European Data Protection Board

Brussels, 19 January - During its January plenary session, the EDPB adopted Guidelines on the Right of Access. The Guidelines aim to analyse the various aspects of the right of access and to provide more precise guidance on how the right of access has to be implemented in different situations. Among others, the Guidelines provide clarifications on the scope of the right of access, the information the controller has to provide to the data subject, the format of the access request, the main modalities for providing access, and the notion of manifestly unfounded or excessive requests. A stakeholder event on this topic was held in November 2019 and stakeholders’ views and opinions were taken into consideration during the drafting process.

EDPB Chair Andrea Jelinek said: “The right of access enables individuals to get knowledge on how and why their personal data are processed. The Guidelines provide examples to support controllers to answer access requests in a GDPR compliant manner.”

The Guidelines will be subject to public consultation for a period of 6 weeks.

In addition, the EDPB adopted a letter in reply to letters calling for a consistent interpretation of cookie consent. In the letter, the EDPB reiterates that it is committed to ensuring the harmonised application of data protection rules throughout the European Economic Area. In this respect, the EDPB has recently set up a taskforce on cookie banners to coordinate the response to complaints concerning cookie banners. Furthermore, the EDPB has updated the Guidelines on consent in order to ensure a harmonized approach on the conditionality of consent and on the unambiguous indication of wishes.

Note to editors:
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

During its December plenary, the EDPB adopted the following documents:

• EDPB contribution to the evaluation of the Law Enforcement Directive
• EDPB response to MEP István Ujhelyi on the alleged use of the Pegasus spyware
• Guidelines on examples regarding data breach notifications (following public consultation)
• Opinion 39/2021 on whether Article 58(2)(g) GDPR could serve as a legal basis for a supervisory authority to order ex officio the erasure of personal data, in a situation where such request was not submitted by the data subject

The European Data Protection Board has adopted the following statement:

The deliberations of the EDPB often involve complex issues of principle and law. In seeking to ensure the consistent application of the GDPR, the process leading to consensus or majority positions on matters before the EDPB involves accounting for sometimes divergent views and analysis, as well as national case law and procedures. Within the framework provided by the GDPR, the Members of the Board work together in a respectful manner to reconcile and reach common meaningful decisions. That the starting point is not a unified view is not a failure of data protection authorities or a lack of integrity on the part of any of the authorities that hold one position or another – it is simply the GDPR working as intended. In this regard, although not binding in themselves, Guidelines and Recommendations of the EDPB reflect the common position and understanding which the authorities agree to apply in a consistent way. The EDPB Members, in their contributions to the work of the EDPB, act in compliance with the duty of sincere cooperation in the interest of the effective functioning of the EDPB.

The EDPB and the individual Supervisory Authorities (SAs) contributed to the evaluation and review of the Data Protection Law Enforcement Directive (LED), carried out by the European Commission in accordance with Art. 62 LED. The LED aims to provide a harmonised level of data protection for individuals in the area of law enforcement across the EU.

The past four years have been characterised primarily by the national processes to transpose the Directive. Because of its recent implementation, there is limited experience and empirical data on some parts of the LED. Therefore, the EDPB is of the opinion that it is too early to draw conclusions on the effectiveness of the LED or to consider its revision.
The EDPB strongly urges those Member States still in the phase of the implementation to invest all means possible to ensure that the transposition is fully compliant with the LED without any further delays.

In its contribution, the EDPB reaffirms its commitment to continue providing guidance on the interpretation of the LED. In addition, the EDPB remains committed to providing independent assessments of future draft adequacy decisions, elaborated by the European Commission, with regard to the requirements of LED, especially enforceable rights, effective redress and safeguards concerning onward transfers.

The EDPB stresses that the effective implementation of the tasks under the LED requires the availability of the necessary resources, both human and technical, and calls on the Member States to ensure that the resources of SAs increase in proportion to their workload.

As part of the implementation of the EDPB 2021-2023 strategy and following the establishment of a Support Pool of Experts (SPE), the EDPB has now agreed on the SPE’s project plan. The SPE aims to provide material support to EDPB Members in the form of expertise that is useful for investigations and enforcement activities and to enhance cooperation and solidarity between EDPB Members by sharing, reinforcing and complementing strengths, and addressing operational needs.

The EDPB adopted a reply to MEP Ujhelyi on hacking spyware Pegasus. In its reply, the EDPB highlights that the Board and its Members pay, and will continue to pay, particular attention to the current developments related to the interferences with the fundamental rights to privacy and data protection through surveillance measures. The EDPB adds that protection of journalists and their sources is a cornerstone of the freedom of the press. The EDPB is competent in the matter of the alleged use of the Pegasus software mainly if and as far as it is deployed for purposes under the GDPR and the LED. The EDPB, however, notes that according to the applicable Union law, it does not have the same competences, tasks and powers as national SAs, and that concerning the particular case at stake, the Hungarian National Authority for Data Protection and Freedom of Information has competency to carry out the investigation procedure regarding the alleged use of spyware by Hungarian authorities. The EDPB remains ready to support all members of the EDPB in such matters.
Following public consultation, the EDPB adopted a final version of the Guidelines on examples regarding data breach notifications. These guidelines complement the Article 29 Working Party guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. Following public consultation, the Guidelines were updated to reflect comments received.

Note to editors:
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

During its November plenary, the EDPB adopted a letter in reply to the UN concerning transfers to international organisations. In the letter, the EDPB welcomes the UN’s continuous participation in the Task Force on transfers to international organisations established by the European Data Protection Supervisor. The EDPB also renews its commitment to engage further with the UN on the shared mission of protecting human rights, including the right to privacy.

The EDPB also adopted a letter to ENISA concerning the European Cybersecurity Certification Scheme for Cloud Services’ (EUCS) compatibility with Schrems II. In the letter, the EDPB reiterates its stance from its May 19 letter to ENISA that the final certification scheme should be consistent with the obligations laid down in the GDPR and should facilitate the compliance of cloud service providers and their clients with the GDPR, also considering the Schrems II ruling.   

Brussels, 19 November - During its plenary session, the EDPB adopted Guidelines on the interplay between Art. 3 and Chapter V GDPR. By clarifying the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V, the Guidelines aim to assist controllers and processors in the EU in identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. 

The Guidelines specify three cumulative criteria that qualify a processing as a transfer: (1) the data exporter (a controller or processor) is subject to the GDPR for the given processing; (2) the data exporter transmits or makes available the personal data to the data importer (another controller, joint controller or processor); (3) the data importer is in a third country or is an international organisation.

The processing will be considered a transfer, regardless of whether the importer established in a third country is already subject to the GDPR under Art. 3 GDPR. However, the EDPB considers that collection of data directly from data subjects in the EU at their own initiative does not constitute a transfer.

EDPB Chair Andrea Jelinek added: “These Guidelines provide a consistent interpretation of the concept of “international transfers” and clarify that, when a data importer is subject to the GDPR, the obligations under Chapter V GDPR apply both to the transfer from the EU to the importer and to any further transfer that the importer undertakes”.

The Guidelines will be subject to public consultation until the end of January.

The EDPB adopted a Statement on the European Commission’s Digital Services Package and Data Strategy. In the statement, the EDPB highlights three types of overarching concerns regarding the Commission proposals that have been presented so far (the Data Governance Act (DGA), Digital Services Act (DSA) and Digital Markets Act (DMA) and the AI Regulation (AIR)):

1) Lack of protection of individuals’ fundamental rights and freedoms;

2) Fragmented supervision;

3) Risks of inconsistencies.

The EDPB and EDPS have already issued joint opinions on the DGA and the AIR and the EDPS has issued opinions on the European Strategy for Data, the DMA and the DSA. In its statement, the EDPB reiterates its call for a ban on any use of AI for an automated recognition of human features in publicly accessible spaces and urges the co-legislator to consider a phase-out leading to a prohibition of targeted advertising on the basis of pervasive tracking while the profiling of children should overall be prohibited.

The EDPB further highlights the risks of parallel supervision structures and strongly recommends each proposal to provide for an explicit legal basis for the effective cooperation and exchange of information between the competent supervisory authorities under each proposal and the data protection authorities.

In addition, the EDPB calls upon the Commission and the co-legislator to ensure that the proposals clearly state that they shall not affect or undermine the application of existing data protection rules and to ensure that these rules shall prevail whenever personal data are being processed, also in the context of the forthcoming proposal for a Data Act.

Finally, the EDPB nominated two representatives from the Belgian and Hessen (DE) SA to take part in the 6th Joint Review of the EU-US Terrorist Finance Tracking Program (TFTP) Agreement.

Bryssel den 2 september – Den 28 juli antog Europeiska dataskyddsstyrelsen ett tvistlösningsbeslut på grundval av artikel 65 i GDPR. Detta bindande beslut syftar till att lösa den tvist som uppstått till följd av ett utkast till beslut som utfärdats av den irländska tillsynsmyndigheten (IE SA)  i egenskap av ansvarig tillsynsmyndighet (LSA) avseende WhatsApp Ireland Ltd. (WhatsApp IE) och de efterföljande invändningarna från ett antal berörda tillsynsmyndigheter (CSA:s). I enlighet med dataskyddsförordningen har EDPB:s bindande beslut nu offentliggjorts, efter det att den irländska tillsynsmyndighetens slutliga beslut meddelats företaget.

Efter bedömning ansåg Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten bör ändra sitt utkast till beslut ifråga om överträdelser av regler om öppenhet, beräkningen av böterna och tidsfristen för att följa föreläggandet.

När det gäller öppenhet identifierades redan i utkastet till beslut från den irländska tillsynsmyndigheten en allvarlig överträdelse av artiklarna 12–13–14 i dataskyddsförordningen. Europeiska dataskyddsstyrelsen identifierade ytterligare brister i den information som tillhandahölls, vilket påverkade användarnas förmåga att förstå vilka berättigade intressen som ligger till grund för behandlingen av uppgifter.  Därför begärde Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten skulle inkludera ett konstaterande av en överträdelse av artikel 13 (1) d i dataskyddsförordningen i sitt beslut.

Dessutom klargjorde Europeiska dataskyddsstyrelsen att även om inte varje överträdelse av artiklarna 12–14 i dataskyddsförordningen nödvändigtvis innebär en överträdelse av artikel 5 (1) a i förordningen, har det i detta särskilda fall, mot bakgrund av överträdelsernas allvar och övergripande karaktär och konsekvenser, förekommit en överträdelse av öppenhetsprincipen i artikel 5 (1) a i dataskyddsförordningen.

När det gäller WhatsApp IE:s insamling av uppgifter om icke-användare — när användare beslutar sig för att använda funktionen Contact Feature – konstaterade Europeiska dataskyddsstyrelsen att det förfarande som WhatsApp IE använder i detta fall inte leder till anonymisering av de insamlade personuppgifterna.

När det gäller de ålagda böterna och beräkningen av böterna beslutade Europeiska dataskyddsstyrelsen att ett företags omsättning inte enbart är relevant för fastställandet av det högsta bötesbeloppet i enlighet med artikel 83 (4) – (6) GDPR, utan även kan beaktas vid beräkningen av själva böterna, när så är lämpligt, för att säkerställa att böterna är effektiva, proportionella och avskräckande i enlighet med artikel 83 (1) i dataskyddsförordningen. I detta fall fann Europeiska dataskyddsstyrelsen att moderbolagets konsoliderade omsättning (Facebook Inc.) skulle tas med i beräkningen av omsättningen.

Dessutom klargjorde Europeiska dataskyddsstyrelsen för första gången tolkningen av artikel 83 (3) i dataskyddsförordningen. När det gäller flera överträdelser för samma eller sammanlänkad behandling bör alla överträdelser beaktas vid beräkningen av bötesbeloppet. Detta gäller oberoende av tillsynsmyndigheternas skyldighet att ta hänsyn till böternas proportionalitet och att respektera det högsta bötesbelopp som fastställs i dataskyddsförordningen.

I den irländska tillsynsmyndighetens utkast till beslut ingick dessutom ett föreläggande om att se till att behandlingen skulle uppfylla kraven inom en period på 6 månader. Europeiska dataskyddsstyrelsen ansåg det vara av yttersta vikt att efterlevnaden av kraven på öppenhet säkerställs så snabbt som möjligt. Den irländska tillsynsmyndigheten ombads därför att ändra tidsfristen på sex månader för efterlevnad till en period på tre månader.

Detta bindande beslut riktades till de berörda tillsynsmyndigheterna, och den irländska tillsynsmyndigheten i egenskap av ledande tillsynsmyndighet har antagit sitt nationella beslut på grundval av Europeiska dataskyddsstyrelsens beslut. WhatsApp IE delgavs det nationella beslutet, och Europeiska dataskyddsstyrelsens beslut bifogades det. 

Detta beslut påverkar inte eventuella bedömningar som Europeiska dataskyddsstyrelsen kan komma att behöva göra i andra fall, även med samma parter.

För mer information om förfarandet enligt artikel 65 i dataskyddsförordningen, se vanliga frågor i enlighet med artikel 65.

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen antog vid sin plenarsession en slutlig version av rekommendationerna om kompletterande åtgärder efter offentligt samråd. Rekommendationerna antogs första gången i november 2020 efter EU-domstolens dom i Schrems II-målet. De syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som för över personuppgifter utanför EU med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför.

Den slutliga versionen av rekommendationerna innehåller flera ändringar för att ta hänsyn till synpunkter och återkoppling som mottagits under det offentliga samrådet och lägger särskild vikt vid den praktiska tillämpningen  hos myndigheter i ett tredjeland.

Några av de viktigaste ändringarna är följande: betoningen på vikten av att exportörer av uppgifter i sin rättsliga bedömning granskar den praktiska tillämpningen hos myndigheter i tredje land för att avgöra om det tredje landets lagstiftning och/eller praxis i praktiken inkräktar på effekterna av skyddsåtgärderna i artikel 46 i den allmänna dataskyddsförordningen; möjligheten att exportören i sin bedömning beaktar importörens praktiska erfarenheter, tillsammans med andra faktorer och med vissa förbehåll; och förtydligandet att lagstiftning i det mottagande tredjelandet som gör det möjligt för dess myndigheter att få tillgång till de överförda uppgifterna, även utan importörens ingripande, också kan påverka överföringsverktygets effektivitet.

När det gäller Europeiska kommissionens nyligen offentliggjorda nya standardavtalsklausuler för internationella överföringar är rekommendationerna till hjälp för att kontrollera ”lokal lagstiftning och praktisk tillämpning som påverkar efterlevnaden av klausulerna” (klausul 14 i de nya standardavtalsklausulerna) och det eventuella behovet av att genomföra kompletterande åtgärder.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Effekterna av Schrems II kan inte underskattas: internationella dataflöden granskas redan mycket noggrannare av tillsynsmyndigheterna, som genomför utredningar på sina respektive nationella nivåer. Syftet med Europeiska dataskyddsstyrelsens rekommendationer är att vägleda exportörer att lagligen överföra personuppgifter till tredjeländer, samtidigt som man garanterar att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom Europeiska ekonomiska samarbetsområdet. Genom att klargöra vissa tveksamheter som uttryckts av berörda parter, och i synnerhet vikten av att undersöka den praktiska tillämpningen  hos offentliga myndigheter i tredjeländer, vill vi göra det lättare för uppgiftsutföraren att veta hur de ska bedöma överföringar till tredjeländer och att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Europeiska dataskyddsstyrelsen kommer att fortsätta att beakta effekterna av Schrems II-domen och de synpunkter som inkommit från berörda parter i framtida vägledning. ”

Den fullständiga texten till rekommendationerna finns här:https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

Europeiska dataskyddsstyrelsen antog en skrivelse till EU-institutionerna om integritets- och dataskyddsaspekterna av en eventuell digital euro. I skrivelsen betonar Europeiska dataskyddsstyrelsen att en mycket hög standard på integritets- och dataskyddet är avgörande för att stärka slutanvändarnas förtroende och bör betraktas som en särskiljande faktor i erbjudandet av en digital euro, vilket är en viktig framgångsfaktor. Sådana faktorer bör beaktas redan på  utformningsstadiet. Dessutom rekommenderar Europeiska dataskyddsstyrelsen att det EU-organ som ansvarar för utformningen av projektet utför en konsekvensbedömning avseende dataskydd på hög nivå. Europeiska dataskyddsstyrelsen anger vidare att den är beredd att ge råd till ECB eller andra EU-institutioner.

Slutligen utsåg Europeiska dataskyddsstyrelsen tre företrädare i EU-systemet för reseuppgifter och resetillstånd (ETIAS) rådgivande nämnd för grundläggande rättigheter, som har till uppgift att utvärdera konsekvenserna av behandlingen av ansökningar och kommer att spela en viktig roll för att säkerställa att systemet uppfyller de grundläggande rättigheterna, särskilt när det gäller integritet och skydd av personuppgifter. Nämnden kommer att bestå av företrädare för Frontex, Europeiska datatillsynsmannen, Europeiska dataskyddsstyrelsen och Europeiska unionens byrå för grundläggande rättigheter.

Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen också ett gemensamt yttrande från EDPB-EDPS om utkastet till AI-förordning. Ett separat pressmeddelande kommer att publiceras senare i dag.

Information till redaktörer:
Alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_2021_05
 

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om Europeiska kommissionens förslag till förordning om fastställande av harmoniserade regler för artificiell intelligens (AI).

Europeiska dataskyddsstyrelsen och EDPS välkomnar starkt målet att ta itu med användningen av AI-system inom Europeiska unionen, inbegripet EU-institutionernas, EU-organens eller EU-byråernas användning av AI-system. Samtidigt är Europeiska dataskyddsstyrelsen och EDPS bekymrade över att internationellt brottsbekämpningssamarbete undantas från förslagets tillämpningsområde.

Europeiska dataskyddsstyrelsen och EDPS betonar också behovet av att uttryckligen klargöra att EU:s befintliga dataskyddslagstiftning (GDPR, EUDPR och LED) är tillämplig på all behandling av personuppgifter som omfattas av tillämpningsområdet för utkastet till AI-förordning.

Europeiska dataskyddsstyrelsen och EDPS välkomnar den riskbaserade metod som ligger till grund för förslaget, men anser att begreppet ”risk för de grundläggande rättigheterna” bör anpassas till EU:s dataskyddsramverk. Europeiska dataskyddsstyrelsen och EDPS rekommenderar att samhällsrisker för grupper av individer också bör bedömas och motverkas. Dessutom instämmer de i förslaget om att klassificeringen av ett AI-system som högrisksystem inte nödvändigtvis innebär att det är lagligt i sig och kan användas av användaren som sådant. Europeiska dataskyddsstyrelsen och EDPS anser också att efterlevnad av rättsliga skyldigheter som följer av unionslagstiftningen – inbegripet skydd av personuppgifter – bör vara en förutsättning för att komma in på den europeiska marknaden som CE-märkt produkt.

Med tanke på de extremt stora risker som är förknippade med biometrisk identifiering på distans av enskilda personer på allmänt tillgängliga platser efterlyser Europeiska dataskyddsstyrelsen och EDPS ett allmänt förbud mot all användning av AI för automatiserad igenkänning av mänskliga egenskaper på allmänt tillgängliga platser, såsom igenkänning av ansikten, gångstil, fingeravtryck, DNA, tal, tangenttryckning och andra biometriska eller beteendemässiga signaler, oavsett sammanhang. På liknande sätt rekommenderar Europeiska dataskyddsstyrelsen och EDPS ett förbud mot AI-system som använder biometriska kännetecken för att kategorisera enskilda personer i kluster på grundval av etnicitet, kön, politisk eller sexuell läggning eller andra grunder på vilka diskriminering är förbjuden enligt artikel 21 i stadgan om de grundläggande rättigheterna. Dessutom anser Europeiska dataskyddsstyrelsen och EDPS att användning av AI för att härleda känslor hos en fysisk person är högst oönskad och bör förbjudas, utom i mycket specificerade fall, såsom vissa hälsoändamål, där igenkännande av patienters känslomässiga reaktioner är viktigt, och att användning av AI för alla typer av social värdering bör förbjudas.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, & Wojciech Wiewiórowski, EDPS, sade: Användning av biometrisk fjärridentifiering på allmänt tillgängliga platser innebär slutet på anonymiteten på sådana platser. Tillämpningar såsom ansiktsigenkänning på plats inkräktar på grundläggande rättigheter och friheter i sådan utsträckning att de kan ifrågasätta det väsentliga innehållet i dessa rättigheter och friheter. Detta kräver en omedelbar tillämpning av försiktighetsprincipen. Ett allmänt förbud mot ansiktsigenkänning på allmänt tillgängliga platser är den nödvändiga utgångspunkten om vi vill bevara våra friheter och skapa en människocentrerad rättslig ram för AI. Den föreslagna förordningen bör också förbjuda all slags användning av AI för social värdering, eftersom den strider mot EU:s grundläggande värden och kan leda till diskriminering. ”

Europeiska dataskyddsstyrelsen och EDPS välkomnar vidare att EDPS i förslaget utses till behörig myndighet och marknadskontrollmyndighet för tillsynen av unionens institutioner, byråer och organ. EDPS roll och uppgifter bör dock klargöras ytterligare, särskilt när det gäller dess roll som marknadskontrollmyndighet.

Europeiska dataskyddsstyrelsen och EDPS erinrar om att dataskyddsmyndigheterna redan har tillsyn över den allmänna dataskyddsförordningen och LED-direktivet ifråga om AI-system som omfattar personuppgifter, i syfte att garantera skyddet av de grundläggande rättigheterna, särskilt rätten till uppgiftsskydd. Till följd av detta skulle utnämningen av dataskyddsmyndigheter till nationella tillsynsmyndigheter säkerställa en mer harmoniserad regleringsstrategi och bidra till en enhetlig tolkning av bestämmelserna om uppgiftsbehandling i hela EU. Därför anser Europeiska dataskyddsstyrelsen och EDPS att dataskyddsmyndigheter bör utses till nationella tillsynsmyndigheter enligt artikel 59 i förslaget för att säkerställa en smidig tillämpning av denna nya förordning.

Slutligen ifrågasätter Europeiska dataskyddsstyrelsen och EDPS utpekandet av en dominerande roll för Europeiska kommissionen i ”European Artificial Intelligence Board” (EAIB), eftersom detta skulle strida mot behovet av ett europeiskt AI-organ som är oberoende av allt politiskt inflytande. För att säkerställa dess oberoende bör förslaget ge EAIB större självständighet och se till att det kan agera på eget initiativ.

Information till redaktörer:
Observera att alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_statement_2021_05

Bryssel, 6 april – Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om förslagen om ett digitalt grönt intyg. Det digitala gröna intyget syftar till att underlätta möjligheten till fri rörlighet i EU under covid-19-pandemin genom en gemensam ram för utfärdande, kontroll och godtagande av kompatibla covid-19-intyg för vaccinering, testning och tillfrisknande.

Genom det gemensamma yttrandet uppmanar EDPB och EDPS medlagstiftarna att se till att det digitala gröna intyget till fullo uppfyller kraven i EU:s lagstiftning om skydd av personuppgifter. Dataskyddsmyndigheter från alla EU- och EES-länder betonar behovet av att minska de risker för EU-medborgares och andra EU-invånares grundläggande rättigheter som kan uppstå till följd av det digitala gröna intyget, bland annat risken för oavsiktlig sekundär användning. EDPB och EDPS understryker att användningen av det digitala gröna intyget inte på något sätt får leda till direkt eller indirekt diskriminering av enskilda personer och att det måste vara helt i linje med de grundläggande principerna om nödvändighet, proportionalitet och ändamålsenlighet. Med tanke på arten av de åtgärder som föreslås anser EDPB och EDPS att införandet av det digitala gröna intyget bör åtföljas av ett övergripande rättsligt ramverk.

– Ett digitalt grönt intyg som godtas i alla medlemsländer kan vara ett stort steg framåt för att återuppta resandet i hela EU, säger Andrea Jelinek, ordförande för EDPB. Alla åtgärder som vidtas på nationell nivå eller EU-nivå och som innebär behandling av personuppgifter måste respektera de allmänna principerna om ändamålsenlighet, nödvändighet och proportionalitet. Därför rekommenderar EDPB och EDPS att all vidare användning av det digitala gröna intyget i medlemsländerna måste ha en lämplig rättslig grund i medlemsländerna och att alla nödvändiga skyddsåtgärder måste ha vidtagits.

– Det måste vara tydligt att förslaget inte tillåter – och inte får leda till – att det skapas någon form av central databas över personuppgifter på EU-nivå, säger Wojciech Wiewiórowski, EDPS. Det måste dessutom säkerställas att personuppgifterna inte behandlas under längre tid än vad som är absolut nödvändigt och att tillgång till och användning av dessa uppgifter inte är tillåten när pandemin har upphört. Jag har alltid betonat att de åtgärder som vidtas i kampen mot covid-19 är tillfälliga och att det är vår plikt att se till att de inte blir kvar efter krisen.

I den nuvarande krissituation som orsakats av covid-19-pandemin insisterar EDPB och EDPS på att principerna om ändamålsenlighet, nödvändighet, proportionalitet och icke-diskriminering upprätthålls. EDPB och EDPS understryker att det i skrivande stund verkar finnas få vetenskapliga belägg för huruvida covid-19-vaccinering (eller tillfrisknande efter covid-19) ger garanterad immunitet och för hur länge en sådan immunitet kan vara. Men de vetenskapliga beläggen blir allt fler för var dag.

Dessutom är ett antal faktorer fortfarande okända när det gäller vaccinationens effektivitet för att minska smittspridningen. Förslaget bör innehålla tydliga och exakta regler för de digitala gröna intygens omfattning och tillämpning och föreskriva lämpliga skyddsåtgärder. Detta kommer att ge enskilda personer vars personuppgifter berörs tillräckliga garantier för att de på ett effektivt sätt skyddas mot risken för diskriminering.

Förslaget måste uttryckligen fastställa att EU-medlemsländernas tillgång till och efterföljande användning av personuppgifter när pandemin är över inte är tillåten. Samtidigt betonar EDPB och EDPS att tillämpningen av den föreslagna förordningen måste vara strikt begränsad till den nuvarande covid-19-krisen.

Det gemensamma yttrandet innehåller särskilda rekommendationer om ytterligare förtydliganden av vilka kategorier av uppgifter som berörs av förslaget, lagringen av uppgifterna, kraven på öppenhet samt identifiering av personuppgiftsansvariga och personuppgiftsbiträden.

Meddelande till redaktörerna: Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarsessioner är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

EDPB_Press Release_statement_2021_03

Bryssel den 10 mars – Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen antog ett gemensamt yttrande om förslaget till dataförvaltningsakten. Syftet med dataförvaltningsakten är att främja att data görs tillgängliga genom att man ökar förtroendet för dataförmedlarna[1] och stärker mekanismerna för datadelning i hela EU. Dataförvaltningsakten har särskilt för avsikt att främja tillgången till data från den offentliga sektorn för vidareutnyttjande, delning av data mellan företag och möjliggöra användning av personuppgifter med hjälp av en ”förmedlare för delning av personuppgifter”. Dataförvaltningsakten strävar också efter att göra det möjligt att använda uppgifter för altruistiska ändamål.

Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen erkänner dataförvaltningsaktens legitima mål att förbättra villkoren för datadelning på den inre marknaden. Samtidigt är skyddet av personuppgifter en viktig och integrerad del av förtroendet för den digitala ekonomin. Med detta gemensamma yttrande uppmanar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen medlagstiftarna att se till att den framtida dataförvaltningsakten är helt i linje med EU:s lagstiftning om skydd av personuppgifter, och på så sätt främja förtroendet för den digitala ekonomin och upprätthålla den skyddsnivå som EU-lagstiftningen ger under överinseende av EU-medlemsstaternas tillsynsmyndigheter.

 – EU:s rättsliga ram för uppgiftsskydd hindrar inte utvecklingen av dataekonomin. Tvärtom är det så att förtroende för alla typer av datadelning endast kan uppnås genom respekt för befintlig dataskyddslagstiftning. Den allmänna dataskyddsförordningen är den grund på vilken den europeiska modellen för dataförvaltning måste byggas. Därför understryker vi behovet av att säkerställa överensstämmelse med den allmänna dataskyddsförordningen när det gäller tillsynsmyndigheternas behörighet, de olika berörda aktörernas roller, den rättsliga grunden för behandling av personuppgifter, nödvändiga skyddsåtgärder och de registrerades utövande av sina rättigheter, säger Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen.

– Vi förstår att data blir allt viktigare för ekonomin och samhället såsom beskrivs i den europeiska datastrategin. Med ”stordata följer dock ett stort ansvar” och därför måste lämpliga uppgiftsskyddsgarantier införas. Den övergripande ramen för europeiska dataområden bör säkerställa att regelverket om uppgiftsskydd inte påverkas, säger Wojciech Wiewiórowski, Europeiska datatillsynsmannen.

Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen anser att EU:s lagstiftare bör se till att det tydligt och otvetydigt anges i lydelsen till dataförvaltningsakten att den akten inte kommer att påverka nivån på skyddet av enskildas personuppgifter och att inga rättigheter och skyldigheter som fastställs i dataskyddslagstiftningen kommer att ändras.

När det gäller vidareutnyttjande av personuppgifter som innehas av myndigheter rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att dataförvaltningsakten anpassas till de befintliga bestämmelserna om skydd av personuppgifter i den allmänna dataskyddsförordningen och till direktivet om öppna data. Vidare bör det klargöras att vidareutnyttjande av personuppgifter som innehas av myndigheter endast får tillåtas om det grundar sig på EU:s eller medlemsstaternas lagstiftning. Sådana lagar bör innehålla en förteckning över klart förenliga ändamål för vilka ytterligare behandling kan tillåtas lagligen eller som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23 i dataskyddsförordningen.

När det gäller leverantörer av datadelningstjänster betonas i det gemensamma yttrandet behovet av att säkerställa förhandsinformation och kontroller för enskilda personer, med beaktande av principerna om inbyggt dataskydd och öppenhet och begränsning av ändamål.  Dessutom bör det klargöras hur sådana tjänsteleverantörer effektivt skulle hjälpa enskilda personer att utöva sina rättigheter som registrerade.

När det gäller dataaltruism rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att dataförvaltningsakten bör definiera ändamålen med sådan ”dataaltruism” av allmänt intresse bättre. Dataaltruism bör organiseras på ett sådant sätt att enskilda personer enkelt kan ge, men också dra tillbaka sitt samtycke.

Mot bakgrund av de möjliga riskerna för registrerade när deras personuppgifter kan behandlas av leverantörer av datadelningstjänster eller dataaltruismorganisationer anser Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att de automatiska registreringssystemen för dessa enheter, som fastställs i dataförvaltningsakten, inte innehåller ett tillräckligt strikt prövningsförfarande som är tillämpligt på sådana tjänster. Därför rekommenderar Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen att man undersöker alternativa förfaranden som möjliggör ett mer systematiskt införande av ansvarighetsverktyg, särskilt efterlevnad av en uppförandekod eller certifieringsmekanism.

Det gemensamma yttrandet innehåller också rekommendationer om att utse tillsynsmyndigheterna som de viktigaste behöriga myndigheterna för kontroll av efterlevnaden av bestämmelserna i dataförvaltningsakten, i samråd med andra relevanta sektorsmyndigheter.

______________________________________
[1] Se motiveringen till förslaget, s. 1

Meddelande till redaktörerna: Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarsessioner är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

EDPB_Press Release_statement_2021_02

Bryssel den 16 december – Europeiska dataskyddsstyrelsen samlades för sin 43:e plenarsession den 15 december. Under mötet diskuterades en rad olika frågor.

Europeiska dataskyddsstyrelsen antog sin strategi för 2021–2023. I strategin fastställs dataskyddsstyrelsens strategiska mål grupperade kring fyra pelare, samt tre nyckelåtgärder för varje pelare som ska bidra till att målen uppnås. De fyra pelarna:
•   Påskyndad harmonisering och underlättad efterlevnad.
•   Understöd för en verksam tillsyn och ett effektivt samarbete mellan nationella tillsynsmyndigheter.
•   En strategi för ny teknik som bygger på de grundläggande rättigheterna.
•   Den globala dimensionen.

Strategin ska bl.a. genomföras genom ett arbetsprogram som kommer att innehålla närmare uppgifter om Europeiska dataskyddsstyrelsens åtgärder. Arbetsprogrammet ska antas under våren 2021.
Dataskyddsstyrelsen har som en del i sin strategi för 2021–2023 beslutat att som ett pilotprojekt inrätta en stödpool med experter. Syftet är att stötta ledamöterna med expertis som kan behövas för utredningar och tillsyn, och att främja samarbete och solidaritet ledamöterna emellan genom att dela, stärka och komplettera fackkunskap och bidra till de behov som finns i den praktiska verksamheten.
 
Dataskyddsstyrelsen utfärdade ett uttalande i slutet av övergångsperioden för brexit där man beskriver vilka konsekvenser övergångsperiodens upphörande får för personuppgiftsansvariga och personuppgiftsbiträden. Dataskyddsstyrelsen underströk särskilt frågan om överföring av uppgifter till ett land utanför EU och konsekvenserna för tillsynsområdet och systemet med en gemensam kontaktpunkt. Övergångsperioden för brexit – under vilken den brittiska tillsynsmyndigheten fortfarande deltog i Europeiska dataskyddsstyrelsens administrativa samarbete – löpte ut i slutet av 2020. Dataskyddsstyrelsen antog vidare ett informationsmeddelande om uppgiftsöverföring enligt dataskyddsförordningen efter övergångsperioden.
 
Dataskyddsstyrelsen antog riktlinjer för begränsningar av registrerades rättigheter enligt artikel 23 i dataskyddsförordningen. Riktlinjerna syftar till att påminna om villkoren för att tillämpa sådana begränsningar mot bakgrund av EU-stadgan om de grundläggande rättigheterna och dataskyddsförordningen. De innehåller en grundlig analys av vilka kriterier som gäller för att få tillämpa begränsningar, vilka bedömningar som måste göras, hur registrerade kan utöva sina rättigheter efter det att begränsningarna har upphävts och följderna om artikel 23 i dataskyddsförordningen överträds. Dataskyddsstyrelsen erinrar om att varje begränsning måste ske med respekt för andemeningen i den rättighet som begränsas, och att begränsningar som är så omfattande och inskränkande att en grundläggande rättighet förlorar sin mening inte kan motiveras. I riktlinjerna analyseras också hur lagstiftningsåtgärder varigenom begränsningar införs måste uppfylla kravet på förutsebarhet, och en närmare beskrivning ges av de skäl för begränsningar som förtecknas i artikel 23.1 i dataskyddsförordningen och de rättigheter och skyldigheter som kan begränsas. En närmare förklaring ges också av hur begränsningarnas nödvändighet och proportionalitet bedöms enligt artikel 23.1 i dataskyddsförordningen. Ett åtta veckors offentligt samråd kommer att hållas om dessa riktlinjer.
 
Efter offentligt samråd antog dataskyddsstyrelsen en slutlig version av riktlinjerna för samspelet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen. De riktlinjerna syftar till att ge ytterligare vägledning om dataskyddsaspekterna i samband med PSD2, särskilt om förhållandet mellan relevanta bestämmelser i dataskyddsförordningen och PSD2. Ett avsnitt om förebyggande av bedrägerier infördes för att ta hänsyn till synpunkter som inkommit under det offentliga samrådet.
 
Dataskyddsstyrelsen antog också en slutlig version av riktlinjerna om artikel 46.2 a och 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i och utanför EES. I dessa artiklar behandlas överföring av personuppgifter från myndigheter eller organ inom EES till offentliga organ i tredjeländer utan beslut om adekvat skyddsnivå. Ordalydelsen och den rättsliga motiveringen anpassades för att ta hänsyn till synpunkter och återkoppling som inkommit under det offentliga samrådet, och nödvändiga ändringar infördes med beaktande av Schrems II-målet.
 
Dataskyddsstyrelsen antog även ett uttalande om skyddet av personuppgifter som behandlas i samband med åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism. Dataskyddsstyrelsen anser att det är av yttersta vikt att åtgärderna mot penningtvätt är förenliga med rätten till integritet och uppgiftsskydd enligt artiklarna 7 och 8 i EU-stadgan om de grundläggande rättigheterna, principerna om nödvändigheten av sådana åtgärder i ett demokratiskt samhälle och deras proportionalitet samt EU-domstolens rättspraxis. Europeiska kommissionen ombeds därför att i ett tidigt skede involvera dataskyddsstyrelsen när ny lagstiftning mot penningtvätt utarbetas och dataskyddsstyrelsen förklarar sig redo att bidra till diskussionerna i rådet och Europaparlamentet och att i god tid konsulteras av europeiska eller internationella regleringsorgan.
 
Dataskyddsstyrelsen antog slutligen ett yttrande enligt artikel 64 om utkastet till beslut om de bindande företagsbestämmelserna för den personuppgiftsansvarige för Equinix som den nederländska tillsynsmyndigheten lagt fram för dataskyddsstyrelsen. Dataskyddsstyrelsen vill påminna om att artikel 29-gruppens arbetsdokument 256 och 257* håller på att revideras och att organisationer med bindande företagsbestämmelser kommer att behöva ändra dessa i enlighet med dessa revideringar.
 
Meddelande till redaktörerna:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarsessioner är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

* Artikel 29-gruppens arbetsdokument 256 och 257 finns här:
WP256: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109
WP257: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110

EDPB_Press Release_2020_20

Bryssel den 11 november — Europeiska dataskyddsstyrelsen antog vid sin 41:a plenarsession rekommendationer om åtgärder som kompletterar överföringsverktygen för att säkerställa överensstämmelse med EU:s skyddsnivå för personuppgifter samt rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder.

Båda dokumenten antogs som en uppföljning av EU-domstolens dom i målet Schrems II.Till följd av avgörandet av den 16 juli är personuppgiftsansvariga som förlitar sig på standardavtalsklausuler skyldiga att från fall till fall, och i förekommande fall i samarbete med mottagaren av uppgifterna i tredjelandet, kontrollera om tredjelandets lagstiftning garanterar en skyddsnivå för de överförda personuppgifterna som i allt väsentligt är likvärdig med den som garanteras i Europeiska ekonomiska samarbetsområdet (EES). Domstolen godtog att exportörer lägger till åtgärder som kompletterar standardavtalsklausulerna för att säkerställa en effektiv efterlevnad av den skyddsnivån om skyddsåtgärderna i standardavtalsklausulerna inte är tillräckliga.

Rekommendationerna syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som fungerar som uppgiftsutförare med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför till tredjeländer. Därigenom eftersträvar Europeiska dataskyddsstyrelsen en enhetlig tillämpning av den allmänna dataskyddsförordningen och domstolens dom i hela EES.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Europeiska dataskyddsstyrelsen är mycket medveten om konsekvenserna av Schrems II-domen för tusentals företag i EU och det viktiga ansvar som den lägger på uppgiftsexportörer. Europeiska dataskyddsstyrelsen hoppas att dessa rekommendationer kan hjälpa uppgiftsexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Vårt mål är att möjliggöra laglig överföring av personuppgifter till tredjeländer och samtidigt garantera att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom EES. ”

Rekommendationerna innehåller en färdplan för de åtgärder som uppgiftsexportörer måste vidta för att ta reda på om de behöver införa kompletterande åtgärder för att kunna överföra uppgifter utanför EES i enlighet med EU-lagstiftningen och hjälper dem att identifiera vilka sådana åtgärder som skulle kunna vara effektiva. För att hjälpa uppgiftsexportörer innehåller rekommendationerna också en icke uttömmande förteckning över exempel på kompletterande åtgärder och några av de villkor som de skulle kräva för att vara effektiva.

I slutänden ansvarar dock exportörerna för att göra den konkreta bedömningen utifrån överföringen, tredjelandets lagstiftning och det överföringsverktyg som de förlitar sig på. Uppgiftsexportörer måste gå vidare med tillbörlig aktsamhet och noggrant dokumentera sin process, eftersom de kommer att hållas ansvariga för de beslut som de fattar på grundval av detta, i enlighet med principen om ansvarsskyldighet i den allmänna dataskyddsförordningen. Dessutom bör uppgiftsexportörerna veta att det kanske inte är möjligt att genomföra tillräckliga kompletterande åtgärder i varje enskilt fall.

Rekommendationerna om de kompletterande åtgärderna kommer att läggas fram för offentligt samråd. De kommer att börja gälla omedelbart efter det att de har offentliggjorts.

Dessutom antog Europeiska dataskyddsstyrelsen rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder. Rekommendationerna om de europeiska grundläggande garantierna kompletterar rekommendationerna om kompletterande åtgärder. Rekommendationerna om europeiska grundläggande garantier ger uppgiftsexportörer underlag för att avgöra om den rättsliga ram som reglerar offentliga myndigheters tillgång till uppgifter för övervakningsändamål i tredjeländer kan betraktas som ett motiverat ingrepp i rätten till integritet och skydd av personuppgifter, och därmed inte inkräktar på de åtaganden i det överföringsverktyg enligt artikel 46 i den allmänna dataskyddsförordningen som uppgiftsutföraren och uppgiftsinföraren förlitar sig på.

Ordföranden tillade: ”Konsekvenserna av Schrems II-domen omfattar alla överföringar till tredjeländer. Därför finns det inga snabba lösningar eller någon universallösning för alla överföringar, eftersom detta skulle ignorera de många olika situationer som exportörer av uppgifter ställs inför. Uppgiftsexportörer kommer att behöva utvärdera sin uppgiftsbehandling och sina överföringar och vidta effektiva åtgärder med beaktande av rättsordningen i de tredjeländer till vilka de överför eller avser att överföra uppgifter. ”

EES-tillsynsmyndigheterna kommer att fortsätta att samordna sina åtgärder i Europeiska dataskyddsstyrelsen för att säkerställa en enhetlig tillämpning av EU: s dataskyddslagstiftning.

Not till redaktörerna:
observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_18

Bryssel den 3 september — Styrelsen antog riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i den allmänna dataskyddsförordningen och riktlinjer om riktad marknadsföring till användare av sociala medier. Dessutom inrättade Europeiska dataskyddsstyrelsen en arbetsgrupp för hantering av klagomål till följd av domstolens dom i Schrems II-målet och en arbetsgrupp för de kompletterande åtgärder som uppgiftsexportörer och importörer kan åläggas att vidta för att säkerställa ett adekvat skydd vid överföring av uppgifter mot bakgrund av domstolens dom i Schrems II-målet.

Dataskyddsstyrelsen har antagit riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen. Sedan den allmänna dataskyddsförordningen började tillämpas har frågor väckts om i vilken utsträckning dataskyddsförordningen har medfört ändringar av dessa begrepp, särskilt när det gäller begreppet gemensamt personuppgiftsansvar (som fastställs i artikel 26 i den allmänna dataskyddsförordningen och efter flera avgöranden från EU-domstolen) samt de skyldigheter för personuppgiftsbiträden (särskilt artikel 28 i den allmänna dataskyddsförordningen) som fastställs i kapitel IV i dataskyddsförordningen.

I mars 2019 anordnade Europeiska dataskyddsstyrelsen tillsammans med sitt sekretariat ett evenemang för berörda parter som klargjorde att det fanns ett behov av mer praktisk vägledning och gjorde det möjligt för styrelsen att bättre förstå behoven och problemen på området. De nya riktlinjerna består av två huvuddelar: den ena förklarar de olika begreppen, den andra innehåller detaljerad vägledning om de viktigaste konsekvenserna av dessa begrepp för personuppgiftsansvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga. Riktlinjerna innehåller ett flödesschema som ger ytterligare praktisk vägledning. Riktlinjerna kommer att bli föremål för offentligt samråd.

Europeiska dataskyddsstyrelsen har antagit riktlinjer för riktad marknadsföring motanvändare av sociala medier. Riktlinjerna syftar till att ge de berörda parterna praktisk vägledning och innehåller olika exempel på olika situationer så att intressenterna snabbt kan identifiera det ”scenario” som ligger närmast den  praxis ifråga om riktad marknadsföring som de avser att tillämpa. Huvudsyftet med riktlinjerna är att klargöra roller och ansvarsområden för  sociala medier och för den berörda personen. I detta syfte fastställs bland annat i riktlinjerna de potentiella riskerna för individens friheter, huvudaktörerna och deras roller, tillämpningen av centrala dataskyddskrav, såsom laglighet och öppenhet och konsekvensbedömning avseende dataskydd, samt centrala inslag i arrangemang mellan leverantörer av sociala medier och de berörda personerna. Riktlinjerna fokuserar dessutom på de olika målinriktningsmekanismerna, behandlingen av särskilda kategorier av uppgifter och skyldigheten för gemensamma personuppgiftsansvariga att införa ett lämpligt arrangemang i enlighet med artikel 26 i dataskyddsförordningen. Plenarförsamlingen kommer att lägga fram riktlinjerna för offentligt samråd.

Styrelsen har inrättat en arbetsgrupp för att undersöka klagomål som lämnats in i efterdyningarna av domstolens dom i målet Schrems II. Totalt 101 identiska klagomål har lämnats in till EES dataskyddsmyndigheter mot flera personuppgiftsansvariga i EES-medlemsstaterna avseende deras användning av Google/Facebook-tjänster som inbegriper överföring av personuppgifter. De klagande, företrädda av den icke-statliga organisationen NOYB, hävdar att Google/Facebook överför personuppgifter till Förenta staterna med stöd av skölden för skydd av privatlivet i EU och USA eller standardavtalsklausuler och att den personuppgiftsansvarige enligt EU-domstolens dom nyligen i mål C-311/18 inte kan säkerställa ett adekvat skydd av klagandenas personuppgifter. Arbetsgruppen kommer att analysera frågan och säkerställa ett nära samarbete mellan EDPB :s medlemmar.

Som en uppföljning av EU-domstolens dom i målet Schrems II och utöver de frågor och svar som antogs den 23 juli har styrelsen inrättat en arbetsgrupp. Denna arbetsgrupp kommer att utarbeta rekommendationer för att bistå personuppgiftsansvariga och personuppgiftsbiträden i deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa adekvat skydd vid överföring av uppgifter till tredjeländer.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen säger följande: ”Europeiska dataskyddsstyrelsen är väl medveten om att Schrems II-domen ger personuppgiftsansvariga ett viktigt ansvar. Utöver det uttalande och de  frågor och svar som vi lagt ut kort efter domen kommer vi att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder av rättslig, teknisk och organisatorisk karaktär för att uppfylla en väsentligen likvärdig skyddsnivå när personuppgifter överförs till tredjeländer. Domens konsekvenser är dock omfattande och kontexten för överföring av uppgifter till tredjeländer skiljer sig mycket åt. Därför kan det inte finnas en snabb lösning som passar alla. Varje organisation kommer att behöva utvärdera sin egen uppgiftsbehandling och dataöverföring och vidta lämpliga åtgärder. ”

Not till redaktörerna:
Observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_14

Europeiska dataskyddsstyrelsen offentliggör dokument med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 (Schrems II)

Med anledning av Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems – har dataskyddsstyrelsen antagit ett dokument med vanliga frågor för att tillhandahålla ett första förtydligande och en preliminär vägledning för berörda parter om användningen av rättsliga instrument för överföring av personuppgifter till tredjeländer, inklusive Förenta staterna. Detta dokument kommer tillsammans med ytterligare vägledning att utarbetas och kompletteras allteftersom dataskyddsstyrelsen fortsätter att granska och bedöma EU-domstolens dom. 

Dokumentet med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 finns här.

EDPB_Pressmeddelande_uttalande_2020_06

Bryssel den 23 juli – Mot bakgrund av det kommande slutet på övergångsperioden för brexit har dataskyddsstyrelsen antagit en informationsnot om åtgärder som tillsynsmyndigheterna, organisationer som fått sina bindande företagsbestämmelser godkända och organisationer som väntar på att deras bindande företagsbestämmelser ska godkännas av den brittiska tillsynsmyndigheten behöver vidta för att se till att dessa bindande företagsbestämmelser kan användas som ett giltigt överföringsverktyg efter att övergångsperioden gått ut. Eftersom den brittiska tillsynsmyndigheten inte längre kommer att vara behörig tillsynsmyndighet enligt den allmänna dataskyddsförordningen när övergångsperioden går ut kommer de beslut om godkännande som denna tillsynsmyndighet fattat enligt denna förordning inte längre att ha rättsverkan i EES. Dessutom kan innehållet i de bindande företagsbestämmelserna i fråga behöva ändras innan övergångsperioden går ut eftersom dessa bestämmelser i allmänhet innehåller hänvisningar till den brittiska rättsordningen. Detta gäller också bindande företagsbestämmelser som redan godkänts enligt direktiv 94/46/EG.

De som fått sina bindande företagsbestämmelser godkända och som har den brittiska tillsynsmyndigheten som ansvarig tillsynsmyndighet för de bindande företagsbestämmelserna behöver införa alla organisatoriska arrangemang som krävs för att utse en ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser i EES. Bytet av ansvarig tillsynsmyndighet för bindande företagsbestämmelser måste ske innan övergångsperioden för brexit går ut.

De vars ansökan om godkännande av bindande företagsbestämmelser ännu inte bifallits uppmuntras att införa alla organisatoriska engagemang som krävs för att utse en ny ansvarig tillsynsmyndighet i EES i god tid innan övergångsperioden för brexit går ut. Detta innefattar att kontakta tillsynsmyndigheten i fråga för att lämna alla nödvändiga uppgifter om varför man vill ha denna tillsynsmyndighet som ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser. Den senare kommer därefter att ta över ansökan och formellt inleda ett godkännandeförfarande som ska bli föremål för ett yttrande från dataskyddsstyrelsen. Alla bindande företagsbestämmelser som godkänts av den brittiska tillsynsmyndigheten kommer att kräva att den nya ansvariga tillsynsmyndigheten för bindande företagsbestämmelser i EES utfärdar ett nytt beslut om godkännande innan övergångsperioden går ut, följt av ett yttrande från dataskyddsstyrelsen. Dataskyddsstyrelsen har också antagit en bilaga med en checklista över saker som ska ändras i dokumenten om bindande företagsbestämmelser i samband med brexit.

Denna informationsnot påverkar inte den analys som dataskyddsstyrelsen för närvarande arbetar med och som handlar om vad Europeiska unionens dom i målet DPC mot Facebook Irland och Schrems innebär för bindande företagsbestämmelser som överföringsverktyg.

EDPB_Pressmeddelande_2020_13