EUROPEISKA KOMMISSIONEN

Bryssel den 24.6.2020

COM(2020) 264 final

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid

{SWD(2020) 115 final}

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid

1Dataskyddsregler som en pelare för medborgarnas egenmakt och EU:s strategi för digital övergång

Det här är den första rapporten om utvärdering och översyn av den allmänna dataskyddsförordningen 1 (nedan kallad dataskyddsförordningen), särskilt om tillämpningen av och funktionen hos bestämmelserna om överföring av personuppgifter till tredjeländer och internationella organisationer och av bestämmelserna om samarbete och enhetlighet, i enlighet med artikel 97 i dataskyddsförordningen.

Den allmänna dataskyddsförordningen, som tillämpas sedan den 25 maj 2018, utgör kärnan i den EU-ram 2 som garanterar den grundläggande rätten till dataskydd, som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna (artikel 8) och i fördragen (artikel 16 i fördraget om Europeiska unionens funktionssätt, EUF-fördraget). Den allmänna dataskyddsförordningen stärker skyddsåtgärderna för dataskyddet, ger individer ytterligare och starkare rättigheter, ökad insyn och säkerställer att alla som hanterar personuppgifter inom förordningens tillämpningsområde är mer ansvarsskyldiga och ansvariga. Den allmänna dataskyddsförordningen ger de oberoende dataskyddsmyndigheterna kraftfullare och harmoniserade verkställighetsbefogenheter och inrättar ett nytt styrningssystem. Den skapar också lika villkor för alla företag som är verksamma på EU-marknaden, oavsett var de är etablerade, och garanterar det fria flödet av data inom EU, vilket stärker den inre marknaden.

Den allmänna dataskyddsförordningen är ett viktigt inslag i det människocentrerade synsättet på teknik och utgör en kompass för teknikanvändningen under både den gröna omställningen och den digitala övergången som kännetecknar EU:s politik. Detta har nyligen lyfts fram i vitboken om artificiell intelligens 3 och meddelandet om en europeisk strategi för data 4 (nedan kallad datastrategin) från februari 2020.

I en ekonomi som i allt högre grad bygger på databehandling, däribland behandling av personuppgifter, är den allmänna dataskyddsförordningen ett viktigt verktyg för att säkerställa att enskilda personer har bättre kontroll över sina personuppgifter och att dessa uppgifter för ett legitimt ändamål behandlas på ett lagligt, rättvist och öppet sätt. Samtidigt bidrar den allmänna dataskyddsförordningen till att främja tillförlitliga innovationer, särskilt genom sin riskbaserade strategi och sina riskbaserade principer såsom inbyggt integritetsskydd och integritetsskydd som standard. Kommissionen har föreslagit att den rättsliga ramen för dataskydd och integritet 5 ska kompletteras med förordningen om integritet och elektronisk kommunikation 6 , som ska ersätta det nuvarande direktivet om integritet och elektronisk kommunikation 7 . Detta förslag behandlas för närvarande av medlagstiftarna och det är mycket viktigt att se till att förslaget antas så snart som möjligt.

Som en del av kommissionens viktigaste prioriteringar för ”ett Europa rustat för den digitala tidsåldern” 8 och ”den europeiska gröna given” 9 kan nya initiativ utvecklas för att ge medborgarna möjlighet att spela en mer aktiv roll i den digitala övergången och behärska användningen av digitala verktyg för att man ska kunna uppnå ett klimatneutralt samhälle och en mer hållbar utveckling. I den allmänna dataskyddsförordningen fastställs en ram för dessa initiativ och det säkras att de är utformade för att ge enskilda personer egenmakt.

I datastrategin 10 efterlyser man ett ”gemensamt dataområde i EU”, en verklig inre marknad för data och tio sektorsspecifika gemensamma europeiska dataområden, som är relevanta både för den gröna omställningen och den digitala övergången 11 . För alla dessa prioriteringar är det viktigt att det finns en tydlig och användbar ram för säker datadelning och ökad tillgång till data. I datastrategin aviserades också kommissionens avsikt att i framtiden undersöka hur man genom lagstiftningen kan möjliggöra användning av data som lagras i offentliga databaser för vetenskapliga forskningsändamål på ett sätt som överensstämmer med den allmänna dataskyddsförordningen. Dataområdena ska stödjas av det europeiska molnförbundet, som tillhandahåller databehandlings- och molninfrastrukturstjänster som uppfyller kraven i den allmänna dataskyddsförordningen. Den allmänna dataskyddsförordningen säkerställer en hög skyddsnivå för personuppgifter och en central roll för enskilda personer inom alla dessa dataområden, samtidigt som den flexibilitet som krävs för att hantera olika strategier säkerställs.

Behovet av att säkerställa förtroende för och efterfrågan på skyddet av personuppgifter är verkligen inte begränsat till EU. Människor i hela världen värderar i allt större utsträckning den personliga integriteten och säkerheten avseende sina uppgifter. Det framgår av en nyligen genomförd global undersökning 12 att människor anser att det är en viktig faktor som påverkar deras köpbeslut och beteende på internet. Ett växande antal företag har reagerat på denna efterfrågan på personlig integritet, särskilt genom att frivilligt utvidga vissa av de rättigheter och skyddsåtgärder som anges i den allmänna dataskyddsförordningen till kunder som är etablerade utanför EU. Många företag främjar också respekt för personuppgifter som en konkurrensfaktor och ett försäljningsargument på den globala marknaden, genom att erbjuda innovativa produkter och tjänster med nya lösningar för integritetsskydd eller datasäkerhet. Den ökade möjligheten för privata och offentliga aktörer att samla in och behandla data i stor skala väcker dessutom viktiga och komplexa frågor som i allt högre grad sätter den personliga integriteten i centrum för den offentliga debatten i olika delar av världen.

Antagandet av den allmänna dataskyddsförordningen har sporrat andra länder i många regioner i världen att överväga att göra detsamma. Detta är en verkligt global trend från Chile till Sydkorea, från Brasilien till Japan, från Kenya till Indien och från Kalifornien till Indonesien. EU:s ledarskap i fråga om dataskydd visar att den kan fungera som global normgivare för regleringen av den digitala ekonomin och den har välkomnats av det internationella samfundet, till exempel FN:s generalsekreterare António Guterres, som har noterat att den allmänna dataskyddsförordningen har ”fungerat som inspiration för liknande åtgärder på andra håll ” och ”uppmana[de] EU och dess medlemsstater att fortsätta att leda den digitala tidsåldern och att ligga i framkant när det gäller teknisk innovation och teknisk reglering ” 13 .

Den nuvarande krisen på grund av covid-19-pandemin visar tydligt att integritetsdebatten blivit global både under krisen och i takt med att världen strävar efter att ta sig ur den. I EU vidtog flera medlemsstater nödåtgärder för att skydda folkhälsan. Den allmänna dataskyddsförordningen är tydlig vad gäller att varje begränsning måste vara förenlig med kärnan i de grundläggande rättigheterna och friheterna och vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda allmänintresset, såsom folkhälsan. Eftersom åtgärderna för att begränsa spridningen håller på att fasas ut måste beslutsfattarna ta hänsyn till medborgarnas förväntningar om att de ska erbjudas digitala lösningar som är tillförlitliga och som respekterar rätten till integritet och skydd av personuppgifter.

I många länder anses det att ett inbyggt integritetsskydd, såsom att användarna anmäler sig frivilligt, uppgiftsminimering och datasäkerhet, samt uteslutande av geolokalisering, är avgörande för att säkerställa att datadrivna lösningar som syftar till att övervaka och begränsa spridningen av viruset är tillförlitliga och godtas av samhället, samt för att finjustera politiska motåtgärder, hjälpa patienter eller genomföra exitstrategier. I EU har den rättsliga ramen för dataskydd och integritet 14 visat sig vara ett tillräckligt flexibelt verktyg för att möjliggöra framtagning av praktiska lösningar (t.ex. spårningsappar) och samtidigt säkerställa en hög skyddsnivå för personuppgifter. I detta sammanhang offentliggjorde kommissionen den 16 april 2020 en vägledning om appar som stöder kampen mot pandemin i förhållande till dataskyddet 15 .

Att skydda personuppgifter är också av avgörande betydelse för att förhindra att människors val manipuleras, i synnerhet genom riktade budskap till väljare på individnivå (s.k. Micro-targeting) på grundval av olaglig behandling av personuppgifter, undvika inblandning i demokratiska processer och för att bevara den öppna debatten, rättvisan och öppenheten vilka är grundläggande i en demokrati. Därför offentliggjorde kommissionen i september 2018 sina riktlinjer för tillämpning av EU:s dataskyddslagstiftning i samband med val 16 .

För denna utvärdering och översyn beaktade Europeiska kommissionen bidrag från rådet 17 , Europaparlamentet 18 , Europeiska dataskyddsstyrelsen (nedan kallad dataskyddsstyrelsen) 19 , enskilda dataskyddsmyndigheter 20 , flerpartsexpertgruppen 21 och andra berörda parter bland annat genom återkoppling som getts om färdplanen 22 . 

Den allmänna uppfattningen är att två år efter att den allmänna dataskyddsförordningen började tillämpas, har den uppfyllt sina mål att stärka skyddet av den enskildes rätt till skydd av personuppgifter och att garantera det fria flödet av personuppgifter inom EU 23 . Ett antal områden som kan förbättras i framtiden har emellertid också identifierats. Liksom de flesta berörda parter och dataskyddsmyndigheter anser kommissionen att det i detta skede är för tidigt att dra några definitiva slutsatser om tillämpningen av den allmänna dataskyddsförordningen. Det är sannolikt att de flesta av de problem som identifierats av medlemsstater och berörda parter kommer att gynnas av att man får mer erfarenhet av att tillämpa den allmänna dataskyddsförordningen under de kommande åren. Rapporten lyfter dock fram de utmaningar som hittills har uppkommit vid tillämpningen av den allmänna dataskyddsförordningen och fastställer möjliga sätt att hantera dem.

Trots att fokus ligger på de två frågor som lyfts fram i artikel 97.2 i den allmänna dataskyddsförordningen, nämligen internationella överföringar och mekanismerna för samarbete och enhetlighet, utgår utvärderingen och översynen från ett vidare perspektiv för att hantera frågor som har tagits upp av olika aktörer under de senaste två åren.

2De viktigaste resultaten

Tillämpning av den allmänna dataskyddsförordningen och funktionen hos mekanismerna för samarbete och enhetlighet

Genom den allmänna dataskyddsförordningen inrättades ett innovativt styrningssystem som bygger på oberoende dataskyddsmyndigheter i medlemsstaterna och deras samarbete i gränsöverskridande fall och inom Europeiska dataskyddsstyrelsen (dataskyddsstyrelsen). Den allmänna uppfattningen är att dataskyddsmyndigheterna har använt sina stärkta korrigerande befogenheter på ett balanserat sätt, inbegripet varningar och reprimander, böter och tillfälliga eller slutgiltiga begränsningar av databehandlingen 24 . Kommissionen noterar att myndigheterna använde sig av administrativa böter på mellan några tusen euro till flera miljoner euro, beroende på hur allvarliga överträdelserna var. Andra påföljder, såsom förbud mot databehandling, kan ha en lika eller ännu mer avskräckande verkan än böter. Den allmänna dataskyddsförordningens slutliga mål är att ändra alla berörda aktörers kultur och beteende till förmån för enskilda personer. Mer detaljerad information om hur dataskyddsmyndigheterna använder sig av korrigerande befogenheter finns i det åtföljande arbetsdokumentet.

Det är fortfarande för tidigt att göra en fullständig bedömning av hur de nya mekanismerna för samarbete och enhetlighet fungerar, men dataskyddsmyndigheterna har utvecklat sitt samarbete genom mekanismen för en enda kontaktpunkt 25 och genom att i stor utsträckning använda sig av ömsesidigt bistånd 26 . Mekanismen för en enda kontaktpunkt, som är en central tillgång på den inre marknaden, används för att avgöra många gränsöverskridande ärenden 27 . Viktiga beslut med en gränsöverskridande dimension som kommer att omfattas av mekanismen för en enda kontaktpunkt håller för närvarande på att behandlas. Dessa beslut, som ofta omfattar multinationella, stora teknikföretag, kommer att få betydande konsekvenser för enskildas rättigheter i många medlemsstater.

Att utveckla en verklig gemensam europeisk dataskyddskultur mellan dataskyddsmyndigheterna pågår dock fortfarande. Dataskyddsmyndigheterna har ännu inte använt sig fullt ut av de verktyg som tillhandahålls i den allmänna dataskyddsförordningen, t.ex. gemensamma insatser som skulle kunna leda till gemensamma utredningar. När myndigheterna sökte efter en gemensam strategi innebar det ibland att de försökte hitta den minsta gemensamma nämnaren, vilket ledde till att man gick miste om möjligheter att främja mer harmonisering 28 .

Ytterligare framsteg krävs för att göra hanteringen av gränsöverskridande ärenden effektivare och mer harmoniserad i hela EU, även ur en förfarandemässig synpunkt, t.ex. i frågor som hantering av klagomål, tillåtlighetskriterier för klagomål, förfarandenas längd på grund av olika tidsramar eller avsaknaden av tidsfrister i nationell administrativ processrätt, den tidpunkt under förfarandet där rätten att bli hörd beviljas eller hur klagandena lämnar information och medverkar under förfarandets gång. Den reflektionsprocess som dataskyddsstyrelsen inledde i samband med detta välkomnas, och kommissionen deltar i dessa diskussioner 29 .

Dataskyddsstyrelsens verksamhet och vägledning är av central betydelse för att konsekvent vidareutveckla utbytena mellan styrelsen och berörda parter 30 . I slutet av 2019 hade styrelsen antagit 67 handlingar, däribland 10 nya riktlinjer 31 och 43 yttranden 32 . De berörda parterna välkomnar i regel styrelsens riktlinjer och begär ytterligare riktlinjer om de centrala principerna i den allmänna dataskyddsförordningen, men anmärker också på inkonsekvenser mellan de nationella riktlinjerna och styrelsens riktlinjer. De lyfter fram behovet av mer praktiska råd, i synnerhet mer konkreta exempel, och att dataskyddsmyndigheter behöver utrustas med de personalresurser samt tekniska och ekonomiska resurser som krävs för att de ska kunna utföra sina uppgifter på ett effektivt sätt.

Kommissionen har konsekvent betonat medlemsstaternas skyldighet att avsätta tillräckliga personalresurser samt ekonomiska och tekniska resurser till de nationella dataskyddsmyndigheternas förfogande 33 . De flesta myndigheter har gynnats av en ökad personalstyrka och en större budget mellan 2016–2019 34 . De irländska, nederländska, isländska, luxemburgska och finska myndigheterna har gynnats av de största relativa personalökningarna. Eftersom de största multinationella teknikföretagen är etablerade i Irland och Luxemburg fungerar dataskyddsmyndigheterna i dessa länder som ansvariga myndigheter i många viktiga gränsöverskridande ärenden och kan behöva mer resurser än vad som annars skulle vara motiverat sett till ländernas befolkningsmängd. Situationen varierar dock fortfarande mellan medlemsstaterna och är överlag ännu inte tillfredsställande. Dataskyddsmyndigheterna spelar en viktig roll när det gäller att se till att den allmänna dataskyddsförordningen verkställs på nationell nivå och att mekanismerna för samarbete och enhetlighet inom nämnden fungerar effektivt, särskilt mekanismen för en enda kontaktpunkt för gränsöverskridande ärenden. Medlemsstaterna uppmanas därför att förse dem med tillräckliga resurser i enlighet med kraven i den allmänna dataskyddsförordningen 35 .

Harmoniserade regler men fortfarande en viss fragmentering och olika tillvägagångssätt

Kommissionen övervakar genomförandet av den allmänna dataskyddsförordningen i nationell lagstiftning. Vid tidpunkten för denna rapport hade alla medlemsstater, utom Slovenien, antagit ny lagstiftning eller anpassat sin nationella dataskyddslagstiftning. Slovenien 36 har uppmanats att lämna förtydliganden till kommissionen om hur denna process kommer att slutföras 37 .

Den allmänna dataskyddsförordningen innehåller bestämmelser om ett enhetligt tillvägagångssätt för dataskyddsregler i hela EU. Medlemsstaterna måste dock lagstifta inom vissa områden 38 och förordningen ger dem möjlighet att ytterligare specificera den allmänna dataskyddsförordningen inom andra områden 39 . Till följd av detta förekommer det fortfarande viss fragmentering, vilket framför allt beror på den omfattande användningen av frivilliga specifikationsklausuler. Till exempel skapar skillnader mellan medlemsstaterna vad gäller åldern för barns samtycke i förhållande till informationssamhällets tjänster osäkerhet för barn och föräldrar när det gäller tillämpningen av deras dataskyddsrättigheter på den inre marknaden. Denna fragmentering skapar även utmaningar för företag som bedriver gränsöverskridande verksamhet, för innovationer, särskilt vad gäller ny teknisk utveckling och cybersäkerhetslösningar. För att den inre marknaden ska fungera effektivt och för att undvika onödiga bördor för företagen är det också viktigt att den nationella lagstiftningen inte går utöver de marginaler som fastställs i den allmänna dataskyddsförordningen eller inför ytterligare krav när det saknas marginaler.

En särskild utmaning i den nationella lagstiftningen är hur rätten till skydd av personuppgifter ska förenas med yttrande- och informationsfriheten, och hur en korrekt avvägning ska göras mellan dessa rättigheter. I viss nationell lagstiftning fastställs principen om företräde för yttrandefriheten, medan det i annan nationell lagstiftning föreskrivs att skyddet av personuppgifter ska ha företräde och att bestämmelser om skydd av personuppgifter endast ska tillämpas i särskilda situationer, till exempel när en person som har ställning som offentlig person berörs. Slutligen föreskriver andra medlemsstater en viss avvägning från lagstiftarens sida och/eller en bedömning från fall till fall när det gäller undantag från vissa bestämmelser i den allmänna dataskyddsförordningen.

Kommissionen kommer att fortsätta med sina bedömningar av den nationella lagstiftningen. Att förena rätten till skydd av personuppgifter med yttrande- och informationsfriheten måste fastställas i lag, det väsentliga innehållet i dessa grundläggande rättigheter måste respekteras och det måste vara proportionerligt och nödvändigt 40 . Dataskyddsregler (liksom deras tolkning och tillämpning) bör inte påverka utövandet av yttrande- och informationsfriheten, till exempel genom att det leder till avskräckande effekter eller att journalister pressas att avslöja sina källor. Avvägningen mellan dessa två rättigheter i nationell lagstiftning bör regleras av rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna 41 .

Medlemsstaternas lagstiftning följer olika tillvägagångssätt vid tillämpningen av undantag från det allmänna förbudet mot behandling av särskilda kategorier av personuppgifter när det gäller nivån på specifikationer och skyddsåtgärder, inbegripet för hälso- och forskningsändamål. För att ta itu med denna fråga kommer kommissionen som ett första steg att kartlägga medlemsstaternas olika strategier 42 och kommer som ett efterföljande steg att stödja införandet av uppförandekoder som skulle kunna bidra till en mer konsekvent strategi på detta område och underlätta gränsöverskridande behandling av personuppgifter 43 . Dessutom kommer dataskyddsstyrelsens framtida riktlinjer om användning av personuppgifter inom vetenskaplig forskning att bidra till en harmoniserad strategi. Kommissionen kommer att bidra med synpunkter till styrelsen, särskilt när det gäller forskning på hälsoområdet, bland annat i form av konkreta frågor och analyser av specifika scenarier som den har mottagit från forskarvärlden.

Ge enskilda personer kontroll över sina uppgifter

Enligt en undersökning om grundläggande rättigheter 44 har 69 % av EU:s befolkning över 16 år hört talas om den allmänna dataskyddsförordningen och 71 % av befolkningen i EU känner till sin nationella dataskyddsmyndighet.

Enskilda personer blir allt mer medvetna om sina rättigheter: rätten till tillgång, rättelse, radering och portabilitet av personuppgifter, rätten att invända mot behandling samt ökad öppenhet. Den allmänna dataskyddsförordningen stärkte de processuella rättigheterna, som omfattar rätten att lämna in ett klagomål till en dataskyddsmyndighet, inbegripet genom grupptalan, och till rättslig prövning. Enskilda personer utnyttjar dessa rättigheter i allt större utsträckning, men det finns ett behov av att underlätta att de utövas och tillämpas fullt ut. De diskussioner som leds av nämnden kommer att förtydliga och ytterligare underlätta utövandet av individuella rättigheter, medan det föreslagna direktivet om grupptalan 45 förväntas göra det möjligt för enskilda personer att väcka grupptalan i alla medlemsstater och sänka kostnaderna för gränsöverskridande åtgärder, när det har antagits.

Rätten till dataportabilitet har en tydlig potential, som ännu inte utnyttjas fullt ut, för att placera individer i dataekonomins centrum genom att göra det möjligt för dem att byta tjänsteleverantörer, kombinera olika tjänster, använda andra innovativa tjänster och välja de mest dataskyddsvänliga tjänsterna. Detta kommer indirekt att främja konkurrensen och stödja innovationer. Att frigöra denna potential är en av kommissionens prioriteringar, särskilt eftersom konsumenterna, i takt med att användningen av ”sakernas internet” ökar, skapar allt mer data som riskerar att utsättas för otillbörliga metoder och inlåsningseffekter. Portabiliteten skulle kunna ge betydande fördelar i fråga om hälsa och välbefinnande, minskad miljöpåverkan och tillgång till offentliga och privata tjänster, en ökad produktivitet inom industrin och säkrare produkter av högre kvalitet.

I datastrategin betonades behovet av att ta itu med sådana svårigheter som brist på standarder som möjliggör tillhandahållande av data i ett maskinläsbart format, för att öka den faktiska användningen av rätten till dataportabilitet, som för närvarande är begränsad till ett fåtal sektorer (t.ex. bank- och telekommunikationssektorn). Detta kan i synnerhet göras genom utformning av lämpliga verktyg, standardiserade format och gränssnitt 46 . Denna ökade användning skulle också kunna uppnås, framför allt genom att tillhandahålla tekniska gränssnitt och maskinläsbara format som möjliggör dataportabilitet i realtid. En ökad användning av rätten till portabilitet skulle bland annat kunna göra det lättare för enskilda personer att använda sina uppgifter för det allmännas bästa (t.ex. för att främja forskning inom hälso- och sjukvårdssektorn), om de så önskar (dataaltruism). Vid utarbetandet av paketet för digitala tjänster 47 kommer kommissionen att mer allmänt undersöka vilken roll data och datarelaterad praxis spelar i plattformens ekosystem.

Möjligheter och utmaningar för organisationer, särskilt små och medelstora företag

Den allmänna dataskyddsförordningen, tillsammans med förordningen om det fria flödet av icke-personuppgifter 48 , erbjuder möjligheter för företag genom att främja konkurrensen och innovationer, säkra det fria flödet av data inom EU och skapa lika villkor för företag som är etablerade utanför EU 49 . Rätten till portabilitet, tillsammans med ett ökande antal personer som söker lösningar som ger ökad integritet, har potential att sänka inträdeshindren för företag och öppna möjligheterna till tillväxt som bygger på tillit och innovationer. Vissa berörda parter rapporterade att tillämpningen av den allmänna dataskyddsförordningen är en utmaning, särskilt för små och medelstora företag. Enligt den riskbaserade metoden skulle det vara olämpligt att bevilja undantag på grundval av aktörernas storlek, eftersom storleken i sig inte är en indikation på de risker som behandling av personuppgifter kan medföra för enskilda personer. Flera dataskyddsmyndigheter har tillhandahållit praktiska verktyg för att underlätta genomförandet av den allmänna dataskyddsförordningen för små och medelstora företag som utför behandling med låga risker. Dessa insatser bör påskyndas och spridas, helst inom ramen för en gemensam europeisk strategi för att inte skapa hinder för den inre marknaden.

Dataskyddsmyndigheterna har tagit fram ett antal åtgärder för att hjälpa små och medelstora företag att följa den allmänna dataskyddsförordningen, till exempel genom att tillhandahålla mallar för databehandlingsavtal och register över databehandlingen, seminarier och journummer där man kan få råd. Ett antal av dessa initiativ har fått EU-stöd 50 . Ytterligare åtgärder bör övervägas för att underlätta för de små och medelstora företagen att tillämpa den allmänna dataskyddsförordningen.

Den allmänna dataskyddsförordningen tillhandahåller en verktygslåda för alla typer av företag och organisationer för att hjälpa dem att visa att de uppfyller reglerna, t.ex. uppförandekoder, certifieringsmekanismer och standardavtalsklausuler. Verktygslådan bör användas fullt ut. Små och medelstora företag betonar särskilt betydelsen och nyttan av uppförandekoder som är anpassade till deras situation och som inte medför oproportionerliga kostnader. När det gäller certifieringssystem är säkerhet (inbegripet it-säkerhet) och inbyggt dataskydd nyckelfaktorer som ska beaktas i den allmänna dataskyddsförordningen och som skulle gynnas av en gemensam och ambitiös strategi i hela EU. Kommissionen arbetar för närvarande med standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden 51 , med utgångspunkt i det pågående arbetet med att modernisera standardavtalsklausulerna om internationella överföringar 52 .

Tillämpning av den allmänna dataskyddsförordningen på ny teknik

Den allmänna dataskyddsförordningen har utformats på ett teknikneutralt sätt. Den bygger på principer och är därför utformad så att den omfattar ny teknik i takt med att tekniken utvecklas.

Förordningen ses som ett viktigt och flexibelt verktyg för att se till att utvecklingen av ny teknik är förenlig med de grundläggande rättigheterna. Det visade sig att lagstiftningsramen för dataskydd och skydd av privatlivet var viktig och flexibel under covid-19-krisen, särskilt när det gäller utformningen av spårningsappar och andra tekniska lösningar för att bekämpa pandemin. De framtida utmaningarna består i att klargöra hur man ska tillämpa de beprövade principerna på specifik teknik, såsom artificiell intelligens, blockkedjeteknik, sakernas internet eller ansiktsigenkänning, som kräver kontinuerlig övervakning. Kommissionens vitbok om artificiell intelligens 53 öppnade till exempel en offentlig debatt om de särskilda omständigheter som eventuellt motiverar användning av artificiell intelligens för biometrisk identifiering på avstånd (t.ex. ansiktsigenkänning) på offentliga platser och om gemensamma skyddsåtgärder. I detta avseende bör dataskyddsmyndigheterna vara beredda att följa med i tekniska utformningsprocesser i ett tidigt skede.

Dessutom är en kraftfull och effektiv tillämpning av den allmänna dataskyddsförordningen gentemot stora digitala plattformar och integrerade företag, även på områden som onlinereklam och budskap till väljare på individnivå (Micro-targeting), en avgörande faktor för att skydda enskilda personer.

Framtagande av moderna verktyg för internationella dataöverföringar

Den allmänna dataskyddsförordningen erbjuder en verktygslåda som gjorts mer modern för att underlätta överföring av personuppgifter från EU till ett tredjeland eller en internationell organisation, samtidigt som det säkerställs att uppgifterna även i fortsättningen omfattas av en hög skyddsnivå. Under de senaste två åren har kommissionen ökat takten på arbetet med att utnyttja den fulla potentialen hos de verktyg som finns tillgängliga enligt den allmänna dataskyddsförordningen.

Detta har inburit ett aktivt samarbete med viktiga partner i syfte att nå ett ”beslut om adekvat skyddsnivå”. Effekten av ett sådant beslut är ett säkert och fritt flöde av personuppgifter till berört tredjeland utan att uppgiftsutföraren behöver vidta ytterligare skyddsåtgärder eller erhålla något tillstånd. I synnerhet de ömsesidiga beslut mellan EU och Japan om adekvat skyddsnivå som trädde i kraft i februari 2019 skapade världens största område av fria och säkra dataflöden. Dessutom har processen avseende adekvat skyddsnivå med Republiken Korea gått framåt och sonderande samtal pågår med andra viktiga partner i Asien och Latinamerika.

En adekvat skyddsnivå spelar också en viktig roll i samband med de framtida förbindelserna med Förenade kungariket, förutsatt att de tillämpliga villkoren är uppfyllda. Den utgör en främjande faktor för handeln, inklusive digital handel, och är en nödvändig förutsättning för ett nära och ambitiöst samarbete på området brottsbekämpning och säkerhet. Dessutom är en hög grad av konvergens när det gäller dataskydd en viktig faktor för att säkerställa lika villkor mellan två så nära sammankopplade ekonomier. I enlighet med den politiska förklaringen om de framtida förbindelserna mellan EU och Förenade kungariket genomför kommissionen för närvarande en bedömning om adekvat skyddsnivå enligt både den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpning 54 .

Som en del av den första utvärderingen av den allmänna dataskyddsförordningen är kommissionen också skyldig att se över de beslut om adekvat skyddsnivå som antagits enligt de tidigare reglerna 55 . Kommissionen har inlett en intensiv dialog med var och en av de elva berörda tredjeländerna och territorierna 56 för att bedöma hur deras system för dataskydd har utvecklats sedan beslutet om adekvat skyddsnivå antogs och om de uppfyller kraven i den allmänna dataskyddsförordningen. Behovet av att säkerställa kontinuiteten avseende sådana beslut, som ett centralt verktyg för handel och internationellt samarbete, är en av de faktorer som har föranlett flera av dessa länder och territorier att modernisera och stärka sin lagstiftning om integritetsskydd. Ytterligare skyddsåtgärder diskuteras med några av dessa länder och territorier för att ta itu med relevanta skillnader avseende skyddet. Med tanke på att domstolen i en dom som ska meddelas den 16 juli kan lämna förtydliganden som kan vara relevanta för vissa delar av standarden för adekvat skyddsnivå, kommer kommissionen emellertid att rapportera separat om utvärderingen av befintliga beslut om adekvat skyddsnivå efter det att domstolen meddelat sin dom i det målet 57 .

Utöver sitt arbete med en adekvat skyddsnivå arbetar kommissionen med en omfattande modernisering av standardavtalsklausuler för att uppdatera dem mot bakgrund av de nya krav som införts genom den allmänna dataskyddsförordningen. Syftet är att bättre spegla verkligheten då personuppgifter behandlas i den moderna digitala ekonomin och överväga det eventuella behovet av att ytterligare klargöra vissa skyddsåtgärder 58 mot bakgrund av domstolens kommande rättspraxis. Dessa klausuler utgör den allra mest använda dataöverföringsmekanismen, och tusentals EU-företag förlitar sig på dem för att tillhandahålla en mängd olika tjänster till sina kunder, leverantörer, partner och anställda.

Dataskyddsstyrelsen har också spelat en aktiv roll när det gäller att utveckla de internationella aspekterna av den allmänna dataskyddsförordningen. Detta omfattar uppdatering av vägledningen om befintliga överföringsmekanismer, t.ex. bindande företagsbestämmelser och så kallade undantag, samt utveckling av den rättsliga infrastrukturen för användning av nya verktyg som införs genom den allmänna dataskyddsförordningen, dvs. uppförandekoder och certifiering.

För att göra det möjligt för intressenterna att fullt ut utnyttja verktygslådan för dataöverföring inom den allmänna dataskyddsförordningen är det viktigt att nämnden intensifierar sitt pågående arbete med de olika överföringsmekanismerna, bland annat genom att ytterligare förenkla förfarandet för godkännande avseende bindande företagsregler, slutföra vägledningen om uppförandekoder och certifiering som verktyg för överföringar samt klargöra samspelet mellan reglerna om internationella dataöverföringar (kapitel V) och det territoriella tillämpningsområdet för den allmänna dataskyddsförordningen (artikel 3).

En annan viktig aspekt av den internationella dimensionen i EU:s dataskyddsregler är den allmänna dataskyddsförordningens utvidgade territoriella räckvidd, som även omfattar utländska operatörers behandling vilka är verksamma på EU:s marknad. För att säkerställa en verklig efterlevnad av den allmänna dataskyddsförordningen och faktiskt likvärdiga förutsättningar är det viktigt att denna utvidgning återspeglas på ett lämpligt sätt i dataskyddsmyndigheternas verkställighetsåtgärder. I synnerhet bör de vid behov involvera den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare i EU, som kan kontaktas utöver eller i stället för företag som är etablerade utanför EU. Denna strategi bör följas mer kraftfullt för att sända en tydlig signal om att trots att utländska operatörer inte är etablerade i EU är de inte befriade från sitt ansvar enligt den allmänna dataskyddsförordningen.

Främja konvergens och internationellt samarbete på dataskyddsområdet

Den allmänna dataskyddsförordningen har redan växt fram som en central referenspunkt på internationell nivå och har fungerat som en katalysator för många länder runt om i världen vilket gör att de överväger att införa moderna regler för integritetsskydd. Denna utveckling mot global konvergens är mycket positiv och ger nya möjligheter till att kunna skydda individer i EU på ett bättre sätt när deras data överförs till utlandet, samtidigt som dataflödena underlättas.

Med utgångspunkt i denna trend har kommissionen förstärkt sina dialoger i ett antal bilaterala, regionala och multilaterala forum för att främja en global kultur av respekt för privatlivet och utveckla delar av konvergensen mellan olika system för integritetsskydd. Kommissionen har under sitt arbete förlitat sig på och kommer att fortsätta att räkna med aktivt stöd från Europeiska utrikestjänsten och nätverket med EU:s delegationer i tredjeländer och beskickningar vid internationella organisationer. Detta har också möjliggjort större samstämmighet och komplementaritet mellan olika aspekter av EU-politikens yttre dimension – från handel till det nya partnerskapet mellan EU och Afrika. G20 och G7 har också nyligen erkänt att dataskyddet bidrar till ökad tillit till den digitala ekonomin och dataflöden, särskilt genom konceptet ”fria dataflöden med förtroende” vilket ursprungligen föreslogs av det japanska ordförandeskapet för G20 59 . I datastrategin framhålls kommissionens avsikt att fortsätta att främja datadelning med betrodda partner och samtidigt bekämpa missbruk såsom (utländska) myndigheters oproportionerliga tillgång till personuppgifter. 

Samtidigt som kommissionen främjar konvergens mellan dataskyddsstandarder på internationell nivå, som ett sätt att underlätta dataflöden och därmed handeln, är den också fast besluten att ta itu med digital protektionism, vilket nyligen framhölls i datastrategin 60 . I detta syfte har kommissionen utarbetat särskilda bestämmelser om dataflöden och dataskydd för handelsavtal 61 som systematiskt lyfts fram vid bilaterala möten, senast med Australien, Nya Zeeland och Förenade kungariket – och i multilaterala förhandlingar, såsom de pågående WTO-förhandlingarna om e-handel 62 . Dessa övergripande bestämmelser utesluter oberättigade begränsningar, såsom datalokaliseringskrav, samtidigt som parternas oberoende i regleringsfrågor bevaras för att värna om den grundläggande rätten till dataskydd.

Synergier mellan handels- och dataskyddsinstrument bör därför utforskas ytterligare för att säkerställa fria och säkra internationella dataflöden som är avgörande för de europeiska företagens konkurrenskraft och tillväxt, bland annat för de små och medelstora företagen, i den alltmer digitaliserade ekonomin.

På samma sätt är det viktigt att säkra att företag som är verksamma på den europeiska marknaden. och som på grundval av en legitim begäran uppmanas att dela uppgifter i brottsbekämpningssyfte. kan göra det utan att ställas inför lagvalskonflikter samtidigt som EU:s grundläggande rättigheter respekteras fullt ut. För att förbättra sådana överföringar åtar sig kommissionen att utveckla lämpliga rättsliga ramar med sina internationella partner för att undvika lagvalskonflikter och stödja effektiva samarbetsformer, särskilt genom att tillhandahålla nödvändiga skyddsåtgärder för dataskyddet, och därigenom bidra till en effektivare brottsbekämpning.

I dagens läge då bristande efterlevnad av sekretessreglerna eller datasäkerhetsincidenter kan påverka ett stort antal individer samtidigt i flera jurisdiktioner, bör samarbetet på fältet mellan europeiska och internationella tillsynsmyndigheter stärkas ytterligare. Detta kräver i synnerhet att lämpliga rättsliga instrument utvecklas för närmare former av samarbete och ömsesidigt bistånd, bland annat genom att göra det möjligt att utbyta nödvändig information i samband med utredningar. Det är också i denna anda som kommissionen håller på att inrätta en ”dataskyddsakademi”, en plattform där dataskyddsmyndigheter i EU och i utlandet skulle kunna utbyta kunskaper, erfarenheter och bästa praxis för att underlätta och stödja samarbetet mellan tillsynsmyndigheterna.

3Det fortsatta arbetet

För att nå den allmänna dataskyddsförordningens fulla potential är det viktigt att skapa ett harmoniserat tillvägagångssätt och en gemensam europeisk dataskyddskultur, och främja en effektivare och mer harmoniserad hantering av gränsöverskridande fall. Människor och företag förväntar sig detta och det utgör ett centralt mål för reformen av EU:s dataskyddsregler. Det är lika viktigt att se till att alla verktyg som finns i den allmänna dataskyddsförordningen används fullt ut för att säkerställa en ändamålsenlig tillämpning för enskilda personer och företag.

Kommissionen kommer att fortsätta sina bilaterala diskussioner med medlemsstaterna om genomförandet av den allmänna dataskyddsförordningen och kommer vid behov att fortsätta att använda alla tillgängliga verktyg för att främja medlemsstaternas efterlevnad av deras skyldigheter enligt den allmänna dataskyddsförordningen.

Med tanke på att bedömningen av den nationella lagstiftningen fortfarande pågår, den korta tid under vilken praktisk erfarenhet samlats in sedan den allmänna dataskyddsförordningen började tillämpas, och det faktum att sektorsspecifik lagstiftning fortfarande håller på att ses över i många medlemsstater, är det ännu för tidigt att dra några definitiva slutsatser om nivån på den aktuella fragmenteringen. När det gäller eventuella lagvalsregler som beror på medlemsstaternas genomförande av specifikationsklausuler måste man först förstå konsekvenserna för personuppgiftsansvariga och personuppgiftsbiträden bättre 63 .

När man följer upp dessa frågor bidrar relevant rättspraxis från de nationella domstolarna och EU-domstolen till att skapa en enhetlig tolkning av dataskyddsbestämmelserna. Nationella domstolar har nyligen utfärdat domar som ogiltigförklarat bestämmelser i nationell lagstiftning som avviker från förordningen 64 .

När det gäller den internationella dimensionen kommer kommissionen att fortsätta att inrikta sig på att främja enhetliga dataskyddsbestämmelser vilket är ett sätt att trygga säkra dataflöden. Detta inbegriper olika former av arbete ”uppåt”, till exempel inom ramen för pågående reformer för nya eller uppdaterade dataskyddslagar, eller att förespråka konceptet ”fria dataflöden med förtroende” i multilaterala forum. Det omfattar också olika dialoger om adekvat skyddsnivå samt en modernisering och utvidgning av vår verktygslåda för överföring genom att uppdatera standardavtalsklausulerna och lägga grunden för certifieringsmekanismer. Detta arbete omfattar även internationella förhandlingar, såsom när det gäller gränsöverskridande tillgång till elektroniska bevis, för att säkerställa att dataöverföringar kommer att ske med hjälp av lämpliga skyddsåtgärder för dataskyddet. Genom att inleda förhandlingar om internationellt samarbete och ömsesidigt bistånd mellan tillsynsmyndigheter, kommer kommissionen att sträva efter konvergens genom konkreta åtgärder.

På grundval av denna utvärdering av tillämpningen av den allmänna dataskyddsförordningen sedan maj 2018 har de åtgärder som förtecknas nedan identifierats vara nödvändiga för att stödja förordningens tillämpning. Kommissionen kommer också att övervaka åtgärdernas genomförande med tanke på den kommande utvärderingsrapporten 2024.

Genomförande och komplettering av den rättsliga ramen

Medlemsstaterna bör göra följande:

-Slutföra anpassningen av sin sektorslagstiftning till den allmänna dataskyddsförordningen.

-Överväga att begränsa användningen av specifikationsklausuler som kan skapa fragmentering och äventyra det fria flödet av data inom EU.

-Bedöma om den nationella lagstiftning varigenom den allmänna dataskyddsförordningen genomförs, under alla omständigheter håller sig inom de marginaler som föreskrivs för medlemsstaternas lagstiftning.

Kommissionen kommer att göra följande:

-Fortsätta de bilaterala utbytena med medlemsstaterna om huruvida de nationella lagarna följer den allmänna dataskyddsförordningen, däribland de nationella dataskyddsmyndigheternas oberoende ställning och deras resurser. Använda alla tillgängliga verktyg, inklusive överträdelseförfaranden, för att säkerställa att medlemsstaterna följer den allmänna dataskyddsförordningen,

-Stödja ytterligare utbyten av synpunkter och nationell praxis mellan medlemsstaterna om ämnen som omfattas av ytterligare nationella specifikationer för att minska fragmenteringen av den inre marknaden, såsom behandling av personuppgifter inom hälsa och forskning, eller som är föremål för avvägning med andra rättigheter, såsom yttrandefriheten.

-Stödja en konsekvent tillämpning av dataskyddsramen när det gäller ny teknik för att stödja innovationer och den tekniska utvecklingen.

-Använda medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen (som inrättades under övergångsfasen innan förordningen började tillämpas) för att underlätta diskussioner och erfarenhetsutbyten mellan medlemsstaterna och med kommissionen.

-Undersöka om det mot bakgrund av ytterligare erfarenheter och relevant rättspraxis kan vara lämpligt att föreslå möjliga framtida riktade ändringar av vissa bestämmelser i den allmänna dataskyddsförordningen, särskilt när det gäller register över behandling som utförs av små och medelstora företag vilka inte har behandling av personuppgifter som sin kärnverksamhet (låg risk) 65 och en möjlig harmonisering av åldern för barns samtycke i förhållande till informationssamhällets tjänster.

Utnyttja det nya styrningssystemets fulla potential

Dataskyddsnämnden och dataskyddsmyndigheterna uppmanas att göra följande:

-Ta fram effektiva arrangemang mellan dataskyddsmyndigheterna i fråga om hur mekanismerna för samarbete och enhetlighet fungerar, även när det gäller förfarandemässiga aspekter, med utgångspunkt i medlemmarnas expertis och genom att stärka sekretariatets medverkan.

-Stödja harmoniseringen av tillämpningen och verkställigheten av den allmänna dataskyddsförordningen med hjälp av alla medel som står till buds, bland annat genom att ytterligare klargöra centrala begrepp i förordningen och säkerställa att den nationella vägledningen fullt ut överensstämmer med de riktlinjer som antagits av styrelsen.

-Uppmuntra användningen av alla verktyg som finns i den allmänna dataskyddsförordningen för att säkerställa att den tillämpas konsekvent.

-Öka samarbetet mellan dataskyddsmyndigheter, t.ex. genom att utföra gemensamma utredningar.

Kommissionen kommer att göra följande:

-Fortsätta att noggrant övervaka att de nationella dataskyddsmyndigheterna faktiskt och fullständigt har en oberoende ställning.

-Uppmuntra samarbete mellan tillsynsmyndigheter (särskilt inom områden som konkurrens, elektronisk kommunikation, nätsäkerhet och informationssystem och konsumentpolitik).

-Stödja diskussionerna inom styrelsen om de förfaranden som ska tillämpas av de nationella dataskyddsmyndigheterna för att förbättra samarbetet i gränsöverskridande fall.

Medlemsstaterna ska göra följande:

-Fördela tillräckliga resurser till dataskyddsmyndigheter för att de ska kunna utföra sina uppgifter.

Stödja berörda parter

Dataskyddsnämnden och dataskyddsmyndigheterna uppmanas att göra följande:

-Anta ytterligare riktlinjer som är praktiska, enkla att förstå och som ger tydliga svar samtidigt som man undviker oklarheter i frågor som rör tillämpningen av den allmänna dataskyddsförordningen, till exempel behandling av barns data och rättigheter för registrerade, inbegripet utövandet av rätten till tillgång och rätten till radering, samtidigt som berörda parter rådfrågas under förfarandet.

-Se över riktlinjerna när ytterligare förtydliganden är nödvändiga mot bakgrund av erfarenheterna och utvecklingen, bland annat i domstolens rättspraxis.

-Ta fram praktiska verktyg, t.ex. harmoniserade formulär för personuppgiftsincidenter och förenklade register över behandlingsverksamhet för att hjälpa små och medelstora företag med låg risk att uppfylla sina skyldigheter.

Kommissionen kommer att göra följande:

-Tillhandahålla standardavtalsklausuler både för internationella överföringar och förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

-Tillhandahålla verktyg för att klargöra/stödja tillämpningen av dataskyddsregler avseende barn 66 .

-I enlighet med datastrategin undersöka praktiska sätt att underlätta en utökad användning av privatpersoners rätt till portabilitet och ge dem större kontroll över vem som kan få tillgång till och använda maskingenererade data.

-Stödja standardisering/certifiering, särskilt när det gäller cybersäkerhetsaspekter genom samarbete mellan Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), dataskyddsmyndigheterna och dataskyddsstyrelsen.

-När så är lämpligt utnyttja sin rätt att begära att dataskyddsstyrelsen utarbetar riktlinjer och yttranden om specifika frågor som är viktiga för berörda parter.

-Vid behov ge vägledning, samtidigt som dataskyddsstyrelsens roll respekteras fullt ut

-Stödja dataskyddsmyndigheternas verksamhet som underlättar små och medelstora företags genomförande av sina skyldigheter enligt dataskyddsförordningen, genom ekonomiskt stöd, särskilt för praktisk vägledning och digitala verktyg som kan återanvändas i andra medlemsstater.

Innovationsfrämjande åtgärder

Kommissionen kommer att göra följande:

-Övervaka tillämpningen av den allmänna dataskyddsförordningen på ny teknik, även med beaktande av eventuella framtida initiativ på området artificiell intelligens och inom datastrategin.

-Uppmuntra, bland annat genom ekonomiskt stöd, utarbetandet av EU:s uppförandekoder på området hälsa och forskning.

-Nära följa utvecklingen och användningen av appar i samband med covid-19-pandemin.

Dataskyddsnämnden uppmanas att göra följande:

-Utarbeta riktlinjer för tillämpningen av den allmänna dataskyddsförordningen på områdena vetenskaplig forskning, artificiell intelligens, blockkedjeteknik och annan eventuell teknisk utveckling.

-Se över riktlinjerna när ytterligare förtydliganden behövs mot bakgrund av den tekniska utvecklingen.

Vidareutveckla verktygslådan för dataöverföringar

Kommissionen kommer att göra följande:

-Genomföra dialoger om adekvat skyddsnivå med berörda tredjeländer, i enlighet med den strategi som anges i 2017 års meddelande ”Utbyte och skydd av personuppgifter i en globaliserad värld”, inklusive när så är möjligt genom att täcka dataöverföringar till brottsbekämpande myndigheter (enligt dataskyddsdirektivet för brottsbekämpning) och andra myndigheter. Detta omfattar slutförandet av processen för adekvat skyddsnivå med Republiken Korea så snart som möjligt.

-Slutföra den pågående utvärderingen av befintliga beslut om adekvat skyddsnivå och rapportera till Europaparlamentet och rådet.

-Slutföra arbetet med att modernisera standardavtalsklausulerna, för att uppdatera dem mot bakgrund av den allmänna dataskyddsförordningen, som omfattar alla relevanta överföringsscenarier och för att bättre återspegla modern affärspraxis.

Dataskyddsnämnden uppmanas att göra följande:

-Ytterligare klargöra samspelet mellan reglerna om internationella dataöverföringar (kapitel V) med det territoriella tillämpningsområdet för den allmänna dataskyddsförordningen (artikel 3).

-Säkerställa en effektiv tillämpning av förordningen gentemot aktörer som är etablerade i tredjeländer och som omfattas av den allmänna dataskyddsförordningens territoriella tillämpningsområde, inklusive vad gäller att utse en företrädare i tillämpliga fall (artikel 27).

-Förenkla bedömningen och eventuellt godkännande av bindande företagsregler i syfte att påskynda förfarandet.

-Slutföra arbetet med arkitektur, förfaranden och bedömningskriterier för uppförandekoder och certifieringsmekanismer som verktyg för dataöverföringar.

Främja konvergens och utveckla det internationella samarbetet

Kommissionen kommer att göra följande:

-Stödja pågående reformförfaranden i tredjeländer om nya eller moderniserade datatskyddsregler genom utbyte av erfarenheter och bästa praxis.

-Samarbeta med afrikanska partner för att främja konvergens i lagstiftningen och stödja kapacitetsuppbyggnad hos tillsynsmyndigheter som en del av det digitala kapitlet i det nya partnerskapet mellan EU och Afrika.

-Bedöma hur samarbetet mellan privata aktörer och brottsbekämpande myndigheter skulle kunna underlättas, bland annat genom att förhandla om bilaterala och multilaterala ramar för dataöverföring i samband med utländska brottsbekämpande myndigheters åtkomst till elektroniska bevis, för att undvika lagvalskonflikter, samtidigt som lämpliga skyddsåtgärder för dataskyddet säkras.

-Samarbeta med internationella och regionala organisationer såsom OECD, Asean och G20 för att främja tillförlitliga dataflöden som grundas på höga dataskyddsstandarder, bland annat inom ramen för initiativet dataflöden med förtroende.

-Inrätta en dataskyddsakademi för att underlätta och stödja utbyten mellan europeiska och internationella tillsynsmyndigheter.

-Främja det internationella samarbetet kring tillämpning mellan tillsynsmyndigheter, bland annat genom förhandlingar om samarbete och avtal om ömsesidigt bistånd.

(1)

 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, EUT L 119, 4.5.2016, s. 1. 

(2)

Efter att ha införlivats i EES-avtalet tillämpas förordningen även i Norge, Island och Liechtenstein.

(3)

  https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_sv

(4)

  https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

(5)

Denna rättsliga ram omfattar även dataskyddsdirektivet för brottsbekämpning (direktiv 2016/680) och dataskyddsförordningen för EU:s institutioner och organ (förordning 2018/1725).

(6)

 Förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (förordning om integritet och elektronisk kommunikation), COM(2017) 10 final – 2017/03(COD).

(7)

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), EGT L 201, 31.7.2002, s. 37.

(8)

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_sv

(9)

Meddelande från kommissionen till Europaparlamentet, Europeiska rådet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén – Den europeiska gröna given, COM(2019) 640 final.

(10)

 Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén, En EU-strategi för data, COM(2020) 66 final.

(11)

Dessa tio sektorsvisa gemensamma europeiska dataområden är hälsa, industriproduktion, energi, mobilitet, jordbruk, finansiella data, offentlig förvaltning, ett gemensamt europeiskt datakunskapsområde, ett datautrymme inom ramen för den europeiska gröna given och ett europeiskt öppet forskningsmoln.

(12)

Se t.ex. Ciscos studie om konsumenters integritet 2019 ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Enligt denna studie, som omfattade 2 600 konsumenter i hela världen, har ett betydande antal konsumenter redan vidtagit åtgärder för att skydda sin integritet, t.ex. genom att byta företag eller leverantör på grund av deras datapolicy eller praxis för datadelning.

(13)

FN:s generalsekreterares tal inför den italienska senaten, den 18 december 2019 (finns på: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

(14)

Denna ram omfattar, utöver den allmänna dataskyddsförordningen, direktivet om integritet och elektronisk kommunikation (direktiv 2002/58/EG), som bland annat innehåller regler om tillgång till och lagring av information på användarens terminalutrustning.

(15)

Kommissionens meddelande Vägledning om appar till stöd för kampen mot covid-19 pandemin med avseende på dataskydd 2020/C 124 I/01 – C/2020/2523 – EUT C 124I, 17.4.2020, s. 1 Den 16 april 2020 har EU:s medlemsstater, med stöd från kommissionen, tagit fram en EU-verktygslåda för användning av mobila applikationer för kontaktspårning och varningar som respons på coronaviruspandemin. Detta är en del av en gemensam samordnad strategi för att stödja att man gradvis lättar på åtgärderna för att begränsa spridningen. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

(16)

 Kommissionens riktlinjer för tillämpning av EU:s dataskyddslagstiftning i samband med val    Ett bidrag från Europeiska kommissionen till toppmötet i Salzburg den 20 september 2018 - COM/2018/638 final.

(17)

Rådets ståndpunkt och slutsatser om tillämpningen av den allmänna dataskyddsförordningen:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/en/pdf

(18)

Skrivelse från Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor av den 21 februari 2020 till kommissionsledamot Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.

(19)

Dataskyddsstyrelsens bidrag till utvärderingen av den allmänna dataskyddsförordningen enligt artikel 97, antagen den 18 februari 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en

(20)

  https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en

(21)

I den flerpartsexpertgrupp om förordningen som inrättats av kommissionen ingår företrädare för civilsamhället och näringslivet samt akademiker och yrkesverksamma:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

(22)

  https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437

(23)

Se t.ex. rådets ståndpunkt och resultat samt dataskyddsstyrelsens bidrag.

(24)

Se punkt 2.1 i kommissionens arbetsdokument.

(25)

Om ett företag behandlar uppgifter över gränserna finns den behöriga dataskyddsmyndigheten i den medlemsstat där företaget har sitt huvudsakliga verksamhetsställe.

(26)

Se punkt 2.2 i kommissionens arbetsdokument.

(27)

Mellan den 25 maj 2018–den 31 december 2019 inlämnades 141 utkast till beslut genom förfarandet med en enda kontaktpunkt, varav 79 resulterade i slutliga beslut.

(28)

Exempelvis skulle de nationella förteckningarna över de typer av behandlingar som kräver en konsekvensbedömning avseende dataskydd enligt artikel 35 i den allmänna dataskyddsförordningen ha kunnat harmoniseras bättre.

(29)

Se punkt 2.2 i kommissionens arbetsdokument.

(30)

Särskilt företrädare för näringslivet och det civila samhället. Se punkt 2.3 i kommissionens arbetsdokument.

(31)

De kompletterar de tio riktlinjer som antogs av artikel 29-gruppen innan förordningen skulle börja tillämpas och vilka godkändes av styrelsen. Styrelsen har också antagit ytterligare fyra riktlinjer mellan januari och slutet av maj 2020 och uppdaterat en befintlig riktlinje.

(32)

42 av dessa yttranden antogs enligt artikel 64 i den allmänna dataskyddsförordningen och en antogs i enlighet med artikel 70.1 s i den allmänna dataskyddsförordningen och gällde beslutet om adekvat skyddsnivå avseende Japan.

(33)

Meddelande från kommissionen till Europaparlamentet och rådet, Dataskyddsregler som förtroendeskapande faktor i EU och övriga världen – en kartläggning:

(34)

Sammanlagt har personalen ökat med 42 % och budgeten med 49 % för nationella dataskyddsmyndigheter inom EES mellan 2016 och2019.

(35)

Se punkt 2.4 i kommissionens arbetsdokument.

(36)

Senast genom en skrivelse från kommissionsledamot Reynders i mars 2020.

(37)

Det bör noteras att den nationella dataskyddsmyndigheten i Slovenien har inrättats på grundval av den nuvarande nationella dataskyddslagstiftningen och att den övervakar tillämpningen av den allmänna dataskyddsförordningen i den medlemsstaten.

(38)

Se punkt 3.1 i kommissionens arbetsdokument.

(39)

Se punkt 3.2 i kommissionens arbetsdokument.

(40)

Artikel 52.1 i stadgan.

(41)

Se punkt 3.1 i kommissionens arbetsdokument. Möjligheten att förena rätten till skydd av personuppgifter med yttrande- och informationsfriheten.

(42)

Kommissionen har inlett en studie om ”Bedömning av medlemsstaternas bestämmelser om hälsouppgifter mot bakgrund av den allmänna dataskyddsförordningen”, Chafea/2018/Health/03, särskilt avtal nr 2019 70 01.

(43)

Se åtgärderna i den europeiska strategin för data, s. 30.

(44)

Europeiska unionens byrå för grundläggande rättigheter (FRA) (2020): Undersökningen om grundläggande rättigheter 2019. Dataskydd och teknik: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(45)

Det föreslagna direktivet om grupptalan för att skydda konsumenternas kollektiva intressen (COM/2018/0184 final – 2018/089 (COD)) förväntas stärka ramen för grupptalan, även på dataskyddsområdet, när det har antagits.

(46)

Dessa verktyg kan omfatta verktyg för hantering av samtycke och appar för hantering av personlig information.

(47)

  https://ec.europa.eu/commission/presscorner/detail/en/ip_20_962  

(48)

Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen, EUT L 303, 28.11.2018, s. 59.

(49)

Se punkt 5 i kommissionens arbetsdokument. Se även COM/2019/250 final, Vägledning om förordningen om en ram för det fria flödet av icke-personuppgifter i Europeiska unionen, som förklarar reglerna för behandling av blandade datamängder, som består av både personuppgifter och icke-personuppgifter, vilket gör det praktiskt för företag, inbegripet små och medelstora företag.

(50)

Kommissionen gav ekonomiskt stöd genom tre omgångar av bidrag, till ett totalt belopp på 5 miljoner euro. De två senaste bidragen hade som specifikt mål att stödja de nationella dataskyddsmyndigheternas arbete med att nå ut till enskilda personer och små och medelstora företag: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . Ytterligare 1 miljon euro kommer att tilldelas under 2020.

(51)

Enligt artikel 28 i den allmänna dataskyddsförordningen.

(52)

Enligt artikel 46 EG i den allmänna dataskyddsförordningen.

(53)

Vitbok om artificiell intelligens – en europeisk strategi för spetskompetens och tillit – COM/2020/65 final.

(54)

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(55)

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.

(56)

Dessa länder och territorier är: Andorra, Argentina, Kanada, Färöarna, Guernsey, Jersey, Isle of Man, Israel, Nya Zeeland, Schweiz och Uruguay.

(57)

Se mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited, Maximillian Schrems (nedan kallat Schrems II-målet), som avser en begäran om förhandsavgörande om de så kallade standardavtalsklausulerna. Vissa inslag i standarden för en adekvat skyddsnivå kan dock också klargöras ytterligare av domstolen.

(58)

Se Schrems II-målet.

(59)

Se t.ex. G20-ledarnas deklaration i Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

(60)

Datastrategin, s. 23.

(61)

     Se de övergripande bestämmelserna om gränsöverskridande dataflöden och skydd av personuppgifter (i EU:s handels- och investeringsavtal): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf  

(62)

84 WTO-medlemmar deltar nu i plurilaterala förhandlingar om e-handel, till följd av ett initiativ med ett gemensamt uttalande som ministrarna antog den 25 januari 2019 i Davos. Som en del av detta förfarande lade EU den 3 maj 2019 fram sitt förslag om framtida regler och skyldigheter avseende e-handel. Förslaget innehåller övergripande bestämmelser om dataflöden och skydd av personuppgifter: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

(63)

Jfr rådets ståndpunkt och slutsatser om tillämpningen av den allmänna dataskyddsförordningen.

(64)

Detta har varit fallet i Tyskland, Spanien och i Österrike, vilket täpper till en lucka i den nationella lagstiftningen.

(65)

Artikel 30.5 i dataskyddsförordningen.

(66)

Kommissionens projekt för verktyg för åldersbestämning – ett pilotprojekt för att visa upp en driftskompatibel teknisk infrastruktur för skydd av barn, inklusive ålderskontroll och föräldrars samtycke. Detta förväntas stödja genomförandet av mekanismer för skydd av barn på grundval av befintlig EU-lagstiftning som är relevant för att skydda barn på internet.