LIBE Committee’s Vote: EU Data Protection Regulation Takes Second Base

The EU Data Protection Regulation is in its second round. Having been rejected by the European Parliament earlier this year, Viviane Reding’s ambition of replacing the member states’ data protection laws by one single EU wide regulation has arrived at second base.

Background

On 22 Octo­ber 2013 the LIBE Com­mit­tee of the Euro­pean Par­lia­ment (Com­mit­tee for Civ­il Lib­er­ties, Jus­tice and Home Affairs) backed an amend­ed ver­sion of the EU Data Pro­tec­tion Reg­u­la­tion (Reg­u­la­tion). This vote was deemed a ”strong sig­nal for Europe” by Vice-Pres­i­dent Viviane Red­ing, the EU’s Jus­tice Com­mis­sion­er and key pro­mot­er of the Reg­u­la­tion.

But why was there a need for a re-draft? In June 2013 the Euro­pean Par­lia­ment reject­ed the ini­tial draft of the Data Pro­tec­tion Reg­u­la­tion because it felt there was a need for sub­stan­tial improve­ment. With this the Euro­pean Par­lia­ment fol­lowed mul­ti­ple requests for changes placed not only by the mem­ber states but also by com­pa­nies from var­i­ous indus­tries, by NGOs, and by indi­vid­u­als. Although most of these (more than 4,000) requests had been labelled “lob­by­ing” by the media, there was nev­er any doubt that the orig­i­nal ver­sion of the Data Pro­tec­tion Reg­u­la­tion had clear room for improve­ment. As a result the draft Reg­u­la­tion was re-draft­ed and final­ly pre­sent­ed to (and backed by) the LIBE Com­mit­tee on 22 Octo­ber. What fol­lows is a short overview of the most mate­r­i­al changes.

Pseudonymised data favoured

Sim­i­lar to the orig­i­nal draft, the new ver­sion of the Reg­u­la­tion allows the pro­cess­ing of per­son­al data only on valid legal grounds, such as con­sent, statu­to­ry pro­vi­sions, or if required for the per­for­mance of a con­tract. How­ev­er, the re-draft­ed ver­sion of the Reg­u­la­tion fur­ther accepts the pro­cess­ing of per­son­al data upon over­rid­ing legit­i­mate con­troller inter­ests if this meets the “rea­son­able expec­ta­tions” of the data sub­ject based on his / her rela­tion­ship with the con­troller. In the respec­tive recitals it is stat­ed that, as a gen­er­al rule, the pro­cess­ing of pseu­do­nymised data should be pre­sumed to meet the rea­son­able expec­ta­tions of the data sub­ject. In oth­er words, the re-draft­ed ver­sion of the Reg­u­la­tion only allows per­son­al data pro­cess­ing upon over­rid­ing legit­i­mate con­troller inter­ests if a data sub­ject can rea­son­ably expect that his / her data will be processed on a per­son­alised basis. With this, the re-draft­ed ver­sion of the Reg­u­la­tion prin­ci­pal­ly favours the pro­cess­ing of pseu­do­nymised data.

More elaborate mechanisms and procedures

The re-draft­ed Reg­u­la­tion now pro­vides for more elab­o­rat­ed mech­a­nisms and pro­ce­dures for data sub­jects to effi­cient­ly exer­cise their rights of data access, rec­ti­fi­ca­tion, and era­sure. Among oth­er adap­ta­tions, the re-draft­ed ver­sion requires data con­trollers to pro­vide remote access to allow data sub­jects to direct­ly access their data at the data con­troller. Also the re-draft­ed Reg­u­la­tion asks data con­trollers to com­pre­hen­sive­ly inform data sub­jects about the company’s data pro­cess­ing by pro­vid­ing a set of par­tic­u­lars in terms of pre-defined icons. These icons should give (stan­dard­ised) infor­ma­tion about how and to what extent the data con­troller process­es the data sub­jects’ data and, with this, should pro­vide easy under­stand­able infor­ma­tion about the company’s data pro­cess­ing.

Reasonable steps to have data erased

The “right to be for­got­ten” was replaced by an oblig­a­tion for data con­trollers to take all rea­son­able steps to have data erased, includ­ing by third par­ties, where this data was made pub­lic with­out jus­ti­fi­ca­tion. Fur­ther, the re-draft­ed ver­sion of the Reg­u­la­tion harsh­ly lim­its data pro­cess­ing for the pur­pose of “pro­fil­ing” in terms of analysing or eval­u­at­ing a per­son, the person’s per­for­mance, or behav­iour.

Anoth­er sig­nif­i­cant aspect of the new Data Pro­tec­tion Reg­u­la­tion is its uphold­ing of the “one stop shop” prin­ci­ple by claim­ing that com­pa­nies with estab­lish­ments in sev­er­al mem­ber states only have to deal with the DP reg­u­la­to­ry author­i­ty locat­ed in the coun­try of the company’s “main estab­lish­ment”. The Reg­u­la­tion defines “main estab­lish­ment” as where the main deci­sions of the company’s data pro­cess­ing are tak­en. As regards HR data this will typ­i­cal­ly be the loca­tion of the employ­er. With respect to cus­tomer data it will have to be dis­tin­guished: Local cus­tomer data admin­is­tra­tion will most like­ly trig­ger the local DP regulator’s juris­dic­tion where­as cen­tralised and cor­po­rate-wide cus­tomer data admin­is­tra­tion might fall with­in the com­pe­ten­cy of the DP reg­u­la­tor locat­ed at the cor­po­rate head­quar­ters. How­ev­er, the details of how this con­cept should be han­dled in prac­tice are still open.

Increased fines

Maybe the most sig­nif­i­cant amend­ment is the pro­posed increase of fines for non-com­pli­ance with the Reg­u­la­tion (up to EUR 100,000,000 or up to 5% of the annu­al world­wide turnover of the com­pa­ny). Reg­u­la­tors might also impose warn­ings in writ­ing in cas­es of first and non-inten­tion­al non-com­pli­ance, and they can ini­ti­ate reg­u­lar and peri­od­ic data pro­tec­tion audits. It should be not­ed, how­ev­er, that the Reg­u­la­tion gives relief to com­pa­nies hold­ing a “Euro­pean Data Pro­tec­tion Seal” since in this case fines may only be imposed in cas­es of inten­tion­al or neg­li­gent non­com­pli­ance.

The re-draft­ed Reg­u­la­tion caus­es spe­cif­ic con­cern to Safe Har­bour cer­ti­fied com­pa­nies. Prin­ci­pal­ly the safe har­bour regime should stay in place for a tran­si­tion­al five-year peri­od. How­ev­er, most recent­ly the Euro­pean Par­lia­ment con­sid­ered the sus­pen­sion of Safe Har­bour putting US com­pa­nies at risk of being deprived of their legal basis for data trans­fers from Europe to the US much soon­er than expect­ed.

The Euro­pean Com­mis­sion aims at get­ting the Reg­u­la­tion in force by May 2014 (the date of the Euro­pean Par­lia­men­tary elec­tions). How­ev­er, even the re-draft­ed Reg­u­la­tion still has sig­nif­i­cant­ly room for improve­ment. Maybe the mot­to for a more sus­tain­able revi­sion of the new Data Pro­tec­tion Reg­u­la­tion could be, “slow and steady wins the race.”

The EU Data Protection Regulation was re-drafted but not necessarily improved. It seems a long-term and deliberated revision of the Regulation might be the more appropriate choice to achieve a sustainable EU-wide data protection regulation.

Комисията по граждански свободи, правосъдие и вътрешни работи гласува: Европейският регламент за защита на личните данни поема към втора фаза.

Европейският регламент за защита на личните данни поема към втора фаза. Веднъж отхвърлена от Европейския парламент по-рано тази година, амбицията на Вивиан Рединг да замести законодателството за защита на личните данни на страните членки с регламент приложим за всички страни-членки на ЕС, достигна втора фаза.

Факти

На 22.10.2013 г. Комисията по граждански свободи, правосъдие и вътрешни работи към Европейския парламент, подкрепи изменената версия на Европейския регламент за защита на личните данни (Регламент). Това гласуване беше прието като “сериозен сигнал” от Вивиан Рединг, заместник-председател на Европейската комисия с ресор правосъдие, основни права и гражданство и основен привърженик на Регламента.

Но защо имаше нужда от изменение на Регламента? През месец юни 2013 г. Европейският парламент отхвърли първоначалната версия на Регламента, защото се усещаше нужда от значително подобрение. По този начин Европейският парламент се съобрази с многобройните искания за промяна, не само на страните-членки, но и на компании от различни сектори, сдружения с нестопанска цел и дори физически лица. Въпреки че по-голямата част от тези искания (над 4,000) бяха заклеймени като “лоби” от медиите, никога не е имало съмнение, че първоначалната версия на Регламента имаше нужда от усъвършенстване. В резултат, първоначалната версия на Регламента беше изменена и най-накрая представена на (и одобрена от) Комисията по граждански свободи, правосъдие и вътрешни работи на 22.10.2013 г. Нашата цел е да обърнем внимание на някои от основните промени.

В полза на псевдонимизираните данни

Подобно на първоначалната версия на Регламента, новият вариант позволява обработване на лични данни само при наличие на валидно правно основание, като съгласие, нормативно установено задължение или за изпълнение на задължения по договор. Независимо от горното, новата версия на Регламента одобрява и обработване на лични данни за реализиране на законните интереси на администратора, ако това съответства на “приемливите интереси” на физическото лице, имайки предвид взаимоотношенията му с администратора. В изложението е посочено, че като общ принцип, обработването на псевдонимизирани данни би следвало да отговаря на очакванията на физическото лице. С други думи, новата версия на Регламента позволява обработване на лични данни при реализиране на законните интереси на администратора, ако физическото лице има основание да смята, че неговите данни ще бъдат обработвани на база неговото идентифициране. С това, изменената версия на Регламента принципно показва благоразположението си към псевдонимизираните данни.

По-развити механизми и процедури

Изменената версия на Регламентапредоставя по-развити механизми и процедури на физическите лица да упражняват ефективно правото си на достъп, коригиране и заличаване. Наред с други изменения, изменената версия изисква администраторите да предоставят отдалечен достъп, с цел физическите лица да имат възможност директно да осъществят достъп до техните данни налични при администратора. Също така, изменената версия на Регламента изисква от администраторите да уведомят изчерпателно физическите лица за обработването на данните, предоставяйки поредица от детайли чрез предварително определени икони. Тези икони следва да предоставят (стандартизирана) информация за това как и до каква степен администраторът обработва данните на физическите лица и с тях следва да предостави лесна, разбираема информация за обработването на лични данни от страна на съответния администратор.

Приемливи стъпки за изтриване на данни.

“Правото да бъдеш забравен” беше заменено със задължение на администраторите да предприемат всички необходими мерки за изтриване на данните, включително от трети лица, където тези данни са станали публични без основание. В допълнение, изменената версия на Регламента силно ограничава обработването на данни за целите на “профилирането”, що се отнася до анализирането или оценяването на физическото лице, представянето на лицето или неговото поведение.

Друг важен аспект от новия Регламент е придържането към принципа “one stop shop”, основаващ се на възможността администраторите имащи дъщерни дружества в няколко страни-членки, да имат взаимоотношения само с регулаторния орган, намиращ се в държавата, където е “основното седалище” на администратора. Регламентът определя  “основното седалище” там, където се взимат основните решения от администратора за обработване на лични данни. От гледна точка на лични данни на служителите, принципно това ще бъде местонахождението на работодателя. От гледна точка личните данни на потребителите, “основното седалище” ще бъде разграничено: Администрирането на данните на потребителите на местно ниво, най-вероятно ще бъде от компетентността на местния регулаторен орган, докато администрирането на централизираните данни на потребителите, може би ще попадне в компетентността на регулаторния орган по седалището на администратораа. Независимо от горното, детайли за това как тази концепция ще се осъществи на практика, все още не са известни.

Увеличени санкции

Може би, най-сериозната промяна е предложеното увеличение на санкциите за неизпълнение (до EUR 100,000,000, или до 5% от годишния световен оборот на компанията). Регулаторните органи биха могли, също така да дават предупреждения в писмена форма при първо неизпълнение, което не е извършено умишлено, както и да инициират редовни и периодични проверки, отнасящи се до защитата на личните данни. Следва да се отбележи, че Регламентът предоставя облекчения за администратори, които имат “Европейски печат за защита на личните данни”, тъй като в този случай санкциите биха могли да бъдат наложени само при неизпълнение, извършено умишлено или по небрежност.

Измененият Регламент предизвиква тревоги най-вече в компаниите, сертифицирани по “Safe Har­bour”. По принцип, режимът “Safe Har­bour”, следва да остане за един преходен период от 5 години. Въпреки това, преди известно време, Европейският парламент обмисляше спирането на “Safe Har­bour”, излагайки по този начин, американските компании на риск да бъдат лишени от правно основание за трансфери на данни от Европа към САЩ, доста по-рано от очакваното.

Европейската комисия се стреми към приемането на Регламента до месец май 2014г. (датата на изборите за Европейски парламент). Независимо от това, измененият Регламент все още има място за усъвършенстване. Може би, мотото за по-устойчиво изменение на новия Регламент за защита на личните данни би било: “бавно и внимате лно към победа”.

Регламентът за защита на личните данни беше изменен, но не задължително подобрен. Изглежда, че дългосрочно и обмислено ревизиране на Регламента би бил по-уместния подход за достигане на устойчив Регламент, прилагащ се в Европейския съюз.