EDPB
Hvem er Det Europæiske Databeskyttelsesråd?
Det Europæiske Databeskyttelsesråd (eller blot Databeskyttelsesrådet) er et uafhængigt EU-organ, som skal sikre en ensartet anvendelse af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU.
På engelsk hedder rådet European Data Protection Board (forkortet EDPB). Den 25. maj 2018 afløste rådet den hidtidige Artikel 29-Gruppe som det kollektive organ for de europæiske datatilsyn.
Rammerne for Databeskyttelsesrådets arbejde fremgår af databeskyttelsesforordningens artikel 68-76.
Databeskyttelsesrådet er sammensat af cheferne for medlemsstaternes tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS). EU-Kommissionen kan deltage i Databeskyttelsesrådets aktiviteter og møder, men har ikke stemmeret.
Databeskyttelsesrådet udarbejder blandt andet retningslinjer, anbefalinger og bedste praksis om anvendelsen af databeskyttelsesreglerne. Rådet spiller også en vigtig rolle i samarbejdet mellem de nationale datatilsyn og kan i visse tilfælde træffe bindende afgørelser for at sikre en ensartet fortolkning og anvendelse af reglerne på tværs af medlemsstaterne.
Danmark er repræsenteret ved Datatilsynets direktør, Cristina Angela Gulisano, eller kontorchefen for International Enhed, Anders Aagaard. Rådets sekretariat er i Bruxelles, hvor rådets fysiske møder også afholdes.
Rådets organisering
Organisering
Databeskyttelsesrådets forretningsorden indeholder de vigtigste regler for rådets drift:
- Organisering
- Samarbejde mellem medlemmer
- Valg af formand og næstformand
- Arbejdsmetoder
Databeskyttelsesrådet træffer afgørelser med simpelt flertal blandt sine medlemmer, medmindre andet er fastsat i databeskyttelsesforordningen.
Databeskyttelsesrådet udarbejder årligt en rapport om beskyttelse af fysiske personer i forbindelse med behandling i Unionen og - hvis det er relevant - i tredjelande og internationale organisationer. Rapporten offentliggøres og forelægges Europa-Parlamentet, Rådet og EU-Kommissionen. Du kan finde Databeskyttelsesrådets årlige rapporter her
Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) stiller et sekretariat til rådighed for Databeskyttelsesrådet. Sekretariatet udfører udelukkende sine opgaver efter instruks fra formanden for Databeskyttelsesrådet og yder analytisk, administrativ og logistisk støtte til Databeskyttelsesrådet. Rammerne for sekretariatets arbejde fremgår af databeskyttelsesforordningens artikel 75.
Opgaver og pligter
Med henblik på at sikre en ensartet anvendelse af databeskyttelsesreglerne kan Databeskyttelsesrådet blandt andet:
- Give generel vejledning for at præcisere lovgivningen
- Fremme samarbejde og effektiv udveksling af oplysninger og bedste praksis mellem nationale tilsynsmyndigheder
- Træffe bindende afgørelser omkring fortolkningen af reglerne ved uenighed tilsynene imellem
- Rådgive EU-Kommissionen
En oversigt over alle Databeskyttelsesrådets opgaver fremgår af databeskyttelsesforordningens artikel 70.
Arbejde og værktøjer
Arbejde og værktøjer
Databeskyttelsesrådets arbejde består blandt andet i at give generel vejledning for at fremme en fælles forståelse af de europæiske databeskyttelsesregler både i EU såvel som i resten af verden.
Databeskyttelsesrådet kan udstede retningslinjer, henstillinger og bedste praksis vedrørende særligt databeskyttelsesforordningen og retshåndhævelsesdirektivet, der for sidstnævntes vedkommende er gennemført i Danmark ved lov om retshåndhævende myndigheders behandling af personoplysninger. I den forbindelse afholdes efter omstændighederne offentlige høringer med det formål at indsamle synspunkter mv. fra alle interesserede parter og borgere.
Databeskyttelsesrådet kan dertil afgive/træffe:
- Udtalelser i henhold til databeskyttelsesforordningens artikel 64 om ethvert spørgsmål vedrørende den generelle anvendelse af databeskyttelsesforordningen eller ethvert spørgsmål, der har indvirkning i mere end én medlemsstat. Endvidere kan rådet afgive udtalelser om visse afgørelser, der træffes af medlemsstaters tilsynsmyndigheder, og som har grænseoverskridende virkninger. En samlet oversigt over Databeskyttelsesrådets artikel 64-udtalelser er tilgængelig på Rådets hjemmeside.
- Bindende afgørelser i forbindelse med tvistbilæggelse i henhold til databeskyttelsesforordningens artikel 65. Denne bestemmelse giver Databeskyttelsesrådet mulighed for at træffe bindende afgørelser i de situationer, hvor medlemsstaternes tilsynsmyndigheder har forskellige opfattelser af eksempelvis hvilken af de berørte tilsynsmyndigheder, der er kompetent med hensyn til behandlingen af en sag, eller såfremt en national tilsynsmyndighed ikke følger Databeskyttelsesrådets udtalelse om et udkast til afgørelse. Databeskyttelsesrådets bindende afgørelser er ligeledes tilgængelige på Rådets hjemmeside.
Databeskyttelsesrådet rådgiver også EU-Kommissionen i spørgsmål vedrørende databeskyttelse i forbindelse med forslag til nye retsakter i henhold til databeskyttelsesforordningens artikel 70.
Læs mere her om Databeskyttelsesrådets forskellige opgaver.
Databeskyttelsesrådet offentliggør en række oversigter for at fremme transparens og åbenhed omkring rådets arbejde:
- En oversigt over godkendte bindende virksomhedsregler (BCR).
- En oversigt over afgørelser truffet på baggrund af One-Stop-Shop proceduren.
- En oversigt over godkendte adfærdskodekser
(Bidrager til korrekt anvendelse af databeskyttelsesforordningen og med hensyntagen til de særlige forhold, der gør sig gældende i de forskellige behandlingssektorer og forskellige former for og størrelser af virksomheder. Se databeskyttelsesforordningens artikel 40) - En oversigt over godkendte certificeringsmekanismer
(Databeskyttelsesmærkninger med henblik på at fremme at dataansvarliges og databehandleres behandlingsaktiviteter overholder databeskyttelsesforordningen. Se databeskyttelsesforordningens artikel 42)
Korte vejledninger fra EDPB
Det Europæiske Databeskyttelsesråd (EDPB) udgiver løbende korte vejledninger, der samler de vigtigste pointer fra rådets mere omfattende vejledninger i et kortere og mere lettilgængeligt format.
De korte vejledninger giver et hurtigt overblik over centrale databeskyttelsesemner og kan bruges som introduktion eller som indgang til mere detaljerede materialer (alle vejledningerne er på engelsk).
Få hurtigt indblik i centrale GDPR-emner.
Samtykke
Hvad kræves for, at et samtykke er gyldigt efter databeskyttelsesreglerne?
Kan bruges, hvis du er i tvivl om, hvornår samtykke er det rette behandlingsgrundlag.
Videoenheder
Hvordan gælder reglerne ved behandling af personoplysninger via videoenheder?
Kan bruges, hvis du anvender kameraer eller andre videoenheder.
Forbundne biler
Hvilke databeskyttelsesmæssige spørgsmål opstår i moderne køretøjer?
Kan bruges, hvis du arbejder med teknologi i biler eller transportløsninger.
Online tjenester
Hvornår kan behandling af personoplysninger være nødvendig for at levere en online tjeneste?
Kan bruges, hvis du udvikler eller driver digitale tjenester.
Retten til indsigt
Hvilke oplysninger har registrerede ret til at få adgang til?
Kan bruges, hvis du skal håndtere anmodninger om indsigt.
Legitim interesse
Hvornår kan behandling af personoplysninger baseres på legitim interesse?
Kan bruges, hvis du overvejer, om legitim interesse kan være et relevant behandlingsgrundlag.
Pseudonymisering
Hvad er pseudonymisering, og hvordan kan det anvendes?
Kan bruges, hvis du arbejder med sikkerhedsforanstaltninger eller dataminimering.
Blockchain-teknologier
Hvilke databeskyttelsesmæssige spørgsmål kan opstå ved brug af blockchain?
Kan bruges, hvis du arbejder med eller overvejer at anvende blockchain-løsninger.
Brud på persondatasikkerheden
Hvad skal du gøre ved et brud på persondatasikkerheden?
Kan bruges, hvis du skal vurdere eller håndtere en sikkerhedshændelse.
Samspillet mellem DSA og GDPR
Hvordan spiller reglerne i DSA og GDPR sammen?
Kan bruges, hvis du arbejder med digitale platforme eller online tjenester.
Databeskyttelse gennem design og standardindstillinger
Hvordan kan databeskyttelse tænkes ind fra starten?
Kan bruges, hvis du udvikler løsninger, systemer eller processer, hvor personoplysninger indgår.