Nyhetssamlare

Bryssel den 2 september – Den 28 juli antog Europeiska dataskyddsstyrelsen ett tvistlösningsbeslut på grundval av artikel 65 i GDPR. Detta bindande beslut syftar till att lösa den tvist som uppstått till följd av ett utkast till beslut som utfärdats av den irländska tillsynsmyndigheten (IE SA)  i egenskap av ansvarig tillsynsmyndighet (LSA) avseende WhatsApp Ireland Ltd. (WhatsApp IE) och de efterföljande invändningarna från ett antal berörda tillsynsmyndigheter (CSA:s). I enlighet med dataskyddsförordningen har EDPB:s bindande beslut nu offentliggjorts, efter det att den irländska tillsynsmyndighetens slutliga beslut meddelats företaget.

Efter bedömning ansåg Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten bör ändra sitt utkast till beslut ifråga om överträdelser av regler om öppenhet, beräkningen av böterna och tidsfristen för att följa föreläggandet.

När det gäller öppenhet identifierades redan i utkastet till beslut från den irländska tillsynsmyndigheten en allvarlig överträdelse av artiklarna 12–13–14 i dataskyddsförordningen. Europeiska dataskyddsstyrelsen identifierade ytterligare brister i den information som tillhandahölls, vilket påverkade användarnas förmåga att förstå vilka berättigade intressen som ligger till grund för behandlingen av uppgifter.  Därför begärde Europeiska dataskyddsstyrelsen att den irländska tillsynsmyndigheten skulle inkludera ett konstaterande av en överträdelse av artikel 13 (1) d i dataskyddsförordningen i sitt beslut.

Dessutom klargjorde Europeiska dataskyddsstyrelsen att även om inte varje överträdelse av artiklarna 12–14 i dataskyddsförordningen nödvändigtvis innebär en överträdelse av artikel 5 (1) a i förordningen, har det i detta särskilda fall, mot bakgrund av överträdelsernas allvar och övergripande karaktär och konsekvenser, förekommit en överträdelse av öppenhetsprincipen i artikel 5 (1) a i dataskyddsförordningen.

När det gäller WhatsApp IE:s insamling av uppgifter om icke-användare — när användare beslutar sig för att använda funktionen Contact Feature – konstaterade Europeiska dataskyddsstyrelsen att det förfarande som WhatsApp IE använder i detta fall inte leder till anonymisering av de insamlade personuppgifterna.

När det gäller de ålagda böterna och beräkningen av böterna beslutade Europeiska dataskyddsstyrelsen att ett företags omsättning inte enbart är relevant för fastställandet av det högsta bötesbeloppet i enlighet med artikel 83 (4) – (6) GDPR, utan även kan beaktas vid beräkningen av själva böterna, när så är lämpligt, för att säkerställa att böterna är effektiva, proportionella och avskräckande i enlighet med artikel 83 (1) i dataskyddsförordningen. I detta fall fann Europeiska dataskyddsstyrelsen att moderbolagets konsoliderade omsättning (Facebook Inc.) skulle tas med i beräkningen av omsättningen.

Dessutom klargjorde Europeiska dataskyddsstyrelsen för första gången tolkningen av artikel 83 (3) i dataskyddsförordningen. När det gäller flera överträdelser för samma eller sammanlänkad behandling bör alla överträdelser beaktas vid beräkningen av bötesbeloppet. Detta gäller oberoende av tillsynsmyndigheternas skyldighet att ta hänsyn till böternas proportionalitet och att respektera det högsta bötesbelopp som fastställs i dataskyddsförordningen.

I den irländska tillsynsmyndighetens utkast till beslut ingick dessutom ett föreläggande om att se till att behandlingen skulle uppfylla kraven inom en period på 6 månader. Europeiska dataskyddsstyrelsen ansåg det vara av yttersta vikt att efterlevnaden av kraven på öppenhet säkerställs så snabbt som möjligt. Den irländska tillsynsmyndigheten ombads därför att ändra tidsfristen på sex månader för efterlevnad till en period på tre månader.

Detta bindande beslut riktades till de berörda tillsynsmyndigheterna, och den irländska tillsynsmyndigheten i egenskap av ledande tillsynsmyndighet har antagit sitt nationella beslut på grundval av Europeiska dataskyddsstyrelsens beslut. WhatsApp IE delgavs det nationella beslutet, och Europeiska dataskyddsstyrelsens beslut bifogades det. 

Detta beslut påverkar inte eventuella bedömningar som Europeiska dataskyddsstyrelsen kan komma att behöva göra i andra fall, även med samma parter.

För mer information om förfarandet enligt artikel 65 i dataskyddsförordningen, se vanliga frågor i enlighet med artikel 65.

 

31 August 2021 - POLITICO interviewed the Coordinator on combating antisemitism and fostering Jewish life, Katharina von Schnurbein, ahead of the adoption of the first-ever ambitious and comprehensive Strategy on combating antisemitism by the European Commission. The interview touches upon the online antisemitism and its consequences on real life, the Israel and Europe relation, the need for strategies at national level, the importance of preserving the memory of the Holocaust and of raising awareness about Jewish life as well as the danger of antisemitism for our societies.

19 August 2021 - Katharina von Schnurbein addressed the European Union of Jewsih Students (EUJS) Summer U General Assembly that took place in Italy, in front of young Jewish activists from Europe and beyond. She congratulated the newly elected EUJS President, Elias Dray, and offered Commission's support in the fight against antisemitism.

22 July 2021 - The Commission published a study entitled 'Heroes and scapegoats: Right-wing extremism in digital environments'. The study focusses on the different aspects of digital violent right-wing extremist (VRWE) content, i.e., textual or visual messages that express acceptance, condoning, justification or acclamation of violence for the sake of a radical nationalistic ideal. The study, among other groups, focusses thereby on Jews as a target of VRWE.

13 July 2021 - The ESJF-European Jewish Cemeteries Initiative organised the final event of the European Commission-funded pilot project “Protecting the Jewish Cemeteries of Europe”.

Tillsyn enligt dataskyddsförordningen. Beslut 2023-10-03.

Efter att ha tagit emot klagomål inleder nu Integritetsskyddsmyndigheten, IMY, en granskning av kamerabevakning på en grundskola i Stockholm.

Integritetsskyddsmyndigheten, IMY, har tidigare utfärdat sanktionsavgift mot en skola som på prov använt ansiktsigenkänning för närvarokontroll. Beslutet har överklagats till kammarrätten som dock går på IMY:s linje.

Tillsyn enligt dataskyddsförordningen. Beslut 2024-06-25.

Tillsyn enligt dataskyddsförordningen. Beslut 2024-12-19

Bolagen har anmält personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) där det framgår att personuppgifter under en längre tid löpande har förts över till Facebook. Myndigheten ska nu granska vad som skett och vilka rutiner bolagen har för att ha kontroll på användarnas personuppgifter.

Rapportnummer: 2021:3

Integritetsskyddsmyndigheten, IMY, publicerar nu en rapport över de anmälningar om personuppgiftsincidenter som myndigheten tagit emot under 2020. Fel orsakade av den mänskliga faktorn dominerar och har orsakat mer än hälften av de anmälda incidenterna.

Schrems II, Privacy Shield, EDPB … ord som det senaste året skapat många diskussioner och bryderier hos både företag och myndigheter. Men vad handlar det om?

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen antog vid sin plenarsession en slutlig version av rekommendationerna om kompletterande åtgärder efter offentligt samråd. Rekommendationerna antogs första gången i november 2020 efter EU-domstolens dom i Schrems II-målet. De syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som för över personuppgifter utanför EU med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför.

Den slutliga versionen av rekommendationerna innehåller flera ändringar för att ta hänsyn till synpunkter och återkoppling som mottagits under det offentliga samrådet och lägger särskild vikt vid den praktiska tillämpningen  hos myndigheter i ett tredjeland.

Några av de viktigaste ändringarna är följande: betoningen på vikten av att exportörer av uppgifter i sin rättsliga bedömning granskar den praktiska tillämpningen hos myndigheter i tredje land för att avgöra om det tredje landets lagstiftning och/eller praxis i praktiken inkräktar på effekterna av skyddsåtgärderna i artikel 46 i den allmänna dataskyddsförordningen; möjligheten att exportören i sin bedömning beaktar importörens praktiska erfarenheter, tillsammans med andra faktorer och med vissa förbehåll; och förtydligandet att lagstiftning i det mottagande tredjelandet som gör det möjligt för dess myndigheter att få tillgång till de överförda uppgifterna, även utan importörens ingripande, också kan påverka överföringsverktygets effektivitet.

När det gäller Europeiska kommissionens nyligen offentliggjorda nya standardavtalsklausuler för internationella överföringar är rekommendationerna till hjälp för att kontrollera ”lokal lagstiftning och praktisk tillämpning som påverkar efterlevnaden av klausulerna” (klausul 14 i de nya standardavtalsklausulerna) och det eventuella behovet av att genomföra kompletterande åtgärder.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Effekterna av Schrems II kan inte underskattas: internationella dataflöden granskas redan mycket noggrannare av tillsynsmyndigheterna, som genomför utredningar på sina respektive nationella nivåer. Syftet med Europeiska dataskyddsstyrelsens rekommendationer är att vägleda exportörer att lagligen överföra personuppgifter till tredjeländer, samtidigt som man garanterar att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom Europeiska ekonomiska samarbetsområdet. Genom att klargöra vissa tveksamheter som uttryckts av berörda parter, och i synnerhet vikten av att undersöka den praktiska tillämpningen  hos offentliga myndigheter i tredjeländer, vill vi göra det lättare för uppgiftsutföraren att veta hur de ska bedöma överföringar till tredjeländer och att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Europeiska dataskyddsstyrelsen kommer att fortsätta att beakta effekterna av Schrems II-domen och de synpunkter som inkommit från berörda parter i framtida vägledning. ”

Den fullständiga texten till rekommendationerna finns här:https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

Europeiska dataskyddsstyrelsen antog en skrivelse till EU-institutionerna om integritets- och dataskyddsaspekterna av en eventuell digital euro. I skrivelsen betonar Europeiska dataskyddsstyrelsen att en mycket hög standard på integritets- och dataskyddet är avgörande för att stärka slutanvändarnas förtroende och bör betraktas som en särskiljande faktor i erbjudandet av en digital euro, vilket är en viktig framgångsfaktor. Sådana faktorer bör beaktas redan på  utformningsstadiet. Dessutom rekommenderar Europeiska dataskyddsstyrelsen att det EU-organ som ansvarar för utformningen av projektet utför en konsekvensbedömning avseende dataskydd på hög nivå. Europeiska dataskyddsstyrelsen anger vidare att den är beredd att ge råd till ECB eller andra EU-institutioner.

Slutligen utsåg Europeiska dataskyddsstyrelsen tre företrädare i EU-systemet för reseuppgifter och resetillstånd (ETIAS) rådgivande nämnd för grundläggande rättigheter, som har till uppgift att utvärdera konsekvenserna av behandlingen av ansökningar och kommer att spela en viktig roll för att säkerställa att systemet uppfyller de grundläggande rättigheterna, särskilt när det gäller integritet och skydd av personuppgifter. Nämnden kommer att bestå av företrädare för Frontex, Europeiska datatillsynsmannen, Europeiska dataskyddsstyrelsen och Europeiska unionens byrå för grundläggande rättigheter.

Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen också ett gemensamt yttrande från EDPB-EDPS om utkastet till AI-förordning. Ett separat pressmeddelande kommer att publiceras senare i dag.

 

Information till redaktörer:
Alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_2021_05
 

Bryssel den 21 juni — Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om Europeiska kommissionens förslag till förordning om fastställande av harmoniserade regler för artificiell intelligens (AI).

Europeiska dataskyddsstyrelsen och EDPS välkomnar starkt målet att ta itu med användningen av AI-system inom Europeiska unionen, inbegripet EU-institutionernas, EU-organens eller EU-byråernas användning av AI-system. Samtidigt är Europeiska dataskyddsstyrelsen och EDPS bekymrade över att internationellt brottsbekämpningssamarbete undantas från förslagets tillämpningsområde.

Europeiska dataskyddsstyrelsen och EDPS betonar också behovet av att uttryckligen klargöra att EU:s befintliga dataskyddslagstiftning (GDPR, EUDPR och LED) är tillämplig på all behandling av personuppgifter som omfattas av tillämpningsområdet för utkastet till AI-förordning.

Europeiska dataskyddsstyrelsen och EDPS välkomnar den riskbaserade metod som ligger till grund för förslaget, men anser att begreppet ”risk för de grundläggande rättigheterna” bör anpassas till EU:s dataskyddsramverk. Europeiska dataskyddsstyrelsen och EDPS rekommenderar att samhällsrisker för grupper av individer också bör bedömas och motverkas. Dessutom instämmer de i förslaget om att klassificeringen av ett AI-system som högrisksystem inte nödvändigtvis innebär att det är lagligt i sig och kan användas av användaren som sådant. Europeiska dataskyddsstyrelsen och EDPS anser också att efterlevnad av rättsliga skyldigheter som följer av unionslagstiftningen – inbegripet skydd av personuppgifter – bör vara en förutsättning för att komma in på den europeiska marknaden som CE-märkt produkt.

Med tanke på de extremt stora risker som är förknippade med biometrisk identifiering på distans av enskilda personer på allmänt tillgängliga platser efterlyser Europeiska dataskyddsstyrelsen och EDPS ett allmänt förbud mot all användning av AI för automatiserad igenkänning av mänskliga egenskaper på allmänt tillgängliga platser, såsom igenkänning av ansikten, gångstil, fingeravtryck, DNA, tal, tangenttryckning och andra biometriska eller beteendemässiga signaler, oavsett sammanhang. På liknande sätt rekommenderar Europeiska dataskyddsstyrelsen och EDPS ett förbud mot AI-system som använder biometriska kännetecken för att kategorisera enskilda personer i kluster på grundval av etnicitet, kön, politisk eller sexuell läggning eller andra grunder på vilka diskriminering är förbjuden enligt artikel 21 i stadgan om de grundläggande rättigheterna. Dessutom anser Europeiska dataskyddsstyrelsen och EDPS att användning av AI för att härleda känslor hos en fysisk person är högst oönskad och bör förbjudas, utom i mycket specificerade fall, såsom vissa hälsoändamål, där igenkännande av patienters känslomässiga reaktioner är viktigt, och att användning av AI för alla typer av social värdering bör förbjudas.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, & Wojciech Wiewiórowski, EDPS, sade: Användning av biometrisk fjärridentifiering på allmänt tillgängliga platser innebär slutet på anonymiteten på sådana platser. Tillämpningar såsom ansiktsigenkänning på plats inkräktar på grundläggande rättigheter och friheter i sådan utsträckning att de kan ifrågasätta det väsentliga innehållet i dessa rättigheter och friheter. Detta kräver en omedelbar tillämpning av försiktighetsprincipen. Ett allmänt förbud mot ansiktsigenkänning på allmänt tillgängliga platser är den nödvändiga utgångspunkten om vi vill bevara våra friheter och skapa en människocentrerad rättslig ram för AI. Den föreslagna förordningen bör också förbjuda all slags användning av AI för social värdering, eftersom den strider mot EU:s grundläggande värden och kan leda till diskriminering. ”

Europeiska dataskyddsstyrelsen och EDPS välkomnar vidare att EDPS i förslaget utses till behörig myndighet och marknadskontrollmyndighet för tillsynen av unionens institutioner, byråer och organ. EDPS roll och uppgifter bör dock klargöras ytterligare, särskilt när det gäller dess roll som marknadskontrollmyndighet.

Europeiska dataskyddsstyrelsen och EDPS erinrar om att dataskyddsmyndigheterna redan har tillsyn över den allmänna dataskyddsförordningen och LED-direktivet ifråga om AI-system som omfattar personuppgifter, i syfte att garantera skyddet av de grundläggande rättigheterna, särskilt rätten till uppgiftsskydd. Till följd av detta skulle utnämningen av dataskyddsmyndigheter till nationella tillsynsmyndigheter säkerställa en mer harmoniserad regleringsstrategi och bidra till en enhetlig tolkning av bestämmelserna om uppgiftsbehandling i hela EU. Därför anser Europeiska dataskyddsstyrelsen och EDPS att dataskyddsmyndigheter bör utses till nationella tillsynsmyndigheter enligt artikel 59 i förslaget för att säkerställa en smidig tillämpning av denna nya förordning.

Slutligen ifrågasätter Europeiska dataskyddsstyrelsen och EDPS utpekandet av en dominerande roll för Europeiska kommissionen i ”European Artificial Intelligence Board” (EAIB), eftersom detta skulle strida mot behovet av ett europeiskt AI-organ som är oberoende av allt politiskt inflytande. För att säkerställa dess oberoende bör förslaget ge EAIB större självständighet och se till att det kan agera på eget initiativ.

 

Information till redaktörer:
Observera att alla dokument som antas under EDPB:s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB:s webbplats när dessa har slutförts.

EDPB_Press Release_statement_2021_05

Tillsyn enligt dataskyddsförordningen. Beslut 2021-06-21

Integritetsskyddsmyndigheten, IMY, konstaterar att SL brutit mot dataskyddsförordningen när biljettkontrollanter utrustats med kroppskameror som spelar in bild och ljud. IMY utfärdar en administrativ sanktionsavgift mot SL på 16 miljoner kronor.

Visste du att vi på IMY har avvisat nästan en tredjedel av ansökningarna om kamerabevakning? Inte för att de är olagliga, utan för att de som ansöker inte behöver tillstånd. Men det är också många som behöver tillstånd från oss. Och oavsett om man behöver tillstånd eller inte – lagen ska ändå alltid följas. Gustav Linder, jurist på IMY, förklarar mer i detta blogginlägg.

Tillsyn enligt dataskyddsförordningen. Beslut 2021-06-09