framework for data protection. It has been proposed by the Commission in order to increase the consistent application, provide legal certainty and reduce administrative burden for controllers and processors that are active in more than one Member State3. It reduces the fragmentation of the data protection landscape. It is important for businesses to be able to deal with (ideally) one interlocutor instead of (potentially) 28 national DPAs.”

Angående Artikel 22 i förslaget, som reglerar den personuppgiftsansvariges ansvar, framhävar Datatillsynsmannen att en riskbaserad ansats är ett bra verktyg och anser att:

”Accountability also means that compliance efforts should be primarily directed at areas where this is most needed, having regard, for example, to the sensitivity of the data or the risk involved in a specific processing operation. In this respect, we appreciate the efforts made by different Council Presidencies so far to appropriately describe the notion of ‘risk’, which necessarily involves a measure of judgment. In the interest of legal certainty, the proposed GDPR should provide for sufficiently clear criteria according to which such risk assessment should be performed by controllers, including both objective factors (e.g. the number of individuals affected by a specific processing operation) and more subjective notions (e.g. likely adverse effects on a person’s privacy).”

Brevet kan läsas i sin helhet här.

Rådet möttes den 3 – 4 mars för att diskutera förslaget igen (vi kommer att rapportera om nyheterna de närmaste dagarna). Det återstår att se effekten av Datatillsynsmannens brev, men vikten borde inte underskattas.