Hoppa till innehåll på sidan

EU-riktlinjer

EDPB, European Data Protection Board, eller Europeiska dataskyddsstyrelsen, har tagit fram riktlinjer i flera viktiga frågor. Dessa är av stor nytta för framför allt personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud.

Därför länkar IMY till engelska riktlinjer

IMY har valt att enbart länka till de engelska språkversionerna av EDPB:s riktlinjer, oavsett om riktlinjen finns översatt till svenska eller inte. Orsaken är att de svenska språkversionerna i vissa fall inte är korrekturlästa och därmed kan innehålla felaktigheter. Du kan dock välja att hämta en annan språkversion än den engelska när du klickat på länken för en riktlinje på den här sidan. I vissa svenskspråkiga riktlinjer framgår på förstasidan att riktlinjen inte är korrekturläst, dock ej på alla. 

För äldre riktlinjer framtagna av Artikel 29-gruppen länkas dock till den svenska språkversionen.

Antagna riktlinjer

Enligt artikel 43.1 ska medlemsstaterna säkerställa att certifieringsorgan som utfärdar intyg enligt artikel 42.1 är ackrediterade av den behöriga tillsynsmyndigheten, det nationella ackrediteringsorganet eller av båda två.

I riktlinjerna fastställs syftet med ackrediteringen, på vilka sätt certifieringsorgan kan ackrediteras, om det finns en ram för att fastställa ytterligare ackrediteringskrav när ackrediteringen handläggs av det nationella ackrediteringsorganet och om det finns en ram för att fastställa ytterligare ackrediteringskrav i de fall där ackrediteringen handläggs av tillsynsmyndigheten.

Guidelines 4/2018 on the accreditation of certification bodies under Article 43

Förordningen inför ett nytt system för verkställighet, där administrativa sanktionsavgifter är en central del. För att skapa ett enhetligt system för dataskydd bör reglerna för dataskydd tillämpas på ett harmoniserat sätt.

I riktlinjerna framställs tillsynsmyndigheternas gemensamma tolkning av artikel 83 i förordningen och hur den artikeln samverkar med artiklarna 58 och 70 i förordningen. Riktlinjerna är inte uttömmande och förklarar inte skillnaderna mellan administrativa, civilrättsliga och straffrättsliga system när det gäller att utfärda administrativa sanktionsavgifter i allmänhet.

Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter (pdf, 554 kB)

Notera att EDPB senare även har antagit en kompletterande riktlinje om beräkning av administrativa sanktionsavgifter enligt dataskyddsförordningen:
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

 

Enligt artikel 33 och 34 ska en personuppgiftsansvarig anmäla vissa personuppgiftsincidenter till tillsynsmyndigheten och ibland informera de berörda personerna.

Riktlinjerna syftar till att komplettera "Riktlinjer om anmälan av personuppgiftsincidenter" som inte innehåller praktisk vägledning i tillräcklig utsträckning.

I riktlinjerna ges praktiska exempel och fallbaserad vägledning som hämtats från tillsynsmyndigheternas erfarenheter sedan förordningen trädde i kraft. Riktlinjerna ska hjälpa personuppgiftsansvariga att fatta beslut om hur personuppgiftsincidenter ska hanteras och vilka faktorer som ska beaktas vid en riskbedömning.

Guidelines 01/2021 on Examples regarding Data Breach Notification

Förordningen inför bestämmelser för att ta itu med de risker som profilering och automatiserat beslutsfattande kan leda till, framför allt men inte enbart för den personliga integriteten.

I riktlinjerna förtydligas bestämmelserna om profilering och automatiserat beslutsfattande. Riktlinjerna behandlar definitionerna av profilering och automatiserat beslutsfattande, allmänna bestämmelser om profilering och automatiserat beslutsfattande samt särskilda bestämmelser om enbart automatiserat beslutsfattande enligt artikel 22. Även barn och profilering behandlas, liksom konsekvensbedömningar om dataskydd och dataskyddsombud.

Riktlinjer om automatiserat individuellt beslutsfattande och profilering (pdf, 458 kB)

Enligt artikel 56 är ansvarig tillsynsmyndighet den myndighet där personuppgiftsansvariga eller personuppgiftsbiträde har sitt huvudsakliga verksamhetsställe eller sitt enda verksamhetsställe.

I riktlinjerna fastställs viktiga begrepp för att fastställa ansvarig tillsynsmyndighet, steg i hur man fastställer ansvarig tillsynsmyndighet och andra relevanta frågor. I bilagan till riktlinjerna ges även en checklista som kan användas till hjälp för att fastställa ansvarig tillsynsmyndighet.

Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden (pdf, 687 kB)

Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.

I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

Guidelines 05/2020 on consent

Enligt artikel 37 är det obligatoriskt för vissa personuppgiftsansvariga och personuppgiftsbiträden att utnämna ett dataskyddsombud.

I riktlinjerna klargörs de relevanta bestämmelserna för att hjälpa personuppgiftsansvariga och personuppgiftsbiträden att följa förordningen och även hjälpa dataskyddsombuden i deras roll. Riktlinjerna innehåller också rekommendationer och praxis som bygger på den erfarenhet som vunnits i några av EU-medlemsstaterna.

Riktlinjer om dataskyddsombud (pdf, 1 MB)

Förordningen inför en ny rätt till dataportabilitet genom artikel 20.
I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.

Riktlinjer om rätten till dataportabilitet (pdf, 388 kB)

Enligt artikel 35.1 ska en konsekvensbedömning göras när behandlingen ”sannolikt leder till en hög risk för fysiska personers rättigheter och friheter”.
I riktlinjerna klargörs begreppet konsekvensbedömning för att säkerställa en enhetlig tolkning av de situationer där en konsekvensbedömning är obligatorisk. Riktlinjerna ger även kriterier för de förteckningar som dataskyddsmyndigheterna ska upprätta enligt artikel 35.4.

Riktlinjer om konsekvensbedömning avseende dataskydd (pdf, 936 kB)

IMY har med ledning av riktlinjerna antagit följande förteckning över när en konsekvensbedömning ska göras.

Förteckning för konsekvensbedömningar

I artikel 6.1 b ges en rättslig grund för behandling av personuppgifter i den mån som ”behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.

I riktlinjerna fastställs när artikel 6.1 b är tillämplig på behandlingen av personuppgifter i samband med avtal för onlinetjänster, oavsett hur dessa tjänster finansieras. Riktlinjerna beskriver bland annat vad som avses med laglig behandling enligt artikel 6.1 b i förordningen och tar upp begreppet ”nödvändighet”, i form av ”nödvändig för att fullgöra ett avtal”.

Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Vid kamerabevakning ställs i förordningen krav på den som bevakar.

I riktlinjerna ges vägledning om hur förordningen ska tillämpas vid behandling av personuppgifter genom kamerabevakning. Riktlinjerna ger bland annat rekommendationer för hur länge videomaterial kan sparas, hur man kan informera om bevakningen och när ansiktsigenkänning kan vara tillåten. Dessutom ges konkreta exempel på vad man bör tänka på vid olika typer av kamerabevakning. Exemplen är inte uttömmande men det allmänna resonemanget kan tillämpas på potentiella användningsområden.

Guidelines 3/2019 on processing of personal data through video devices

Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.

I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines)

I artikel 3 definieras dataskyddsförordningens territoriella tillämpningsområde.
I riktlinjerna fastställs och klargörs kriterierna för att fastställa det territoriella tillämpningsområdet. Vidare klargörs processen att utse företrädare i enlighet med artikel 27 för personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU men utför behandling som omfattas av artikel 3.2.

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Enligt artikel 49 får, om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, en överföring personuppgifter till ett tredjeland eller en internationell organisation endast ske i särskilda situationer (undantagen ska tolkas restriktivt).
I riktlinjerna ges vägledning om tillämpning av artikel 49 vid överföring av personuppgifter till tredjeländer.

Guidelines 2/2018 on derogations of Article 49

Uppförandekoder kan användas till att påvisa förenlighet med förordningen och är en praktisk, potentiellt kostnadseffektiv och meningsfull metod för att åstadkomma ett mer enhetligt skydd för dataskyddsrättigheterna.

I riktlinjerna ges praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41. Riktlinjerna klargör vilka förfaranden och regler som gäller för inlämnande, godkännande och offentliggörande av uppförandekoder såväl nationellt som på EU-nivå.

Dessutom anges minimikrav för att en behörig tillsynsmyndighet ska godta att göra en ingående översyn och utvärdering av en uppförandekod, innehållsfaktorer som ska beaktas när man utvärderar om en viss uppförandekod bidrar till eller faktiskt gör att förordningen tillämpas korrekt och vilka krav som gäller för en faktisk övervakning av en uppförandekod.

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies

Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.

I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.

Riktlinjer om öppenhet och information till de registrerade (pdf, 462 kB)

Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.

I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default

Riktlinjerna omfattar behandling av personuppgifter i samband med användning av ett uppkopplat fordon som utbyts mellan fordonet och personliga enheter som är anslutna till det, till exempel smarttelefon. Riktlinjerna omfattar även uppgifter som samlas i fordonet och delas med tredje part.

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Enligt artikel 46.2 (a) är det tillåtet att grunda en överföring av personuppgifter till ett land utanför EU/EES på ett så kallat rättsligt bindande och verkställbart instrument, om överföringen sker mellan myndigheter. Tillsynsmyndigheten kan även enligt artikel 46.3 (b) ge särskilt tillstånd om överföringen sker med stöd av bestämmelser i administrativa överenskommelser mellan myndigheter.

I riktlinjerna ges vägledning för tillämpning av artiklarna 46.2 (a) och 46.3 (b).

Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Riktlinjerna bör läsas tillsammans med

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines 2/2018 on derogations of Article 49

Artikel 29-gruppens (WP29) vägledning om referensram för adekvatskyddsnivå

Riktlinjer beskriver förhållandet mellan det andra betaltjänstdirektivet (PSD2) och dataskyddsförordningen (GDPR). I riktlinjerna klargörs bland annat de osäkerheter som kvarstår mellan de två regelverken, som skillnaden mellan uttryckligt samtycke enligt artikel 94 i PSD2 och uttryckligt samtycke enligt GDPR.

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.

I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.

Guidelines 8/2020 on the targeting of social media users

I GDPR görs en skillnad mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.
I riktlinjerna klargörs gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och ansvarsfördelningen mellan dem. Riktlinjerna innehåller också en närmare beskrivning av gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Digitala röstassistenter blir allt vanligare och finns både i smartphones, uppkopplade fordon samt i smarta högtalare och TV-apparater. Många upplever fördelar med att kunna hantera enheter och tjänster genom röstkommandon. Samtidigt innebär det en omfattande insamling av uppgifter som rör användarens interaktion med röstassistenten. EDPB har antagit riktlinjer som beskriver tekniken kring röstassistenter, vilken slags personuppgiftsbehandling som sker i samband med användningen och vilka dataskyddsregler som gäller.

Guidelines 02/2021 on virtual voice assistants

GDPR ställer upp särskilda villkor för överföring av personuppgifter till länder utanför EU/EES, s.k. tredje land. Ett sådant villkor är att det finns lämpliga skyddsåtgärder för uppgifterna under och efter överföringen. Sådana skyddsåtgärder kan vara att mottagaren av uppgifterna anslutit sig till en godkänd uppförandekod. EDPB har antagit riktlinjer med närmare vägledning om vad som krävs av en sådan uppförandekod och hur det går till att få en sådan kod godkänd.

Guidelines 04/2021 on codes of conduct as tools for transfers

Enligt artiklarna 60.3 och 60.4 är ansvarig dataskyddsmyndighet skyldig att lägga fram ett utkast till beslut till berörda dataskyddsmyndigheter, som sedan kan göra en relevant och motiverad invändning inom en viss tidsram (fyra veckor).

Enligt förordningen har tillsynsmyndigheter en skyldighet att “utbyta all relevant information med varandra” och samarbeta “i ett försök att nå enighet”.
I riktlinjerna ges vägledning för begreppet relevant och motiverad invändning i syfte att skapa en gemensam förståelse för begreppet och därmed en enhetlig tolkning.

Guidelines 9/2020 on relevant and reasoned objection under Regulation 2016/679

 

Riktlinjen hanterar tillsynsmyndigheternas interaktion med varandra, med EDPB och med tredje part enligt artikel 60 GDPR.

Syftet är att analysera samarbetsförfarandet och att ge vägledning om den konkreta tillämpningen av bestämmelserna.

Riktlinjen antogs den 14 mars 2022 utan att ha varit ute på publik konsultation. Den återfinns på EDPB:s webbplats.

Guidelines 02/2022 on the application of Article 60 GDPR

Riktlinjerna innehåller kriterier för när ett dataflöde ska anses vara en ”överföring” enligt kapitel V GDPR. I riktlinjerna utvecklas varje kriterium i ett eget avsnitt med olika förklarande exempel. Om kriterierna är uppfyllda är det en överföring till tredjeland som endast får ske om villkoren i kapitel V är uppfyllda. Om kriterierna inte är uppfyllda är det inte någon överföring till tredjeland med följden att kapitel V inte behöver tillämpas. Detta medför dock inte per automatik att behandlingen är tillåten. 

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Riktlinjerna behandlar så kallade ”deceptive design patterns”, det vill säga design som manipulerar och lurar användaren, vilket i sin tur gör att användarens egna intressen missgynnas. Olika knep som används för att styra användaren att göra saker denne egentligen inte hade tänkt, består till exempel av överflöd av information och valmöjligheter, bilder och språk som vädjar till användarens känslor, försvårande av informationsinhämtande och kontroll över data samt gömt innehåll. Strukturellt sett delar riktlinjerna in deceptive design patterns i sex olika kategorier och tillämpar dem på fem olika stadier i ett socialt mediakontos livscykel.

Riktlinjerna innebär en mer omfattande tillämpning av korrekthetsprincipen än tidigare och innehåller även tydliga exempel på bästa praxis.

Guidelines 3/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer om certifiering som verktyg för överföring av personuppgifter till tredjeland. 

Guidelines 07/2022 on certification as a tool for transfers

Riktlinjer om anmälan av personuppgiftsincidenter antogs redan 2017 av EDPB:s företrädare, Artikel 29-gruppen, och har därefter godkänts av EDPB i maj 2018. Riktlinjerna har nu uppdaterats och antagits på nytt i oktober 2022.

I den uppdaterade versionen har ett förtydligande gjorts avseende företag som inte är etablerade inom EU och som ska utse en företrädare i EU enligt artikel 27 i GDPR. Av riktlinjen framgår nu att sådana företag måste anmäla en personuppgiftsincident till varje dataskyddsmyndighet i det EU-land där det finns registrerade som berörs av incidenten. Den s.k. one-stop-shop-principen som gäller för företag som är etablerade i flera länder inom EU gäller alltså inte för företag som inte är etablerade i EU.

 

Guidelines 9/2022 on personal data breach notification under GDPR

 

Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem.

Den benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen

  • rätten att få veta om personuppgifter behandlas eller inte
  • rätten att få en kopia av de uppgifter som behandlas
  • rätten att, om uppgifter behandlas, också få närmare information om behandlingen.

Riktlinjen antogs 28 mars 2023.

Guidelines 01/2022 on data subject rights - Right of access

 

Denna riktlinje handlar om hur administrativa sanktionsavgifter enligt dataskyddsförordningen ska beräknas och syftar till att skapa en harmoniserad metod och principer för beräkningen av sanktionsavgifter, så att lika fall behandlas lika av dataskyddsmyndigheterna.

Metoden består av ett antal steg. I korthet ska man först identifiera vilka överträdelser som är aktuella. Därefter görs en bedömning av överträdelsens allvarlighet och den granskade organisationens omsättning/storlek för att komma fram till ett startbelopp. Nästa steg består i att öka eller minska startbeloppet beroende på förmildrande och försvårande faktorer. Avslutningsvis kontrolleras att den slutliga sanktionsavgiften inte överstiger det lagstadgade maxbeloppet och sedan att den är effektiv, proportionerlig och avskräckande.

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Denna riktlinje handlar om användning av ansiktsigenkänningsteknik hos polis och andra brottsbekämpande myndigheter. Användning av sådan teknik innebär behandling av biometriska uppgifter som anses särskilt skyddsvärda. Riktlinjen beskriver närmare tekniken kring ansiktsigenkänning, vad den kan användas till och vad som krävs enligt dataskyddsreglerna för att sådan teknik ska kunna användas. Bland annat beskriver man sex olika scenarion och resonerar kring om ansiktsigenkänning skulle vara tillåten i de olika situationerna.

EDPB uttalar en förståelse för de behov som kan finnas inom brottsbekämpningen av att kunna använda sig av effektiva verktyg för att bekämpa terrorism och annan allvarlig brottslighet. Samtidigt betonas i riktlinjen att användningen av sådana verktyg måste följa gällande regler och framför allt de krav på nödvändighet och proportionalitet som EU-stadgan om grundläggande rättigheter ställer upp.

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Antagna 20 juni 2023


Riktlinjerna innehåller vägledning kring artikel 37 i EU:s brottsdatadirektiv vilket gäller personuppgiftsbehandling hos brottsbekämpande myndigheter. Denna bestämmelse ger möjlighet för brottsbekämpande myndigheter att föra över personuppgifter till länder utanför EU/EES om det finns lämpliga skyddsåtgärder för personuppgifterna, antingen genom ett rättsligt bindande instrument eller på annat sätt. Riktlinjerna ger närmare vägledning om vilka krav som ställs på sådana skyddsåtgärder. Artikel 37 har genomförts i svensk rätt genom 8 kap. 4 § brottsdatalagen (2018:1177) 

Riktlinjerna antogs slutligt den 19 juni 2024 efter att ha varit föremål för publik konsultation.

Guidelines 01/2023 on Article 37 Law Enforcement Directive


Riktlinjer antagna för publik konsultation

Här publiceras riktlinjer som är antagna av EDPB, men är ute på publik konsultation innan de antas slutligt.

Riktlinjen handlar om tolkning och tillämpning av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen, GDPR. Riktlinjen består av fyra delar.

  1. Den första delen ger en generell introduktion till intresseavvägning som rättslig grund.
  2. Den andra delen innehåller en analys av de tre kriterier som ska vara uppfyllda för att kunna stödja sig på en intresseavvägning, nämligen att (i) det ska finnas ett berättigat intresse, (ii) behandlingen ska vara nödvändig för att tillgodose det berättigade intresset och (iii) den personuppgiftsansvariges eller en tredje parts intressen ska väga tyngre än de registrerades intressen eller grundläggande rättigheter och friheter.
  3. Den tredje delen förklarar förhållandet mellan artikel 6.1 f och de registrerades rättigheter, dvs. rätten till information, rätten till tillgång, rätten att invända, rätten till radering, automatiserat individuellt beslutsfattande, rätten till rättelse och rätten till begränsning av behandling.
  4. Den fjärde delen beskriver olika kontexter där artikel 6.1 f kan bli aktuell som rättslig grund, nämligen behandling av barns personuppgifter, myndigheters behandling, behandling för att förhindra bedrägerier, behandling för direktmarknadsföring, behandling för administrativa ändamål inom en koncern, behandling för att säkerställa nätverks- och informationssäkerhet samt överföring till behöriga myndigheter.

Det är möjligt att lämna synpunkter på riktlinjen i en publik konsultation senast den 20 november 2024.

Läs mer om riktlinjen och den publika konsultationen på Europeiska dataskyddsstyrelsens (EDPB:s) webbplats 

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.

Ute på publik konsultation mellan 16 november 2023 och 18 january 2024.

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive | European Data Protection Board (europa.eu)

 

 

Denna riktlinje rör Artikel 48 i dataskyddsförordningen. Riktlinjen är tänkt att användas av organisationer inom EU som får förfrågningar från myndigheter i tredjeland, som exempelvis USA, att lämna ut personuppgifter för att bland annat kunna bekämpa brott eller kontrollera finansiella transaktioner. Den nya riktlinjen klargör hur organisationer bäst kan bedöma under vilka förhållanden de lagligen kan svara på sådana förfrågningar.

Det är möjligt att lämna synpunkter på riktlinjen i en publik konsultation senast den 27 januari 2025.

Läs mer om riktlinjen Guidelines 02/2024 on Article 48 GDPR på Europeiska dataskyddsstyrelsens webbplats

Senast uppdaterad: 7 april 2021
Sidans etiketter Dataskydd