Udtalelse 05/2021 om udkast til en administrativ aftale om overførsel af personoplysninger mellem

Udtalelse 05/2021 om udkast til en administrativ aftale om overførsel af personoplysninger mellem

det franske Haut Conseil du Commissariat aux Comptes (H3C)

og

det amerikanske Public Company Accounting Oversight Board (PCAOB)

Vedtaget den 2. februar 2021

Translations proofread by EDPB Members.

This language version has not yet been proofread.

Indholdsfortegnelse

1 Opsummering af fakta 4

2 Vurdering 4

3 Konklusioner/anbefalinger 9

4 Afsluttende bemærkninger 9

Det Europæiske Databeskyttelsesråd

Under henvisning til artikel 63, artikel 64, stk. 2 og stk. 3-8, og artikel 46, stk. 3, litra b), i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt om ophævelse af direktiv 95/46/EF (i det følgende benævnt "databeskyttelsesforordningen"),

under henvisning til Det Europæiske Databeskyttelsesråds retningslinjer 2/2020 om artikel 46, stk. 2, litra a), og artikel 46, stk. 3, litra b), i forordning 2016/679 om overførsel af personoplysninger mellem EØS og offentlige myndigheder og organer uden for EØS, som blev vedtaget den 15. december 2020.

under henvisning til EØS-aftalen, særlig bilag XI og protokol 37 som ændret ved afgørelse nr. 154/2018 truffet af Det Blandede EØS-Udvalg den 6. juli 20181,

under henvisning til artikel 10 og 22 i Databeskyttelsesrådets forretningsorden, og ud fra følgende betragtninger:

(1) med henvisning til artikel 46, stk. 1, artikel 46, stk. 3, litra b) og artikel 46, stk. 4, i databeskyttelsesforordningen, hvis der ikke er truffet en beslutning i henhold til

artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis den dataansvarlige eller databehandleren har indført fornødne garantier, og under forudsætning af, at der findes rettigheder, som kan håndhæves, for registrerede samt effektive retsmidler for disse. Under forudsætning af godkendelse fra den kompetente tilsynsmyndighed kan de fornødne garantier ligeledes etableres, især ved bestemmelser, der indsættes i administrative ordninger mellem offentlige myndigheder og organer, som omfatter rettigheder for den registrerede, der kan håndhæves og er effektive.

(3) Når man tager højde for de specifikke karakteristika ved de administrative ordninger, som fremgår af artikel 46, stk. 3, litra b)2, og som kan være yderst forskellige, bør hver sag håndteres individuelt og uden at det berører vurderingen af andre administrative ordninger.

(3) I henhold til artikel 70, stk. 1, i databeskyttelsesforordningen sikrer Det Europæiske Databeskyttelsesråd ensartet anvendelse af forordning 2016/679 i hele det Europæiske Økonomiske Samarbejdsområde. I henhold til artikel 64, stk. 2, kan sammenhængsmekanismen

udløses af en tilsynsmyndighed, formanden for Databeskyttelsesrådet eller Kommissionen hvad angår et almengyldigt spørgsmål eller et spørgsmål, der har virkninger i mere end én medlemsstat. Databeskyttelsesrådet skal afgive en udtalelse om det forhold, der er fremsendt dertil, under forudsætning af at Databeskyttelsesrådet ikke allerede har afgivet en udtalelse om samme

forhold.

(4) Databeskyttelsesrådets udtalelse skal godkendes i henhold til artikel 64, stk. 3, i databeskyttelsesforordningen sammenholdt med artikel 10, stk. 2, i Databeskyttelsesrådets forretningsorden inden for otte uger efter, at formanden har afgjort, at sagsakterne er komplette. Efter afgørelse fra Databeskyttelsesrådets formand kan denne frist forlænges med yderligere seks uger under hensyntagen til spørgsmålets kompleksitet.

1 Henvisninger til "medlemsstater" i denne udtalelse skal forstås som henvisninger til "EØS-medlemsstater".

2 Se også betragtning 108 i databeskyttelsesforordningen.

(5) I henhold til artikel 65, stk. 1, litra c), i databeskyttelsesforordningen, og hvis en kompetent tilsynsmyndighed ikke følger Databeskyttelsesrådets udtalelse udstedt i henhold til artikel 64, kan enhver berørt tilsynsmyndighed eller Kommissionen indbringe spørgsmålet for Databeskyttelsesrådet, som skal vedtage en bindende afgørelse.

HAR VEDTAGET FØLGENDE UDTALELSE:

1 OPSUMMERING AF FAKTA

1. Det franske Haut Conseil du Commissariat aux Comptes ("H3C") har i et officielt brev stilet til den franske tilsynsmyndighed (Commission Nationale de l'Informatique et des Libertés) sendt et udkast til en administrativ ordning for at skabe en ramme for overførslerne af personoplysninger fra H3C til PCAOB i overensstemmelse med artikel 46, stk. 3, litra b), i databeskyttelsesforordningen.

2. Dette udkast til en administrativ ordning blev meddelt den franske tilsynsmyndighed den 19. november 2020.

3. Efter fremsendelsen har den franske tilsynsmyndighed anmodet Databeskyttelsesrådet om en udtalelse i henhold til artikel 64, stk. 2, i databeskyttelsesforordningen. Afgørelsen vedrørende sagsakternes fuldstændighed blev truffet den 9. december 2020.

2 VURDERING

4. Udvekslingen af personoplysninger mellem H3C og PCAOB er nødvendig for at sikre, at deres lovmæssige revision fungerer i overensstemmelse med den franske Sarbanes-Oxley-lov og artikel 47 i Europa-Parlamentets og Rådets direktiv 2006/43/EF3, nemlig med henblik på tilsyn med revisorer, inspektioner og undersøgelser af registrerede revisionsfirmaer og de tilknyttede personer, der er underlagt PCAOB's og H3C's retsområde.

5. Andre revisionsmyndigheder i EØS har ligeledes behov for at udveksle personoplysninger med PCAOB. Dermed vil det nuværende udkast til en administrativ ordning, som er sendt til Databeskyttelsesrådet med henblik på en udtalelse, af andre EØS-revisionsmyndigheder kunne betragtes som en model til efterfølgelse i deres forsøg på at skabe en ramme for samme type overførsler af personoplysninger til PCAOB inden for rammerne af deres specifikke administrative ordninger. Disse administrative ordninger skal efterfølgende sendes til den kompetente tilsynsmyndighed til godkendelse. Som følge heraf giver spørgsmålet anledning til virkninger i mere end én medlemsstat, som defineret i artikel 64, stk. 2, i databeskyttelsesforordningen.

6. Ved vurderingen af de bestemmelser, der er indeholdt i denne særlige administrative ordning, har Databeskyttelsesrådet taget højde for et antal særlige elementer, herunder den type personoplysninger, som er underlagt den administrative ordning og de tilstræbte formål.

7. Udkastet til den administrative ordning og dennes bilag omfatter følgende garantier:

3 Europa-Parlamentets og Rådets direktiv 2006/43/EF af 17. maj 2006 om lovpligtig revision af årsregnskaber og konsoliderede regnskaber, om ændring af Rådets direktiv 78/660/EØF og 83/349/EØF og om ophævelse af Rådets direktiv 84/253/EØF.

Definitioner af begreber og registreredes rettigheder:

8. Artikel I i den administrative ordning indeholder de relevante definitioner, som er nødvendige for at fastsætte omfanget af den administrative ordning og ensartet anvendelse deraf. Blandt dem er der nogle definitioner af nøglebegreber og rettigheder inden for rammerne af den europæiske databeskyttelse, såsom "personoplysninger", "behandling af personoplysninger", "retten til indsigt", "brud på persondatasikkerheden" og "retten til sletning".

Princippet om formålsbegrænsning og forbud mod yderligere brug:

9. Artikel III.1 i den administrative ordning fastlægger, at personoplysninger overført af H3C til PCAOB kun må behandles af PCAOB selv og kun for at opfylde deres lovmæssige revisionsfunktioner i overensstemmelse med Sarbanes-Oxley-loven med henblik på tilsyn med revisorer, inspektioner og undersøgelser af registrerede revisionsfirmaer og de tilknyttede personer, der er underlagt PCAOB's og H3C's retsområde. I henhold til princippet om begrænsningen af formål kan overførslerne derfor kun ske inden for rammerne af sådanne mandater og ansvarsområder. PCAOB får ikke tilladelse til at behandle personoplysninger, som man modtager til andre formål end dem, der er anført i den administrative ordning.

10. Faktisk søger PCAOB primært navne på og oplysninger om faglige opgaver udført af de personer, der havde ansvaret for eller deltog i de revisionsopgaver, der udvælges til gennemgang under en inspektion eller undersøgelse, eller som spiller en væsentlig rolle i firmaets ledelse og kvalitetskontrol. Disse oplysninger bliver anvendt af PCAOB til at vurdere, i hvilken grad det registrerede revisionsfirma og de tilknyttede personer overholder Sarbanes-Oxley-loven, værdipapirlove i forbindelse med udarbejdelse og udstedelse af revisionsrapporter, PCAOB's regler, SEC's regler og relevante professionelle standarder i forbindelse med udførelsen af revision, udstedelse af revisionsrapporter og dermed forbundne forhold, der involverer udstedere (som defineret i Sarbanes-Oxley-loven).

Princippet om datakvalitet og proportionalitet:

11. I henhold til artikel III.2 i den administrative ordning skal de personoplysninger, der overføres af H3C, være nøjagtige, tilstrækkelige, relevante og ikke uforholdsmæssige til de formål, hvortil de overføres og viderebehandles.

12. Desuden skal hver part informere den anden part, hvis man bliver klar over, at tidligere overførte eller modtagne oplysninger er unøjagtige og/eller skal opdateres. Under henvisning til de formål, hvortil personoplysningerne er blevet overført, foretager parterne passende rettelser af deres respektive sagsakter, hvilket kan omfatte at supplere, slette, begrænse behandlingen af, rette eller på anden måde berigtige personoplysningerne, alt efter hvad der er relevant.

Princippet om gennemsigtighed:

13. Som fastsat i artikel III.3 i den administrative ordning gives der en generel meddelelse til de registrerede af både H3C og PCAOB ved, at disse selv offentliggør den administrative ordning på deres hjemmesider. Ud over den administrative ordning giver H3C oplysninger om den udførte databehandling, herunder overførslen, de typer enheder hvortil data kan overføres, de rettigheder, den registrerede har i henhold til de gældende lovkrav, herunder hvordan disse rettigheder udøves, og oplysninger om eventuelle forsinkelser eller begrænsninger af udøvelsen af rettighederne og de kontaktoplysninger, der gælder for at indbringe en tvist eller fremsætte et krav. På sin hjemmeside offentliggør PCAOB også de relevante oplysninger om behandling af personoplysninger, herunder de

ovenfor anførte oplysninger, som beskrevet i aftalen. Endvidere gives der af H3C individuel meddelelse til registrerede i overensstemmelse med databeskyttelsesforordningen. H3C giver PCAOB forudgående meddelelse, før man foretager denne individuelle meddelelse.

Princippet om opbevaring af data:

14. Artikel III.2 i den administrative ordning fastlægger, at personoplysninger skal opbevares i en form, der ikke tillader identifikation af registrerede i længere tid end nødvendigt til de formål, som oplysningerne blev indsamlet til, eller som de behandles til, eller i den periode, der kræves af gældende love, regler og forordninger. Parterne skal have passende procedurer for destruktion af registre på plads for alle de oplysninger, der er modtaget i henhold til denne administrative ordning.

Sikkerheds- og fortrolighedsforanstaltninger:

15. I artikel III.4 i den administrative ordning forventes det, at PCAOB har givet oplysninger (bilag I til den administrative ordning), der beskriver de tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse mod hændelig eller ulovlig ødelæggelse, tab, ændring, videregivelse af eller adgang til personoplysningerne. PCAOB accepterer at give H3C meddelelse om eventuelle ændringer af de tekniske og organisatoriske sikkerhedsforanstaltninger, som ville skade det beskyttelsesniveau, som den administrative ordning giver personoplysningerne. PCAOB vil også opdatere oplysningerne i bilag I, hvis der foretages sådanne ændringer. I tilfælde af, at PCAOB giver H3C en sådan meddelelse, vil H3C give den franske databeskyttelsesmyndighed meddelelse om disse ændringer.

16. PCAOB har også givet H3C en beskrivelse af sine gældende love og/eller regler vedrørende fortrolighed og af konsekvenserne af en eventuel ulovlig videregivelse af oplysninger, der ikke er offentligt tilgængelige eller er fortrolige, eller mistanke om overtrædelse af disse love og/eller regler.

17. Endelig vil PCAOB i tilfælde, hvor PCAOB bliver klar over et brud på datasikkerheden, uden ugrundet ophold og, hvor det er muligt, senest 24 timer efter, at PCAOB er blevet klar over, at dette har indvirkning på disse personoplysninger, oplyse H3C om bruddet. PCAOB skal også snarest muligt anvende rimelige og hensigtsmæssige metoder til at afhjælpe bruddet og minimere de potentielle negative virkninger.

Garantier vedrørende registreredes rettigheder:

18. Artikel III.5 i den administrative ordning fastlægger garantier vedrørende registreredes rettigheder. Især registrerede, hvis personoplysninger er blevet overført til PCAOB, kan udøve deres rettigheder som registreret som defineret i artikel I, litra j), i den administrative ordning, herunder ved at anmode om, at H3C identificerer eventuelle personoplysninger, som er blevet overført til PCAOB. Desuden kan registrerede direkte anmode H3C om at få bekræftet hos PCAOB, at deres personoplysninger er fuldstændige, nøjagtige og, hvor det er relevant, opdaterede, og at behandlingen er i overensstemmelse med principperne i denne administrative ordning. PCAOB behandler sådanne anmodninger fra H3C angående personoplysninger, som er overført af H3C til PCAOB, på rimelig vis og i god tid. Den registrerede kan også kontakte PCAOB direkte.

19. Eventuelle begrænsninger i disse rettigheder skal fastlægges ved lov og skal være nødvendige og fortsætter kun så længe, som årsagen til begrænsningen eksisterer. Disse begrænsninger kan tillades for at undgå præjudice for eller skade på overvågende eller håndhævende funktioner hos parterne, der har at gøre med håndhævelse af den officielle myndighed, som de har fået tildelt, såsom at overvåge eller vurdere overholdelse af partens gældende love eller forhindring eller undersøgelse af mistanke om forseelser, opfylde vigtige målsætninger af generel samfundsinteresse som anerkendt i

USA og Frankrig eller i Den Europæiske Union, herunder gensidigt internationalt samarbejde, eller overvåge regulerede enkeltpersoner og enheder.

Automatisk beslutningstagning:

20. Artikel III.5 fastlægger, at PCAOB ikke træffer en juridisk afgørelse vedrørende en registreret udelukkende på grundlag af automatisk behandling af personoplysninger, herunder profilering, uden menneskelig indgriben.

Særlige kategorier af personoplysninger/følsomme oplysninger:

21. Artikel III.6 fastlægger, at særlige kategorier af personoplysninger/følsomme oplysninger ikke må overføres af H3C til PCAOB.

Begrænsninger i videreoverførsel:

22. Ifølge artikel III.7 i den administrative ordning vil PCAOB kun dele personoplysninger modtaget fra H3C med de enheder, der er specificeret i bilag II til den administrative ordning. I tilfælde af en sådan deling, og undtagen i forbindelse med de amerikanske børsmyndigheder (U.S. Securities and Exchange Commission), anmoder PCAOB om H3C's forudgående skriftlige samtykke og deler kun disse personoplysninger, såfremt tredjeparten giver passende tilsagn, der er i overensstemmelse med garantierne i den administrative ordning. Når der anmodes om forudgående skriftligt samtykke, skal PCAOB levere elementerne til H3C, så sidstnævnte kan give samtykke om den type personoplysninger, som H3C agter at dele, samt årsager til og formål med delingen. Hvis H3C ikke giver sit skriftlige samtykke til delingen inden for højst ti dage, rådfører PCAOB sig med H3C og overvejer eventuelle indsigelser, man måtte have. Såfremt PCAOB beslutter sig for at dele personoplysningerne uden skriftligt samtykke fra H3C, giver PCAOB H3C meddelelse om sin hensigt om at dele, og H3C kan så beslutte at suspendere overførslen af personoplysninger. Der skal gives meddelelse om en sådan suspension til den franske databeskyttelsesmyndighed. Desuden kan personoplysningerne, som en undtagelse og hvor passende forsikringer ikke kan gives af tredjeparten, deles med tredjeparten med samtykke fra H3C, hvis deling af personoplysningerne sker af hensyn til vigtige samfundsinteresser som anerkendt i USA og Frankrig eller i Den Europæiske Union, eller hvis delingen er nødvendig for at fremsætte, håndhæve eller forsvare juridiske krav.

23. Hvad angår deling af personoplysninger med de amerikanske børsmyndigheder vil PCAOB fra førstnævnte opnå passende forsikringer, der er i overensstemmelse med garantierne i den administrative ordning. Desuden vil PCAOB jævnligt informere H3C om arten af delte personoplysninger og årsagen til, at de blev delt, såfremt fremskaffelsen af disse oplysninger ikke risikerer at bringe en igangværende undersøgelse i fare. En begrænsning angående oplysninger i forbindelse med en igangværende undersøgelse gælder kun, så længe årsagen til begrænsningen eksisterer.

24. En registreret kan endelig anmode H3C om visse oplysninger vedrørende sine personoplysninger, som af H3C er blevet overført til PCAOB. Det er H3C's ansvar at give disse oplysninger i overensstemmelse med gældende lovkrav i databeskyttelsesforordningen og den franske databeskyttelseslov.

Retslig prøvelse:

25. Artikel III.8 i den administrative ordning fastlægger en mekanisme til retslig prøvelse. Der findes fire led angående retslig prøvelse for den registrerede i den administrative ordning. For det første kan en tvist eller et krav fremsat af den registrerede angående behandlingen af vedkommendes

personoplysninger i henhold til den administrative ordning rettes mod H3C, PCAOB eller begge, alt efter forholdene. Hver part skal informere den anden part om en sådan tvist eller et sådant krav og skal bestræbe sig mest muligt på at bilægge tvisten eller kravet inden for en rimelig tidshorisont.

26. PCAOB giver H3C meddelelse om rapporter, man modtager fra registrerede, og rådfører sig med H3C om, hvordan man skal besvare henvendelsen.

27. For det andet, hvis en part eller parterne ikke er i stand til at løse en betænkelighed eller indsigelse fremsat af en registreret, og den registreredes betænkelighed eller klage ikke er åbenbart grundløs eller overdrevet, kan den registrerede, parten eller parterne anvende det første led i den hensigtsmæssige tvistbilæggelsesmekanisme, som udføres af en uafhængig funktion hos PCAOB, den såkaldte høringskonsulent.

28. For det tredje kan den beslutning, som opnås via tvistbilæggelsesmekanismen, fremsendes til endnu en uafhængig gennemgang, som bliver gennemført af en særskilt, uafhængig funktion, den såkaldte konsulent inden for retslige prøvelser. Beslutningerne fra begge konsulenter er bindende for PCAOB. Tvistbilæggelsesmekanismerne er indgående beskrevet i bilag III til den administrative ordning.

29. I situationer, hvor H3C er af den opfattelse, at PCAOB ikke har handlet i overensstemmelse med de garantier, der er anført i den administrative ordning, kan H3C suspendere overførslerne, indtil spørgsmålet er løst på tilfredsstillende måde, og kan give den registrerede meddelelse derom.

30. Endelig kan den registrerede i alle tilfælde udøve sine rettigheder angående retslig prøvelse eller administrativ klageadgang (herunder opnåelse af skadeserstatning) i henhold til fransk databeskyttelseslovgivning.

Tilsynsmekanisme:

31. Artikel III.9 i den administrative ordning fastlægger en tilsynsmekanisme, der sikrer, at garantierne i den administrative ordning gennemføres. Denne tilsynsmekanisme består af en kombination af internt og eksternt tilsyn.

32. Hvad angår det interne tilsyn vil hver part udføre regelmæssige gennemgange af egne politikker og procedurer, der gennemfører garantierne i den administrative ordning. Efter den anden parts rimelige anmodning vil en part gennemgå sine politikker og procedurer for at konstatere og bekræfte, at de garantier, som er anført i denne aftale, gennemføres effektivt, og sende et resumé af gennemgangen til den anden part.

33. Hvad angår den eksterne gennemgang vil PCAOB, efter anmodning fra H3C om at udføre en uafhængig gennemgang af overholdelse af garantierne i den administrative ordning, give Office of Internal Oversight and Performance Assurance ("IPOA"), som er et uafhængigt kontor under PCAOB, meddelelse om at foretage gennemgang for at konstatere og bekræfte, at garantierne i den administrative ordning gennemføres på en effektiv måde. Der gives nærmere oplysninger om IOPA's funktion i bilag IV i den administrative ordning. IOPA giver et resumé af resultaterne af sin gennemgang til H3C, så snart PCAOB's bestyrelse godkender videregivelsen af resuméet til H3C.

34. Hvis H3C ikke har modtaget IOPA's resultater af gennemgangen og er af den opfattelse, at PCAOB ikke har handlet i overensstemmelse med de garantier, der gælder for forpligtelserne i henhold til den administrative ordning, kan H3C suspendere overførslerne til PCAOB, indtil PCAOB behandlet spørgsmålet på tilfredsstillende måde. Der skal gives meddelelse om en sådan suspension til den franske databeskyttelsesmyndighed.

3 KONKLUSIONER/ANBEFALINGER

35. Databeskyttelsesrådet sætter pris på de bestræbelser, der er gjort hvad angår denne administrative ordning, og som omfatter et antal vigtige databeskyttelsesgarantier, som er i overensstemmelse med databeskyttelsesforordningen og også med de garantier, der er fastlagt i Databeskyttelsesrådets vejledning 2/2020. For at sikre, at disse garantier fortsat giver sikkerhed for et passende databeskyttelsesniveau, når der overføres data til PCAOB, og der tages hensyn til den særlige art af disse ikkebindende aftaler, understreger Databeskyttelsesrådet følgende:

• Den franske kompetente tilsynsmyndighed overvåger den administrative ordning og dens praktiske anvendelse, især hvad angår artikel III.7, 8 og 9 i relation til videreoverførsel, retslig prøvelse og tilsynsmekanismer, for at sikre, at de registrerede har rettigheder, som er effektive, og som kan håndhæves, at der er adgang til passende retslig prøvelse, og at overholdelse af den administrative ordning overvåges effektivt.

• Den franske kompetente tilsynsmyndighed må kun godkende denne administrative ordning som en passende garanti for databeskyttelse med henblik på grænseoverskridende dataoverførsel på betingelse af fuldstændig overholdelse fra underskrivernes side af alle bestemmelserne i den administrative ordning.

• Den franske kompetente tilsynsmyndighed suspenderer de relevante datastrømme, der udføres af H3C i henhold til godkendelsen, såfremt den administrative ordning ikke længere sikrer passende garantier i databeskyttelsesforordningens forstand.

4 AFSLUTTENDE BEMÆRKNINGER

36. Denne udtalelse offentliggøres i henhold til artikel 64, stk. 5, litra b), i databeskyttelsesforordningen.

For Det Europæiske Databeskyttelsesråd Formanden

(Xxxxxx Xxxxxxx)