Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen – trettiosjunde plenarsessionen: Riktlinjer om personuppgiftsansvarig - personuppgiftsbiträde, riktlinjer om riktad marknadsföring mot användare av sociala medier, arbetsgrupp för klagomål som lämnats in till följd av domst

Friday, 4 September, 2020

Bryssel den 3 september — Styrelsen antog riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i den allmänna dataskyddsförordningen och riktlinjer om riktad marknadsföring till användare av sociala medier. Dessutom inrättade Europeiska dataskyddsstyrelsen en arbetsgrupp för hantering av klagomål till följd av domstolens dom i Schrems II-målet och en arbetsgrupp för de kompletterande åtgärder som uppgiftsexportörer och importörer kan åläggas att vidta för att säkerställa ett adekvat skydd vid överföring av uppgifter mot bakgrund av domstolens dom i Schrems II-målet.

Dataskyddsstyrelsen har antagit riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen. Sedan den allmänna dataskyddsförordningen började tillämpas har frågor väckts om i vilken utsträckning dataskyddsförordningen har medfört ändringar av dessa begrepp, särskilt när det gäller begreppet gemensamt personuppgiftsansvar (som fastställs i artikel 26 i den allmänna dataskyddsförordningen och efter flera avgöranden från EU-domstolen) samt de skyldigheter för personuppgiftsbiträden (särskilt artikel 28 i den allmänna dataskyddsförordningen) som fastställs i kapitel IV i dataskyddsförordningen.

I mars 2019 anordnade Europeiska dataskyddsstyrelsen tillsammans med sitt sekretariat ett evenemang för berörda parter som klargjorde att det fanns ett behov av mer praktisk vägledning och gjorde det möjligt för styrelsen att bättre förstå behoven och problemen på området. De nya riktlinjerna består av två huvuddelar: den ena förklarar de olika begreppen, den andra innehåller detaljerad vägledning om de viktigaste konsekvenserna av dessa begrepp för personuppgiftsansvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga. Riktlinjerna innehåller ett flödesschema som ger ytterligare praktisk vägledning. Riktlinjerna kommer att bli föremål för offentligt samråd.

Europeiska dataskyddsstyrelsen har antagit riktlinjer för riktad marknadsföring motanvändare av sociala medier. Riktlinjerna syftar till att ge de berörda parterna praktisk vägledning och innehåller olika exempel på olika situationer så att intressenterna snabbt kan identifiera det ”scenario” som ligger närmast den  praxis ifråga om riktad marknadsföring som de avser att tillämpa. Huvudsyftet med riktlinjerna är att klargöra roller och ansvarsområden för  sociala medier och för den berörda personen. I detta syfte fastställs bland annat i riktlinjerna de potentiella riskerna för individens friheter, huvudaktörerna och deras roller, tillämpningen av centrala dataskyddskrav, såsom laglighet och öppenhet och konsekvensbedömning avseende dataskydd, samt centrala inslag i arrangemang mellan leverantörer av sociala medier och de berörda personerna. Riktlinjerna fokuserar dessutom på de olika målinriktningsmekanismerna, behandlingen av särskilda kategorier av uppgifter och skyldigheten för gemensamma personuppgiftsansvariga att införa ett lämpligt arrangemang i enlighet med artikel 26 i dataskyddsförordningen. Plenarförsamlingen kommer att lägga fram riktlinjerna för offentligt samråd.

Styrelsen har inrättat en arbetsgrupp för att undersöka klagomål som lämnats in i efterdyningarna av domstolens dom i målet Schrems II. Totalt 101 identiska klagomål har lämnats in till EES dataskyddsmyndigheter mot flera personuppgiftsansvariga i EES-medlemsstaterna avseende deras användning av Google/Facebook-tjänster som inbegriper överföring av personuppgifter. De klagande, företrädda av den icke-statliga organisationen NOYB, hävdar att Google/Facebook överför personuppgifter till Förenta staterna med stöd av skölden för skydd av privatlivet i EU och USA eller standardavtalsklausuler och att den personuppgiftsansvarige enligt EU-domstolens dom nyligen i mål C-311/18 inte kan säkerställa ett adekvat skydd av klagandenas personuppgifter. Arbetsgruppen kommer att analysera frågan och säkerställa ett nära samarbete mellan EDPB :s medlemmar.

Som en uppföljning av EU-domstolens dom i målet Schrems II och utöver de frågor och svar som antogs den 23 juli har styrelsen inrättat en arbetsgrupp. Denna arbetsgrupp kommer att utarbeta rekommendationer för att bistå personuppgiftsansvariga och personuppgiftsbiträden i deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa adekvat skydd vid överföring av uppgifter till tredjeländer.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen säger följande: ”Europeiska dataskyddsstyrelsen är väl medveten om att Schrems II-domen ger personuppgiftsansvariga ett viktigt ansvar. Utöver det uttalande och de  frågor och svar som vi lagt ut kort efter domen kommer vi att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder av rättslig, teknisk och organisatorisk karaktär för att uppfylla en väsentligen likvärdig skyddsnivå när personuppgifter överförs till tredjeländer. Domens konsekvenser är dock omfattande och kontexten för överföring av uppgifter till tredjeländer skiljer sig mycket åt. Därför kan det inte finnas en snabb lösning som passar alla. Varje organisation kommer att behöva utvärdera sin egen uppgiftsbehandling och dataöverföring och vidta lämpliga åtgärder. ”

Not till redaktörerna:
Observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_14