Nya europeiska dataskyddsstyrelsen ökade internationellt samarbete

Samarbetet mellan dataskyddsmyndigheterna i Europa ökade ytterligare under år 2018. Dataskyddsmyndigheter förberedde sig på tillämpningen av EU:s allmänna dataskyddsförordning genom att utarbeta anvisningar samt planera europeiska dataskyddsstyrelsens verksamhet.

Europeiska dataskyddsstyrelsens konstituerande möte hölls den 25 maj, då tillämpningen av EU:s allmänna dataskyddsförordning inleddes. Samtidigt avslutade dataskyddsstyrelsens föregångare WP29-arbetsgruppen sin verksamhet. WP29-arbetsgruppens ordförande Andrea Jelinek valdes även till ordförande för europeiska dataskyddsstyrelsen. Jelineks mandatperiod är fem år.

EU- och EES-länder som medlemmar

Europeiska dataskyddsstyrelsen är ett oberoende EU-organ som utgörs av EU:s nationella dataskyddsmyndigheter och representanter för europeiska datatillsynsmannen. Även EES-länderna Island, Norge och Liechtenstein är medlemmar i dataskyddsstyrelsen utgående från EFTA-avtalet. Kommissionen har rätt att delta i dataskyddsstyrelsens verksamhet och möten utan rösträtt.

Europeiska dataskyddsstyrelsen ansvarar för en harmoniserad tillämpning av EU:s allmänna dataskyddsförordning och dataskyddsdirektivet, som gäller för polis- och straffrättsmyndigheter. Styrelsen ger anvisningar och beslut som tydliggör dataskyddslagstiftningen. En viktig uppgift för dataskyddsstyrelsen är att främja samarbetet mellan EU:s dataskyddsmyndigheter.

Europeiska dataskyddsstyrelsen fattade vid sitt första plenum beslut om att stödja de anvisningar som WP29-arbetsgruppen utarbetat för tillämpningen av dataskyddsförordningen. Dataskyddsstyrelsen fortsatte beredningen av anvisningarna. Under hösten publicerades anvisningar bland annat för regional tillämpning dataskyddsförordningen och certifiering.

WP29-arbetsgruppen fungerade som samarbetsorgan för dataskyddsmyndigheterna i EU innan dataskyddsstyrelsen inrättades.

I september blev även europeiska dataskyddsstyrelsens första utlåtanden gjorda genom konformitetsmekanismen klara. Dataskyddsstyrelsen godkände 22 utlåtande som gällde gemensamma krav på förteckningar gällande konsekvensbedömning av dataskyddet. Till bas för utlåtandena låg förteckningar över behandlingsåtgärder utarbetande av de nationella dataskyddsmyndigheterna, som troligtvis förorsakar hög risk och förutsätter konsekvensbedömning av dataskyddet. Det är viktigt att komma överens om gemensamma kriterier för att den allmänna dataskyddsförordningen ska tillämpas konsekvent överallt inom EU. Avsikten med dataskyddsförordningen har varit att harmonisera dataskyddsbestämmelserna, förbättra skyddet av personuppgifter och rättigheter i anslutning till dataskyddet, svara på nya dataskyddsfrågor i anslutning till digitaliseringen och globaliseringen samt främja utvecklingen av den inre digitala marknaden.

Från dataombudsmannens byrå deltog i WP29-arbetsgruppens och europeiska dataskyddsstyrelsens verksamhet i huvudsak dataombudsmannen Reijo Aarnio och överinspektör Anna Hänninen. Dessutom deltog övrig personal från dataombudsmannens byrå i de underordnade arbetsgruppernas verksamhet för de egna specialkunskapsområdena. Utöver de gamla underordnade arbetsgrupperna grundade WP29-arbetsgruppen våren 2018 en ny arbetsgrupp som behandlar dataskyddet för nya sociala medier och där även dataombudsmannens byrå är representerad.

Samarbete vid gränsöverskridande ärenden

I EU:s allmänna dataskyddsförordning finns detaljerade regler för samarbetet mellan tillsynsmyndigheterna i EU:s medlemsstater vid s.k. gränsöverskridande ärenden. Generellt sätt kan ett ärende anses vara gränsöverskridande om det har beröringspunkter i flera EU-länder. Behandlingen av dessa ärenden har koppling till principen om en lucka. Detta innebär att personuppgiftsansvariga med verksamhet i flera medlemsstater i fortsättningen kan sköta gränsöverskridande ärenden med tillsynsmyndigheten i endast en medlemsstat. Denna ledande tillsynsmyndighet har som uppgift att samordna behandlingen av ärendet och bereda beslutsförslaget. De övriga tillsynsmyndigheterna fungerade som deltagande tillsynsmyndigheter. EU-ländernas myndigheter har ett gemensamt system för utbyte av information, IMI, som används för att utbyta information om gränsöverskridande ärenden.

Totalt 591 anhängiggjorda gränsöverskridande ärenden registrerades under året 2018. Finland fungerade som deltagande tillsynsmyndighet i 106 ärenden och som ledande tillsynsmyndighet i fem ärenden.

Vid dataombudsmannens byrå koncentrerades samordningen av gränsöverskridande och internationella ärenden till en överinspektör som har stöd av en inspektör i sitt arbete. De deltog även i dataskyddsstyrelsens arbete. För att beskriva processerna i anslutning till gränsöverskridande ärenden grundades även våren 2018 en processarbetsgrupp.