Nyhetssamlare

Tillsyn enligt dataskyddsförordningen. Beslut 2020-11-23

Bryssel den 11 november — Europeiska dataskyddsstyrelsen antog vid sin 41:a plenarsession rekommendationer om åtgärder som kompletterar överföringsverktygen för att säkerställa överensstämmelse med EU:s skyddsnivå för personuppgifter samt rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder.

Båda dokumenten antogs som en uppföljning av EU-domstolens dom i målet Schrems II.Till följd av avgörandet av den 16 juli är personuppgiftsansvariga som förlitar sig på standardavtalsklausuler skyldiga att från fall till fall, och i förekommande fall i samarbete med mottagaren av uppgifterna i tredjelandet, kontrollera om tredjelandets lagstiftning garanterar en skyddsnivå för de överförda personuppgifterna som i allt väsentligt är likvärdig med den som garanteras i Europeiska ekonomiska samarbetsområdet (EES). Domstolen godtog att exportörer lägger till åtgärder som kompletterar standardavtalsklausulerna för att säkerställa en effektiv efterlevnad av den skyddsnivån om skyddsåtgärderna i standardavtalsklausulerna inte är tillräckliga.

Rekommendationerna syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som fungerar som uppgiftsutförare med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför till tredjeländer. Därigenom eftersträvar Europeiska dataskyddsstyrelsen en enhetlig tillämpning av den allmänna dataskyddsförordningen och domstolens dom i hela EES.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Europeiska dataskyddsstyrelsen är mycket medveten om konsekvenserna av Schrems II-domen för tusentals företag i EU och det viktiga ansvar som den lägger på uppgiftsexportörer. Europeiska dataskyddsstyrelsen hoppas att dessa rekommendationer kan hjälpa uppgiftsexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Vårt mål är att möjliggöra laglig överföring av personuppgifter till tredjeländer och samtidigt garantera att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom EES. ”

Rekommendationerna innehåller en färdplan för de åtgärder som uppgiftsexportörer måste vidta för att ta reda på om de behöver införa kompletterande åtgärder för att kunna överföra uppgifter utanför EES i enlighet med EU-lagstiftningen och hjälper dem att identifiera vilka sådana åtgärder som skulle kunna vara effektiva. För att hjälpa uppgiftsexportörer innehåller rekommendationerna också en icke uttömmande förteckning över exempel på kompletterande åtgärder och några av de villkor som de skulle kräva för att vara effektiva.

I slutänden ansvarar dock exportörerna för att göra den konkreta bedömningen utifrån överföringen, tredjelandets lagstiftning och det överföringsverktyg som de förlitar sig på. Uppgiftsexportörer måste gå vidare med tillbörlig aktsamhet och noggrant dokumentera sin process, eftersom de kommer att hållas ansvariga för de beslut som de fattar på grundval av detta, i enlighet med principen om ansvarsskyldighet i den allmänna dataskyddsförordningen. Dessutom bör uppgiftsexportörerna veta att det kanske inte är möjligt att genomföra tillräckliga kompletterande åtgärder i varje enskilt fall.

Rekommendationerna om de kompletterande åtgärderna kommer att läggas fram för offentligt samråd. De kommer att börja gälla omedelbart efter det att de har offentliggjorts.

Dessutom antog Europeiska dataskyddsstyrelsen rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder. Rekommendationerna om de europeiska grundläggande garantierna kompletterar rekommendationerna om kompletterande åtgärder. Rekommendationerna om europeiska grundläggande garantier ger uppgiftsexportörer underlag för att avgöra om den rättsliga ram som reglerar offentliga myndigheters tillgång till uppgifter för övervakningsändamål i tredjeländer kan betraktas som ett motiverat ingrepp i rätten till integritet och skydd av personuppgifter, och därmed inte inkräktar på de åtaganden i det överföringsverktyg enligt artikel 46 i den allmänna dataskyddsförordningen som uppgiftsutföraren och uppgiftsinföraren förlitar sig på.

Ordföranden tillade: ”Konsekvenserna av Schrems II-domen omfattar alla överföringar till tredjeländer. Därför finns det inga snabba lösningar eller någon universallösning för alla överföringar, eftersom detta skulle ignorera de många olika situationer som exportörer av uppgifter ställs inför. Uppgiftsexportörer kommer att behöva utvärdera sin uppgiftsbehandling och sina överföringar och vidta effektiva åtgärder med beaktande av rättsordningen i de tredjeländer till vilka de överför eller avser att överföra uppgifter. ”

EES-tillsynsmyndigheterna kommer att fortsätta att samordna sina åtgärder i Europeiska dataskyddsstyrelsen för att säkerställa en enhetlig tillämpning av EU: s dataskyddslagstiftning.

Not till redaktörerna:
observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_18

Myndigheten påbörjar nu utredningar av ett antal klagomål från enskilda personer som rör deras rättigheter enligt GDPR.

Rapportnummer: 2020:04

Integritetsskyddsmyndigheten publicerar nu en rapport som belyser de klagomål som myndigheten tagit emot sedan dataskyddsförordningen, GDPR, började gälla. Var fjärde klagomål avser de rättigheter som GDPR ger medborgarna, som exempelvis rätten att få personuppgifter raderade och rätten till registerutdrag.

Tillsyn enligt inkassolagen. Beslut 2020-10-09

Tillsyn enligt dataskyddsförordningen. Beslut 2020-10-09

Integritetsskyddsmyndigheten har granskat ett stort inkassobolag och är kritisk till att bolaget brister i tillgängligheten för gäldenärer som vill komma i kontakt med bolaget.

Tillsyn enligt inkassolagen. Beslut 2020-10-14

Myndighetens granskning visar att dataskyddsförordningen, GDPR, inte är tillämplig i det aktuella fallet. Därför avslutar Integritetsskyddsmyndigheten sin tillsyn.

I år blev barnkonventionen lag i Sverige och för att stärka barns rättigheter på nätet har Barnombudsmannen, Statens medieråd och Integritetsskyddsmyndigheten gemensamt tagit fram en vägledning för aktörer som ansvarar för sociala medier, spel och andra digitala miljöer. Vägledningen syftar till att göra internet till en tryggare och säkrare plats för barn och unga.

Integritetsskyddsmyndigheten publicerar nu ny och uppdaterad information som riktas till arbetsgivare och som ger vägledning för hur dessa kan hantera personuppgifter om sina anställda enligt dataskyddsförordningen, GDPR.

Den 1 januari 2021 byter Datainspektionen namn och blir Integritetsskyddsmyndigheten. Förkortningen blir IMY.

Den Europeiska dataskyddsstyrelsen har nu tagit fram en vägledning som klargör gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och som tydliggör vilka följderna blir av att ha en av dessa roller.

Ex ante publicity for negotiated procedure for middle value contrat (ref. JUST/2020/RRAC/PR/RIGH/0088)

Bryssel den 3 september — Styrelsen antog riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i den allmänna dataskyddsförordningen och riktlinjer om riktad marknadsföring till användare av sociala medier. Dessutom inrättade Europeiska dataskyddsstyrelsen en arbetsgrupp för hantering av klagomål till följd av domstolens dom i Schrems II-målet och en arbetsgrupp för de kompletterande åtgärder som uppgiftsexportörer och importörer kan åläggas att vidta för att säkerställa ett adekvat skydd vid överföring av uppgifter mot bakgrund av domstolens dom i Schrems II-målet.

Dataskyddsstyrelsen har antagit riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen. Sedan den allmänna dataskyddsförordningen började tillämpas har frågor väckts om i vilken utsträckning dataskyddsförordningen har medfört ändringar av dessa begrepp, särskilt när det gäller begreppet gemensamt personuppgiftsansvar (som fastställs i artikel 26 i den allmänna dataskyddsförordningen och efter flera avgöranden från EU-domstolen) samt de skyldigheter för personuppgiftsbiträden (särskilt artikel 28 i den allmänna dataskyddsförordningen) som fastställs i kapitel IV i dataskyddsförordningen.

I mars 2019 anordnade Europeiska dataskyddsstyrelsen tillsammans med sitt sekretariat ett evenemang för berörda parter som klargjorde att det fanns ett behov av mer praktisk vägledning och gjorde det möjligt för styrelsen att bättre förstå behoven och problemen på området. De nya riktlinjerna består av två huvuddelar: den ena förklarar de olika begreppen, den andra innehåller detaljerad vägledning om de viktigaste konsekvenserna av dessa begrepp för personuppgiftsansvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga. Riktlinjerna innehåller ett flödesschema som ger ytterligare praktisk vägledning. Riktlinjerna kommer att bli föremål för offentligt samråd.

Europeiska dataskyddsstyrelsen har antagit riktlinjer för riktad marknadsföring motanvändare av sociala medier. Riktlinjerna syftar till att ge de berörda parterna praktisk vägledning och innehåller olika exempel på olika situationer så att intressenterna snabbt kan identifiera det ”scenario” som ligger närmast den  praxis ifråga om riktad marknadsföring som de avser att tillämpa. Huvudsyftet med riktlinjerna är att klargöra roller och ansvarsområden för  sociala medier och för den berörda personen. I detta syfte fastställs bland annat i riktlinjerna de potentiella riskerna för individens friheter, huvudaktörerna och deras roller, tillämpningen av centrala dataskyddskrav, såsom laglighet och öppenhet och konsekvensbedömning avseende dataskydd, samt centrala inslag i arrangemang mellan leverantörer av sociala medier och de berörda personerna. Riktlinjerna fokuserar dessutom på de olika målinriktningsmekanismerna, behandlingen av särskilda kategorier av uppgifter och skyldigheten för gemensamma personuppgiftsansvariga att införa ett lämpligt arrangemang i enlighet med artikel 26 i dataskyddsförordningen. Plenarförsamlingen kommer att lägga fram riktlinjerna för offentligt samråd.

Styrelsen har inrättat en arbetsgrupp för att undersöka klagomål som lämnats in i efterdyningarna av domstolens dom i målet Schrems II. Totalt 101 identiska klagomål har lämnats in till EES dataskyddsmyndigheter mot flera personuppgiftsansvariga i EES-medlemsstaterna avseende deras användning av Google/Facebook-tjänster som inbegriper överföring av personuppgifter. De klagande, företrädda av den icke-statliga organisationen NOYB, hävdar att Google/Facebook överför personuppgifter till Förenta staterna med stöd av skölden för skydd av privatlivet i EU och USA eller standardavtalsklausuler och att den personuppgiftsansvarige enligt EU-domstolens dom nyligen i mål C-311/18 inte kan säkerställa ett adekvat skydd av klagandenas personuppgifter. Arbetsgruppen kommer att analysera frågan och säkerställa ett nära samarbete mellan EDPB :s medlemmar.

Som en uppföljning av EU-domstolens dom i målet Schrems II och utöver de frågor och svar som antogs den 23 juli har styrelsen inrättat en arbetsgrupp. Denna arbetsgrupp kommer att utarbeta rekommendationer för att bistå personuppgiftsansvariga och personuppgiftsbiträden i deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa adekvat skydd vid överföring av uppgifter till tredjeländer.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen säger följande: ”Europeiska dataskyddsstyrelsen är väl medveten om att Schrems II-domen ger personuppgiftsansvariga ett viktigt ansvar. Utöver det uttalande och de  frågor och svar som vi lagt ut kort efter domen kommer vi att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder av rättslig, teknisk och organisatorisk karaktär för att uppfylla en väsentligen likvärdig skyddsnivå när personuppgifter överförs till tredjeländer. Domens konsekvenser är dock omfattande och kontexten för överföring av uppgifter till tredjeländer skiljer sig mycket åt. Därför kan det inte finnas en snabb lösning som passar alla. Varje organisation kommer att behöva utvärdera sin egen uppgiftsbehandling och dataöverföring och vidta lämpliga åtgärder. ”

Not till redaktörerna:
Observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_14

Tetra Pak-koncernen har fått sina bindande företagsbestämmelser godkända av Integritetsskyddsmyndigheten. Syftet med bindande företagsbestämmelser är att underlätta för koncerner att föra över personuppgifter till koncernbolag utanför EU/EES.

Europeiska dataskyddsstyrelsen offentliggör dokument med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 (Schrems II)

Med anledning av Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems – har dataskyddsstyrelsen antagit ett dokument med vanliga frågor för att tillhandahålla ett första förtydligande och en preliminär vägledning för berörda parter om användningen av rättsliga instrument för överföring av personuppgifter till tredjeländer, inklusive Förenta staterna. Detta dokument kommer tillsammans med ytterligare vägledning att utarbetas och kompletteras allteftersom dataskyddsstyrelsen fortsätter att granska och bedöma EU-domstolens dom. 

Dokumentet med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 finns här.

EDPB_Pressmeddelande_uttalande_2020_06