Europeiska dataskyddsstyrelsen har antagit ett utkast till riktlinjer för registeransvariga och personuppgiftsbiträden och upprättat en arbetsgrupp för kompletterande skyddsåtgärder i enlighet med Schrems II

Europeiska dataskyddsstyrelsen har vid sitt plenum 3.9. antagit två utkast till riktlinjer om definitionerna av registeransvariga och personuppgiftsbiträden i den allmänna dataskyddsförordningen samt om inriktningen på sociala medier. Dataskyddsstyrelsen grundade även en arbetsgrupp för att upprätta rekommendationer för registeransvariga om de kompletterande skyddsåtgärder som Schrems II-avgörandet förutsätter vid dataöverföringar till tredje länder. Dataskyddsstyrelsen grundade även en separat arbetsgrupp för att behandla klagomål som har samband med Schrems II-avgörandet.

Med de nya riktlinjerna förtydligas definitionerna av registeransvariga och personuppgiftsbiträden i EU:s allmänna dataskyddsförordning. I riktlinjerna preciseras t.ex. i vilken omfattning ikraftträdandet av den allmänna dataskyddsförordningen har ändrat dessa begrepp.

Preciseringarna gäller i synnerhet gemensamma personuppgiftsansvariga samt personuppgiftsbiträdens förpliktelser. Riktlinjerna innehåller bl.a. detaljerade anvisningar om de viktigaste påföljderna av dessa begrepp för registeransvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga.

Praktiska anvisningar från dataskyddsstyrelsen för praxisen för inriktningen på sociala medier

Dataskyddsstyrelsen har även antagit ett utkast till riktlinjer om hur tjänster på sociala medier riktas till användarna. Syftet med riktlinjerna är att ge praktiska anvisningar och exempel på olika inriktningsrutiner till stöd av intressentgrupperna. Det huvudsakliga syftet av riktlinjerna är att förtydliga rollerna och ansvaren av tjänsteleverantörer på sociala medier och de personer som tjänsterna riktas till.

I riktlinjerna definieras bl.a. de eventuella riskerna för de individuella friheterna, de centrala aktörerna och deras roller samt de centrala dataskyddskraven. Riktlinjerna behandlar även databehandling som avser särskilda personuppgiftsgrupper samt skyldigheterna av gemensamma personuppgiftsansvariga.

Riktlinjen om registeransvariga och personuppgiftsbiträden (7/2020) samt riktlinjen om inriktningen på sociala medier (8/2020) kan kommenteras på dataskyddsstyrelsens webbplats fram till 19.10.

Arbetsgruppen börjar behandla klagomål om överföring av personuppgifter till USA

Sammanlagt 101 likalydande klagomål om flera olika registeransvariga i EES-länderna har lämnats till dataskyddsmyndigheterna i EES-länderna. Klagomålen avser registeransvarigas användning av Googles och Facebooks tjänster som innebär överföring av personuppgifter. Klaganden representeras av frivilligorganisationen NOYB.

I klagomålen påstås det att Google och Facebook överför personuppgifter till USA på basis av Privacy Shield-arrangemanget mellan EU och USA eller på basis av standardavtalsklausuler, och att enligt den dom som EU-domstolen nyligen gett i ärendet C-311/18 kan registeransvariga inte försäkra sig om tillräckligt skydd av de klagandes personuppgifter. Arbetsgruppen analyserar frågan och försäkrar sig om ett nära samarbete mellan dataskyddsstyrelsens medlemmar.

Ny arbetsgrupp ska upprätta rekommendationer om kompletterande skyddsåtgärder vid överföring av uppgifter till tredje länder

Dataskyddsstyrelsen har grundat en arbetsgrupp för att upprätta rekommendationer som hjälper registeransvariga och personuppgiftsbiträden att ta i bruk adekvata kompletterande skyddsåtgärder för att garantera tillräckligt dataskydd vid överföring av uppgifter till tredje länder.

Europeiska dataskyddsstyrelsens ordförande Andrea Jelinek konstaterar att dataskyddsstyrelsen är väl medveten om att Schrems II-avgörandet tilldelar registeransvariga ett betydande ansvar. Enligt Jelinek ämnar dataskyddsstyrelsen upprätta rekommendationer med vilka man ger stöd till registeransvariga och personuppgiftsbiträden i deras skyldighet att specificera och verkställa rättsliga, tekniska och organisatoriska åtgärder så att ”den väsentliga standarden om överensstämmelse” uppfylls vid överföring av uppgifter till tredje länder.

Jelinek påminner om att det inte finns någon snabb lösning som passar alla. Varje organisation ska bedöma sin egen behandling av uppgifter och genomföra de nödvändiga åtgärderna.

Mer information:

Meddelande från Europeiska dataskyddsstyrelsen: European Data Protection Board - Thirty-seventh Plenary session: Guidelines controller-processor, Guidelines targeting social media users, taskforce complaints CJEU Schrems II judgement, taskforce supplementary measures (4.9.2020)

Svar på vanliga frågor om Schrems II-avgörandet (på engelska)