Hoppa till innehåll på sidan
IMY-bloggen
Flera flaggstänger med blå EU-flaggor med gula stjärnor på rad mot blå himmel.

Kommer det en EDPB-riktlinje om rollen som dataskyddsombud?

Publicerad: 10 maj 2024
Nyligen genomförde vi ett webbinarium om arbetet i den Europeiska dataskyddsstyrelsen, EDPB. Under webbinariet kom en rad frågor som vi inte hann besvara under frågestunden. I det här blogginlägget besvarar vi även dessa frågor.

Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) inrättades när dataskyddsförordningen började tillämpas i maj 2018. Den består av representanter från samtliga EU/EES-länders dataskyddsmyndigheter, däribland IMY.

Sedan dataskyddsförordningen började gälla har samarbetet mellan EU- och EES-ländernas dataskyddsmyndigheter hela tiden utvecklats och blivit allt mer omfattande, och EDPB:s slutsatser i olika frågor är en eftersökt informationskälla när det gäller tillämpningen av dataskyddsförordningen.

Vilken betydelse har EDPB:s riktlinjer när mål gällande dataskyddsförordningen har avgjorts i EU-domstolen? Har domstolen på någon betydande punkt bedömt annorlunda än EDPB?

Vår bedömning och erfarenhet är att EDPB:s riktlinjer har stor betydelse när EU-domstolen tolkar dataskyddsförordningen. Vi har inte sett att domstolen ännu på någon betydande punkt har bedömt annorlunda än EDPB, tvärtom kan vi ofta känna igen resonemang från EDPB:s riktlinjer i domstolens avgöranden. I många fall har vi också sett att generaladvokaten, som förbereder mål i EU-domstolen, uttryckligen hänvisar till EDPB:s riktlinjer i mål som handlar om dataskyddsförordningen. 

Kan IMY motivera sanktionsavgifter i ett tillsynsbeslut med uttalanden hämtade från EDPB:s riktlinjer, eller är det endast det som tydligt framgår av dataskyddsförordningen som kan ligga till grund för ett sådant beslut?

EDPB:s riktlinjer syftar till att skapa en gemensam och likformig uttolkning av bestämmelserna i dataskyddsförordningen inom EU/EES. Det är i första hand dataskyddsförordningens bestämmelser som IMY motiverar sina beslut ifrån. Men i den mån det behövs närmare tolkning av dessa bestämmelser så är det EDPB:s riktlinjer som IMY (och andra dataskyddsmyndigheter i EU/EES) har att utgå ifrån.

Kommer EDPB att gå in djupare på förbudet för myndigheter att använda intresseavvägning när de utför sina uppgifter? Är förbudet absolut eller finns det något utrymme för myndigheter att nyttja den rättsliga grunden?

Frågan om ifall myndigheter kan använda intresseavvägning kommer ofta upp i olika sammanhang. Helt klart är att en myndighet inte kan använda intresseavvägning som rättslig grund för att fullgöra sina uppgifter som myndighet. Det framgår av dataskyddsförordningen och bygger på att en myndighets verksamhet i princip ska vara reglerad genom lagstiftning och följa de bestämmelser som finns där. Däremot kan det uppstå frågor om vad som ska anses rymmas inom begreppet fullgörande av en myndighets uppgifter. När en myndighet behandlar personuppgifter i samband med till exempel en insamling för att uppmärksamma en anställds födelsedag, anteckningar om kostönskemål i samband med en personalmiddag eller för att publicera ett inlägg i sociala medier, kan det anses vara en del av myndighetens uppgifter? Den frågan kan bero på, inte bara dataskyddsförordningens regler, utan också på nationella regler om myndigheters verksamhet. Frågan kommer att beröras i EDPB:s kommande riktlinje om intresseavvägning och kanske även i andra riktlinjer som avser myndigheters behandling av personuppgifter.  

Kan man få gratis hjälp med att säkerställa att ett företag efterlever dataskyddsförordningen. Var kan man få gratis vägledning? Finns det någon man kan ringa, maila eller boka ett möte med kostnadsfritt?

På vår webbplats finns mycket information som kan hjälpa verksamheter att efterleva reglerna i dataskyddsförordningen. Där finns även en samlingssida för de riktlinjer som har tagits fram av EDPB

En verksamhet kan också vända sig till IMY med ett förhandssamråd för att få råd om hur risker med en behandling kan undvikas. Först måste verksamheten dock ha gjort en egen konsekvensbedömning och då bedömt att det finns kvar höga risker med den tänkta behandlingen av personuppgifter.

Det går även att ringa eller mejla oss för att ställa frågor men viktigt i sammanhanget är att vi då endast ger generell information och inte information som rör en viss verksamhets specifika frågeställning.

Det är också viktigt att poängtera att det alltid är verksamheten själv, den personuppgiftsansvarige, som har det yttersta ansvaret för att uppfylla reglerna i dataskyddsförordningen. Har man utsett ett dataskyddsombud kan ombudet informera och ge råd om skyldigheterna enligt dataskyddsförordningen men det är den personuppgiftsansvarige som har ansvaret för att bestämmelserna efterlevs.

Vid webbinariet berättade ni om tre olika planerade riktlinjer. När dessa kommer att publiceras?

EDPB arbetar nu med bland annat riktlinjer om intresseavvägning, offentliga aktörers användning av sociala medier och om skydd för personuppgifter i forskning. Det är svårt att säga exakt när de kommer att publiceras men det förväntas ske under hösten 2024 och förhoppningsvis allra senast vid årsskiftet. När riktlinjerna publiceras kommer det att finnas tillfälle för allmänheten att lämna synpunkter på dessa inför att de antas slutligt, i ett så kallat offentligt samråd. 

När riktlinjerna antagits kommer IMY att publicera information om detta på sin webbplats och i sociala medier.

Hur stora paralleller kan privata aktörer dra av riktlinjen för offentliga aktörer angående sociala medier?

Riktlinjen för offentliga aktörers användning av sociala medier utgår ifrån sådana aktörers specifika situation och är därför inte direkt tillämplig på privata aktörer. Däremot kan det finnas viss information, som till exempel beskrivning av den personuppgiftsbehandling som sker i sociala medier, som kan vara av intresse även för privata aktörer. 

Vad gäller om en nationell dataskyddsmyndighet tagit fram egna, nationella riktlinjer som skiljer sig från EDPB:s riktlinjer?

Varje dataskyddsmyndighet gör självständiga bedömningar och EDPB kan inte styra över vad en nationell dataskyddsmyndighet ska fatta för beslut, med undantag för beslut i den så kallade tvistlösningsmekanismen enligt artikel 65 GDPR. EDPB:s medlemmar förväntas följa riktlinjerna, men dataskyddsförordningen ger ibland visst utrymme för nationella bestämmelser och i sådana fall lämnar EDPB också öppet för att skillnader i nationell lagstiftning kan påverka bedömningen. Det är alltså inte uteslutet att en dataskyddsmyndighet kan komma att ta fram egna riktlinjer som skiljer sig från EDPB:s riktlinjer, om det finns nationell kompletterande lagstiftning inom ett område. 

Är en riktlinje om på gång om rollen som dataskyddsombud?

Det finns inget sådant påbörjat arbete men det har funnits diskussion om att uppdatera riktlinjen om dataskyddsombud som antogs av Artikel 29-gruppen i oktober 2017. Inget är dock beslutat ännu.

Kommer det att komma riktlinjer om hur AI (till exempel ChatGPT) ska behandla användares ”prompts”, det vill säga de frågor som användaren ställer? Kommer det finnas dataskyddsregler för databaserna och hur dom sparar alla frågor i relation till användaren?

Frågor som rör AI har stort fokus hos EDPB och man har för avsikt att påbörja ett arbete med riktlinjer kring detta ganska snart. När ett sådant mandat beslutas kommer det att publiceras av EDPB och av IMY. 

Det verkar som att samtyck eller betala för Meta enbart reglerar profilerad annonsering men inte för all annan insamling, profilering för andra syften som Meta har. Hur ska man se på dessa behandlingar?

EDPB antog i april 2024 ett yttrande som svar på en fråga som ställts av dataskyddsmyndigheterna i Norge, Nederländerna och Hamburg. Frågan gällde specifikt personuppgiftsbehandling för beteendestyrd annonsering och stora online-plattformars modell med ”samtyck eller betala”. EDPB kommer nu att påbörja ett arbete med en riktlinje som mer generellt ska titta på affärsmodeller av typen ”samtyck eller betala” och frågan om vad som kan anses vara ett giltigt samtycke enligt dataskyddsförordningen. 

När det gäller Meta och deras behandling av personuppgifter finns flera beslut från EDPB i den så kallade tvistlösningsmekanismen enligt artikel 65 GDPR. Läs mer om det här

Hur fattas besluten i EDPB? Röstar man? Krävs det att alla är överens?

Beslut fattas efter omröstning vid plenarmöten med enkel majoritet, men i första hand försöker man få fram ett förslag som alla kan enas om. I undantagsfall, vid enklare frågor, kan beslut tas genom skriftlig omröstning och vid väldigt brådskande ärenden kan ordföranden fatta beslut själv, men det gäller förstås inte riktlinjer, yttranden med mera utan till exempel enkla svarsbrev.

Kan vem som helst ge förslag på nya riktlinjer för EDPB att ta fram?

Nej, det EDPB ska jobba med bestäms i princip i ett arbetsprogram för två år i taget. Där får expertarbetsgrupperna ge förslag på ämnen som man anser behöver tas upp och så beslutas arbetsprogrammet på ett plenarmöte. Däremot gör dataskyddsmyndigheterna alltid en bedömning av vilka frågor som är aktuella för företag, myndigheter och enskilda och kan på så sätt indirekt förmedla dessa behov till EDPB genom sitt deltagande där. 

Sker det något samarbete mellan dataskyddsmyndigheter utanför EU?

Ja, i Global Privacy Assembly (GPA), en internationell sammanslutning mellan dataskyddsmyndigheter runt om i världen. Här diskuteras olika frågor som gäller dataskydd generellt men även särskilda delar, till exempel dataskydd och barns rättigheter. En annan global arbetsgrupp som inrättats inom ramen för GPA är den så kallade Berlingruppen som arbetar med frågor som rör ny teknik. Där har man nyligen diskuterat frågor kring AI, Big data och Internet of Things. IMY följer arbetet även i GPA och Berlingruppen. Varje år hålls också en europeisk dataskyddskonferens där dataskyddsmyndigheter från andra länder utanför EU/EES deltar.

Vad innebär den föreslagna förordningen om ytterligare processuella regler?

Förordningen vill harmonisera de regler som gäller för dataskyddsmyndigheternas hantering av gränsöverskridande ärenden, utöver de bestämmelser som redan finns i dataskyddsförordningen. Sättet att hantera klagomål skiljer sig ibland åt mellan dataskyddsmyndigheterna och kan därför se olika ut beroende på vilket land man ger in ett klagomål i. Det kan också finnas skillnader i rättigheter för de som blir föremål för tillsyn, till exempel när det gäller rätten att få ta del av det som kommer fram i en utredning och kunna bemöta det som påstås.

I förordningen föreslås bland annat regler om vilka uppgifter ett klagomål behöver innehålla, närmare regler om vilken information som ska utbytas mellan dataskyddsmyndigheterna och fler bestämda tidsfrister i det samarbetet än vad som anges i artikel 60 GDPR samt krav på att ge part som är föremål för utredning tillgång till handlingarna i ärendet, till exempel tillsynsmyndighetens preliminära slutsatser, så att denne kan ge synpunkter. Förordningen är för närvarande under förhandling. 

Vad innebär ändamålsbegränsningen i betaltjänstedirektivet (PSD II ((EU)2015/2366)) för hanteringen av konsumenters bankdata?

EDPB har publicerat riktlinjer 6/2020 om förhållandet mellan dataskyddsförordningen och betaltjänstedirektivet (PSD II (EU) 2015/2366).
Riktlinjerna redogör för ändamålsbegränsningarna i artikel 66.3 g, som begränsar användning, tillgång till eller lagring av uppgifter för andra ändamål än för att tillhandahålla den betalningsinitieringstjänst som uttryckligen begärs av betalaren respektive artikel 67.2 f PSD II, som begränsar användning, tillgång till eller lagring av uppgifter för några andra ändamål än för att genomföra den kontoinformationstjänst som betaltjänstanvändaren uttryckligen har begärt.

Enligt riktlinjerna kan en personuppgiftsansvarig inte behandla dessa uppgifter för andra ändamål än de som anges i bestämmelserna, om inte den personuppgiftsansvarige har den registrerades samtycke, enligt artikel 6.1 a i dataskyddsförordningen, eller om det tillåts av tillämplig lagstiftning från EU eller på nationell nivå (p. 23 i riktlinjerna, som hänvisar till artikel 6.4 i dataskyddsförordningen). Som exempel nämner riktlinjerna att skyldigheter för leverantörer av kontoinformationstjänster (AISPs) och betalningsinitieringstjänster (PISPs) att förhindra penningtvätt och terrorfinansiering (AML/CFT) kan utgöra ytterligare behandling som är tillåten enligt artikel 6.4 i dataskyddsförordningen (p. 24 i riktlinjerna). 

Om samtycke eller annan tillämplig lagstiftning som möjliggör ytterligare behandling saknas, kan den personuppgiftsansvarige emellertid inte vidarebehandla personuppgifterna med stöd av en kompatibilitetsbedömning enligt artikel 6.4 i dataskyddsförordningen (p. 23 i riktlinjerna).

Vad gäller i fråga om rollfördelningen mellan sponsorer och prövare (investigator) inom ramen för klinisk prövning?

Av EDPB:s riktlinjer (7/2020) om personuppgiftsansvariga och personuppgiftsbiträden framgår att prövare och sponsorer, som parter i en klinisk prövning, kan vara gemensamt personuppgiftsansvariga om de tillsammans fastställer ändamålen och medlen vid utarbetandet av ett prövningsprotokoll (exemplet på sida 23 i riktlinjerna). Om det bara är sponsorn som fastställer ändamålen och medlen, och prövaren därefter agerar på sponsorns instruktioner, så blir sponsorn personuppgiftsansvarig och prövaren personuppgiftsbiträde.

Det kan också finnas situationer där rollfördelningen ser annorlunda ut, inklusive situationer där prövaren inte bör agera som personuppgiftsbiträde. Ett sådant exempel är där den nationella lagstiftningen fastställer personuppgiftsansvaret, exempelvis genom att uttryckligen peka ut den som är ansvarig för genomförandet av forskning som personuppgiftsansvarig.

Det är också möjligt att en prövare behandlar samma personuppgifter som i den kliniska prövningen för helt andra ändamål enligt tillämplig nationell lagstiftning, exempelvis patientdatalagen (2008:355). Ett exempel på sådan behandling av personuppgifter är skyldigheten att föra patientjournal enligt 3 kap. 1 § patientdatalagen. För den personuppgiftsbehandlingen är vårdgivaren (normalt sett den som prövaren är anställd hos) personuppgiftsansvarig enligt 2 kap. 6 § patientdatalagen. Detta kan vara förenligt med prövarens roll som personuppgiftsbiträde, enligt artikel 28.3 a i dataskyddsförordningen.

Senast uppdaterad: 10 maj 2024
Sidans etiketter Dataskydd
Senast uppdaterad: 10 maj 2024
Sidans etiketter Dataskydd