Europeiska dataskyddsstyrelsen har antagit slutliga versioner av tre riktlinjer – den registrerades granskningsrätt, fastställande av ansvarig tillsynsmyndighet och anmälningar av personuppgiftsincidenter
Europeiska dataskyddsstyrelsen har publicerat slutliga versioner av tre riktlinjer efter publik konsultation. En av riktlinjerna handlar om den registrerades rätt att bekanta sig med sina egna uppgifter, den så kallade granskningsrätten. Riktlinjen om fastställande av ansvarig tillsynsmyndighet och riktlinjen om anmälan av personuppgiftsincidenter har uppdaterats vad gäller fastställande av behörig tillsynsmyndighet och personuppgiftsansvariges huvudsakliga verksamhetsställe.
Riktlinjen om granskningsrätt behandlar praktiska frågor om tillgodoseendet av granskningsrätten och ger anvisningar om hur den registrerades rätt att bekanta sig med sina egna uppgifter ska tillgodoses i olika situationer. Riktlinjen handlar bland annat om hur och i vilket format uppgifterna ska lämnas till den registrerade, när den registeransvariga kan be den registrerade att precisera sin begäran, när en begäran kan anses vara uppenbart grundlös eller orimlig samt situationer där granskningsrätten kan begränsas.
På basis av responsen från den publika konsultationen har bland annat begrepp om den registrerades identifiering och styrkande av den registrerades identitet förtydligats. Anvisningarna om formatet av uppgifter som lämnas ut och utlämnande av uppgifter i situationer där förvaringstiden för uppgifterna är väldigt kort har också förtydligats. Riktlinjen har också kompletterats med hänvisningar till EU-domstolens nyligen tagna beslut och ärenden som anhängiggjorts vid domstolen.
Riktlinjen på dataskyddsstyrelsens webbplats på engelska: Guidelines on data subject rights - right of access
Riktlinjerna om fastställande av tillsynsmyndighet har uppdaterats
Dataskyddsstyrelsen har antagit slutliga versioner också av riktlinjen om fastställande av den registeransvariges eller personuppgiftsbiträdens ledande tillsynsmyndighet samt riktlinjen om personuppgiftsincidenter. De slutliga versionerna är uppdateringar av dataskyddsarbetsgrupp WP29:s tidigare riktlinjer. Den publika konsultationen gällde endast riktlinjernas uppdaterade punkter.
I riktlinjen om fastställande av ledande tillsynsmyndighet har begreppet huvudsakligt verksamhetsställe i samband med gemensamt personuppgiftsansvar förtydligats.
I riktlinjen om anmälan av personuppgiftsincidenter förtydligas i synnerhet den registeransvariges ansvar för anmälan av personuppgiftsincidenter. I den publika konsultationen kom det fram praktiska frågor om situationer där en personuppgiftsincident ska anmälas till flera olika länders dataskyddsmyndigheter. Dataskyddsförordningen föreskriver inte om en mekanism för en enda kontaktpunkt för registeransvariga utanför EES-området. Om den registeransvariges huvudsakliga verksamhetsställe inte finns i ett EES-land, ska den registeransvarige anmäla en personuppgiftsincident till dataskyddsmyndigheterna i alla de medlemsländer där de registrerade som utsatts för en personuppgiftsincident är bosatta i.
Dataskyddsstyrelsen påminner om att riktlinjen har nu endast redigerats med den uppdaterade punkten så att den motsvarar innehållet i den allmänna dataskyddförordningen. Dataskyddsstyrelsen ämnar publicera en förteckning över kontaktuppgifterna för anmälningar av personuppgiftsincidenter på sin webbplats till stöd av de registeransvariga.
Riktlinjerna på dataskyddsstyrelsens webbplats på engelska:
- Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority
- Guidelines 9/2022 on personal data breach notification under GDPR
Mer information:
Europeiska dataskyddsstyrelsens meddelande på styrelsens webbplats (på engelska): EDPB adopts final version of Guidelines on data subject rights - right of access (17.4.2023)