Vigtige indsigter for tyske virksomheder fra EU-Kommissionens anden rapport om anvendelsen af den generelle forordning om databeskyttelse
> August 2024

GDPR’s art. 97 kræver, at Europa-Kommissionen hvert fjerde år offentliggør en rapport, hvor anvendelsen af GDPR evalueres. Det er først og fremmest en gennemgang af tilsynsmyndighedernes håndhævelse. Ikke desto mindre er der også relevante konklusioner at drage for virksomheder. Den 25. juli 2024 offentliggjorde Kommissionen den anden af disse rapporter.
...
Kommissionen betragter fortsat GDPR som en hjørnesten for yderligere sektorspecifik regulering i det digitale landskab. Det understreges, at regler, som den fornyligt vedtagne AI-lov, på ingen måde tilsidesætter GDPR, men at hvert stykke lovgivning skal overholdes individuelt. Kommissionen presser derfor på, at de langvarige forhandlinger om forslaget til en forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation (se her), som skal erstatte det nuværende direktiv 2002/58/EF, endelig afsluttes.

Med hensyn til internationale datastrømme påpeger Kommissionen, at en første gennemgang af EU-US-databeskyttelsesrammen skal finde sted til sommer, og at udløbsklausulen i beslutningen om tilstrækkelighed for Det Forenede Kongerige vil udløbe i 2025. Sidstnævnte vil kun blive forlænget, hvis beskyttelsesniveauet i Det Forenede Kongerige fortsat viser sig at være tilstrækkeligt. Derfor kan det ikke udelukkes, at dataoverførsler til tredjelande kan volde problemer i fremtiden, især i forhold til USA. Kommissionen opfordrer også medlemslandene, der endnu ikke har underskrevet og ratificeret Europarådets moderniserede konvention 108+ (se her), til at gøre det så hurtigt som muligt, så den kan træde i kraft. På databeskyttelsesområdet er konvention 108+ det eneste juridisk bindende multilaterale juridiske instrument og kan fremme den internationale datatrafik på en bæredygtig måde.

Rapporten fokuserer også på små og mellemstore virksomheder (SMV'er). Kommissionen understreger, at det er vigtigt at støtte dem i at overholde GDPR for at nå målene med GDPR. Til en vis grad kan SMV'er allerede slippe fra compliance-arbejdsbyrden ved at benytte sig af GDPR’s værktøjskasse med instrumenterne, der gør det muligt på en fleksibel måde at forvalte og påvise deres overholdelse, hvis der kun udføres lavrisikobehandlingsaktiviteter. Derudover vil brugen af standardkontraktbestemmelser være et let anvendeligt overholdelsesinstrument, forudsat at kontraktpartneren accepterer at indgå dem, hvilket sjældent er tilfældet med større virksomheder.

Samtidig anerkender Kommissionen, at især det faktum, at forskellige myndigheder fortolker vigtige vilkår og principper i GDPR på forskellig måde, skaber betydelige udfordringer for de dataansvarlige. Ifølge Kommissionen gælder dette især for spørgsmålet om, hvorvidt de registreredes anmodninger om indsigt er ubegrundede eller overdrevne, hvis de indsendes i særligt stort antal eller til formål, der ikke vedrører databeskyttelse. I denne sammenhæng opfordrer Kommissionen tilsynsmyndighederne til fremtidig i stigende grad at støtte SMV'er ved at yde "skræddersyet støtte og praktiske værktøjer" samt aktivt at søge dialog om overholdelse af GDPR.

Det er dog stadig uvist, i hvilket omfang denne målsætning også vil kunne mærkes i Tyskland. Ikke desto mindre viser rapporten, at de tyske tilsynsmyndigheder allerede er godt beskæftiget. De indledte langt de fleste undersøgelser på eget initiativ og pålagde de fleste bøder. I 2022 udstedte de også flest afhjælpende foranstaltninger. I alle tilfælde varierer viljen til at samarbejde med de ansvarlige meget fra myndighed til myndighed.