Nyhetssamlare

Myndigheten påbörjar nu utredningar av ett antal klagomål från enskilda personer som rör deras rättigheter enligt GDPR.

Rapportnummer: 2020:04

Integritetsskyddsmyndigheten publicerar nu en rapport som belyser de klagomål som myndigheten tagit emot sedan dataskyddsförordningen, GDPR, började gälla. Var fjärde klagomål avser de rättigheter som GDPR ger medborgarna, som exempelvis rätten att få personuppgifter raderade och rätten till registerutdrag.

Tillsyn enligt inkassolagen. Beslut 2020-10-09

Tillsyn enligt dataskyddsförordningen. Beslut 2020-10-09

Integritetsskyddsmyndigheten har granskat ett stort inkassobolag och är kritisk till att bolaget brister i tillgängligheten för gäldenärer som vill komma i kontakt med bolaget.

Tillsyn enligt inkassolagen. Beslut 2020-10-14

Myndighetens granskning visar att dataskyddsförordningen, GDPR, inte är tillämplig i det aktuella fallet. Därför avslutar Integritetsskyddsmyndigheten sin tillsyn.

I år blev barnkonventionen lag i Sverige och för att stärka barns rättigheter på nätet har Barnombudsmannen, Statens medieråd och Integritetsskyddsmyndigheten gemensamt tagit fram en vägledning för aktörer som ansvarar för sociala medier, spel och andra digitala miljöer. Vägledningen syftar till att göra internet till en tryggare och säkrare plats för barn och unga.

Integritetsskyddsmyndigheten publicerar nu ny och uppdaterad information som riktas till arbetsgivare och som ger vägledning för hur dessa kan hantera personuppgifter om sina anställda enligt dataskyddsförordningen, GDPR.

Den 1 januari 2021 byter Datainspektionen namn och blir Integritetsskyddsmyndigheten. Förkortningen blir IMY.

Den Europeiska dataskyddsstyrelsen har nu tagit fram en vägledning som klargör gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och som tydliggör vilka följderna blir av att ha en av dessa roller.

Ex ante publicity for negotiated procedure for middle value contrat (ref. JUST/2020/RRAC/PR/RIGH/0088)

Bryssel den 3 september — Styrelsen antog riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i den allmänna dataskyddsförordningen och riktlinjer om riktad marknadsföring till användare av sociala medier. Dessutom inrättade Europeiska dataskyddsstyrelsen en arbetsgrupp för hantering av klagomål till följd av domstolens dom i Schrems II-målet och en arbetsgrupp för de kompletterande åtgärder som uppgiftsexportörer och importörer kan åläggas att vidta för att säkerställa ett adekvat skydd vid överföring av uppgifter mot bakgrund av domstolens dom i Schrems II-målet.

Dataskyddsstyrelsen har antagit riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen. Sedan den allmänna dataskyddsförordningen började tillämpas har frågor väckts om i vilken utsträckning dataskyddsförordningen har medfört ändringar av dessa begrepp, särskilt när det gäller begreppet gemensamt personuppgiftsansvar (som fastställs i artikel 26 i den allmänna dataskyddsförordningen och efter flera avgöranden från EU-domstolen) samt de skyldigheter för personuppgiftsbiträden (särskilt artikel 28 i den allmänna dataskyddsförordningen) som fastställs i kapitel IV i dataskyddsförordningen.

I mars 2019 anordnade Europeiska dataskyddsstyrelsen tillsammans med sitt sekretariat ett evenemang för berörda parter som klargjorde att det fanns ett behov av mer praktisk vägledning och gjorde det möjligt för styrelsen att bättre förstå behoven och problemen på området. De nya riktlinjerna består av två huvuddelar: den ena förklarar de olika begreppen, den andra innehåller detaljerad vägledning om de viktigaste konsekvenserna av dessa begrepp för personuppgiftsansvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga. Riktlinjerna innehåller ett flödesschema som ger ytterligare praktisk vägledning. Riktlinjerna kommer att bli föremål för offentligt samråd.

Europeiska dataskyddsstyrelsen har antagit riktlinjer för riktad marknadsföring motanvändare av sociala medier. Riktlinjerna syftar till att ge de berörda parterna praktisk vägledning och innehåller olika exempel på olika situationer så att intressenterna snabbt kan identifiera det ”scenario” som ligger närmast den  praxis ifråga om riktad marknadsföring som de avser att tillämpa. Huvudsyftet med riktlinjerna är att klargöra roller och ansvarsområden för  sociala medier och för den berörda personen. I detta syfte fastställs bland annat i riktlinjerna de potentiella riskerna för individens friheter, huvudaktörerna och deras roller, tillämpningen av centrala dataskyddskrav, såsom laglighet och öppenhet och konsekvensbedömning avseende dataskydd, samt centrala inslag i arrangemang mellan leverantörer av sociala medier och de berörda personerna. Riktlinjerna fokuserar dessutom på de olika målinriktningsmekanismerna, behandlingen av särskilda kategorier av uppgifter och skyldigheten för gemensamma personuppgiftsansvariga att införa ett lämpligt arrangemang i enlighet med artikel 26 i dataskyddsförordningen. Plenarförsamlingen kommer att lägga fram riktlinjerna för offentligt samråd.

Styrelsen har inrättat en arbetsgrupp för att undersöka klagomål som lämnats in i efterdyningarna av domstolens dom i målet Schrems II. Totalt 101 identiska klagomål har lämnats in till EES dataskyddsmyndigheter mot flera personuppgiftsansvariga i EES-medlemsstaterna avseende deras användning av Google/Facebook-tjänster som inbegriper överföring av personuppgifter. De klagande, företrädda av den icke-statliga organisationen NOYB, hävdar att Google/Facebook överför personuppgifter till Förenta staterna med stöd av skölden för skydd av privatlivet i EU och USA eller standardavtalsklausuler och att den personuppgiftsansvarige enligt EU-domstolens dom nyligen i mål C-311/18 inte kan säkerställa ett adekvat skydd av klagandenas personuppgifter. Arbetsgruppen kommer att analysera frågan och säkerställa ett nära samarbete mellan EDPB :s medlemmar.

Som en uppföljning av EU-domstolens dom i målet Schrems II och utöver de frågor och svar som antogs den 23 juli har styrelsen inrättat en arbetsgrupp. Denna arbetsgrupp kommer att utarbeta rekommendationer för att bistå personuppgiftsansvariga och personuppgiftsbiträden i deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa adekvat skydd vid överföring av uppgifter till tredjeländer.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen säger följande: ”Europeiska dataskyddsstyrelsen är väl medveten om att Schrems II-domen ger personuppgiftsansvariga ett viktigt ansvar. Utöver det uttalande och de  frågor och svar som vi lagt ut kort efter domen kommer vi att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder av rättslig, teknisk och organisatorisk karaktär för att uppfylla en väsentligen likvärdig skyddsnivå när personuppgifter överförs till tredjeländer. Domens konsekvenser är dock omfattande och kontexten för överföring av uppgifter till tredjeländer skiljer sig mycket åt. Därför kan det inte finnas en snabb lösning som passar alla. Varje organisation kommer att behöva utvärdera sin egen uppgiftsbehandling och dataöverföring och vidta lämpliga åtgärder. ”

Not till redaktörerna:
Observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_14

Tetra Pak-koncernen har fått sina bindande företagsbestämmelser godkända av Integritetsskyddsmyndigheten. Syftet med bindande företagsbestämmelser är att underlätta för koncerner att föra över personuppgifter till koncernbolag utanför EU/EES.

Europeiska dataskyddsstyrelsen offentliggör dokument med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 (Schrems II)

Med anledning av Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems – har dataskyddsstyrelsen antagit ett dokument med vanliga frågor för att tillhandahålla ett första förtydligande och en preliminär vägledning för berörda parter om användningen av rättsliga instrument för överföring av personuppgifter till tredjeländer, inklusive Förenta staterna. Detta dokument kommer tillsammans med ytterligare vägledning att utarbetas och kompletteras allteftersom dataskyddsstyrelsen fortsätter att granska och bedöma EU-domstolens dom. 

Dokumentet med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 finns här.

EDPB_Pressmeddelande_uttalande_2020_06

Bryssel den 23 juli – Mot bakgrund av det kommande slutet på övergångsperioden för brexit har dataskyddsstyrelsen antagit en informationsnot om åtgärder som tillsynsmyndigheterna, organisationer som fått sina bindande företagsbestämmelser godkända och organisationer som väntar på att deras bindande företagsbestämmelser ska godkännas av den brittiska tillsynsmyndigheten behöver vidta för att se till att dessa bindande företagsbestämmelser kan användas som ett giltigt överföringsverktyg efter att övergångsperioden gått ut. Eftersom den brittiska tillsynsmyndigheten inte längre kommer att vara behörig tillsynsmyndighet enligt den allmänna dataskyddsförordningen när övergångsperioden går ut kommer de beslut om godkännande som denna tillsynsmyndighet fattat enligt denna förordning inte längre att ha rättsverkan i EES. Dessutom kan innehållet i de bindande företagsbestämmelserna i fråga behöva ändras innan övergångsperioden går ut eftersom dessa bestämmelser i allmänhet innehåller hänvisningar till den brittiska rättsordningen. Detta gäller också bindande företagsbestämmelser som redan godkänts enligt direktiv 94/46/EG.

De som fått sina bindande företagsbestämmelser godkända och som har den brittiska tillsynsmyndigheten som ansvarig tillsynsmyndighet för de bindande företagsbestämmelserna behöver införa alla organisatoriska arrangemang som krävs för att utse en ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser i EES. Bytet av ansvarig tillsynsmyndighet för bindande företagsbestämmelser måste ske innan övergångsperioden för brexit går ut.

De vars ansökan om godkännande av bindande företagsbestämmelser ännu inte bifallits uppmuntras att införa alla organisatoriska engagemang som krävs för att utse en ny ansvarig tillsynsmyndighet i EES i god tid innan övergångsperioden för brexit går ut. Detta innefattar att kontakta tillsynsmyndigheten i fråga för att lämna alla nödvändiga uppgifter om varför man vill ha denna tillsynsmyndighet som ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser. Den senare kommer därefter att ta över ansökan och formellt inleda ett godkännandeförfarande som ska bli föremål för ett yttrande från dataskyddsstyrelsen. Alla bindande företagsbestämmelser som godkänts av den brittiska tillsynsmyndigheten kommer att kräva att den nya ansvariga tillsynsmyndigheten för bindande företagsbestämmelser i EES utfärdar ett nytt beslut om godkännande innan övergångsperioden går ut, följt av ett yttrande från dataskyddsstyrelsen. Dataskyddsstyrelsen har också antagit en bilaga med en checklista över saker som ska ändras i dokumenten om bindande företagsbestämmelser i samband med brexit.

Denna informationsnot påverkar inte den analys som dataskyddsstyrelsen för närvarande arbetar med och som handlar om vad Europeiska unionens dom i målet DPC mot Facebook Irland och Schrems innebär för bindande företagsbestämmelser som överföringsverktyg.

EDPB_Pressmeddelande_2020_13

På dagens plenarmöte har Europeiska Dataskyddsstyrelsen diskuterat EU-domstolens dom som rör Privacy Shield-avtalet mellan EU och USA.