Europeiska dataskyddsstyrelsen



10 April 2019

Europeiska dataskyddsstyrelsen – nionde plenarsessionen: Riktlinjer för behandling av personuppgifter inom ramen för informationssamhällets tjänster


Bryssel den 10 april – Den 9 och 10 april samlades EES-ländernas dataskyddsmyndigheter och den  Europeiska datatillsynsmannen,  i Europeiska dataskyddsstyrelsen som sammanträdde under sin nionde plenarsession.
Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen riktlinjer för tillämpningsområdet för och tillämpningen av artikel 6.1 b * i GDPR i samband med informationssamhällets tjänster. I sina riktlinjer gör styrelsen allmänna iakttagelser om principer för uppgiftsskydd och om samspelet mellan artikel 6.1 b och andra rättsliga grunder. Dessutom innehåller riktlinjerna vägledning om tillämpligheten av artikel 6.1 b vid kombinering av separata tjänster och uppsägning av avtal.

Information till redaktörer:


Observera att alla handlingar som antas vid Europeiska dataskyddsstyrelsens plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formateringskontroller och kommer att finnas tillgängliga på Europeiska dataskyddsstyrelsens webbplats när de har färdigställts.

* artikel 6.1 b
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.”
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit and

For more information on the EDPS visit: 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brussels, 13 February - On February 12th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventh plenary session. During the plenary a wide range of topics were discussed.
EDPB 2019/2020 Work program
The Board adopted its two-year work program for 2019-2020, according to Article 29 of the EDPB Rules of Procedure. The EDPB work program is based on the needs identified by the members as priority for individuals, stakeholders, as well as the EU legislator- planned activities.

Draft administrative arrangement in the field of financial markets supervision

The EDPB adopted its first opinion on an administrative arrangement (AA), based on article 46.3.b of the GDPR, for transfers of personal data between EEA financial supervisory authorities, including the European Securities and Markets Authority (ESMA) and their non-EU counterparts. This arrangement will be submitted to the competent supervisory authorities (SAs) for authorisation at national level. The competent supervisory authorities will monitor the AA and its practical application to ensure that there are in practice effective and enforceable data subject rights and appropriate means of redress and supervision.


The EDPB adopted an information note addressed to commercial entities and public authorities on data transfers under the GDPR in the event of a no-deal Brexit.

Data flows from the EEA to UK

In the absence of an agreement between the EU and the UK (no-deal Brexit), the UK will become a third country from 00.00 am CET on 30 March 2019. As a consequence, the transfer of personal data from the EEA to the UK will have to be based on one of the following instruments: Standard or ad hoc Data Protection Clauses, Binding Corporate Rules, Codes of Conduct and Certification Mechanisms and the specific transfer instruments available to public authorities. In the absence of Standard Data Protection Clauses or other alternative appropriate safeguards, derogations can be used under certain conditions.

Data flows from UK to the EEA

As regards data transfers from the UK to the EEA, according to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.


Guidelines on codes of conduct
The EDPB adopted guidelines on codes of conduct. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process. The guidelines will be subject to public consultation.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary


24 January 2019

Bryssel den 24 januari – Den  22  och 23 januari sammanträdde den Europeiska dataskyddsstyrelsen (EDPB) i sin sjätte plenarsession. Under plenarsessionen diskuterades ett brett spektrum av ämnen.

Privacy Shield
Medlemmarna i styrelsen antog EDPBs rapport om den andra årliga översynen av överenskommelsen mellan EU och USA om Privacy Shield. EDPB välkomnar de ansträngningar som gjorts av de amerikanska myndigheterna och kommissionen för att genomföra Privacy Shield, särskilt de åtgärder som vidtagits för att anpassa den inledande certifieringen, inledandet av tillsyns- och verkställighetsåtgärder på eget initiativ samt insatserna för att offentliggöra ett antal viktiga dokument, delvis genom hävande av sekretess (såsom FISA-domstolens beslut), utnämning av en ny ordförande och tre nya medlemmar av styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (PCLOB) och den nyligen offentliggjorda utnämningen av en permanent ombudsman.

Mot bakgrund av resultaten av den andra gemensamma översynen kvarstår följande farhågor när det gäller genomförandet av Privacy Shield. Detta inbegriper farhågor som redan uttryckts av EDPBs föregångare WP29 om avsaknaden av konkreta garantier för att urskillningslös insamling och tillgång till personuppgifter för nationella säkerhetsändamål inte sker. På grundval av den information som hittills lämnats kan EDPB  för närvarande inte anse att ombudsmannen har tillräckliga befogenheter för att åtgärda bristande efterlevnad. Dessutom påpekar styrelsen att kontrollen av hur innehållet i Privacy Shields principer efterlevs inte är tillräckligt stark.

Dessutom har EDPB vissa ytterligare farhågor när det gäller de nödvändiga kontrollerna av  att kraven kring vidareöverföring uppfylls, innebörden av begreppet personaluppgifter och förfarandet för omcertifiering samt en förteckning över återstående frågor som togs upp efter den första gemensamma översynen och som fortfarande är under behandling.

EDPB diskuterade de möjliga konsekvenserna av brexit för uppgiftsskyddet. Medlemmarna enades om att samarbeta och utbyta information om sina förberedelser och vilka verktyg som finns tillgängliga för att överföra uppgifter till Förenade kungariket, när Förenade kungariket inte längre kommer att vara en del av EU.

Kliniska prövningar Q & A
På begäran av Europeiska kommissionen (GD SANTE) antog EDPB ett yttrande om frågor och svar avseende kliniska prövningar. Yttrandet tar särskilt upp de aspekter som rör de lämpliga rättsliga grunderna i samband med kliniska prövningar och de sekundära användningarna av data från kliniska prövningar för vetenskapliga ändamål. Yttrandet kommer nu att överlämnas till Europeiska kommissionen.

Förteckningar över konsekvensbedömning

EDPB antog yttranden över de förteckningar som Liechtenstein och Norge lämnat in till styrelsen över när konsekvensbedömning avseende dataskydd ska göras. Dessa förteckningar utgör ett viktigt verktyg för en enhetlig tillämpning av den allmänna dataskyddsförordningen i hela EES. En konsekvensbedömning avseende dataskydd är ett sätt att bidra till att identifiera och begränsa dataskyddsrisker som skulle kunna påverka enskilda personers rättigheter och friheter. Den personuppgiftsansvarige behöver visserligen i regel bedöma om en konsekvensbedömning avseende dataskydd krävs innan den inleder en behandling, men de nationella tillsynsmyndigheterna ska upprätta och offentliggöra en förteckning över den typ av behandling som omfattas av kravet på en konsekvensbedömning. Dessa två yttranden följer på de 22 yttranden som antogs vid plenarsessionen i september och de fyra yttranden som antogs vid plenarsessionen i december, och kommer att bidra ytterligare till att fastställa gemensamma kriterier för förteckningar över konsekvensbedömningar i hela EES.

Vägledning för certifiering
EDPB antog den slutliga versionen av vägledning om certifiering efter offentliga samråd. Dessutom antog styrelsen en ny bilaga. Ett utkast till vägledning antogs vid EDPBs första plenarsession i maj. Det främsta syftet med denna vägledning är att fastställa övergripande kriterier som kan vara relevanta för alla typer av certifieringsmekanismer som utfärdas i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Vägledningen undersöker därför grunden för certifiering som ett verktyg för att utkräva ansvar, förklarar nyckelbegreppen i certifieringsbestämmelserna i artikel 42 och artikel 43, förklarar omfattningen av vad som kan certifieras och beskriver syftet med certifieringen. Riktlinjerna kommer att hjälpa medlemsstaterna, tillsynsmyndigheter och nationella ackrediteringsorgan vid översyn och godkännande av certifieringskriterier i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Bilagan kommer att bli föremål för offentligt samråd.

Svar till Australian Supervisory Authority
I oktober 2018 mottog EDPBs ordförande en skriftlig förfrågan från den australiska dataskyddsmyndigheten om  tillsynsmyndigheternas offentliggörande av anmälningar om personuppgiftsincidenter. EDPB välkomnar den australiska kommissionsledamotens intresse av att samarbeta med EDPB i denna fråga och betonar vikten av internationellt samarbete. I sitt svar ger EDPB ytterligare information om huruvida och hur tillsynsmyndigheterna hanterar offentliggörandet av information om anmälningar av personuppgiftsincidenter.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary