Hoppa till innehåll på sidan

Dataskydds­förordningen om konsekvens­­­bedömningar och förhands­samråd

Här finns dataskyddsförordningens artiklar om konsekvensbedömning och förhandssamråd, tillsammans med IMY:s kommentarer. Kommentarerna är tänkta att fungera som hjälp och stöd i ert arbete med konsekvensbedömningar och förhandssamråd.

Artikel 35: Konsekvensbedömning avseende dataskydd

Artikel 35.1

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

IMY:s kommentar

En konsekvensbedömning ska alltså göras om en viss personuppgiftsbehandling "sannolikt leder till en hög risk för fysiska personers rättigheter och friheter". Risken ska i första hand bedömas utifrån dataskydd och integritet, men även utifrån andra grundläggande rättigheter som yttrandefrihet, tankefrihet, fri rörlighet, förbud mot diskriminering, rätt till frihet, samvete och religion. Läs mer om hur man bedömer risk under punkt 3.

Den personuppgiftsansvariga ska se till att organisationen

  • har ett systematiskt förfarande för konsekvensbedömning, så att konsekvensbedömningar genomförs när de ska, och att de genomförs på ett kvalitetssäkrat sätt
  • gör konsekvensbedömningen till en integrerad del av organisationens arbetssätt
  • involverar berörda parter och tydligt fastställer deras ansvarsområden i konsekvensbedömningen, till exempel dataskyddsombud, registrerade, organisationens affärsverksamhet och tekniska tjänster
  • när det krävs, ger Integritetsskyddsmyndigheten tillgång till konsekvensbedömningen
  • när det krävs, samråder med Integritetsskyddsmyndigheten i ett förhandssamråd
  • regelbundet ser över konsekvensbedömningar och den behandling som de avser
  • dokumenterar de beslut som fattas.

Om den personuppgiftsansvariga beslutar att inte göra en konsekvensbedömning, bör den motivera och dokumentera anledningarna till beslutet.

En process för att skapa och påvisa efterlevnad

En konsekvensbedömning är en process för att

  • beskriva en personuppgiftsbehandling
  • bedöma behovet av behandlingen och om det intrång den utgör står i proportion till syftet
  • hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma dem och bestämma vilka åtgärder som ska vidtas.


Konsekvensbedömning är ett viktigt verktyg för en organisation, eftersom det hjälper organisationen att

  • uppfylla kraven i dataskyddsförordningen
  • hantera risker för att man inte uppfyller dataskyddsförordningen
  • visa att organisationen uppfyller dataskyddsförordningen.

Med andra ord är konsekvensbedömningen en process för att skapa och påvisa efterlevnad.

När ska en konsekvensbedömning göras?

Konsekvensbedömningen är en pågående process, inte en engångsaktivitet som ni genomför vid ett enda tillfälle.

Påbörja konsekvensbedömningen så tidigt som möjligt vid en ny personuppgiftsbehandling. Det gäller även om vissa delar av behandlingen ännu inte är kända. Uppdatera också konsekvensbedömningen under hela projektet. Ett kontinuerligt arbetssätt underlättar att ta fram lösningar som gör att ni följer dataskyddsförordningens regler och intention.

Ni bör också regelbundet och kontinuerligt se över och omvärdera er personuppgiftsbehandling för att bedöma om det behövs en konsekvensbedömning. Förhållanden kan ändras så att även personuppgiftsbehandlingar där ni tidigare valt att inte göra en konsekvensbedömning senare behöver en. Till exempel kan riskerna ha ändrats så att behandlingen nu sannolikt leder till en hög risk fast den inte gjorde det tidigare.

Bedöm även personuppgiftsbehandlingar som ni påbörjade innan dataskyddsförordningen började gälla. Även de omfattas av kravet att i vissa fall utföra en konsekvensbedömning.

En enda konsekvensbedömning kan användas för att bedöma flera behandlingar som liknar varandra i fråga om art, omfattning, innehåll, ändamål och risker. Till exempel:

  • Ett antal matvarubutiker ska var och en införa liknande övervakningssystem på likartade platser. De kan göra en enda konsekvensbedömning.
  • En organisation vill införa en personuppgiftsbehandling som liknar en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning. Då kan de använda den första bedömningen som referens i sin nya konsekvensbedömning.

Den som gör en gemensam konsekvensbedömning för flera personuppgiftsbehandlingar ska motivera varför en enda konsekvensbedömning har utförts.

IMY kan utkräva sanktionsavgifter om en organisation

  • inte gör konsekvensbedömning när en planerad behandling sannolikt leder till en hög risk
  • gör konsekvensbedömningar på fel sätt, t.ex. utan att rådfråga dataskyddsombudet eller utan att ta med en beskrivning av behandlingen, dess proportionalitet, risker och åtgärder för att hantera riskerna
  • inte samråder med IMY före behandlingen när konsekvensbedömningen visar att behandlingen skulle leda till en hög risk om inte åtgärder vidtas för att minska risken.

 

Artikel 35.2

Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en konsekvensbedömning avseende dataskydd.

IMY:s kommentar

Om det finns ett dataskyddsombud ska den personuppgiftsansvariga rådfråga hen om konsekvensbedömningen. Dataskyddsombudet bör även övervaka genomförandet av konsekvensbedömningen.

Det är dock alltid den personuppgiftsansvariga som är ansvarig för att konsekvensbedömningen utförs. Konsekvensbedömningen kan utföras av någon annan, inom eller utanför organisationen, men den personuppgiftsansvariga har det yttersta ansvaret.

Dataskyddsombudets råd och de beslut som den personuppgiftsansvariga fattar bör dokumenteras i konsekvensbedömningen.

Artikel 35.3

En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c) Systematisk övervakning av en allmän plats i stor omfattning.

IMY:s kommentar

Om ni är osäkra på om en konsekvensbedömning är nödvändig, rekommenderar vi att ni ändå gör en konsekvensbedömning. Det är ett användbart verktyg för att hjälpa er att följa dataskyddsförordningens intention och regler.

De tre fallen i a–c är ingen fullständig förteckning över situationer där det behövs en konsekvensbedömning. Den som gör en riskanalys för att avgöra om en konsekvensbedömning behövs bör bland annat beakta de nio punkterna nedan. Om ni svarar ja på någon av nedanstående frågor kan det innebära att ni behöver göra en konsekvensbedömning. Om ni svarar ja på två frågor eller fler ska ni i de allra flesta fall göra en konsekvensbedömning.

I tveksamma fall bör ni alltid göra en konsekvensbedömning.

Har personuppgifterna att göra med personers beteende, arbetsprestation, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, vistelseort eller förflyttningar?

Exempel:

  • finansinstitut som granskar sina kunder mot en databas för kreditupplysning eller mot en databas för bekämpning av penningtvätt och finansiering av terrorism
  • bioteknikföretag som erbjuder genetiska tester direkt till konsumenter för att bedöma och förutse risker för sjukdomar/hälsorisker
  • företag som utvecklar profiler för beteende eller marknadsföring som grundas på användning av eller navigering på dess webbplats.

Skulle personuppgiftsbehandlingen till exempel kunna leda till att personer utesluts eller diskrimineras?

Denna typ av övervakning är ett kriterium eftersom personuppgifter kan samlas in i situationer där de registrerade kanske inte är medvetna om vem som samlar in deras uppgifter eller hur de kommer att användas. Dessutom kan det vara omöjligt för enskilda att undvika att bli föremål för sådan behandling på allmän plats.

Exempel: Ett allmänt sjukhus som lagrar patienternas journaler

Vilka personuppgifter som är känsliga framgår i artikel 9. Personuppgifter av mycket personlig karaktär kan vara

  • uppgifter om hushållet och privat verksamhet, till exempel elektronisk kommunikation
  • uppgifter som påverkar utövandet av en grundläggande rättighet, till exempel lokaliseringsuppgifter som kan göra att den fria rörligheten ifrågasätts
  • finansiella uppgifter som skulle kunna användas för betalningsbedrägeri
  • uppgifter såsom personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter.

Det kan ha betydelse om uppgifterna redan har offentliggjorts av den registrerade eller av tredje man och om den registrerade kunnat förvänta sig att uppgifterna skulle återanvändas för andra ändamål.

Fundera särskilt på

  • hur många som är registrerade, antingen som ett exakt antal eller som en andel av den berörda befolkningsgruppen
  • hur mycket och vilka typer av personuppgifter som behandlas
  • hur länge personuppgifterna behandlas
  • inom hur stort geografiskt område de registrerade finns.

Kombinerar ni personuppgifter från två eller flera behandlingar som utförs i olika syften eller av olika personuppgiftsansvariga på ett sätt som den registrerade inte rimligen förväntar sig?

Om det är obalans i förhållandet mellan de registrerade och den personuppgiftsansvarige behövs särskilda hänsyn. Det kan till exempel vara svårt för de registrerade att lämna ett frivilligt samtycke, att motsätta sig behandling av sina uppgifter eller att utöva sina rättigheter.

Sårbara personer kan till exempel vara

  • barn
  • anställda
  • psykiskt sjuka personer
  • asylsökande
  • äldre personer
  • patienter

Ny teknik kan innebära att personuppgifter samlas in och används på nya sätt som kan innebära hög risk för enskildas rättigheter och friheter. De personliga och sociala konsekvenserna av användningen av ny teknik kan vara okända.

Exempel:

  • en kombination av fingeravtryck och ansiktsigenkänning för förbättrad fysisk åtkomstkontroll
  • sakernas internet-applikationer, till exempel smarta mätare, smarta bilar eller anordningar för hemautomatisering. kan få betydande konsekvenser för enskildas dagliga liv och integritet.

Exempel: En bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån.

 

Hur bedömer man om det krävs en konsekvensbedömning?

Exemplen nedan visar hur kriterierna kan användas för att bedöma om en behandling kräver en konsekvensbedömning. Bedömningen måste alltid göras utifrån det specifika fallet.

I dessa exempel är två eller flera kriterier uppfyllda och det behövs en konsekvensbedömning:

Hälsouppgifter på sjukhus

Exempel

Ett sjukhus behandlar patienternas genetiska uppgifter och hälsouppgifter.

Kriterier

4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
5. Uppgifter behandlas i stor omfattning
7. Sårbara registrerade

Kameraövervakning av körbeteende

Exempel

Ett kamerasystem för att övervaka körbeteendet på motorvägar med hjälp av ett system för intelligent videoanalys som automatiskt känner igen registreringsskyltar.

Kriterier

3. Systematisk övervakning
8. Innovativ användning eller tillämpning av tekniska eller organisatoriska lösningar

Systematisk övervakning av anställda

Exempel

Ett företag övervakar systematiskt sina anställdas aktiviteter, deras arbetsstation, internetaktivitet, osv.

Kriterier

3. Systematisk övervakning
7. Sårbara registrerade

Profilering i sociala medier

Exempel

Insamling av uppgifter från offentliga sociala medier för generering av profiler.

Kriterier

1. Utvärdering eller poängsättning
4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
5. Uppgifter behandlas i stor omfattning
6. Matchande eller kombinerande uppgiftsserier

Databas för kreditvärdering

Exempel

Ett institut inrättar en databas för kreditvärdering eller bedrägerier på nationell nivå.

Kriterier

1. Utvärdering eller poängsättning
2. Automatiskt beslutsfattande med rättsliga eller liknande betydande följder
4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
9. Hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal

Arkivering av pseudonymiserade uppgifter

Exempel

Lagring i arkiveringssyfte av pseudonymiserade känsliga personuppgifter som rör sårbara registrerade från forskningsprojekt eller kliniska prövningar.

Kriterier

4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
7. Sårbara registrerade
9. Hindrar de registrerade från att utöva en rättighet eller använda en tjänst eller ett avtal

 

I nedanstående exempel behövs inte någon konsekvensbedömning:

Patientuppgifter som behandlas av enskild läkare

Exempel

Behandling av personuppgifter från patienter eller klienter som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud.

Kriterier

4. Känsliga uppgifter eller uppgifter av mycket personlig karaktär
7. Sårbara registrerade

Sändlista för nyhetsbrev

Exempel

En nättidskrift använder en sändlista för att dagligen skicka ett allmänt nyhetsbrev till sina prenumeranter.

Kriterier

5. Uppgifter behandlas i stor omfattning

Visning av annonser på egen webbplats

Exempel

En webbplats för e-handel som visar annonser för begagnade bildelar med begränsad profilering och med utgångspunkt i varor som visats eller köpts på den egna webbplatsen.

Kriterier

1. Utvärdering eller poängsättning

Notera att två kriterier inte alltid innebär att man måste göra en konsekvensbedömning. Obs! I tveksamma fall bör ni alltid göra en konsekvensbedömning.

När krävs det inte en konsekvensbedömning?

Det krävs inte en konsekvensbedömning om personuppgiftsbehandlingen

  • sannolikt inte leder till en hög risk för fysiska personers rättigheter och friheter
  • är mycket lik en annan personuppgiftsbehandling där det redan finns en konsekvensbedömning
  • har sin rättsliga grund i en lag eller förordning, och en konsekvensbedömning redan har genomförts när lagen eller förordningen fastställdes.

Artikel 35.4

Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska översända dessa förteckningar till den styrelse som avses i artikel 68.

IMY:s kommentar

Förteckning över när en konsekvensbedömning ska göras

Artikel 35.5

Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa förteckningar till styrelsen.

IMY:s kommentar

IMY har för närvarande inte planer på att göra en sådan förteckning.

Artikel 35.6

Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan påverka den fria rörligheten för personuppgifter i unionen.

IMY:s kommentar

Innan IMY kan godkänna förteckningar över exempel på personuppgiftsbehandlingar som kräver en konsekvensbedömning och som rör behandling i flera medlemsstater ska Dataskyddsstyrelsen yttra sig över förteckningen. Syftet med det är att koordinera riktlinjer i alla EU:s medlemsstater.

Artikel 35.7

Bedömningen ska innehålla åtminstone

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

Artikel 35.8

De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvensbedömning avseende dataskydd.

IMY:s kommentar

Olika branscher kommer att kunna ta fram särskilda uppförandekoder för personuppgiftsbehandling. Om ni har anslutit er till en sådan uppförandekod bör ni inkludera den i arbetet med konsekvensbedömningen eftersom den kan ha avgörande betydelse – kanske behöver ni inte ens göra konsekvensbedömning, utan uppförandekoden räcker.

IMY kommer att godkänna uppförandekoder, men det finns inga ännu. Det kommer troligen även att komma uppförandekoder som gäller för hela EU.

Artikel 35.9

Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

IMY:s kommentar

Det kan vara lämpligt att fråga de registrerade, som en del av konsekvensbedömningen, om vilka möjliga risker och konsekvenser de ser med personuppgiftsbehandlingen.

Beroende på hur personuppgiftsbehandlingen är planerad att fungera, så kan man fråga på olika sätt. I vissa fall är det lämpligt med en enkät till allmänheten, ibland kan det vara bra att rådgöra med fackliga företrädare. För en skola kan det vara lämpligt att rådgöra med elevernas vårdnadshavare.

Om den personuppgiftsansvariga och de registrerade inte har samma syn på personuppgiftsbehandlingen, ska det dokumenteras. Det är särskilt viktigt om ni väljer att gå vidare med personuppgiftsbehandlingen.

Om den personuppgiftsansvariga väljer att inte inhämta synpunkter från de registrerade, ska ni dokumentera även det. Kanske är det inte lämpligt för att det skulle äventyra företagets affärsplaner, innebära oproportionerligt mycket arbete vara eller ogenomförbart av andra skäl.

Artikel 35.10

Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

IMY:s kommentar

En konsekvensbedömning behövs inte om personuppgiftsbehandlingen har sin rättsliga grund i en lag eller förordning där en konsekvensbedömning redan har genomförts när lagen eller förordningen fastställdes.

IMY känner dock inte till att det finns sådana exempel än.

Artikel 35.11

Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

IMY:s kommentar

En konsekvensutredning är inte en engångsaktivitet. Ni kommer att behöva arbeta regelbundet och kontinuerligt med risker i personuppgiftsbehandling, det vill säga att identifiera, analysera, uppskatta, utvärdera och avhjälpa risker.

Artikel 36: Förhandssamråd

Artikel 36.1

Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

IMY:s kommentar

I vissa fall ska ni söka förhandssamråd med IMY. Det gäller om ni bedömer att riskerna fortfarande är höga efter att ni har genomfört en regelrätt konsekvensbedömning där ni har vidtagit alla tekniska och organisatoriska åtgärder som bedömts rimliga med avseende på tillgänglig teknik och kostnader för genomförandet.

Artikel 36.2

Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsynsmyndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information som den har begärt med tanke på samrådet.

IMY:s kommentar

IMY lämnar normalt skriftligt besked inom 8 veckor. Om vi bedömer att personuppgiftsbehandlingen strider mot förordningen så kommer ni att få råd om hur ni ska gå vidare. Om ni inte får besked inom 8 veckor kan ni inte tolka det som att personuppgiftsbehandlingen är godkänd.

IMY kan utfärda varningar, reprimander, och förelägganden. Vi kan också förbjuda en behandling tillfälligt eller definitivt. Om en personuppgiftsansvarig exempelvis inte följer en varning från IMY så har vi möjlighet att döma ut en sanktionsavgift.

Artikel 36.3

Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten lämna

a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b) ändamålen med och medlen för den avsedda behandlingen,

c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f) all annan information som begärs av tillsynsmyndigheten.

IMY:s kommentar

Begär förhandssamråd

 

Artikel 36.4

Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling.

Artikel 36.5

Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

IMY:s kommentar

Det kommer att finnas utrymme för Sverige att införa nationella lagar och förordningar som reglerar att man måste ha förhandstillstånd för vissa typer av personuppgiftsbehandling. Det finns dock ännu inga sådana lagar eller förordningar.

Senast uppdaterad: 1 april 2021
Sidans etiketter Dataskydd