Datainspektionen på Åland

Datainspektionen på Åland sköter om dataskyddet i den offentliga förvaltningen på Åland. Datainspektionen i Sverige bytte namn vid årsskiftet och heter nu Integritetsskyddsmyndigheten. Se närmare på imy.se

European Data Protection Board

EDPB antar ett uttalande om den nya transatlantiska ramen för skydd av personuppgifter, ett brev angående den belgiska tillsynsmyndighetens oberoende och diskuterar medlemskap vid vårkonferensen

Bryssel den 7 april – EDPB antog ett uttalande om tillkännagivandet av en ny transatlantisk ram för skydd av personuppgifter. EDPB välkomnar Förenta staternas åtaganden att vidta ”aldrig tidigare skådade” åtgärder för att ge enskilda personer inom Europeiska ekonomiska samarbetsområdet (EES) ett skydd för integritet och personuppgifter när deras uppgifter överförs till Förenta staterna och ser det som ett positivt första steg i rätt riktning.

EDPB noterar att detta tillkännagivande inte utgör en rättslig ram på grundval av vilken exportörer av EES-data kan överföra uppgifter till Förenta staterna. Uppgiftsutförare måste fortsätta att vidta nödvändiga åtgärder för att följa rättspraxis från Europeiska unionens domstol, särskilt dess beslut i Schrems II-domen av den 16 juli 2020. EDPB kommer att ägna särskild uppmärksamhet åt hur denna politiska överenskommelse omsätts i konkreta lagstiftningsförslag.

EDPB ser fram emot att noggrant bedöma de förbättringar som den nya ramen kan medföra mot bakgrund av EU-rätten, EU-domstolens rättspraxis och styrelsens tidigare rekommendationer, så snart Europeiska dataskyddsstyrelsen har mottagit alla tillhörande handlingar från Europeiska kommissionen. Europeiska dataskyddsstyrelsen kommer särskilt att analysera huruvida insamlingen av personuppgifter för nationella säkerhetsändamål är begränsad till vad som är absolut nödvändigt och proportionerligt. Dessutom kommer EDPB att undersöka hur den aviserade oberoende omprövningsmekanismen respekterar enskilda EES-personers rätt till ett effektivt rättsmedel och till en rättvis rättegång. Mer specifikt kommer EDPB att undersöka om den nya myndighet som blir del av mekanismen  har tillgång till relevant information, inbegripet personuppgifter, när den utövar sitt uppdrag och om den kan anta beslut som är bindande för underrättelsetjänsterna. EDPB kommer också att överväga huruvida det finns ett rättsmedel mot denna myndighets beslut eller underlåtenhet att vidta åtgärder.

EDPB erinrar om att man är fast besluten att spela en konstruktiv roll när det gäller att säkra transatlantiska överföringar av personuppgifter som gynnar enskilda personer och organisationer i EES.

Därefter antog EDPB en skrivelse där man uttryckte oro över den senaste tidens utveckling av lagstiftningen i Belgien i syfte att reformera lagen om inrättande av den belgiska tillsynsmyndigheten,eftersom det kan inverka negativt på den belgiska myndighetens stabilitet och oberoende funktion.

EDPB betonar att oberoende tillsyn, som den befarar påverkas av de föreslagna reformerna, är avgörande för den grundläggande rätten till uppgiftsskydd och därför skyddas av stadgan och EU-fördraget. Det är också hörnstenen för en effektiv tillämpning enligt den allmänna dataskyddsförordningen och ett effektivt samarbete mellan tillsynsmyndigheterna. Dessutom är EDPB oroad över förslagens anpassning till den allmänna dataskyddsförordningen och strikta rättspraxis från EU-domstolen. EDPB påpekade särskilt som problem att det nuvarande mandatet för den belgiska tillsynsmyndighetens externa ledamöter avbrutits och att det lagts till grunder för avskedande av ledamöter. EDPB ifrågasätter också hur de olika förslag som leder till ökad parlamentarisk tillsyn förhåller sig  till kravet på att tillsynsmyndigheterna ska vara ”fria från yttre påverkan” i enlighet med artikel 52 (2) i den allmänna dataskyddsförordningen. Dessutom anger EDPB att lagstiftningsförslaget om obligatorisk användning av ett gemensamt servicecentrum kan strida mot tillsynsmyndighetens frihet att välja och förfoga över sin egen personal (artikel 52 (5) i den allmänna dataskyddsförordningen), vilket kan leda till indirekt yttre påverkan på den belgiska tillsynsmyndighetens stabilitet och funktion.

Slutligen enades EDPB om att begära observatörsstatus vid de europeiska dataskyddsmyndigheternas vårkonferens. Vårkonferensen utgör en plattform för dialog mellan dataskyddsmyndigheter i hela Europa, även länder utanför EES. Denna begäran ingår i EDPB:s strategi 2021–2023 för att stärka samarbetet med det internationella samfundet och underlätta samarbetet mellan EDPB:s medlemmar och dataskyddsmyndigheterna i tredjeländer. 

Europeiska dataskyddsstyrelsens vice ordförande Aleid Wolfsen sade: ”Internationellt samarbete är avgörande för att upprätthålla dataskyddsrättigheterna i och utanför EES. Detta är ytterligare ett viktigt steg framåt när det gäller att stärka vårt samarbete med det internationella samfundet för att främja EU:s dataskyddsstandarder och säkerställa ett effektivt skydd av personuppgifter utanför EU:s gränser. ”

 

EDPB_Press Release_2022_05

EDPB adopts reply to LIBE on the 2nd Additional Protocol to the Cybercrime Convention, Guidelines on Codes of Conduct as a tool for international transfers, letter on AI liability and designates representatives to ENISA’s SCCG

The EDPB adopted a letter in reply to the European Parliament’s Civil Liberties, Justice and Home Affairs Committee (LIBE) regarding the Second Additional Protocol to the Cybercrime Convention, and in view of the two European Commission Proposals for Council Decisions authorising Member States to sign and ratify the Protocol.

In its reply, the EDPB recalls that the level of protection of personal data transferred to third countries resulting from the Protocol must be essentially equivalent to the EU level of protection. The EDPB also refers to the EDPS Opinion on the Commission proposals and highlights some of its crucial points.

The EDPB welcomes the safeguards included in the Protocol, such as the provisions on oversight. However, the EDPB regrets that the Protocol does not ensure that, as a general rule, information to individuals related to access is provided free of charge.

The EDPB recommends that Member States reserve the right not to apply the direct cooperation provision enabling third country authorities to directly request EU service providers to disclose certain types of data (access numbers). This would help to ensure a more substantial involvement of EU judicial or other independent authorities in the review of such requests.

Following public consultation, the EDPB adopted a final version of the Guidelines on Codes of Conduct as a tool for transfers, taking into consideration the feedback received from stakeholders. The main purpose of the guidelines is to clarify the application of articles 40 (3) and 46 (2) (e) GDPR. These provisions stipulate that, once approved by a competent Supervisory Authority (SA) and after having been granted general validity within the European Economic Area (EEA) by the European Commission, a code may also be adhered to and used by controllers and processors in a third country to provide appropriate safeguards to transfers of data outside of the EEA.

The EDPB adopted a letter on AI liability. In its letter, the EDPB welcomes the European Commission’s initiative to adapt liability rules to the digital age and artificial intelligence (AI), in light of the evaluation of the Product Liability Directive. Among others, the EDPB considers it relevant to strengthen the liability regime of providers of AI systems, so that processors and controllers can trustfully rely on those systems. In addition, AI systems should be explainable by design and providers of AI systems should embed security by design throughout the entire lifecycle of the AI.

Finally, the EDPB designated Georgia Panagopoulou (EL SA) as representative and Konstantinos Limniotis (EL SA) as substitute to take part in ENISA’s newly formed Stakeholder Cybersecurity Certification Group (SCCG). The SCCG will advise ENISA and the European Commission on strategic issues regarding cybersecurity certification.

Note to editors:
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2022_03

 

Call for Experts, the new EDPB Support Pool of Experts

The European Data Protection Board (EDPB) is looking for experts to cooperate with Supervisory Authorities around the European Economic Area (EEA), on different stages of their investigation and enforcement activities in the field of data protection law.

The EDPB is seeking to establish a Support Pool of Experts with qualified experts in areas such as IT auditing, website security, mobile OS and apps, IoT, cloud-computing, behavioural advertising, anonymization techniques, cryptology, AI, UX design, Fintech, Data science, digital law, etc.

The EDPB Support Pool of Experts is a key strategic initiative of the EDPB, that helps Supervisory Authorities increase their capacity to supervise and enforce the safeguarding of personal data.

The European Data Protection Board (EDPB) is an independent EU body established by the General Data Protection Regulation or GDPR, which contributes to the consistent application of data protection rules throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities.

 

Send us your expression of interest and join the EDPB Support Pool of Experts
Learn how to submit your application

Launch of coordinated enforcement on use of cloud by public sector

Brussels, 15 February - Today marks the kick-off of the first coordinated enforcement action of the European Data Protection Board. In the coming months, 22 national supervisory authorities across the EEA (including EDPS) will launch investigations into the use of cloud-based services by the public sector.

This series of actions follows the EDPB’s decision to set up a Coordinated Enforcement Framework (CEF) in October 2020. The CEF is a key action of the EDPB under its 2021-2023 Strategy, together with the creation of a Support Pool of Experts (SPE). The two initiatives aim to streamline enforcement and cooperation among Supervisory Authorities (SAs).

According to EuroStat, the cloud uptake by enterprises doubled across the EU in the last 6 years. The COVID-19 pandemic has sparked a digital transformation of organisations, with many public sector organisations turning to cloud technology. However, in doing so, public bodies at national and EU level may face difficulties in obtaining Information and Communication Technology products and services that comply with EU data protection rules. Through coordinated guidance and action, the SAs aim to foster best practices and thereby ensure the adequate protection of personal data.

Over 80 public bodies in total will be addressed across the EEA, including EU institutions, covering a wide range of sectors (such as health, finance, tax, education, central buyers or providers of IT services). Building on common preparatory work by all participating SAs, the CEF will be implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal investigation; follow-up of ongoing formal investigations. In particular, SAs will explore public bodies’ challenges with GDPR compliance when using cloud-based services, including the process and safeguards implemented when acquiring cloud services, challenges related to international transfers, and provisions governing the controller-processor relationship.

The results will be analysed in a coordinated manner and the SAs will decide on possible further national supervision and enforcement actions. In addition, results will be aggregated, generating deeper insight into the topic and allowing targeted follow-up at EU level. The EDPB will publish a report on the outcome of this analysis before the end of 2022.

EDPB_Press Release_statement_2022_01

 

Further information:

 

EDPB adopts first opinion on certification criteria

The EDPB adopted its opinion on the GDPR-CARPA certification scheme submitted to the Board by the Luxembourg Supervisory Authority (SA). This is the first time that the EDPB adopts a consistency opinion on criteria for a nationwide certification scheme. The GDPR-CARPA certification scheme is a general scheme, which does not focus on a specific sector or type of processing. It includes requirements on data protection governance in the organisation surrounding the processing activities.

EDPB Chair, Andrea Jelinek, said: “This opinion is an important step towards greater GDPR compliance. The main aim of certification mechanisms is to help controllers and processors demonstrate compliance with the GDPR. Controllers and processors adhering to a certification mechanism also gain greater visibility and credibility, as it allows individuals to quickly assess the level of protection of the processing operations.”
The EDPB opinion aims to ensure the consistency and correct application of certification criteria among SAs in the European Economic Area. To this end, the EDPB considers that a number of changes need to be made to the draft certification criteria.

After approval by the SA, the certification mechanism will also be added to the register of certification mechanisms and data protection seals in accordance with Art. 42 (8) GDPR.

Note to editors:
The present certification is not a certification according to article 46(2)(f) of the GDPR meant for international transfers of personal data and therefore does not provide appropriate safeguards within the framework of transfers of personal data to third countries or international organisations.

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

 

EDPB celebrates Data Protection Day

On the occasion of the 16th annual Data Protection Day, the Members of the EDPB bring you joint greetings. We are a closely-coordinated regulatory network of national competent authorities in the Member States of the European Economic Area (EEA). We work together, day after day, to protect your personal data. Happy Data Protection Day from all of us!

EDPB adopts Guidelines on Right of Access and letter on cookie consent

Brussels, 19 January - During its January plenary session, the EDPB adopted Guidelines on the Right of Access. The Guidelines aim to analyse the various aspects of the right of access and to provide more precise guidance on how the right of access has to be implemented in different situations. Among others, the Guidelines provide clarifications on the scope of the right of access, the information the controller has to provide to the data subject, the format of the access request, the main modalities for providing access, and the notion of manifestly unfounded or excessive requests. A stakeholder event on this topic was held in November 2019 and stakeholders’ views and opinions were taken into consideration during the drafting process.

EDPB Chair Andrea Jelinek said: “The right of access enables individuals to get knowledge on how and why their personal data are processed. The Guidelines provide examples to support controllers to answer access requests in a GDPR compliant manner.”

The Guidelines will be subject to public consultation for a period of 6 weeks.

In addition, the EDPB adopted a letter in reply to letters calling for a consistent interpretation of cookie consent. In the letter, the EDPB reiterates that it is committed to ensuring the harmonised application of data protection rules throughout the European Economic Area. In this respect, the EDPB has recently set up a taskforce on cookie banners to coordinate the response to complaints concerning cookie banners. Furthermore, the EDPB has updated the Guidelines on consent in order to ensure a harmonized approach on the conditionality of consent and on the unambiguous indication of wishes.

Note to editors:
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

 

December Plenary - adopted documents

EDPB Statement : EDPB cooperation on the elaboration of guidelines

The European Data Protection Board has adopted the following statement:

The deliberations of the EDPB often involve complex issues of principle and law. In seeking to ensure the consistent application of the GDPR, the process leading to consensus or majority positions on matters before the EDPB involves accounting for sometimes divergent views and analysis, as well as national case law and procedures. Within the framework provided by the GDPR, the Members of the Board work together in a respectful manner to reconcile and reach common meaningful decisions. That the starting point is not a unified view is not a failure of data protection authorities or a lack of integrity on the part of any of the authorities that hold one position or another – it is simply the GDPR working as intended. In this regard, although not binding in themselves, Guidelines and Recommendations of the EDPB reflect the common position and understanding which the authorities agree to apply in a consistent way. The EDPB Members, in their contributions to the work of the EDPB, act in compliance with the duty of sincere cooperation in the interest of the effective functioning of the EDPB.

EDPB adopts Contribution to evaluation of Law Enforcement Directive, SPE project plan, response to MEP Ujhelyi on Pegasus, final version of Guidelines on examples regarding data breach notifications

The EDPB and the individual Supervisory Authorities (SAs) contributed to the evaluation and review of the Data Protection Law Enforcement Directive (LED), carried out by the European Commission in accordance with Art. 62 LED. The LED aims to provide a harmonised level of data protection for individuals in the area of law enforcement across the EU.

The past four years have been characterised primarily by the national processes to transpose the Directive. Because of its recent implementation, there is limited experience and empirical data on some parts of the LED. Therefore, the EDPB is of the opinion that it is too early to draw conclusions on the effectiveness of the LED or to consider its revision.
The EDPB strongly urges those Member States still in the phase of the implementation to invest all means possible to ensure that the transposition is fully compliant with the LED without any further delays.

In its contribution, the EDPB reaffirms its commitment to continue providing guidance on the interpretation of the LED. In addition, the EDPB remains committed to providing independent assessments of future draft adequacy decisions, elaborated by the European Commission, with regard to the requirements of LED, especially enforceable rights, effective redress and safeguards concerning onward transfers.

The EDPB stresses that the effective implementation of the tasks under the LED requires the availability of the necessary resources, both human and technical, and calls on the Member States to ensure that the resources of SAs increase in proportion to their workload.

As part of the implementation of the EDPB 2021-2023 strategy and following the establishment of a Support Pool of Experts (SPE), the EDPB has now agreed on the SPE’s project plan. The SPE aims to provide material support to EDPB Members in the form of expertise that is useful for investigations and enforcement activities and to enhance cooperation and solidarity between EDPB Members by sharing, reinforcing and complementing strengths, and addressing operational needs.

The EDPB adopted a reply to MEP Ujhelyi on hacking spyware Pegasus. In its reply, the EDPB highlights that the Board and its Members pay, and will continue to pay, particular attention to the current developments related to the interferences with the fundamental rights to privacy and data protection through surveillance measures. The EDPB adds that protection of journalists and their sources is a cornerstone of the freedom of the press. The EDPB is competent in the matter of the alleged use of the Pegasus software mainly if and as far as it is deployed for purposes under the GDPR and the LED. The EDPB, however, notes that according to the applicable Union law, it does not have the same competences, tasks and powers as national SAs, and that concerning the particular case at stake, the Hungarian National Authority for Data Protection and Freedom of Information has competency to carry out the investigation procedure regarding the alleged use of spyware by Hungarian authorities. The EDPB remains ready to support all members of the EDPB in such matters.
Following public consultation, the EDPB adopted a final version of the Guidelines on examples regarding data breach notifications. These guidelines complement the Article 29 Working Party guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. Following public consultation, the Guidelines were updated to reflect comments received.

Note to editors:
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

 

EDPB adopts letters to UN & ENISA

During its November plenary, the EDPB adopted a letter in reply to the UN concerning transfers to international organisations. In the letter, the EDPB welcomes the UN’s continuous participation in the Task Force on transfers to international organisations established by the European Data Protection Supervisor. The EDPB also renews its commitment to engage further with the UN on the shared mission of protecting human rights, including the right to privacy.

The EDPB also adopted a letter to ENISA concerning the European Cybersecurity Certification Scheme for Cloud Services’ (EUCS) compatibility with Schrems II. In the letter, the EDPB reiterates its stance from its May 19 letter to ENISA that the final certification scheme should be consistent with the obligations laid down in the GDPR and should facilitate the compliance of cloud service providers and their clients with the GDPR, also considering the Schrems II ruling.   

EDPB adopts Guidelines on the interplay between Art. 3 and Chapter V GDPR, Statement on Digital and Data Strategy & appointment of EDPB representatives to TFTP Joint Review

Brussels, 19 November - During its plenary session, the EDPB adopted Guidelines on the interplay between Art. 3 and Chapter V GDPR. By clarifying the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V, the Guidelines aim to assist controllers and processors in the EU in identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. 

The Guidelines specify three cumulative criteria that qualify a processing as a transfer: (1) the data exporter (a controller or processor) is subject to the GDPR for the given processing; (2) the data exporter transmits or makes available the personal data to the data importer (another controller, joint controller or processor); (3) the data importer is in a third country or is an international organisation.

The processing will be considered a transfer, regardless of whether the importer established in a third country is already subject to the GDPR under Art. 3 GDPR. However, the EDPB considers that collection of data directly from data subjects in the EU at their own initiative does not constitute a transfer.

EDPB Chair Andrea Jelinek added: “These Guidelines provide a consistent interpretation of the concept of “international transfers” and clarify that, when a data importer is subject to the GDPR, the obligations under Chapter V GDPR apply both to the transfer from the EU to the importer and to any further transfer that the importer undertakes”.

The Guidelines will be subject to public consultation until the end of January.

The EDPB adopted a Statement on the European Commission’s Digital Services Package and Data Strategy. In the statement, the EDPB highlights three types of overarching concerns regarding the Commission proposals that have been presented so far (the Data Governance Act (DGA), Digital Services Act (DSA) and Digital Markets Act (DMA) and the AI Regulation (AIR)):

1) Lack of protection of individuals’ fundamental rights and freedoms;

2) Fragmented supervision;

3) Risks of inconsistencies.

The EDPB and EDPS have already issued joint opinions on the DGA and the AIR and the EDPS has issued opinions on the European Strategy for Data, the DMA and the DSA. In its statement, the EDPB reiterates its call for a ban on any use of AI for an automated recognition of human features in publicly accessible spaces and urges the co-legislator to consider a phase-out leading to a prohibition of targeted advertising on the basis of pervasive tracking while the profiling of children should overall be prohibited.

The EDPB further highlights the risks of parallel supervision structures and strongly recommends each proposal to provide for an explicit legal basis for the effective cooperation and exchange of information between the competent supervisory authorities under each proposal and the data protection authorities.

In addition, the EDPB calls upon the Commission and the co-legislator to ensure that the proposals clearly state that they shall not affect or undermine the application of existing data protection rules and to ensure that these rules shall prevail whenever personal data are being processed, also in the context of the forthcoming proposal for a Data Act.

Finally, the EDPB nominated two representatives from the Belgian and Hessen (DE) SA to take part in the 6th Joint Review of the EU-US Terrorist Finance Tracking Program (TFTP) Agreement.

Europeiska dataskyddsstyrelsen begär att den irländska tillsynsmyndigheten ändrar WhatsApp-beslutet med förtydliganden i fråga om öppenhet och beräkningen av bötesbeloppet på grund av flera överträdelser

Bryssel den 2 september – Den 28 juli antog Europeiska dataskyddsstyrelsen ett tvistlösningsbeslut på grundval av artikel 65 i GDPR. Detta bindande beslut syftar till att lösa den tvist som uppstått till följd av ett utkast till beslut som utfärdats av den irländska tillsynsmyndigheten (IE SA)  i egenskap av ansvarig tillsynsmyndighet (LSA) avseende WhatsApp Ireland Ltd. (WhatsApp IE) och de efterföljande invändningarna från ett antal berörda tillsynsmyndigheter (CSA:s). I enlighet med dataskyddsförordningen har EDPB:s bindande beslut nu offentliggjorts, efter det att den irländska tillsynsmyndighetens slutliga beslut meddelats företaget.

Efter bedömning ansåg Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten bör ändra sitt utkast till beslut ifråga om överträdelser av regler om öppenhet, beräkningen av böterna och tidsfristen för att följa föreläggandet.

När det gäller öppenhet identifierades redan i utkastet till beslut från den irländska tillsynsmyndigheten en allvarlig överträdelse av artiklarna 12–13–14 i dataskyddsförordningen. Europeiska dataskyddsstyrelsen identifierade ytterligare brister i den information som tillhandahölls, vilket påverkade användarnas förmåga att förstå vilka berättigade intressen som ligger till grund för behandlingen av uppgifter.  Därför begärde Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten skulle inkludera ett konstaterande av en överträdelse av artikel 13 (1) d i dataskyddsförordningen i sitt beslut.

Dessutom klargjorde Europeiska dataskyddsstyrelsen att även om inte varje överträdelse av artiklarna 12–14 i dataskyddsförordningen nödvändigtvis innebär en överträdelse av artikel 5 (1) a i förordningen, har det i detta särskilda fall, mot bakgrund av överträdelsernas allvar och övergripande karaktär och konsekvenser, förekommit en överträdelse av öppenhetsprincipen i artikel 5 (1) a i dataskyddsförordningen.

När det gäller WhatsApp IE:s insamling av uppgifter om icke-användare — när användare beslutar sig för att använda funktionen Contact Feature – konstaterade Europeiska dataskyddsstyrelsen att det förfarande som WhatsApp IE använder i detta fall inte leder till anonymisering av de insamlade personuppgifterna.

När det gäller de ålagda böterna och beräkningen av böterna beslutade Europeiska dataskyddsstyrelsen att ett företags omsättning inte enbart är relevant för fastställandet av det högsta bötesbeloppet i enlighet med artikel 83 (4) – (6) GDPR, utan även kan beaktas vid beräkningen av själva böterna, när så är lämpligt, för att säkerställa att böterna är effektiva, proportionella och avskräckande i enlighet med artikel 83 (1) i dataskyddsförordningen. I detta fall fann Europeiska dataskyddsstyrelsen att moderbolagets konsoliderade omsättning (Facebook Inc.) skulle tas med i beräkningen av omsättningen.

Dessutom klargjorde Europeiska dataskyddsstyrelsen för första gången tolkningen av artikel 83 (3) i dataskyddsförordningen. När det gäller flera överträdelser för samma eller sammanlänkad behandling bör alla överträdelser beaktas vid beräkningen av bötesbeloppet. Detta gäller oberoende av tillsynsmyndigheternas skyldighet att ta hänsyn till böternas proportionalitet och att respektera det högsta bötesbelopp som fastställs i dataskyddsförordningen.

I den irländska tillsynsmyndighetens utkast till beslut ingick dessutom ett föreläggande om att se till att behandlingen skulle uppfylla kraven inom en period på 6 månader. Europeiska dataskyddsstyrelsen ansåg det vara av yttersta vikt att efterlevnaden av kraven på öppenhet säkerställs så snabbt som möjligt. Den irländska tillsynsmyndigheten ombads därför att ändra tidsfristen på sex månader för efterlevnad till en period på tre månader.

Detta bindande beslut riktades till de berörda tillsynsmyndigheterna, och den irländska tillsynsmyndigheten i egenskap av ledande tillsynsmyndighet har antagit sitt nationella beslut på grundval av Europeiska dataskyddsstyrelsens beslut. WhatsApp IE delgavs det nationella beslutet, och Europeiska dataskyddsstyrelsens beslut bifogades det. 

Detta beslut påverkar inte eventuella bedömningar som Europeiska dataskyddsstyrelsen kan komma att behöva göra i andra fall, även med samma parter.

För mer information om förfarandet enligt artikel 65 i dataskyddsförordningen, se vanliga frågor i enlighet med artikel 65.

 

Europeiska dataskyddsstyrelsen & EDPS efterlyser ett förbud mot användning av AI för automatiserad igenkänning av mänskliga egenskaper på allmänt tillgängliga platser, och viss annan användning av AI som kan leda till orättvis diskriminering

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om Europeiska kommissionens förslag till förordning om fastställande av harmoniserade regler för artificiell intelligens (AI).

Europeiska dataskyddsstyrelsen och EDPS välkomnar starkt målet att ta itu med användningen av AI-system inom Europeiska unionen, inbegripet EU-institutionernas, EU-organens eller EU-byråernas användning av AI-system. Samtidigt är Europeiska dataskyddsstyrelsen och EDPS bekymrade över att internationellt brottsbekämpningssamarbete undantas från förslagets tillämpningsområde.

Europeiska dataskyddsstyrelsen och EDPS betonar också behovet av att uttryckligen klargöra att EU:s befintliga dataskyddslagstiftning (GDPR, EUDPR och LED) är tillämplig på all behandling av personuppgifter som omfattas av tillämpningsområdet för utkastet till AI-förordning.

Europeiska dataskyddsstyrelsen och EDPS välkomnar den riskbaserade metod som ligger till grund för förslaget, men anser att begreppet ”risk för de grundläggande rättigheterna” bör anpassas till EU:s dataskyddsramverk. Europeiska dataskyddsstyrelsen och EDPS rekommenderar att samhällsrisker för grupper av individer också bör bedömas och motverkas. Dessutom instämmer de i förslaget om att klassificeringen av ett AI-system som högrisksystem inte nödvändigtvis innebär att det är lagligt i sig och kan användas av användaren som sådant. Europeiska dataskyddsstyrelsen och EDPS anser också att efterlevnad av rättsliga skyldigheter som följer av unionslagstiftningen – inbegripet skydd av personuppgifter – bör vara en förutsättning för att komma in på den europeiska marknaden som CE-märkt produkt.

Med tanke på de extremt stora risker som är förknippade med biometrisk identifiering på distans av enskilda personer på allmänt tillgängliga platser efterlyser Europeiska dataskyddsstyrelsen och EDPS ett allmänt förbud mot all användning av AI för automatiserad igenkänning av mänskliga egenskaper på allmänt tillgängliga platser, såsom igenkänning av ansikten, gångstil, fingeravtryck, DNA, tal, tangenttryckning och andra biometriska eller beteendemässiga signaler, oavsett sammanhang. På liknande sätt rekommenderar Europeiska dataskyddsstyrelsen och EDPS ett förbud mot AI-system som använder biometriska kännetecken för att kategorisera enskilda personer i kluster på grundval av etnicitet, kön, politisk eller sexuell läggning eller andra grunder på vilka diskriminering är förbjuden enligt artikel 21 i stadgan om de grundläggande rättigheterna. Dessutom anser Europeiska dataskyddsstyrelsen och EDPS att användning av AI för att härleda känslor hos en fysisk person är högst oönskad och bör förbjudas, utom i mycket specificerade fall, såsom vissa hälsoändamål, där igenkännande av patienters känslomässiga reaktioner är viktigt, och att användning av AI för alla typer av social värdering bör förbjudas.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, & Wojciech Wiewiórowski, EDPS, sade: Användning av biometrisk fjärridentifiering på allmänt tillgängliga platser innebär slutet på anonymiteten på sådana platser. Tillämpningar såsom ansiktsigenkänning på plats inkräktar på grundläggande rättigheter och friheter i sådan utsträckning att de kan ifrågasätta det väsentliga innehållet i dessa rättigheter och friheter. Detta kräver en omedelbar tillämpning av försiktighetsprincipen. Ett allmänt förbud mot ansiktsigenkänning på allmänt tillgängliga platser är den nödvändiga utgångspunkten om vi vill bevara våra friheter och skapa en människocentrerad rättslig ram för AI. Den föreslagna förordningen bör också förbjuda all slags användning av AI för social värdering, eftersom den strider mot EU:s grundläggande värden och kan leda till diskriminering. ”

Europeiska dataskyddsstyrelsen och EDPS välkomnar vidare att EDPS i förslaget utses till behörig myndighet och marknadskontrollmyndighet för tillsynen av unionens institutioner, byråer och organ. EDPS roll och uppgifter bör dock klargöras ytterligare, särskilt när det gäller dess roll som marknadskontrollmyndighet.

Europeiska dataskyddsstyrelsen och EDPS erinrar om att dataskyddsmyndigheterna redan har tillsyn över den allmänna dataskyddsförordningen och LED-direktivet ifråga om AI-system som omfattar personuppgifter, i syfte att garantera skyddet av de grundläggande rättigheterna, särskilt rätten till uppgiftsskydd. Till följd av detta skulle utnämningen av dataskyddsmyndigheter till nationella tillsynsmyndigheter säkerställa en mer harmoniserad regleringsstrategi och bidra till en enhetlig tolkning av bestämmelserna om uppgiftsbehandling i hela EU. Därför anser Europeiska dataskyddsstyrelsen och EDPS att dataskyddsmyndigheter bör utses till nationella tillsynsmyndigheter enligt artikel 59 i förslaget för att säkerställa en smidig tillämpning av denna nya förordning.

Slutligen ifrågasätter Europeiska dataskyddsstyrelsen och EDPS utpekandet av en dominerande roll för Europeiska kommissionen i ”European Artificial Intelligence Board” (EAIB), eftersom detta skulle strida mot behovet av ett europeiskt AI-organ som är oberoende av allt politiskt inflytande. För att säkerställa dess oberoende bör förslaget ge EAIB större självständighet och se till att det kan agera på eget initiativ.

 

Information till redaktörer:
Observera att alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_statement_2021_05

Europeiska dataskyddsstyrelsen antar den slutliga versionen av rekommendationerna om kompletterande åtgärder, skrivelse till EU-institutionerna om integritets- och dataskyddsaspekterna av en eventuell digital euro, och utser tre ledamöter från Europeiska

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen antog vid sin plenarsession en slutlig version av rekommendationerna om kompletterande åtgärder efter offentligt samråd. Rekommendationerna antogs första gången i november 2020 efter EU-domstolens dom i Schrems II-målet. De syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som för över personuppgifter utanför EU med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför.

Den slutliga versionen av rekommendationerna innehåller flera ändringar för att ta hänsyn till synpunkter och återkoppling som mottagits under det offentliga samrådet och lägger särskild vikt vid den praktiska tillämpningen  hos myndigheter i ett tredjeland.

Några av de viktigaste ändringarna är följande: betoningen på vikten av att exportörer av uppgifter i sin rättsliga bedömning granskar den praktiska tillämpningen hos myndigheter i tredje land för att avgöra om det tredje landets lagstiftning och/eller praxis i praktiken inkräktar på effekterna av skyddsåtgärderna i artikel 46 i den allmänna dataskyddsförordningen; möjligheten att exportören i sin bedömning beaktar importörens praktiska erfarenheter, tillsammans med andra faktorer och med vissa förbehåll; och förtydligandet att lagstiftning i det mottagande tredjelandet som gör det möjligt för dess myndigheter att få tillgång till de överförda uppgifterna, även utan importörens ingripande, också kan påverka överföringsverktygets effektivitet.

När det gäller Europeiska kommissionens nyligen offentliggjorda nya standardavtalsklausuler för internationella överföringar är rekommendationerna till hjälp för att kontrollera ”lokal lagstiftning och praktisk tillämpning som påverkar efterlevnaden av klausulerna” (klausul 14 i de nya standardavtalsklausulerna) och det eventuella behovet av att genomföra kompletterande åtgärder.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Effekterna av Schrems II kan inte underskattas: internationella dataflöden granskas redan mycket noggrannare av tillsynsmyndigheterna, som genomför utredningar på sina respektive nationella nivåer. Syftet med Europeiska dataskyddsstyrelsens rekommendationer är att vägleda exportörer att lagligen överföra personuppgifter till tredjeländer, samtidigt som man garanterar att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom Europeiska ekonomiska samarbetsområdet. Genom att klargöra vissa tveksamheter som uttryckts av berörda parter, och i synnerhet vikten av att undersöka den praktiska tillämpningen  hos offentliga myndigheter i tredjeländer, vill vi göra det lättare för uppgiftsutföraren att veta hur de ska bedöma överföringar till tredjeländer och att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Europeiska dataskyddsstyrelsen kommer att fortsätta att beakta effekterna av Schrems II-domen och de synpunkter som inkommit från berörda parter i framtida vägledning. ”

Den fullständiga texten till rekommendationerna finns här:https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

Europeiska dataskyddsstyrelsen antog en skrivelse till EU-institutionerna om integritets- och dataskyddsaspekterna av en eventuell digital euro. I skrivelsen betonar Europeiska dataskyddsstyrelsen att en mycket hög standard på integritets- och dataskyddet är avgörande för att stärka slutanvändarnas förtroende och bör betraktas som en särskiljande faktor i erbjudandet av en digital euro, vilket är en viktig framgångsfaktor. Sådana faktorer bör beaktas redan på  utformningsstadiet. Dessutom rekommenderar Europeiska dataskyddsstyrelsen att det EU-organ som ansvarar för utformningen av projektet utför en konsekvensbedömning avseende dataskydd på hög nivå. Europeiska dataskyddsstyrelsen anger vidare att den är beredd att ge råd till ECB eller andra EU-institutioner.

Slutligen utsåg Europeiska dataskyddsstyrelsen tre företrädare i EU-systemet för reseuppgifter och resetillstånd (ETIAS) rådgivande nämnd för grundläggande rättigheter, som har till uppgift att utvärdera konsekvenserna av behandlingen av ansökningar och kommer att spela en viktig roll för att säkerställa att systemet uppfyller de grundläggande rättigheterna, särskilt när det gäller integritet och skydd av personuppgifter. Nämnden kommer att bestå av företrädare för Frontex, Europeiska datatillsynsmannen, Europeiska dataskyddsstyrelsen och Europeiska unionens byrå för grundläggande rättigheter.

Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen också ett gemensamt yttrande från EDPB-EDPS om utkastet till AI-förordning. Ett separat pressmeddelande kommer att publiceras senare i dag.

 

Information till redaktörer:
Alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_2021_05
 

EDPB adopted documents - 48th plenary

EDPB Opinions on draft UK adequacy decisions

The two EDPB opinions on the European Commission draft Implementing Decisions on the adequate protection of personal data in the United Kingdom have now been published on the EDPB website.

Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision.

Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB.

European Data Protection Board - 48th Plenary Session

Opinions on draft UK adequacy decisions, Guidelines on the application of Article 65(1)(a) GDPR, Guidelines on the targeting of social media users and Statement on international agreements including transfers

During its plenary session, the EDPB adopted two Opinions on the draft UK adequacy decisions. Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision. This assessment is based on the GDPR Adequacy Referential WP254. Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB. 

The EDPB notes that there are key areas of strong alignment between the EU and the UK data protection frameworks on certain core provisions such as: grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; and on automated decision making and profiling.

EDPB Chair, Andrea Jelinek said: "The UK data protection framework is largely based on the EU data protection framework. The UK Data Protection Act 2018 further specifies the application of the GDPR in UK law, in addition to transposing the LED, as well as granting powers and imposing duties on the national data protection supervisory authority, the ICO. Therefore, the EDPB recognises that the UK has mirrored, for the most part, the GDPR and LED in its data protection framework and when analysing its law and practice, the EDPB identified many aspects to be essentially equivalent. However, whilst laws can evolve, this alignment should be maintained. So we welcome the Commission's decision to limit the granted adequacy in time and the intention to closely monitor developments in the UK.”

The EDPB underlines that several items should be further assessed and/or closely monitored by the European Commission in its decision based on the GDPR, such as: 

  • Immigration Exemption and its consequences on restrictions on data subject rights;
  • The application of restrictions to onward transfers of EEA personal data transferred to the UK, on the basis of, for instance, future adequacy decisions adopted by the UK, international agreements concluded between the UK and third countries, or derogations.

Regarding access by public authorities for national security purposes to personal data transferred to the UK, the EDPB welcomes the establishment of the Investigatory Powers Tribunal (IPT) to address the challenges of redress in the area of national security, and the introduction of Judicial Commissioners in the Investigatory Powers Act (IPA) 2016 to ensure better oversight in that same field. The EDPB still identifies a number of points requiring further clarifications and/or monitoring: 

  • Bulk interceptions;
  • Independent assessment and oversight of the use of automated processing tools;
  • Safeguards provided under UK law when it comes to overseas disclosure, in particular in light of the application of national security exemptions.

The Board adopted Guidelines on the application of Article 65(1)(a) GDPR to delineate the main stages of the procedure and clarify the competence of the EDPB when adopting a legally binding decision on the basis of Article 65(1)(a) GDPR. The Guidelines also include a description of the applicable procedural safeguards and remedies. The guidelines will be subject to public consultation for a period of six weeks.

The EDPB adopted a final version of the Guidelines on the targeting of social media users following public consultation. The aim of the Guidelines is to clarify the roles and responsibilities of social media providers and targeted individuals. The final version integrates updated wording in order to address comments and feedback received during the public consultation.

The EDPB adopted a Statement on international agreements including transfers. The EDPB invites EU Member States to assess and, where necessary, review their international agreements that involve international transfers of personal data and which were concluded before 24 May 2016 (for those relevant to the GDPR) and 6 May 2016 (for those relevant to the LED) to align them, where necessary, with EU data protection law. 

The agenda of the forty-eighth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_03
 

Sidor