Gå till innehållet

EU-riktlinjer

EDPB, European Data Protection Board, eller Europeiska dataskyddsstyrelsen, har tagit fram riktlinjer i flera viktiga frågor. Dessa är av stor nytta för framför allt personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud.

Enligt artikel 42.1 ska certifieringsmekanismer inrättas i syfte att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med förordningen.

I riktlinjerna fastställs övergripande krav och kriterier som kan vara relevanta för alla typer av certifieringsmekanismer som införs i enlighet med artiklarna 42 och 43. Bland annat beskrivs skälen till att certifieringen kan fungera som ett ansvarighetsredskap samt förklaring till de centrala begreppen i certifieringsbestämmelserna och omfattningen av vad som kan certifieras i enlighet med artiklarna 42 och 43.

Riktlinjer 1/2018 om certifiering och fastställande av certifieringskriterier i enlighet med artiklarna 42 och 43

Enligt artikel 43.1 ska medlemsstaterna säkerställa att certifieringsorgan som utfärdar intyg enligt artikel 42.1 är ackrediterade av den behöriga tillsynsmyndigheten, det nationella ackrediteringsorganet eller av båda två.

I riktlinjerna fastställs syftet med ackrediteringen, på vilka sätt certifieringsorgan kan ackrediteras, om det finns en ram för att fastställa ytterligare ackrediteringskrav när ackrediteringen handläggs av det nationella ackrediteringsorganet och om det finns en ram för att fastställa ytterligare ackrediteringskrav i de fall där ackrediteringen handläggs av tillsynsmyndigheten.

Riktlinjer 4/2018 om ackreditering av certifieringsorgan enligt artikel 43

Förordningen inför ett nytt system för verkställighet, där administrativa sanktionsavgifter är en central del. För att skapa ett enhetligt system för dataskydd bör reglerna för dataskydd tillämpas på ett harmoniserat sätt.

I riktlinjerna framställs tillsynsmyndigheternas gemensamma tolkning av artikel 83 i förordningen och hur den artikeln samverkar med artiklarna 58 och 70 i förordningen. Riktlinjerna är inte uttömmande och förklarar inte skillnaderna mellan administrativa, civilrättsliga och straffrättsliga system när det gäller att utfärda administrativa sanktionsavgifter i allmänhet.

Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter

Enligt artikel 33 ska en personuppgiftsincident anmälas till tillsynsmyndigheten om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.

I riktlinjerna förklaras skyldigheten att anmäla incidenter, krav på information till de registrerade och åtgärder som personuppgiftsansvariga och personuppgiftsbiträden kan vidta för att fullgöra dessa skyldigheter. Dessutom ges exempel på olika typer av incidenter och vem som ska underrättas i olika situationer.

Riktlinjer om anmälan av personuppgiftsincidenter (pdf, 419 kB)

Förordningen inför bestämmelser för att ta itu med de risker som profilering och automatiserat beslutsfattande kan leda till, framför allt men inte enbart för den personliga integriteten.

I riktlinjerna förtydligas bestämmelserna om profilering och automatiserat beslutsfattande. Riktlinjerna behandlar definitionerna av profilering och automatiserat beslutsfattande, allmänna bestämmelser om profilering och automatiserat beslutsfattande samt särskilda bestämmelser om enbart automatiserat beslutsfattande enligt artikel 22. Även barn och profilering behandlas, liksom konsekvensbedömningar om dataskydd och dataskyddsombud.

Riktlinjer om automatiserat individuellt beslutsfattande och profilering

Enligt artikel 56 är ansvarig tillsynsmyndighet den myndighet där personuppgiftsansvariga eller personuppgiftsbiträde har sitt huvudsakliga verksamhetsställe eller sitt enda verksamhetsställe.

I riktlinjerna fastställs viktiga begrepp för att fastställa ansvarig tillsynsmyndighet, steg i hur man fastställer ansvarig tillsynsmyndighet och andra relevanta frågor. I bilagan till riktlinjerna ges även en checklista som kan användas till hjälp för att fastställa ansvarig tillsynsmyndighet.

Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden

Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.

I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

Riktlinjer 05/2020 om samtycke

Enligt artikel 37 är det obligatoriskt för vissa personuppgiftsansvariga och personuppgiftsbiträden att utnämna ett dataskyddsombud.

I riktlinjerna klargörs de relevanta bestämmelserna för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden att följa förordningen och även hjälpa dataskyddsombuden i deras roll. Riktlinjerna innehåller också rekommendationer och praxis som bygger på den erfarenhet som vunnits i några av EU-medlemsstaterna.

Riktlinjer om dataskyddsombud

Förordningen inför en ny rätt till dataportabilitet genom artikel 20.
I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.

Riktlinjer om rätten till dataportabilitet

Enligt artikel 35.1 ska en konsekvensbedömning göras när behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”.
I riktlinjerna klargörs begreppet konsekvensbedömning för att säkerställa en enhetlig tolkning av de situationer där en konsekvensbedömning är obligatorisk. Riktlinjerna ger även kriterier för de förteckningar som dataskyddsmyndigheterna ska upprätta enligt artikel 35.4.

Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordningen

IMY har med ledning av riktlinjerna antagit följande förteckning över när en konsekvensbedömning ska göras.

Förteckning för konsekvensbedömningar

I artikel 6.1 b ges en rättslig grund för behandling av personuppgifter i den mån som ”behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.

I riktlinjerna fastställs när artikel 6.1 b är tillämplig på behandlingen av personuppgifter i samband med avtal för onlinetjänster, oavsett hur dessa tjänster finansieras. Riktlinjerna beskriver bland annat vad som avses med laglig behandling enligt artikel 6.1 b i förordningen och tar upp begreppet ”nödvändighet”, i form av ”nödvändig för att fullgöra ett avtal”.

Riktlinjer 2/2019 om behandling av personuppgifter enligt artikel 6.1 b i samband med tillhandahållandet av onlinetjänster till registrerade

Vid kamerabevakning ställs i förordningen krav på den som bevakar.

I riktlinjerna ges vägledning om hur förordningen ska tillämpas vid behandling av personuppgifter genom kamerabevakning. Riktlinjerna ger bland annat rekommendationer för hur länge videomaterial kan sparas, hur man kan informera om bevakningen och när ansiktsigenkänning kan vara tillåten. Dessutom ges konkreta exempel på vad man bör tänka på vid olika typer av kamerabevakning. Exemplen är inte uttömmande men det allmänna resonemanget kan tillämpas på potentiella användningsområden.

Riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter

Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.

I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.

Riktlinjer 5/2019 om kriterier för rätten att bli bortglömd av sökmotorer

I artikel 3 definieras förordningens territoriella tillämpningsområde.
I riktlinjerna fastställs och klargörs kriterierna för att fastställa det territoriella tillämpningsområdet. Vidare klargörs processen att utse företrädare i enlighet med artikel 27 för personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU men utför behandling som omfattas av artikel 3.2.

Riktlinjer 3/2018 om den allmänna dataskyddsförordningens territoriella tillämpningsområde (artikel 3)

Enligt artikel 49 får, om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, en överföring personuppgifter till ett tredjeland eller en internationell organisation endast ske i särskilda situationer (undantagen ska tolkas restriktivt).
I riktlinjerna ges vägledning om tillämpning av artikel 49 vid överföring av personuppgifter till tredjeländer.

Riktlinjer 2/2018 för undantagen i artikel 49

Uppförandekoder kan användas till att påvisa förenlighet med förordningen och är en praktisk, potentiellt kostnadseffektiv och meningsfull metod för att åstadkomma ett mer enhetligt skydd för dataskyddsrättigheterna.

I riktlinjerna ges praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41. Riktlinjerna klargör vilka förfaranden och regler som gäller för inlämnande, godkännande och offentliggörande av uppförandekoder såväl nationellt som på EU-nivå.

Dessutom anges minimikrav för att en behörig tillsynsmyndighet ska godta att göra en ingående översyn och utvärdering av en uppförandekod, innehållsfaktorer som ska beaktas när man utvärderar om en viss uppförandekod bidrar till eller faktiskt gör att förordningen tillämpas korrekt och vilka krav som gäller för en faktisk övervakning av en uppförandekod.

Riktlinjer 1/2019 om uppförandekoder och övervakningsorgan

Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.

I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.

Riktlinjer om öppenhet och information till de registrerade

Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.

I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default

Riktlinjerna omfattar behandling av personuppgifter i samband med användning av ett uppkopplat fordon som utbyts mellan fordonet och personliga enheter som är anslutna till det, till exempel smarttelefon. Riktlinjerna omfattar även uppgifter som samlas i fordonet och delas med tredje part.

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Enligt artikel 46.2 (a) är det tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Tillsynsmyndigheten kan även enligt artikel 46.3 (b) ge särskilt tillstånd om överföringen sker med stöd av bestämmelser i administrativa överenskommelser mellan myndigheter.

I riktlinjerna ges vägledning för tillämpning av artiklarna 46.2 (a) och 46.3 (b).

Riktlinjerna bör läsas tillsammans med:

Riktlinjer 3/2018 om den allmänna dataskyddsförordningens territoriella tillämpningsområde (artikel 3)

Riktlinjer 2/2018 för undantagen i artikel 49

Artikel 29-gruppens (WP29) vägledning om referensram för adekvatskyddsnivå.

 

Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES

Riktlinjer beskriver förhållandet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen (GDPR). I riktlinjerna klargörs bland annat de osäkerheter som kvarstår mellan de två regelverken, som skillnaden mellan uttryckligt samtycke enligt artikel 94 i PSD2 och uttryckligt samtycke enligt GDPR.

Guidelines 6/2020 on the interplay of the Second Payment Services Directive and the GDPR

Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.

I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.

Guidelines 8/2020 on the targeting of social media users

 

Riktlinjer ute på publik konsultation

Dessa riktlinjer är antagna av EDPB, men är nu ute på publik konsultation innan de antas slutligt.

Enligt artikel 33 och 34 ska en personuppgiftsansvarig anmäla vissa personuppgiftsincidenter till tillsynsmyndigheten och ibland informera de berörda personerna.

Riktlinjerna syftar till att komplettera "Riktlinjer om anmälan av personuppgiftsincidenter" som inte innehåller praktisk vägledning i tillräcklig utsträckning.

I riktlinjerna ges praktiska exempel och fallbaserad vägledning som hämtats från tillsynsmyndigheternas erfarenheter sedan förordningen trädde i kraft. Riktlinjerna ska hjälpa personuppgiftsansvariga att fatta beslut om hur personuppgiftsincidenter ska hanteras och vilka faktorer som ska beaktas vid en riskbedömning.

Guidelines 01/2021 on Examples regarding Data Breach Notification

(Den publika konsultationstiden har löpt ut)

Enligt artiklarna 60.3 och 60.4 är ansvarig dataskyddsmyndighet skyldig att lägga fram ett utkast till beslut till berörda dataskyddsmyndigheter, som sedan kan göra en relevant och motiverad invändning inom en viss tidsram (fyra veckor).

Enligt förordningen har tillsynsmyndigheter en skyldighet att “utbyta all relevant information med varandra” och samarbeta “i ett försök att nå enighet”.
I riktlinjerna ges vägledning för begreppet relevant och motiverad invändning i syfte att skapa en gemensam förståelse för begreppet och därmed en enhetlig tolkning.

Guidelines 9/2020 on relevant and reasoned objection under Regulation 2016/679

(Den publika konsultationstiden har löpt ut)

I GDPR görs en skillnad mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.
I riktlinjerna klargörs gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och ansvarsfördelningen mellan dem. Riktlinjerna innehåller också en närmare beskrivning av gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

(Den publika konsultationstiden har löpt ut)

 

Senast uppdaterad: 09 juni 2021
Sidans etiketter Dataskydd