Hoppa till innehåll på sidan

EU-riktlinjer

EDPB, European Data Protection Board, eller Europeiska dataskyddsstyrelsen, har tagit fram riktlinjer i flera viktiga frågor. Dessa är av stor nytta för framför allt personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud.

Antagna riktlinjer

Enligt artikel 43.1 ska medlemsstaterna säkerställa att certifieringsorgan som utfärdar intyg enligt artikel 42.1 är ackrediterade av den behöriga tillsynsmyndigheten, det nationella ackrediteringsorganet eller av båda två.

I riktlinjerna fastställs syftet med ackrediteringen, på vilka sätt certifieringsorgan kan ackrediteras, om det finns en ram för att fastställa ytterligare ackrediteringskrav när ackrediteringen handläggs av det nationella ackrediteringsorganet och om det finns en ram för att fastställa ytterligare ackrediteringskrav i de fall där ackrediteringen handläggs av tillsynsmyndigheten.

Riktlinjer 4/2018 om ackreditering av certifieringsorgan enligt artikel 43

Förordningen inför ett nytt system för verkställighet, där administrativa sanktionsavgifter är en central del. För att skapa ett enhetligt system för dataskydd bör reglerna för dataskydd tillämpas på ett harmoniserat sätt.

I riktlinjerna framställs tillsynsmyndigheternas gemensamma tolkning av artikel 83 i förordningen och hur den artikeln samverkar med artiklarna 58 och 70 i förordningen. Riktlinjerna är inte uttömmande och förklarar inte skillnaderna mellan administrativa, civilrättsliga och straffrättsliga system när det gäller att utfärda administrativa sanktionsavgifter i allmänhet.

Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter (pdf, 554 kB)

Notera att EDPB senare även har antagit en kompletterande riktlinje om beräkning av administrativa sanktionsavgifter enligt dataskyddsförordningen:
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

 

Enligt artikel 33 och 34 ska en personuppgiftsansvarig anmäla vissa personuppgiftsincidenter till tillsynsmyndigheten och ibland informera de berörda personerna.

Riktlinjerna syftar till att komplettera "Riktlinjer om anmälan av personuppgiftsincidenter" som inte innehåller praktisk vägledning i tillräcklig utsträckning.

I riktlinjerna ges praktiska exempel och fallbaserad vägledning som hämtats från tillsynsmyndigheternas erfarenheter sedan förordningen trädde i kraft. Riktlinjerna ska hjälpa personuppgiftsansvariga att fatta beslut om hur personuppgiftsincidenter ska hanteras och vilka faktorer som ska beaktas vid en riskbedömning.

Guidelines 01/2021 on Examples regarding Data Breach Notification

Förordningen inför bestämmelser för att ta itu med de risker som profilering och automatiserat beslutsfattande kan leda till, framför allt men inte enbart för den personliga integriteten.

I riktlinjerna förtydligas bestämmelserna om profilering och automatiserat beslutsfattande. Riktlinjerna behandlar definitionerna av profilering och automatiserat beslutsfattande, allmänna bestämmelser om profilering och automatiserat beslutsfattande samt särskilda bestämmelser om enbart automatiserat beslutsfattande enligt artikel 22. Även barn och profilering behandlas, liksom konsekvensbedömningar om dataskydd och dataskyddsombud.

Riktlinjer om automatiserat individuellt beslutsfattande och profilering (pdf, 458 kB)

Enligt artikel 56 är ansvarig tillsynsmyndighet den myndighet där personuppgiftsansvariga eller personuppgiftsbiträde har sitt huvudsakliga verksamhetsställe eller sitt enda verksamhetsställe.

I riktlinjerna fastställs viktiga begrepp för att fastställa ansvarig tillsynsmyndighet, steg i hur man fastställer ansvarig tillsynsmyndighet och andra relevanta frågor. I bilagan till riktlinjerna ges även en checklista som kan användas till hjälp för att fastställa ansvarig tillsynsmyndighet.

Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden (pdf, 687 kB)

Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.

I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

Riktlinjer 05/2020 om samtycke

Enligt artikel 37 är det obligatoriskt för vissa personuppgiftsansvariga och personuppgiftsbiträden att utnämna ett dataskyddsombud.

I riktlinjerna klargörs de relevanta bestämmelserna för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden att följa förordningen och även hjälpa dataskyddsombuden i deras roll. Riktlinjerna innehåller också rekommendationer och praxis som bygger på den erfarenhet som vunnits i några av EU-medlemsstaterna.

Riktlinjer om dataskyddsombud (pdf, 1 MB)

Förordningen inför en ny rätt till dataportabilitet genom artikel 20.
I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.

Riktlinjer om rätten till dataportabilitet (pdf, 388 kB)

Enligt artikel 35.1 ska en konsekvensbedömning göras när behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”.
I riktlinjerna klargörs begreppet konsekvensbedömning för att säkerställa en enhetlig tolkning av de situationer där en konsekvensbedömning är obligatorisk. Riktlinjerna ger även kriterier för de förteckningar som dataskyddsmyndigheterna ska upprätta enligt artikel 35.4.

Riktlinjer om konsekvensbedömning avseende dataskydd (pdf, 936 kB)

IMY har med ledning av riktlinjerna antagit följande förteckning över när en konsekvensbedömning ska göras.

Förteckning för konsekvensbedömningar

I artikel 6.1 b ges en rättslig grund för behandling av personuppgifter i den mån som ”behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.

I riktlinjerna fastställs när artikel 6.1 b är tillämplig på behandlingen av personuppgifter i samband med avtal för onlinetjänster, oavsett hur dessa tjänster finansieras. Riktlinjerna beskriver bland annat vad som avses med laglig behandling enligt artikel 6.1 b i förordningen och tar upp begreppet ”nödvändighet”, i form av ”nödvändig för att fullgöra ett avtal”.

Riktlinjer 2/2019 om behandling av personuppgifter enligt artikel 6.1 b i samband med tillhandahållandet av onlinetjänster till registrerade

Vid kamerabevakning ställs i förordningen krav på den som bevakar.

I riktlinjerna ges vägledning om hur förordningen ska tillämpas vid behandling av personuppgifter genom kamerabevakning. Riktlinjerna ger bland annat rekommendationer för hur länge videomaterial kan sparas, hur man kan informera om bevakningen och när ansiktsigenkänning kan vara tillåten. Dessutom ges konkreta exempel på vad man bör tänka på vid olika typer av kamerabevakning. Exemplen är inte uttömmande men det allmänna resonemanget kan tillämpas på potentiella användningsområden.

Riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter

Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.

I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.

Riktlinjer 5/2019 om kriterier för rätten att bli bortglömd av sökmotorer

I artikel 3 definieras dataskyddsförordningens territoriella tillämpningsområde.
I riktlinjerna fastställs och klargörs kriterierna för att fastställa det territoriella tillämpningsområdet. Vidare klargörs processen att utse företrädare i enlighet med artikel 27 för personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU men utför behandling som omfattas av artikel 3.2.

Riktlinjer 3/2018 om den allmänna dataskyddsförordningens territoriella tillämpningsområde (artikel 3)

Enligt artikel 49 får, om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, en överföring personuppgifter till ett tredjeland eller en internationell organisation endast ske i särskilda situationer (undantagen ska tolkas restriktivt).
I riktlinjerna ges vägledning om tillämpning av artikel 49 vid överföring av personuppgifter till tredjeländer.

Riktlinjer 2/2018 för undantagen i artikel 49

Uppförandekoder kan användas till att påvisa förenlighet med förordningen och är en praktisk, potentiellt kostnadseffektiv och meningsfull metod för att åstadkomma ett mer enhetligt skydd för dataskyddsrättigheterna.

I riktlinjerna ges praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41. Riktlinjerna klargör vilka förfaranden och regler som gäller för inlämnande, godkännande och offentliggörande av uppförandekoder såväl nationellt som på EU-nivå.

Dessutom anges minimikrav för att en behörig tillsynsmyndighet ska godta att göra en ingående översyn och utvärdering av en uppförandekod, innehållsfaktorer som ska beaktas när man utvärderar om en viss uppförandekod bidrar till eller faktiskt gör att förordningen tillämpas korrekt och vilka krav som gäller för en faktisk övervakning av en uppförandekod.

Riktlinjer 1/2019 om uppförandekoder och övervakningsorgan

Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.

I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.

Riktlinjer om öppenhet och information till de registrerade (pdf, 462 kB)

Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.

I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default

Riktlinjerna omfattar behandling av personuppgifter i samband med användning av ett uppkopplat fordon som utbyts mellan fordonet och personliga enheter som är anslutna till det, till exempel smarttelefon. Riktlinjerna omfattar även uppgifter som samlas i fordonet och delas med tredje part.

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Enligt artikel 46.2 (a) är det tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Tillsynsmyndigheten kan även enligt artikel 46.3 (b) ge särskilt tillstånd om överföringen sker med stöd av bestämmelser i administrativa överenskommelser mellan myndigheter.

I riktlinjerna ges vägledning för tillämpning av artiklarna 46.2 (a) och 46.3 (b).

Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

Riktlinjerna bör läsas tillsammans med

Riktlinjer 3/2018 om den allmänna dataskyddsförordningens territoriella tillämpningsområde (artikel 3)

Riktlinjer 2/2018 för undantagen i artikel 49

Artikel 29-gruppens (WP29) vägledning om referensram för adekvatskyddsnivå

Riktlinjer beskriver förhållandet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen (GDPR). I riktlinjerna klargörs bland annat de osäkerheter som kvarstår mellan de två regelverken, som skillnaden mellan uttryckligt samtycke enligt artikel 94 i PSD2 och uttryckligt samtycke enligt GDPR.

Riktlinjer 6/2020 om samspelet mellan andra betaltjänstdirektivet och dataskyddsförordningen

Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.

I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.

Guidelines 8/2020 on the targeting of social media users

I GDPR görs en skillnad mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.
I riktlinjerna klargörs gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och ansvarsfördelningen mellan dem. Riktlinjerna innehåller också en närmare beskrivning av gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Digitala röstassistenter blir allt vanligare och finns både i smartphones, uppkopplade fordon samt i smarta högtalare och TV-apparater. Många upplever fördelar med att kunna hantera enheter och tjänster genom röstkommandon. Samtidigt innebär det en omfattande insamling av uppgifter som rör användarens interaktion med röstassistenten. EDPB har antagit riktlinjer som beskriver tekniken kring röstassistenter, vilken slags personuppgiftsbehandling som sker i samband med användningen och vilka dataskyddsregler som gäller.

Guidelines 02/2021 on virtual voice assistants

GDPR ställer upp särskilda villkor för överföring av personuppgifter till länder utanför EU/EES, s.k. tredje land. Ett sådant villkor är att det finns lämpliga skyddsåtgärder för uppgifterna under och efter överföringen. Sådana skyddsåtgärder kan vara att mottagaren av uppgifterna anslutit sig till en godkänd uppförandekod. EDPB har antagit riktlinjer med närmare vägledning om vad som krävs av en sådan uppförandekod och hur det går till att få en sådan kod godkänd.

Guidelines 04/2021 on codes of conduct as tools for transfers

Enligt artiklarna 60.3 och 60.4 är ansvarig dataskyddsmyndighet skyldig att lägga fram ett utkast till beslut till berörda dataskyddsmyndigheter, som sedan kan göra en relevant och motiverad invändning inom en viss tidsram (fyra veckor).

Enligt förordningen har tillsynsmyndigheter en skyldighet att “utbyta all relevant information med varandra” och samarbeta “i ett försök att nå enighet”.
I riktlinjerna ges vägledning för begreppet relevant och motiverad invändning i syfte att skapa en gemensam förståelse för begreppet och därmed en enhetlig tolkning.

Guidelines 9/2020 on relevant and reasoned objection under Regulation 2016/679

 

Riktlinjen hanterar tillsynsmyndigheternas interaktion med varandra, med EDPB och med tredje part enligt artikel 60 GDPR.

Syftet är att analysera samarbetsförfarandet och att ge vägledning om den konkreta tillämpningen av bestämmelserna.

Riktlinjen antogs den 14 mars 2022 utan att ha varit ute på publik konsultation. Den återfinns på EDPB:s webbplats.

Guidelines 02/2022 on the application of Article 60 GDPR

Riktlinjerna innehåller kriterier för när ett dataflöde ska anses vara en ”överföring” enligt kapitel V GDPR. I riktlinjerna utvecklas varje kriterium i ett eget avsnitt med olika förklarande exempel. Om kriterierna är uppfyllda är det en överföring till tredjeland som endast får ske om villkoren i kapitel V är uppfyllda. Om kriterierna inte är uppfyllda är det inte någon överföring till tredjeland med följden att kapitel V inte behöver tillämpas. Detta medför dock inte per automatik att behandlingen är tillåten. 

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Riktlinjerna behandlar så kallade ”deceptive design patterns”, det vill säga design som manipulerar och lurar användaren, vilket i sin tur gör att användarens egna intressen missgynnas. Olika knep som används för att styra användaren att göra saker denne egentligen inte hade tänkt, består till exempel av överflöd av information och valmöjligheter, bilder och språk som vädjar till användarens känslor, försvårande av informationsinhämtande och kontroll över data samt gömt innehåll. Strukturellt sett delar riktlinjerna in deceptive design patterns i sex olika kategorier och tillämpar dem på fem olika stadier i ett socialt mediakontos livscykel.

Riktlinjerna innebär en mer omfattande tillämpning av korrekthetsprincipen än tidigare och innehåller även tydliga exempel på bästa praxis.

Guidelines 3/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer om certifiering som verktyg för överföring av personuppgifter till tredjeland. 

Guidelines 07/2022 on certification as a tool for transfers

Riktlinjer om anmälan av personuppgiftsincidenter antogs redan 2017 av EDPB:s företrädare, Artikel 29-gruppen, och har därefter godkänts av EDPB i maj 2018. Riktlinjerna har nu uppdaterats och antagits på nytt i oktober 2022.

I den uppdaterade versionen har ett förtydligande gjorts avseende företag som inte är etablerade inom EU och som ska utse en företrädare i EU enligt artikel 27 i GDPR. Av riktlinjen framgår nu att sådana företag måste anmäla en personuppgiftsincident till varje dataskyddsmyndighet i det EU-land där det finns registrerade som berörs av incidenten. Den s.k. one-stop-shop-principen som gäller för företag som är etablerade i flera länder inom EU gäller alltså inte för företag som inte är etablerade i EU.

 

Guidelines 9/2022 on personal data breach notification under GDPR

 

Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem.

Den benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen

  • rätten att få veta om personuppgifter behandlas eller inte
  • rätten att få en kopia av de uppgifter som behandlas
  • rätten att, om uppgifter behandlas, också få närmare information om behandlingen.

Riktlinjen antogs 28 mars 2023.

Guidelines 01/2022 on data subject rights - Right of access

 

Denna riktlinje handlar om hur administrativa sanktionsavgifter enligt dataskyddsförordningen ska beräknas och syftar till att skapa en harmoniserad metod och principer för beräkningen av sanktionsavgifter, så att lika fall behandlas lika av dataskyddsmyndigheterna.

Metoden består av ett antal steg. I korthet ska man först identifiera vilka överträdelser som är aktuella. Därefter görs en bedömning av överträdelsens allvarlighet och den granskade organisationens omsättning/storlek för att komma fram till ett startbelopp. Nästa steg består i att öka eller minska startbeloppet beroende på förmildrande och försvårande faktorer. Avslutningsvis kontrolleras att den slutliga sanktionsavgiften inte överstiger det lagstadgade maxbeloppet och sedan att den är effektiv, proportionerlig och avskräckande.

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Denna riktlinje handlar om användning av ansiktsigenkänningsteknik hos polis och andra brottsbekämpande myndigheter. Användning av sådan teknik innebär behandling av biometriska uppgifter som anses särskilt skyddsvärda. Riktlinjen beskriver närmare tekniken kring ansiktsigenkänning, vad den kan användas till och vad som krävs enligt dataskyddsreglerna för att sådan teknik ska kunna användas. Bland annat beskriver man sex olika scenarion och resonerar kring om ansiktsigenkänning skulle vara tillåten i de olika situationerna.

EDPB uttalar en förståelse för de behov som kan finnas inom brottsbekämpningen av att kunna använda sig av effektiva verktyg för att bekämpa terrorism och annan allvarlig brottslighet. Samtidigt betonas i riktlinjen att användningen av sådana verktyg måste följa gällande regler och framför allt de krav på nödvändighet och proportionalitet som EU-stadgan om grundläggande rättigheter ställer upp.

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Antagna 20 juni 2023


Riktlinjer antagna för publik konsultation

Här publiceras riktlinjer som är antagna av EDPB, men är ute på publik konsultation innan de antas slutligt.

Guidelines 01/2023 on Article 37 Law Enforcement Directive

Ute på publik konsultation mellan 27 september och 8 november 2023

Guidelines 01/2023 on Article 37 Law Enforcement Directive | European Data Protection Board (europa.eu)

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.

Ute på publik konsultation mellan 16 november 2023 och 18 january 2024.

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | European Data Protection Board (europa.eu)

 

 

Senast uppdaterad: 23 januari 2024
Sidans etiketter Dataskydd