Verksamhet
Dataskydd Dataskydd på EU-nivå EU-riktlinjerEU-riktlinjer
Därför länkar IMY till engelska riktlinjer
IMY har valt att enbart länka till de engelska språkversionerna av EDPB:s riktlinjer, oavsett om riktlinjen finns översatt till svenska eller inte. Orsaken är att de svenska språkversionerna i vissa fall inte är korrekturlästa och därmed kan innehålla felaktigheter. Du kan dock välja att hämta en annan språkversion än den engelska när du klickat på länken för en riktlinje på den här sidan. I vissa svenskspråkiga riktlinjer framgår på förstasidan att riktlinjen inte är korrekturläst, dock ej på alla.
För äldre riktlinjer framtagna av Artikel 29-gruppen länkas dock till den svenska språkversionen.
Antagna riktlinjer
Enligt artikel 43.1 ska medlemsstaterna säkerställa att certifieringsorgan som utfärdar intyg enligt artikel 42.1 är ackrediterade av den behöriga tillsynsmyndigheten, det nationella ackrediteringsorganet eller av båda två.
I riktlinjerna fastställs syftet med ackrediteringen, på vilka sätt certifieringsorgan kan ackrediteras, om det finns en ram för att fastställa ytterligare ackrediteringskrav när ackrediteringen handläggs av det nationella ackrediteringsorganet och om det finns en ram för att fastställa ytterligare ackrediteringskrav i de fall där ackrediteringen handläggs av tillsynsmyndigheten.
Guidelines 4/2018 on the accreditation of certification bodies under Article 43
Förordningen inför ett nytt system för verkställighet, där administrativa sanktionsavgifter är en central del. För att skapa ett enhetligt system för dataskydd bör reglerna för dataskydd tillämpas på ett harmoniserat sätt.
I riktlinjerna framställs tillsynsmyndigheternas gemensamma tolkning av artikel 83 i förordningen och hur den artikeln samverkar med artiklarna 58 och 70 i förordningen. Riktlinjerna är inte uttömmande och förklarar inte skillnaderna mellan administrativa, civilrättsliga och straffrättsliga system när det gäller att utfärda administrativa sanktionsavgifter i allmänhet.
Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter (pdf, 554 kB)
Notera att EDPB senare även har antagit en kompletterande riktlinje om beräkning av administrativa sanktionsavgifter enligt dataskyddsförordningen:
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Enligt artikel 33 och 34 ska en personuppgiftsansvarig anmäla vissa personuppgiftsincidenter till tillsynsmyndigheten och ibland informera de berörda personerna.
Riktlinjerna syftar till att komplettera "Riktlinjer om anmälan av personuppgiftsincidenter" som inte innehåller praktisk vägledning i tillräcklig utsträckning.
I riktlinjerna ges praktiska exempel och fallbaserad vägledning som hämtats från tillsynsmyndigheternas erfarenheter sedan förordningen trädde i kraft. Riktlinjerna ska hjälpa personuppgiftsansvariga att fatta beslut om hur personuppgiftsincidenter ska hanteras och vilka faktorer som ska beaktas vid en riskbedömning.
Guidelines 01/2021 on Examples regarding Data Breach Notification
Förordningen inför bestämmelser för att ta itu med de risker som profilering och automatiserat beslutsfattande kan leda till, framför allt men inte enbart för den personliga integriteten.
I riktlinjerna förtydligas bestämmelserna om profilering och automatiserat beslutsfattande. Riktlinjerna behandlar definitionerna av profilering och automatiserat beslutsfattande, allmänna bestämmelser om profilering och automatiserat beslutsfattande samt särskilda bestämmelser om enbart automatiserat beslutsfattande enligt artikel 22. Även barn och profilering behandlas, liksom konsekvensbedömningar om dataskydd och dataskyddsombud.
Riktlinjer om automatiserat individuellt beslutsfattande och profilering (pdf, 458 kB)
Enligt artikel 56 är ansvarig tillsynsmyndighet den myndighet där personuppgiftsansvariga eller personuppgiftsbiträde har sitt huvudsakliga verksamhetsställe eller sitt enda verksamhetsställe.
I riktlinjerna fastställs viktiga begrepp för att fastställa ansvarig tillsynsmyndighet, steg i hur man fastställer ansvarig tillsynsmyndighet och andra relevanta frågor. I bilagan till riktlinjerna ges även en checklista som kan användas till hjälp för att fastställa ansvarig tillsynsmyndighet.
Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.
I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.
Enligt artikel 37 är det obligatoriskt för vissa personuppgiftsansvariga och personuppgiftsbiträden att utnämna ett dataskyddsombud.
I riktlinjerna klargörs de relevanta bestämmelserna för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden att följa förordningen och även hjälpa dataskyddsombuden i deras roll. Riktlinjerna innehåller också rekommendationer och praxis som bygger på den erfarenhet som vunnits i några av EU-medlemsstaterna.
Förordningen inför en ny rätt till dataportabilitet genom artikel 20.
I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.
Enligt artikel 35.1 ska en konsekvensbedömning göras när behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”.
I riktlinjerna klargörs begreppet konsekvensbedömning för att säkerställa en enhetlig tolkning av de situationer där en konsekvensbedömning är obligatorisk. Riktlinjerna ger även kriterier för de förteckningar som dataskyddsmyndigheterna ska upprätta enligt artikel 35.4.
Riktlinjer om konsekvensbedömning avseende dataskydd (pdf, 936 kB)
IMY har med ledning av riktlinjerna antagit följande förteckning över när en konsekvensbedömning ska göras.
I artikel 6.1 b ges en rättslig grund för behandling av personuppgifter i den mån som ”behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.
I riktlinjerna fastställs när artikel 6.1 b är tillämplig på behandlingen av personuppgifter i samband med avtal för onlinetjänster, oavsett hur dessa tjänster finansieras. Riktlinjerna beskriver bland annat vad som avses med laglig behandling enligt artikel 6.1 b i förordningen och tar upp begreppet ”nödvändighet”, i form av ”nödvändig för att fullgöra ett avtal”.
Vid kamerabevakning ställs i förordningen krav på den som bevakar.
I riktlinjerna ges vägledning om hur förordningen ska tillämpas vid behandling av personuppgifter genom kamerabevakning. Riktlinjerna ger bland annat rekommendationer för hur länge videomaterial kan sparas, hur man kan informera om bevakningen och när ansiktsigenkänning kan vara tillåten. Dessutom ges konkreta exempel på vad man bör tänka på vid olika typer av kamerabevakning. Exemplen är inte uttömmande men det allmänna resonemanget kan tillämpas på potentiella användningsområden.
Guidelines 3/2019 on processing of personal data through video devices
Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.
I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.
Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines)
I artikel 3 definieras dataskyddsförordningens territoriella tillämpningsområde.
I riktlinjerna fastställs och klargörs kriterierna för att fastställa det territoriella tillämpningsområdet. Vidare klargörs processen att utse företrädare i enlighet med artikel 27 för personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU men utför behandling som omfattas av artikel 3.2.
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Enligt artikel 49 får, om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, en överföring personuppgifter till ett tredjeland eller en internationell organisation endast ske i särskilda situationer (undantagen ska tolkas restriktivt).
I riktlinjerna ges vägledning om tillämpning av artikel 49 vid överföring av personuppgifter till tredjeländer.
Uppförandekoder kan användas till att påvisa förenlighet med förordningen och är en praktisk, potentiellt kostnadseffektiv och meningsfull metod för att åstadkomma ett mer enhetligt skydd för dataskyddsrättigheterna.
I riktlinjerna ges praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41. Riktlinjerna klargör vilka förfaranden och regler som gäller för inlämnande, godkännande och offentliggörande av uppförandekoder såväl nationellt som på EU-nivå.
Dessutom anges minimikrav för att en behörig tillsynsmyndighet ska godta att göra en ingående översyn och utvärdering av en uppförandekod, innehållsfaktorer som ska beaktas när man utvärderar om en viss uppförandekod bidrar till eller faktiskt gör att förordningen tillämpas korrekt och vilka krav som gäller för en faktisk övervakning av en uppförandekod.
Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.
I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.
Riktlinjer om öppenhet och information till de registrerade (pdf, 462 kB)
Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.
I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default
Riktlinjerna omfattar behandling av personuppgifter i samband med användning av ett uppkopplat fordon som utbyts mellan fordonet och personliga enheter som är anslutna till det, till exempel smarttelefon. Riktlinjerna omfattar även uppgifter som samlas i fordonet och delas med tredje part.
Enligt artikel 46.2 (a) är det tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Tillsynsmyndigheten kan även enligt artikel 46.3 (b) ge särskilt tillstånd om överföringen sker med stöd av bestämmelser i administrativa överenskommelser mellan myndigheter.
I riktlinjerna ges vägledning för tillämpning av artiklarna 46.2 (a) och 46.3 (b).
Riktlinjerna bör läsas tillsammans med
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines 2/2018 on derogations of Article 49
Artikel 29-gruppens (WP29) vägledning om referensram för adekvatskyddsnivå
Riktlinjer beskriver förhållandet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen (GDPR). I riktlinjerna klargörs bland annat de osäkerheter som kvarstår mellan de två regelverken, som skillnaden mellan uttryckligt samtycke enligt artikel 94 i PSD2 och uttryckligt samtycke enligt GDPR.
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.
I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.
I GDPR görs en skillnad mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.
I riktlinjerna klargörs gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och ansvarsfördelningen mellan dem. Riktlinjerna innehåller också en närmare beskrivning av gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Digitala röstassistenter blir allt vanligare och finns både i smartphones, uppkopplade fordon samt i smarta högtalare och TV-apparater. Många upplever fördelar med att kunna hantera enheter och tjänster genom röstkommandon. Samtidigt innebär det en omfattande insamling av uppgifter som rör användarens interaktion med röstassistenten. EDPB har antagit riktlinjer som beskriver tekniken kring röstassistenter, vilken slags personuppgiftsbehandling som sker i samband med användningen och vilka dataskyddsregler som gäller.
GDPR ställer upp särskilda villkor för överföring av personuppgifter till länder utanför EU/EES, s.k. tredje land. Ett sådant villkor är att det finns lämpliga skyddsåtgärder för uppgifterna under och efter överföringen. Sådana skyddsåtgärder kan vara att mottagaren av uppgifterna anslutit sig till en godkänd uppförandekod. EDPB har antagit riktlinjer med närmare vägledning om vad som krävs av en sådan uppförandekod och hur det går till att få en sådan kod godkänd.
Guidelines 04/2021 on codes of conduct as tools for transfers
Enligt artiklarna 60.3 och 60.4 är ansvarig dataskyddsmyndighet skyldig att lägga fram ett utkast till beslut till berörda dataskyddsmyndigheter, som sedan kan göra en relevant och motiverad invändning inom en viss tidsram (fyra veckor).
Enligt förordningen har tillsynsmyndigheter en skyldighet att “utbyta all relevant information med varandra” och samarbeta “i ett försök att nå enighet”.
I riktlinjerna ges vägledning för begreppet relevant och motiverad invändning i syfte att skapa en gemensam förståelse för begreppet och därmed en enhetlig tolkning.
Guidelines 9/2020 on relevant and reasoned objection under Regulation 2016/679
Riktlinjen hanterar tillsynsmyndigheternas interaktion med varandra, med EDPB och med tredje part enligt artikel 60 GDPR.
Syftet är att analysera samarbetsförfarandet och att ge vägledning om den konkreta tillämpningen av bestämmelserna.
Riktlinjen antogs den 14 mars 2022 utan att ha varit ute på publik konsultation. Den återfinns på EDPB:s webbplats.
Riktlinjerna innehåller kriterier för när ett dataflöde ska anses vara en ”överföring” enligt kapitel V GDPR. I riktlinjerna utvecklas varje kriterium i ett eget avsnitt med olika förklarande exempel. Om kriterierna är uppfyllda är det en överföring till tredjeland som endast får ske om villkoren i kapitel V är uppfyllda. Om kriterierna inte är uppfyllda är det inte någon överföring till tredjeland med följden att kapitel V inte behöver tillämpas. Detta medför dock inte per automatik att behandlingen är tillåten.
Riktlinjerna behandlar så kallade ”deceptive design patterns”, det vill säga design som manipulerar och lurar användaren, vilket i sin tur gör att användarens egna intressen missgynnas. Olika knep som används för att styra användaren att göra saker denne egentligen inte hade tänkt, består till exempel av överflöd av information och valmöjligheter, bilder och språk som vädjar till användarens känslor, försvårande av informationsinhämtande och kontroll över data samt gömt innehåll. Strukturellt sett delar riktlinjerna in deceptive design patterns i sex olika kategorier och tillämpar dem på fem olika stadier i ett socialt mediakontos livscykel.
Riktlinjerna innebär en mer omfattande tillämpning av korrekthetsprincipen än tidigare och innehåller även tydliga exempel på bästa praxis.
Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer om certifiering som verktyg för överföring av personuppgifter till tredjeland.
Riktlinjer om anmälan av personuppgiftsincidenter antogs redan 2017 av EDPB:s företrädare, Artikel 29-gruppen, och har därefter godkänts av EDPB i maj 2018. Riktlinjerna har nu uppdaterats och antagits på nytt i oktober 2022.
I den uppdaterade versionen har ett förtydligande gjorts avseende företag som inte är etablerade inom EU och som ska utse en företrädare i EU enligt artikel 27 i GDPR. Av riktlinjen framgår nu att sådana företag måste anmäla en personuppgiftsincident till varje dataskyddsmyndighet i det EU-land där det finns registrerade som berörs av incidenten. Den s.k. one-stop-shop-principen som gäller för företag som är etablerade i flera länder inom EU gäller alltså inte för företag som inte är etablerade i EU.
Guidelines 9/2022 on personal data breach notification under GDPR
Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem.
Den benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen
- rätten att få veta om personuppgifter behandlas eller inte
- rätten att få en kopia av de uppgifter som behandlas
- rätten att, om uppgifter behandlas, också få närmare information om behandlingen.
Riktlinjen antogs 28 mars 2023.
Guidelines 01/2022 on data subject rights - Right of access
Denna riktlinje handlar om hur administrativa sanktionsavgifter enligt dataskyddsförordningen ska beräknas och syftar till att skapa en harmoniserad metod och principer för beräkningen av sanktionsavgifter, så att lika fall behandlas lika av dataskyddsmyndigheterna.
Metoden består av ett antal steg. I korthet ska man först identifiera vilka överträdelser som är aktuella. Därefter görs en bedömning av överträdelsens allvarlighet och den granskade organisationens omsättning/storlek för att komma fram till ett startbelopp. Nästa steg består i att öka eller minska startbeloppet beroende på förmildrande och försvårande faktorer. Avslutningsvis kontrolleras att den slutliga sanktionsavgiften inte överstiger det lagstadgade maxbeloppet och sedan att den är effektiv, proportionerlig och avskräckande.
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Denna riktlinje handlar om användning av ansiktsigenkänningsteknik hos polis och andra brottsbekämpande myndigheter. Användning av sådan teknik innebär behandling av biometriska uppgifter som anses särskilt skyddsvärda. Riktlinjen beskriver närmare tekniken kring ansiktsigenkänning, vad den kan användas till och vad som krävs enligt dataskyddsreglerna för att sådan teknik ska kunna användas. Bland annat beskriver man sex olika scenarion och resonerar kring om ansiktsigenkänning skulle vara tillåten i de olika situationerna.
EDPB uttalar en förståelse för de behov som kan finnas inom brottsbekämpningen av att kunna använda sig av effektiva verktyg för att bekämpa terrorism och annan allvarlig brottslighet. Samtidigt betonas i riktlinjen att användningen av sådana verktyg måste följa gällande regler och framför allt de krav på nödvändighet och proportionalitet som EU-stadgan om grundläggande rättigheter ställer upp.
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)
Antagna 20 juni 2023
Riktlinjerna innehåller vägledning kring artikel 37 i EU:s brottsdatadirektiv vilket gäller personuppgiftsbehandling hos brottsbekämpande myndigheter. Denna bestämmelse ger möjlighet för brottsbekämpande myndigheter att föra över personuppgifter till länder utanför EU/EES om det finns lämpliga skyddsåtgärder för personuppgifterna, antingen genom ett rättsligt bindande instrument eller på annat sätt. Riktlinjerna ger närmare vägledning om vilka krav som ställs på sådana skyddsåtgärder. Artikel 37 har genomförts i svensk rätt genom 8 kap. 4 § brottsdatalagen (2018:1177)
Riktlinjerna antogs slutligt den 19 juni 2024 efter att ha varit föremål för publik konsultation.
Riktlinjer antagna för publik konsultation
Här publiceras riktlinjer som är antagna av EDPB, men är ute på publik konsultation innan de antas slutligt.
Riktlinjen handlar om tolkning och tillämpning av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen, GDPR. Riktlinjen består av fyra delar.
- Den första delen ger en generell introduktion till intresseavvägning som rättslig grund.
- Den andra delen innehåller en analys av de tre kriterier som ska vara uppfyllda för att kunna stödja sig på en intresseavvägning, nämligen att (i) det ska finnas ett berättigat intresse, (ii) behandlingen ska vara nödvändig för att tillgodose det berättigade intresset och (iii) den personuppgiftsansvariges eller en tredje parts intressen ska väga tyngre än de registrerades intressen eller grundläggande rättigheter och friheter.
- Den tredje delen förklarar förhållandet mellan artikel 6.1 f och de registrerades rättigheter, dvs. rätten till information, rätten till tillgång, rätten att invända, rätten till radering, automatiserat individuellt beslutsfattande, rätten till rättelse och rätten till begränsning av behandling.
- Den fjärde delen beskriver olika kontexter där artikel 6.1 f kan bli aktuell som rättslig grund, nämligen behandling av barns personuppgifter, myndigheters behandling, behandling för att förhindra bedrägerier, behandling för direktmarknadsföring, behandling för administrativa ändamål inom en koncern, behandling för att säkerställa nätverks- och informationssäkerhet samt överföring till behöriga myndigheter.
Det är möjligt att lämna synpunkter på riktlinjen i en publik konsultation senast den 20 november 2024.
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.
Ute på publik konsultation mellan 16 november 2023 och 18 january 2024.
Denna riktlinje rör Artikel 48 i dataskyddsförordningen. Riktlinjen är tänkt att användas av organisationer inom EU som får förfrågningar från myndigheter i tredjeland, som exempelvis USA, att lämna ut personuppgifter för att bland annat kunna bekämpa brott eller kontrollera finansiella transaktioner. Den nya riktlinjen klargör hur organisationer bäst kan bedöma under vilka förhållanden de lagligen kan svara på sådana förfrågningar.
Det är möjligt att lämna synpunkter på riktlinjen i en publik konsultation senast den 27 januari 2025.