EUROPEISKA KOMMISSIONEN

Bryssel den 25.7.2024

COM(2024) 357 final

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

Andra rapporten om tillämpningen av den allmänna dataskyddsförordningen

1Inledning

Detta är kommissionens andra rapport om tillämpningen av den allmänna dataskyddsförordningen, som antagits i enlighet med artikel 97 i den allmänna dataskyddsförordningen. Den första rapporten antogs den 24 juni 2020 (2020 års rapport) ( 1 )).

Den allmänna dataskyddsförordningen är en av hörnstenarna i EU:s strategi för den digitala omställningen. Dess grundläggande principer – rättvis, säker och öppen behandling av personuppgifter, som säkerställer att enskilda personer behåller kontrollen – ligger till grund för all EU-politik som inbegriper behandling av personuppgifter.

Sedan 2020 års rapport har EU antagit en rad initiativ som syftar till att sätta enskilda personer i centrum för den digitala omställningen. Varje initiativ har ett särskilt mål, såsom att skapa en säkrare miljö online, göra den digitala ekonomin rättvisare och mer konkurrenskraftig, underlätta banbrytande forskning, säkerställa utvecklingen av säker och tillförlitlig artificiell intelligens (AI) och skapa en verklig inre marknad för data. När det gäller personuppgifter bygger dessa initiativ på den allmänna dataskyddsförordningen. Den allmänna dataskyddsförordningen utgör också en grund för sektorsinitiativ som påverkar behandlingen av personuppgifter, t.ex. på områdena finansiella tjänster, hälsa, sysselsättning, mobilitet och brottsbekämpning.

Det råder bred enighet bland berörda parter, dataskyddsmyndigheter och medlemsstater om att den allmänna dataskyddsförordningen, trots vissa utmaningar, har gett viktiga resultat för enskilda personer och företag. Den riskbaserade, teknikneutrala metoden ger ett starkt skydd för registrerade och proportionella skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden. Samtidigt bör ytterligare framsteg göras på ett antal områden. Under de kommande åren bör fokus särskilt ligga på att stödja berörda parters efterlevnadsarbete – särskilt små och medelstora företag, små aktörer och forskare samt forskningsorganisationer, genom att tillhandahålla tydligare och mer genomförbar vägledning från dataskyddsmyndigheterna, och på att uppnå en mer konsekvent tolkning och tillämpning av den allmänna dataskyddsförordningen i hela EU.

Enligt artikel 97 i den allmänna dataskyddsförordningen bör kommissionen särskilt undersöka hur den internationella överföringen av personuppgifter till tredjeländer (dvs. länder utanför EU/EES) tillämpas och fungerar (kapitel V, den allmänna dataskyddsförordningen) och hur mekanismerna för samarbete och enhetlighet mellan nationella dataskyddsmyndigheter tillämpas och fungerar (kapitel VII, den allmänna dataskyddsförordningen). I likhet med 2020 års rapport innehåller denna rapport dock en allmän bedömning av tillämpningen av dataskyddsförordningen som går utöver dessa två delar: Den identifierar åtgärder över som är nödvändiga för att stödja en effektiv tillämpning av den allmänna dataskyddsförordningen inom viktiga prioriterade områden.

I denna rapport beaktas följande källor: i) rådets ståndpunkt och slutsatser, antagna i december 2023 ( 2 ), ii) bidrag från berörda parter, särskilt genom flerpartsexpertgruppen för dataskyddsförordningen ( 3 ) och en offentlig inbjudan att lämna synpunkter ( 4 ), och iii) bidrag från dataskyddsmyndigheter (genom bidrag från Europeiska dataskyddsstyrelsen ( 5 ) (dataskyddsstyrelsen) och en rapport som utarbetats av Europeiska unionens byrå för grundläggande rättigheter (FRA) baserat på intervjuer som genomförts med enskilda dataskyddsmyndigheter ( 6 ) (FRA-rapporten). Rapporten bygger också på kommissionens fortlöpande övervakning av tillämpningen av den allmänna dataskyddsförordningen, inbegripet bilaterala dialoger med medlemsstaterna om efterlevnaden av nationell lagstiftning, aktiva bidrag till datsskyddsstyrelsens arbete och nära kontakter med ett stort antal berörda parter om den praktiska tillämpningen av förordningen.

2Tillämpning av den allmänna dataskyddsförordningen och funktionen hos mekanismerna för samarbete och enhetlighet 

Den allmänna dataskyddsförordningens system med en enda kontaktpunkt för efterlevnad syftar till att säkerställa en harmoniserad tolkning och efterlevnad av oberoende dataskyddsmyndigheter. Det kräver samarbete mellan dataskyddsmyndigheter vid gränsöverskridande behandling, där registrerade i flera medlemsstater påverkas i väsentlig grad. Tvister mellan myndigheter löses av dataskyddsstyrelsen inom ramen för dataskyddsförordningens mekanism för enhetlighet.

2.1Att effektivisera hanteringen av gränsöverskridande ärenden: förslaget om förfaranderegler

I 2020 års rapport noterades behovet av en effektivare och mer harmoniserad hantering av gränsöverskridande ärenden i hela EU, särskilt mot bakgrund av de stora skillnaderna i nationella administrativa förfaranden och tolkningar av begrepp i samarbetsmekanismen för den allmänna dataskyddsförordningen. I juli 2023 antog kommissionen därför ett förslag till förordning om förfaranderegler ( 7 ), med utgångspunkt i en förteckning över frågor som dataskyddsstyrelsen överlämnade till kommissionen i oktober 2022 ( 8 ) och synpunkter från berörda parter ( 9 ) och medlemsstaterna ( 10 ). Förslaget kompletterar den allmänna dataskyddsförordningen genom att fastställa detaljerade regler för gränsöverskridande klagomål, klagandens medverkan, rätten till ett korrekt rättsförfarande för parter som är föremål för utredning (personuppgiftsansvariga och personuppgiftsbiträden) och samarbete mellan dataskyddsmyndigheter. Harmoniseringen av dessa förfarandeaspekter skulle underlätta ett snabbt slutförande av utredningar och snabba åtgärder för enskilda. Förslaget håller för närvarande på att förhandlas fram av Europaparlamentet och rådet.

2.2Ökat samarbete mellan dataskyddsmyndigheter och användning av mekanismen för enhetlighet

Antalet gränsöverskridande ärenden har ökat avsevärt under de senaste åren. Dataskyddsmyndigheterna har visat ökad vilja att använda de verktyg för samarbete som föreskrivs i den allmänna dataskyddsförordningen. Alla dataskyddsmyndigheter använde verktyget för ömsesidigt bistånd ( 11 ) och ”informella” förfrågningar om att bistå varandra på frivillig basis. Dataskyddsmyndigheterna förespråkar informella förfrågningar, som inte föreskriver någon tidsfrist eller en strikt skyldighet att svara. Även om dataskyddsstyrelsen antog riktlinjer för gemensamma insatser 2021 ( 12 ), har myndigheterna fortfarande inte i någon större utsträckning använt detta verktyg ( 13 ) och åberopar skillnader i nationella förfaranden och oklarhet om förfarandet som de främsta orsakerna till dess begränsade användning.

Den allmänna dataskyddsförordningen ger de berörda dataskyddsmyndigheterna möjlighet att göra en relevant och motiverad invändning om de i ett gränsöverskridande ärende motsätter sig ett utkast till beslut från den ansvariga dataskyddsmyndigheten. Om dataskyddsmyndigheterna inte kan enas om en relevant och motiverad invändning föreskrivs i dataskyddsförordningen att dataskyddsstyrelsen ska lösa tvister ( 14 ). De ämnen som oftast togs upp i relevanta och motiverade invändningar var i) den rättsliga grunden för behandlingen, ii) informations- och öppenhetsskyldigheter, iii) anmälan av uppgiftsincidenter, iv) registrerades rättigheter, v) undantag för internationella överföringar, vi) användning av korrigerande åtgärder och vii) beloppet för administrativa sanktionsavgifter.

Den allmänna dataskyddsförordningens tillsynssystem bygger på antagandet om lojalt och effektivt samarbete mellan dataskyddsmyndigheter. Tvistlösningsförfarandet spelar en viktig roll i denna verkställighetsstruktur, men det bör användas i den anda i vilken det utformades, nämligen med vederbörlig hänsyn till behörighetsfördelningen mellan dataskyddsmyndigheter, behovet av att respektera rätten till ett korrekt rättsförfarande och intresset av att uppnå en snabb lösning av ärendet för registrerade. Varje tvistlösningsförfarande kräver betydande resurser från den ansvariga myndigheten, de berörda myndigheterna och dataskyddsstyrelsens sekretariat, och försenar tillhandahållandet av rättsmedel för registrerade.

Dataskyddsmyndigheterna använder i allt högre grad dataskyddsförordningens mekanism för enhetlighet. Mekanismen har tre komponenter: i) yttranden från dataskyddsstyrelsen, ii) tvistlösning genom dataskyddsstyrelsen och iii) det skyndsamma förfarandet ( 21 ).

Dataskyddsstyrelsen tar i allt högre grad upp viktiga frågor med allmän räckvidd i sina yttranden ( 22 ). Dataskyddsstyrelsen bör säkerställa ett snabbt och meningsfullt samråd innan dessa yttranden antas. Ärenden som lämnats in för tvistlösning har behandlat frågor såsom den rättsliga grunden för behandling av uppgifter om beteendestyrd annonsering på sociala medier och behandling av barns uppgifter på nätet. De flesta efterföljande bindande beslut har överklagats till tribunalen.

Öppenhet i dataskyddsstyrelsens beslutsprocess är avgörande för att säkerställa respekten för rätten till god förvaltning enligt EU:s stadga om de grundläggande rättigheterna. Det skyndsamma förfarandet i dataskyddsförordningen gör det möjligt för dataskyddsmyndigheter att avvika från samarbetsmekanismen och mekanismen för enhetlighet för att vid behov vidta skyndsamma åtgärder för att skydda de registrerades rättigheter och friheter. Som ett undantag från det normala samarbetsförfarandet enligt den allmänna dataskyddsförordningen är verktyg såsom det skyndsamma förfarandet utformade för att endast användas under exceptionella omständigheter och om det normala samarbetsförfarandet inte kan skydda de registrerades rättigheter och friheter.

2.3Starkare verkställighet

Dataskyddsmyndigheternas tillsynsverksamhet har ökat avsevärt under de senaste åren, bland annat när det gäller att ålägga betydande sanktionsavgifter i viktiga mål mot multinationella teknikjättar. Sanktionsavgifter utdömdes till exempel för i) överträdelse av behandlingens laglighet och säkerhet, ii) överträdelse av behandlingen av särskilda kategorier av personuppgifter och iii) underlåtenhet att iaktta enskildas rättigheter ( 25 ). Detta har fått privata företag att ”ta dataskyddet på allvar” ( 26 ) och bidragit till att skapa en kultur av efterlevnad i organisationer. Dataskyddsmyndigheterna antar beslut om konstaterande av överträdelser av dataskyddsförordningen i klagomålsbaserade ärenden eller ärenden på eget initiativ. Även om de inte finns tillgängliga i alla medlemsstater har många dataskyddsmyndigheter på ett effektivt sätt använt sig av förfaranden för uppgörelse i godo för att snabbt lösa klagomålsbaserade ärenden på ett sätt som tillfredsställer den klagande. I förslaget om förfaranderegler erkänns möjligheten att lösa klagomål genom uppgörelse i godo ( 27 ).

Dataskyddsmyndigheterna har i stor utsträckning utnyttjat sina korrigerande befogenheter, även om antalet korrigerande åtgärder som införts varierar stort mellan myndigheterna. Förutom sanktionsavgifter var de vanligaste korrigerande åtgärderna varningar, reprimander och förelägganden om att följa den allmänna dataskyddsförordningen. Personuppgiftsansvariga och personuppgiftsbiträden bestrider ofta beslut om överträdelser av dataskyddsförordningen i nationella domstolar, oftast på förfarandemässiga grunder ( 28 ).

De flesta dataskyddsmyndigheter anser att deras utredningsverktyg är tillräckliga, men vissa kräver ytterligare verktyg på nationell nivå, t.ex. lämpliga sanktioner om personuppgiftsansvariga inte samarbetar eller tillhandahåller nödvändig information ( 32 ). Dataskyddsmyndigheterna anser att otillräckliga resurser och brister i teknisk och juridisk sakkunskap är den viktigaste faktorn som påverkar deras verkställighetskapacitet ( 33 ).

2.4Dataskyddsstyrelsen

Dataskyddsstyrelsen består av chefen för en dataskyddsmyndighet per medlemsstat och av Europeiska datatillsynsmannen, där kommissionen deltar utan rösträtt. Dataskyddsstyrelsen får i sitt arbete stöd av sitt sekretariat i uppgift att säkerställa en konsekvent tillämpning av den allmänna dataskyddsförordningen ( 34 ). De flesta dataskyddsmyndigheter anser att dataskyddsstyrelsen har spelat en positiv roll för att stärka samarbetet dem emellan ( 35 ). Många dataskyddsmyndigheter avsätter betydande resurser till dataskyddsstyrelsens verksamhet, även om mindre myndigheter anger att deras storlek hindrar dem från att delta fullt ut ( 36 ). Vissa myndigheter anser att effektiviteten i dataskyddsstyrelsens processer bör förbättras, särskilt genom att minska antalet möten och genom att ägna mindre uppmärksamhet åt mindre frågor ( 37 ). Beroende på resultatet av förhandlingarna om förslaget om förfaranderegler för den allmänna dataskyddsförordningen, som syftar till att minska antalet ärenden som hänskjuts till dataskyddsstyrelsen för tvistlösning, kan det finnas ett behov av att överväga huruvida dataskyddsstyrelsen behöver ytterligare resurser.

I november 2023 hade dataskyddsstyrelsen antagit 35 riktlinjer. Även om berörda parter och dataskyddsmyndigheter anser att de är användbara, anser båda att riktlinjerna bör levereras snabbare och att kvaliteten bör förbättras ( 38 ). Berörda parter noterar att de ofta är alltför teoretiska, alltför långa och inte återspeglar dataskyddsförordningens riskbaserade strategi ( 39 ). Dataskyddsmyndigheterna och dataskyddsstyrelsen bör tillhandahålla kortfattade och praktiska riktlinjer som ger svar på konkreta problem och återspeglar en balans mellan dataskydd och andra grundläggande rättigheter. Riktlinjer bör också vara lätta att förstå för enskilda personer utan juridisk utbildning, till exempel i små och medelstora företag och frivilligorganisationer ( 40 ). Ett sätt att uppnå detta är att göra utarbetandet av riktlinjerna mer transparent och att på ett tidigt stadium samråda för att möjliggöra en bättre förståelse av marknadsdynamiken, affärspraxis och hur riktlinjerna ska tillämpas i praktiken ( 41 ). Det är välkommet att dataskyddsstyrelsen, som en del av sin strategi för 2024–2027, har lyft fram sitt mål att tillhandahålla praktisk vägledning som är tillgänglig för den berörda publiken ( 42 ).

Berörda parter understryker behovet av ytterligare riktlinjer, särskilt om anonymisering och pseudonymisering ( 43 ), berättigat intresse och vetenskaplig forskning ( 44 ). I 2020 års rapport uppmanade kommissionen dataskyddsstyrelsen att anta riktlinjer för vetenskaplig forskning, men riktlinjerna har ännu inte antagits. Med tanke på den vetenskapliga forskningens betydelse i samhället, särskilt för att övervaka sjukdomar och utveckla behandlingar och för att främja innovation, är det viktigt att dataskyddsmyndigheterna agerar för att klargöra dessa frågor utan ytterligare dröjsmål ( 45 ). Offentliga myndigheter skulle också gynnas av vägledning som tar itu med de särskilda utmaningar de står inför ( 46 ).

2.5Dataskyddsmyndigheter

2.5.1Oberoende och resurser

Dataskyddsmyndigheternas oberoende fastställs i EU-stadgan om de grundläggande rättigheterna och fördraget om EU:s funktionssätt. I den allmänna dataskyddsförordningen fastställs krav för att säkerställa ett ”fullständigt oberoende” för dataskyddsmyndigheterna ( 47 ). I FRA-rapporten konstaterades att de flesta dataskyddsmyndigheter verkar oberoende av regeringen, parlamentet eller andra offentliga organ ( 48 ).

Dataskyddsmyndigheterna behöver tillräckliga mänskliga, tekniska och ekonomiska resurser för att kunna utföra sina uppgifter enligt dataskyddsförordningen på ett effektivt och oberoende sätt. I 2020 års rapport konstaterade kommissionen att dataskyddsmyndigheternas resurser fortfarande inte var tillfredsställande och har konsekvent tagit upp denna fråga med medlemsstaterna. Situationen har förbättrats sedan dess.

Även om denna statistik visar en allmän uppåtgående trend när det gäller dataskyddsmyndigheternas resurser anser myndigheterna själva att de fortfarande saknar tillräckliga personalresurser ( 50 ). De betonar behovet av mycket specialiserad teknisk kunskap, särskilt om ny och framväxande teknik ( 51 ), vars brist påverkar kvantiteten och kvaliteten på deras arbete och svårigheterna att konkurrera om mänskliga resurser med den privata sektorn. Dataskyddsmyndigheterna nämner otillräckliga juridiska kunskaper och brist på språkkunskaper som faktorer som påverkar deras resultat. Låg lön, oförmåga att självständigt välja ut personal och tung arbetsbelastning framhålls som de viktigaste faktorerna som påverkar myndigheternas förmåga att rekrytera och behålla personal ( 52 ). Dataskyddsmyndigheterna betonar också sitt behov av ekonomiska resurser för att modernisera och digitalisera sina processer och förvärva teknisk utrustning ( 53 ). Alla dataskyddsmyndigheter utför uppgifter utöver dem som de har anförtrotts genom den allmänna dataskyddsförordningen ( 54 ), t.ex. som tillsynsmyndigheter för direktivet om uppgiftsskydd vid brottsbekämpning och direktivet om integritet och elektronisk kommunikation, medan många uttrycker oro över ytterligare ansvarsområden enligt den nya digitala lagstiftningen ( 55 ).

2.5.2Svårigheter att hantera ett stort antal klagomål

Flera dataskyddsmyndigheter uppger att för mycket av deras resurser används för att hantera ett stort antal klagomål, varav de flesta anses vara triviala och ogrundade, eftersom hanteringen av varje klagomål är en skyldighet enligt den allmänna dataskyddsförordningen som är föremål för domstolsprövning ( 56 ). Detta innebär att dataskyddsmyndigheterna inte kan anslå tillräckliga resurser till annan verksamhet, såsom utredningar på eget initiativ, informationskampanjer för allmänheten och samarbete med personuppgiftsansvariga ( 57 ). Som offentliga myndigheter har dataskyddsmyndigheterna rätt att fördela sina resurser efter eget gottfinnande för att fullgöra var och en av sina uppgifter (vilket anges i artikel 57.1 i dataskyddsförordningen) i allmänhetens intresse. Många dataskyddsmyndigheter har antagit strategier för att effektivisera hanteringen av klagomål, såsom automatisering ( 58 ), användning av uppgörelser i godo ( 59 ) och ”gruppering” av klagomål som rör liknande frågor ( 60 ).

2.5.3De nationella dataskyddsmyndigheternas tolkning av den allmänna dataskyddsförordningen

Ett centralt mål för den allmänna dataskyddsförordningen var att undanröja den fragmenterade strategi för dataskydd som fanns i det tidigare dataskyddsdirektivet (direktiv 95/46/EG) ( 61 ). Dataskyddsmyndigheterna fortsätter dock att göra olika tolkningar av centrala dataskyddsbegrepp ( 62 ). Berörda parter identifierar detta som det främsta hindret för en konsekvent tillämpning av den allmänna dataskyddsförordningen i EU. Att det fortfarande finns olika tolkningar skapar rättsosäkerhet och ökar kostnaderna för företagen (t.ex. genom att det krävs olika dokumentation i olika medlemsstater), stör den fria rörligheten för personuppgifter i EU, hindrar gränsöverskridande handel och hämmar forskning och innovation om angelägna samhällsutmaningar.

Särskilda frågor som tagits upp av berörda parter omfattar följande: i) Det faktum att dataskyddsmyndigheterna i tre medlemsstater var och en har olika uppfattning om den lämpliga rättsliga grunden för behandling av personuppgifter när de genomför en klinisk prövning, ii) Det finns ofta olika åsikter om huruvida ett företag är en personuppgiftsansvarig eller ett personuppgiftsbiträde, iii) I vissa fall följer dataskyddsmyndigheterna inte dataskyddsstyrelsens riktlinjer eller publicerar riktlinjer på nationell nivå som strider mot dataskyddsstyrelsens riktlinjer ( 63 ). Dessa problem förvärras när flera dataskyddsmyndigheter inom en enda medlemsstat gör motstridiga tolkningar.

Vissa berörda parter anser också att vissa dataskyddsmyndigheter och dataskyddsstyrelsen gör tolkningar som avviker från den riskbaserade strategin i dataskyddsförordningen, vilket utgör en utmaning för utvecklingen av den digitala ekonomin ( 64 ) och mediernas frihet och mångfald. De nämner följande som problemområden: i) Tolkningen av anonymisering. ii) Den rättsliga grunden för legitimt intresse och samtycke ( 65 ). iii) Undantagen från förbudet mot automatiserat individuellt beslutsfattande ( 66 ). Det bör erinras om att dataskyddsmyndigheterna och dataskyddsstyrelsen har till uppgift att säkerställa både skydd för fysiska personer i samband med behandling av deras personuppgifter och det fria flödet av personuppgifter inom EU. Såsom erkänns i den allmänna dataskyddsförordningen ( 67 ) måste rätten till skydd av personuppgifter förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.

2.5.4Samarbete med personuppgiftsansvariga och personuppgiftsbiträden

Berörda parter understryker fördelen med att ha möjlighet att föra en konstruktiv dialog med dataskyddsmyndigheterna för att säkerställa att de följer den allmänna dataskyddsförordningen från början, särskilt när det gäller ny teknik. Berörda parter noterar att vissa dataskyddsmyndigheter aktivt samarbetar med personuppgiftsansvariga, medan andra reagerar långsamt, tillhandahåller vaga svar eller inte svarar alls ( 68 ).

3Medlemsstaternas genomförande av den allmänna dataskyddsförordningen

3.1Fragmentering i nationell tillämpning

Även om den allmänna dataskyddsförordningen, som en förordning, är direkt tillämplig, kräver den att medlemsstaterna lagstiftar på vissa områden och ger dem möjlighet att ytterligare specificera dess tillämpning på ett begränsat antal områden ( 69 ). När medlemsstaterna lagstiftar på nationell nivå måste de göra detta på de villkor och inom de gränser som fastställs i den allmänna dataskyddsförordningen. Precis som 2020 rapporterar berörda parter om svårigheter till följd av fragmentering i nationella regler där medlemsstaterna har möjlighet att specificera den allmänna dataskyddsförordningen, särskilt när det gäller följande:

·Minimiåldern för ett barns samtycke avseende erbjudande av informationssamhällets tjänster till detta barn ( 70 ).

·Medlemsstaternas införande av ytterligare villkor för behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa ( 71 ).

·Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser ( 72 ), som skapar svårigheter inom vissa reglerade sektorer.

Samtidigt är det viktigt att många berörda parter rapporterar att fragmenteringsfrågor främst beror på att dataskyddsmyndigheterna tolkar den allmänna dataskyddsförordningen olika, snarare än på medlemsstaternas användning av klausuler om frivillig specificering.

Medlemsstaterna anser att en begränsad grad av fragmentering kan vara acceptabel och att klausulerna i den allmänna dataskyddsförordningen fortfarande är till nytta, särskilt för offentliga myndigheters behandling ( 73 ). Enligt den allmänna dataskyddsförordningen ska medlemsstaterna samråda med sin nationella dataskyddsmyndighet när de utarbetar lagstiftning som rör behandling av personuppgifter ( 74 ). I FRA-rapporten konstaterades att vissa regeringar sätter mycket snäva tidsfrister för dessa myndigheter och i vissa fall inte rådfrågar dem alls ( 75 ).

3.2Kommissionens övervakning

Kommissionen övervakar fortlöpande genomförandet av den allmänna dataskyddsförordningen. Kommissionen har inlett överträdelseförfaranden mot medlemsstaterna i frågor såsom dataskyddsmyndigheternas oberoende (däribland att stå fria från utomstående påverkan och tillgång till rättsmedel vid uppsägning) ( 76 ) och rätten till ett effektivt rättsmedel för registrerade om dataskyddsmyndigheten inte hanterar ett klagomål ( 77 ). Som en del av sin övervakning begär kommissionen också att dataskyddsmyndigheterna, på strikt konfidentiell basis, regelbundet ska lämna information ( 78 ) om pågående storskaliga gränsöverskridande ärenden, särskilt sådana som rör multinationella teknikjättar.

Kommissionen kommunicerar regelbundet med medlemsstaterna om genomförandet av den allmänna dataskyddsförordningen. Såsom anges i 2020 års rapport har kommissionen fortsatt att använda medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen ( 79 ) för att underlätta diskussioner och utbyte av erfarenheter om ett effektivt genomförande av den allmänna dataskyddsförordningen. Expertgruppen har haft särskilda diskussioner om i) tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet (artikel 55 i den allmänna dataskyddsförordningen, artikel 8 i stadgan), ii) möjligheten att förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten (artikel 85 i dataskyddsförordningen), och iii) rätten till ett effektivt rättsmedel mot en tillsynsmyndighet (artikel 78 i dataskyddsförordningen). Efter dessa diskussioner sammanställde kommissionen översikter över de strategier som valts för genomförandet av dessa bestämmelser i medlemsstaterna ( 80 ). Kommissionen använde också denna grupp för att utbyta åsikter med medlemsstaterna vid utarbetandet av förslaget om förfaranderegler.

Den nationella lagstiftningens och praxisens efterlevnad av dataskyddsreglerna i EU-lagstiftningen om Schengenområdet bedöms också som en del av Schengenutvärderingarna, som genomförs gemensamt av medlemsstaterna och kommissionen. Minst fem dataskyddsutvärderingar på plats genomförs varje år, för närvarande med fokus på storskaliga it-system och Schengens informationssystem, informationssystemet för viseringar samt på de nationella dataskyddsmyndigheternas tillsynsroll över dessa system.

Kommissionen bidrar aktivt till det stora antalet mål i EU-domstolen (med omkring 30 förhandsavgöranden per år under de senaste åren), som spelar en central roll för en konsekvent tolkning av viktiga begrepp i den allmänna dataskyddsförordningen. En växande mängd rättspraxis från domstolen har gett flera klargöranden, t.ex. om definitionen av personuppgifter ( 81 ), särskilda kategorier av personuppgifter ( 82 ), personuppgiftsansvarig ( 83 ), samtycke ( 84 ), berättigat intresse ( 85 ), rätten till tillgång ( 86 ), rätten till radering ( 87 ), rätten till ersättning ( 88 ), automatiserat individuellt beslutsfattande ( 89 ), administrativa sanktionsavgifter ( 90 ), dataskyddsombud ( 91 ), offentliggörande av personuppgifter i register ( 92 ) och tillämpningen av den allmänna dataskyddsförordningen på parlamentens verksamhet ( 93 ).

4De registrerades rättigheter

Enskilda personer har i allt högre utsträckning kännedom om och utövar aktivt sina rättigheter enligt den allmänna dataskyddsförordningen ( 94 ). Dataskyddsmyndigheterna anslår betydande resurser för att öka medvetenheten om dataskyddsrättigheter och dataskyddsskyldigheter bland allmänheten, t.ex. genom sociala medier och tv-kampanjer, hjälplinjer, nyhetsbrev och presentationer vid utbildningsinstitutioner ( 95 ). Många av dessa initiativ har fått EU-finansiering ( 96 ). Europeiska unionens byrå för grundläggande rättigheter noterar att medvetenheten om dataskydd bland allmänheten har ökat, men att det fortfarande saknas förståelse för dataskyddet, vilket framgår av ett stort antal triviala eller ogrundade klagomål ( 97 ). Flera användarvänliga digitala verktyg har utvecklats för att göra det lättare för den registrerade att utöva sina rättigheter ( 98 ). Lagstiftningsakter, särskilt dataförvaltningsakten ( 99 ) bör leda till att ytterligare sätt skapas för den registrerade att utöva sina rättigheter i framtiden. Företagen noterar att rätten till radering i allt högre grad används, medan det sällan är fallet för rätten till rättelse och rätten att göra invändningar.

4.1Rätten till tillgång

Personuppgiftsansvariga rapporterar att rätten till tillgång (artikel 15 i dataskyddsförordningen) är den rättighet som registrerade oftast åberopar. Dataskyddsstyrelsen antog riktlinjer om denna rättighet under 2022, men personuppgiftsansvariga fortsätter att rapportera om utmaningar, till exempel när de tolkar begreppet ”ogrundad eller orimlig begäran” ( 100 ), när de besvarar ett stort antal begäranden och när de hanterar begäranden som görs för ändamål som inte är relaterade till dataskydd, till exempel för att samla in bevis för rättsliga förfaranden ( 101 ). Det civila samhällets organisationer noterar att svaren på begäranden om tillgång ofta är försenade eller ofullständiga, och att de mottagna uppgifterna inte alltid är i ett läsbart format ( 102 ). Offentliga myndigheter hänvisar till svårigheter i samspelet mellan rätten till tillgång och reglerna om allmänhetens tillgång till handlingar ( 103 ). Det är därför välkommet att dataskyddsstyrelsen i februari 2024 inrättade en gemensam verkställighetsram för rätten till tillgång ( 104 ).

4.2Rätten till portabilitet

I 2020 års rapport åtog sig kommissionen att undersöka praktiska sätt att underlätta en utökad användning av privatpersoners rätt till portabilitet (artikel 20 i den allmänna dataskyddsförordningen), i enlighet med datastrategin. Kommissionen har sedan dess antagit ett antal initiativ som kompletterar denna rättighet. Dessa initiativ underlättar enkelt byte mellan tjänster och skapar därmed ökat urval för enskilda personer, stöder konkurrens och innovation och gör det möjligt för enskilda att dra nytta av fördelarna med användningen av deras uppgifter. Dataförordningen ger användare av smarta enheter en förbättrad rätt till portabilitet för data som genereras genom sådana enheter – och föreskriver att konstruktionen av produkten eller en backend-server hos tillverkaren eller datahållaren gör sådan portabilitet tekniskt möjlig. Enligt förordningen om digitala marknader ska leverantörer av centrala plattformstjänster som identifierats som ”grindvakter” tillhandahålla effektiv portabilitet för användares uppgifter, inbegripet kontinuerlig tillgång i realtid till sådana uppgifter. Flera andra initiativ från kommissionen som för närvarande håller på att förhandlas fram eller om vilka politisk överenskommelse har uppnåtts ger ökade portabilitetsrättigheter inom särskilda områden, såsom direktivet om plattformsarbete ( 105 ), det europeiska hälsodataområdet ( 106 ) och ramen för åtkomst till finansdata ( 107 ).

4.3Rätten att lämna in klagomål.

Som framgår av det stora antalet klagomål finns det en stor medvetenhet om rätten att lämna in ett klagomål till en dataskyddsmyndighet. Det civila samhällets organisationer lyfter fram omotiverade skillnader i nationell praxis för hantering av klagomål, en fråga som tas upp i kommissionens förslag om förfaranderegler. Få medlemsstater har utnyttjat möjligheten enligt den allmänna dataskyddsförordningen att ge ett ideellt organ rätt att vidta åtgärder oberoende av den registrerades mandat (artikel 80.2). Direktivet om grupptalan ( 108 ), som antogs 2020, kommer dock att leda till ökad harmonisering i detta avseende genom att underlätta för enskilda personer att vidta kollektiva åtgärder för överträdelser av den allmänna dataskyddsförordningen. Nationella genomförandeåtgärder blev tillämpliga i juni 2023.

4.4Skydd av barns personuppgifter

Barn behöver särskilt skydd när deras personuppgifter behandlas ( 109 ). Den allmänna dataskyddsförordningen är en del av en omfattande rättslig ram som säkerställer att barn skyddas både offline och online ( 110 ). Med tanke på den ökade närvaron av barn på nätet har ett antal åtgärder vidtagits på EU-nivå och nationell nivå under de senaste åren till stöd för skyddet av barn på nätet. Dataskyddsmyndigheterna har ålagt företag inom sociala medier betydande sanktionsavgifter för överträdelser av den allmänna dataskyddsförordningen vid behandling av barns uppgifter. De samarbetar också med andra myndigheter för att kräva ökat skydd av barn på området för annonsering. I 2020 års rapport uppmanade kommissionen dataskyddsstyrelsen att anta riktlinjer för behandling av barns uppgifter, och detta arbete pågår för närvarande ( 111 ). Förordningen om digitala tjänster innehåller särskilda bestämmelser för att säkerställa en hög nivå av integritet, säkerhet och trygghet för barn som använder onlineplattformar.

Vissa berörda parter rapporterar utmaningar med utövandet av registrerades rättigheter, när de registrerade är barn. De rapporterar särskilt att barn inte till fullo förstår sina rättigheter, saknar digitala färdigheter och kan vara utsatta för otillbörlig påverkan ( 112 ). Kommissionen har finansierat flera initiativ på nationell nivå om skydd av barns uppgifter och om att främja medvetenheten om dataskydd bland barn ( 113 ). Inom ramen för den nya strategin för ett bättre internet för barn (BIK+) tillhandahåller kommissionen medvetandehöjande resurser och utbildning till barn om deras digitala rättigheter, inklusive dataskydd (t.ex. digitalt samtycke) ( 114 ). Det finns ett ökat fokus på behovet av effektiva och integritetsvänliga verktyg för ålderskontroll. I början av 2024 inrättade kommissionen en arbetsgrupp för ålderskontroll med medlemsstaterna, dataskyddsstyrelsen och den europeiska gruppen av regleringsmyndigheter för audiovisuella medietjänster, i syfte att diskutera och stödja utvecklingen av en europeisk ram och strategi för ålderskontroll. Detta arbete kommer nu att fortsätta inom Europeiska nämnden för digitala tjänster i arbetsgruppen för skydd av underåriga. Inom ramen för EU:s förordning om digital identitet ( 115 ), som trädde i kraft i maj 2024, arbetar kommissionen för att säkerställa att den europeiska digitala identitetsplånboken erbjuds alla EU-medborgare och invånare 2026, även för ålderskontroll. Innan plånbokens ekosystem är fullt funktionsdugligt kommer en kortsiktig lösning för ålderskontroll att utvecklas och bli tillgänglig i hela EU.

5Möjligheter och utmaningar för organisationer, särskilt små och medelstora företag

Den allmänna dataskyddsförordningen har skapat lika villkor för företag som är verksamma på den inre marknaden, och dess teknikneutrala, innovationsvänliga tillvägagångssätt gör det möjligt för företag att minska byråkratin och dra nytta av större konsumentförtroende ( 116 ). Många företag har utvecklat en intern kultur för dataskydd och betraktar integritets- och dataskydd som viktiga konkurrensparametrar. Företag värdesätter den riskbaserade metoden i dataskyddsförordningen som en vägledande princip som möjliggör flexibilitet och skalbarhet för deras skyldigheter ( 117 ).

5.1Verktygslåda för företag

Den allmänna dataskyddsförordningen innehåller en verktygslåda med instrument som gör det möjligt för organisationer att på ett flexibelt sätt hantera och visa att de följer reglerna, inklusive uppförandekoder, certifieringsmekanismer och standardavtalsklausuler. Såsom tillkännagavs i 2020 års rapport antog kommissionen 2021 standardavtalsklausuler för förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet ( 118 ). Dessa standardavtalsklausuler utgör ett färdigt och lättgenomförbart frivilligt efterlevnadsverktyg som är särskilt användbart för små och medelstora företag eller organisationer som kanske inte har resurser att förhandla fram enskilda avtal med sina handelspartner. Företagen rapporterar blandad återkoppling om användningen av standardavtalsklausulerna, i den meningen att vissa företag (främst små och medelstora företag) använder dem helt eller delvis, medan andra (främst större företag) tenderar att inte använda dem eftersom de föredrar att använda sina egna klausuler.

Företag betonar att uppförandekoder har stor potential som ett sektorspecifikt och kostnadseffektivt efterlevnadsverktyg ( 119 ). Utvecklingen av uppförandekoder har dock begränsats ( 120 ). Enligt den information som finns tillgänglig hittills har endast två EU-omfattande koder godkänts (båda inom molnsektorn), medan sex koder har godkänts på nationell nivå ( 121 ). Berörda parter rapporterar betungande krav (inklusive behovet av att inrätta ett ackrediterat övervakningsorgan), bristande engagemang från dataskyddsmyndigheter och ett utdraget godkännandeförfarande som de viktigaste faktorerna som begränsar användningen av uppförandekoder ( 122 ).

Det finns ett behov av ökad transparens i processen och tydliga tidsfrister för godkännande. Dataskyddsmyndigheterna och, när det gäller EU-omfattande koder, dataskyddsstyrelsen bör mer aktivt uppmuntra utarbetandet av uppförandekoderna genom att samarbeta med de sammanslutningar som utvecklar koderna. Detta kommer att bidra till att lösa skillnader i tolkning och påskynda godkännandeprocessen. Berörda parter beklagar de långa förseningarna i antagandet av uppförandekoder, som orsakats av frågor som diskuteras parallellt som en del av arbetet med riktlinjer. Företagen rapporterar också att certifieringen inte används i stor utsträckning eftersom utvecklingsprocessen är långsam och komplex. I likhet med uppförandekoder bör dataskyddsmyndigheterna tillhandahålla tydligare tidsfrister för granskning och godkännande av certifieringar.

Dataskyddsstyrelsen har i sin strategi för 2024–2027 åtagit sig att fortsätta att stödja efterlevnadsåtgärder såsom certifiering och uppförandekoder, bland annat genom att samarbeta med viktiga grupper av berörda parter för att förklara hur verktygen kan användas ( 123 ).

5.2Särskilda utmaningar för små och medelstora företag och små aktörer

I 2020 års rapport efterlyste kommissionen ökade insatser för att stödja små och medelstora företags efterlevnad av den allmänna dataskyddsförordningen. Under de senaste åren har dataskyddsmyndigheterna och dataskyddsstyrelsen fortsatt att utveckla efterlevnadsverktyg för små och medelstora företag, delvis med stöd av finansiering från kommissionen ( 124 ). I april 2023 lanserade dataskyddsstyrelsen en dataskyddsguide för småföretag ( 125 ), som ger praktisk information till små och medelstora företag i ett tillgängligt och lättbegripligt format.

Små och medelstora företag i många medlemsstater understryker fördelarna med skräddarsytt stöd från sina lokala dataskyddsmyndigheter. Dataskyddsmyndigheternas olika sätt att öka medvetenheten och ge vägledning innebär dock att små och medelstora företag i vissa medlemsstater uppfattar efterlevnaden som komplicerad och fruktar verkställighet ( 126 ). Dataskyddsmyndigheterna bör fördubbla sina insatser för att ta itu med dessa utmaningar, bland annat genom att proaktivt samarbeta med små och medelstora företag för att undanröja alla ogrundade farhågor avseende efterlevnaden. Dataskyddsmyndigheterna bör fokusera på att tillhandahålla skräddarsytt stöd och praktiska verktyg, såsom mallar (t.ex. för genomförande av konsekvensbedömningar avseende dataskydd), hjälplinjer, illustrativa exempel, checklistor och vägledning om specifik behandling (t.ex. fakturering eller nyhetsbrev) och tekniska och organisatoriska åtgärder. Eftersom de flesta små och medelstora företag inte har någon intern expertis om dataskydd bör all vägledning som riktas till små och medelstora företag lätt förstås av dem som saknar juridisk utbildning ( 127 ).

I enlighet med den riskbaserade metoden i den allmänna dataskyddsförordningen behöver små och medelstora företag som utför behandling med låg risk inte bära någon betydande börda för efterlevnaden. Undantaget för att föra ett register över behandling ( 128 ) gäller under begränsade omständigheter ( 129 ), men små och medelstora företag som utför behandling med låg risk kan uppfylla kraven genom att föra förenklade register baserade på mallar som tillhandahålls av dataskyddsmyndigheter. Sådana register bör dessutom ses som ett användbart verktyg för små och medelstora företag för att utvärdera sin behandlingsverksamhet.

5.3Dataskyddsombud

Dataskyddsombud spelar en viktig roll för att säkerställa efterlevnaden av den allmänna dataskyddsförordningen i de organisationer där de arbetar. I allmänhet har dataskyddsombud som är verksamma i EU de kunskaper och den kompetens som krävs för att de ska kunna utföra sina uppgifter enligt dataskyddsförordningen, och deras oberoende respekteras ( 130 ). Flera utmaningar kvarstår dock, bland annat följande: i) Svårigheter med att utse dataskyddsombud med den sakkunskap som krävs. ii) Bristen på EU-omfattande standarder för utbildning. iii) Underlåtenhet att på lämpligt sätt integrera dataskyddsombud i organisatoriska processer. iv) Brist på resurser. v) Ytterligare uppgifter utanför dataskyddet. vi) Otillräcklig tjänstgöringstid 131 . Dataskyddsstyrelsen noterade att dataskyddsmyndigheter behöver intensifiera sin medvetandehöjande verksamhet samt sina informations- och tillsynsåtgärder för att säkerställa att dataskyddsombud kan fullgöra sin roll enligt dataskyddsförordningen ( 132 ).

6Den allmänna dataskyddsförordningen som en hörnsten för EU:s politik på det digitala området

6.1Digital politik som bygger på den allmänna dataskyddsförordningen

I 2020 års rapport åtog sig kommissionen att stödja konsekvent tillämpning av dataskyddsramen när det gäller ny teknik för att stödja innovationer och den tekniska utvecklingen. Sedan dess har EU antagit en rad initiativ, varav vissa kompletterar den allmänna dataskyddsförordningen eller specificerar hur den bör tillämpas på särskilda områden, i syfte att uppnå särskilda mål, såsom beskrivs nedan.

·Genom rättsakten om digitala tjänster ( 133 ), som syftar till att skapa en säker onlinemiljö för enskilda personer och företag, förbjuds onlineplattformar att visa annonser baserade på profilering med användning av ”särskilda kategorier av personuppgifter”, enligt definitionen i den allmänna dataskyddsförordningen.

·För att göra de digitala marknaderna rättvisare och öppnare förbjuder rättsakten om digitala marknader ( 134 ) aktörer som betecknas som ”grindvakter” att kombinera och samköra personuppgifter mellan sina centrala plattformstjänster och andra tjänster, såvida inte användaren har gett sitt samtycke, enligt definitionen i den allmänna dataskyddsförordningen.

·Rättsakten om artificiell intelligens ( 135 ) specificerar EU:s dataskyddsregler på särskilda områden där AI används, till exempel i system för biometrisk identifiering på distans, behandling av särskilda kategorier av uppgifter för att upptäcka systematiska snedvridningar och ytterligare behandling av personuppgifter i regulatoriska sandlådor.

·Direktivet om plattformsarbete ( 136 ) kompletterar den allmänna dataskyddsförordningen på sysselsättningsområdet genom att fastställa regler för automatiska övervaknings- och beslutssystem som används av digitala arbetsplattformar, och i synnerhet begränsningar för behandling av personuppgifter, öppenhet och mänsklig tillsyn samt omprövning och portabilitet.

·Genom förordningen om politisk reklam ( 137 ) förbjuds användning av särskilda kategorier av personuppgifter i politisk reklam och det krävs större transparens i de inriktnings- och förstärkningsmetoder som används.

·Genom förordningen om europeisk digital identitet kan en universell, tillförlitlig och säker europeiska digital identitetsplånbok skapas. Detta kommer att göra det möjligt för enskilda att styrka personliga attribut som ålder, körkort, examensbevis och bankkonton, med full kontroll över sina personuppgifter och utan onödig datadelning.

Förslaget till förordning om integritet och elektronisk kommunikation ( 138 ) som ska ersätta det nuvarande direktivet om integritet och elektronisk kommunikation ( 139 ) och komplettera den rättsliga ramen för integritetsskydd och dataskydd har varit föremål för förhandlingar i flera år. Det behövs reflektion kring nästa steg i detta initiativ, inklusive dess förhållande till den allmänna dataskyddsförordningen.

Förordningen om ett interoperabelt Europa ( 140 ) syftar till att göra digitala offentliga tjänster interoperabla i hela EU. Den stöder samarbetet mellan dataskyddsmyndigheter, särskilt genom regulatoriska sandlådor för interoperabilitet.

Flera EU-initiativ utgör en rättslig grund för privata enheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott. All sådan lagstiftning måste vara noggrant inriktad på att minimera intrånget i rätten till skydd av personuppgifter och måste stå i proportion till det eftersträvade målet ( 141 ). Stadgan, den allmänna dataskyddsförordningen och domstolens rättspraxis utgör en ram mot vilken dessa initiativ bör mätas. Det föreslagna penningtvättspaketet ( 142 ) innehåller omfattande garantier för skydd av personuppgifter, utan att äventyra målet att minska riskerna för penningtvätt och finansiering av terrorism och effektivt upptäcka försök att missbruka unionens finansiella system för brottsliga ändamål.

I detta sammanhang har rådet betonat att all ny EU-lagstiftning som innehåller bestämmelser om behandling av personuppgifter bör vara förenlig med den allmänna dataskyddsförordningen och domstolens rättspraxis.

6.2En rättslig ram för att förbättra datadelningen

Syftet med datastrategin är att skapa en inre marknad för data, där data flödar fritt inom EU och mellan sektorer till gagn för företag, forskare och offentliga förvaltningar. Ett centralt mål för datastrategin är att skapa gemensamma europeiska dataområden som underlättar datapoolning, datatillgång och datadelning. När det gäller personuppgifter utgör den allmänna dataskyddsförordningen ramen för alla initiativ som syftar till att förbättra det fria flödet av personuppgifter i EU – som i sig är ett mål för den allmänna dataskyddsförordningen. När det gäller personuppgifter berörs inte skyddet enligt den allmänna dataskyddsförordningen.

Dataförvaltningsakten ( 143 ) och dataförordningen ( 144 ) är pelare i datastrategin. I dataförvaltningsakten fastställs konkreta regler i samband med vidareutnyttjande av uppgifter från den offentliga sektorn som innehåller personuppgifter, fastställs en rättslig ram för dataförmedlingstjänster – inklusive tjänster för hantering av personuppgifter eller moln för personuppgifter som erbjuds för att ge de registrerade möjlighet att utöva sina rättigheter enligt den allmänna dataskyddsförordningen. Dessutom fastställs villkoren för användning av data för altruistiska ändamål. Dataförordningen stärker de registrerades kontroll över de uppgifter som de genererar genom användning av smarta objekt som de äger, hyr eller leasar genom att föreskriva tekniska krav för dataåtkomst och portabilitet.

Det europeiska hälsodataområdet ( 145 ) återspeglar de särskilda behov som identifierats inom hälsodatasektorn samtidigt som det även bygger på den allmänna dataskyddsförordningen. Det gör det möjligt för enskilda personer att enkelt få tillgång till sina hälsodata i ett elektroniskt format och dela dem med hälso- och sjukvårdspersonal, även i andra medlemsstater, vilket förbättrar tillhandahållandet av hälso- och sjukvård och ökar patienternas kontroll över sina uppgifter. Genom hälsodataområdet inrättas också en gemensam rättslig ram för återanvändning av hälsodata för exempelvis forskning, innovation och folkhälsa, på grundval av ett tillstånd som utfärdats av ett organ med ansvar för tillgång till hälsodata. För att säkerställa skyddet av personuppgifter kommer det europeiska hälsodataområdet att tillhandahålla en tillförlitlig ram för säker tillgång till och behandling av hälsodata. Kommissionen fortsätter att stödja arbetet med att utveckla gemensamma europeiska dataområden inom 14 sektorer genom att genomföra den nya rättsliga ramen och finansiera sektorsspecifika initiativ.

6.3Styrning av nya digitala regler

Utvecklingen av lagstiftning för den digitala sektorn ökar behovet av ett nära samarbete mellan olika regleringsområden ( 146 ). Ett sådant samarbete är desto mer nödvändigt eftersom frågor om dataskydd i allt högre grad sammanfaller med frågor om t.ex. konkurrensrätt, konsumenträtt, regler för digitala marknader, reglering av elektronisk kommunikation och cybersäkerhet. Detta är till exempel fallet vid bedömningen av huruvida modeller för samtycke eller betalning är förenliga med EU-lagstiftningen.

I vissa fall har dataskyddsmyndigheterna i uppdrag att genomdriva särskilda bestämmelser i EU:s nya digitala lagstiftning ( 147 ). Nya digitala förordningar skapar också skräddarsydda strukturer som sammanför behöriga tillsynsmyndigheter för att säkerställa en enhetlig tillämpning, såsom högnivågruppen för rättsakten om digitala marknader, Europeiska datainnovationsstyrelsen (som inrättats enligt dataförvaltningsakten) och den europeiska nämnden för digitala tjänster (som inrättats enligt förordningen om digitala tjänster). I NIS 2-direktivet ( 148 ) fastställs mer detaljerade regler för samarbete mellan tillsynsmyndigheter och dataskyddsmyndigheter om hantering av säkerhetsincidenter som utgör personuppgiftsincidenter.

Utöver dessa formella strukturer vidtar dataskyddsmyndigheterna åtgärder för att säkerställa att deras åtgärder kompletterar och är förenliga med andra regleringsområden. I juli 2020 inrättade konsument- och dataskyddsmyndigheter en grupp frivilliga för att fastställa bästa praxis och dela med sig av erfarenheter av tillsyn. Dataskyddsmyndigheterna fortsätter att delta i gemensamma workshoppar med nätverket för konsumentskyddssamarbete. Under 2023 inrättade dataskyddsstyrelsen en arbetsgrupp för samspelet mellan dataskydd, konkurrens och konsumentskydd.

Även om denna utveckling är positiv finns det ett behov av mer strukturerade och effektiva samarbetsmetoder, särskilt för att hantera situationer som påverkar ett stort antal individer i EU och involverar flera tillsynsmyndigheter ( 149 ). Sådana strukturer bör säkerställa att myndigheterna alltid är ansvariga för alla frågor som rör efterlevnaden av reglerna inom deras behörighetsområden. Medlemsstaterna bör också arbeta för att säkerställa att lämpligt samarbete äger rum på nationell nivå ( 150 ).

7Internationella överföringar och globalt samarbete

7.1Dataskyddsförordningens verktyg för överföringar

Dataflödena har blivit integrerade i den digitala omvandlingen av samhället och globaliseringen av ekonomin. Mer än någonsin tidigare är respekten för privatlivet ett villkor för stabila, säkra och konkurrenskraftiga kommersiella flöden samt en möjliggörande faktor för många former av internationellt samarbete. Den verktygslåda för överföring som tillhandahålls i kapitel V i den allmänna dataskyddsförordningen erbjuder en rad olika instrument för att hantera olika överföringsscenarier, samtidigt som det säkerställs att uppgifter fortsätter att åtnjuta en hög skyddsnivå när de lämnar EU. 

Sedan 2020 års rapport har kraven för dataöverföringar i EU:s dataskyddslagstiftning förtydligats ytterligare och verktygslådan för överföring har fortsatt att utvecklas. Ett viktigt förtydligande rör begreppet ”internationell överföring”, som av dataskyddsstyrelsen ( 151 ) har definierats som att det omfattar utlämnande av personuppgifter av en personuppgiftsansvarig eller ett personuppgiftsbiträde vars behandling omfattas av den allmänna dataskyddsförordningen till en annan personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredjeland, oavsett om den senares behandling omfattas av den allmänna dataskyddsförordningen eller inte ( 152 ). Denna vägledning från dataskyddsstyrelsen var särskilt viktig för att skapa rättssäkerhet för europeiska personuppgiftsansvariga och personuppgiftsbiträden om de scenarier där det behövs en verktygslåda för dataöverföring enligt kapitel V i dataskyddsförordningen.

Ytterligare förtydliganden har också lämnats av domstolen i dess dom i målet Schrems II ( 153 ) om det skydd som måste tillhandahållas genom olika överföringsinstrument för att säkerställa att den skyddsnivå som garanteras genom den allmänna dataskyddsförordningen inte undergrävs ( 154 ). Dessa instrument måste särskilt säkerställa att enskilda personer vars uppgifter överförs utanför EU ges en skyddsnivå som i huvudsak motsvarar den som garanteras inom EU ( 155 ). Det åligger EU-exportören av uppgifter att bedöma om så är fallet, med beaktande av de särskilda omständigheterna kring överföringarna ( 156 ).

För att bedöma skyddsnivån måste uppgiftsutförarna beakta både de dataskyddsgarantier som anges i det överföringsinstrument som ingåtts med en uppgiftsinförare utanför EU (t.ex. ett avtal) och relevanta delar av rättssystemet i det land där uppgiftsinföraren är belägen, särskilt när det gäller eventuell tillgång till uppgifterna för offentliga myndigheter i det landet ( 157 ). Den senare måste bedömas mot bakgrund av kriterierna för bedömning av en adekvat skyddsnivå i artikel 45 i dataskyddsförordningen. Domstolen har vidareutvecklat dessa kriterier, särskilt när det gäller reglerna om offentliga myndigheters tillgång till personuppgifter för brottsbekämpande ändamål och för ändamål som rör den nationella säkerheten.

Denna tolkning har också återspeglats i dataskyddsstyrelsens vägledning, som uppdaterade sin referensram för adekvat skyddsnivå ( 158 ) (som gav vägledning om vilka aspekter kommissionen måste ta hänsyn till när den genomför en bedömning av adekvat skyddsnivå). Dataskyddsstyrelsen antog också ny vägledning med ytterligare förtydliganden om i) vilka aspekter enskilda uppgiftsutförare ska beakta vid bedömningen av en adekvat skyddsnivå, ii) en översikt över potentiella källor som kan användas, och iii) exempel på möjliga kompletterande åtgärder (t.ex. avtalsmässiga och tekniska skyddsåtgärder) ( 159 ). I vägledningen betonas särskilt att varje bedömning som utförs av uppgiftsutförare är unik och att de därför måste ta hänsyn till särdragen i varje överföring som kan skilja sig åt beroende på syftet med uppgiftsöverföringen, de typer av enheter som är inblandade, den sektor inom vilken överföringen sker, de kategorier av personuppgifter som överförs osv. ( 160 ).

Med beaktande av dessa olika förtydliganden om kraven för internationella överföringar av uppgifter har betydande åtgärder vidtagits under de senaste åren för att vidareutveckla och genomföra den allmänna dataskyddsförordningens verktygslåda för överföringar.

7.1.1Beslut om adekvat skyddsnivå

Som också framgår av återkopplingen från berörda parter fortsätter beslut om adekvat skyddsnivå att spela en viktig roll i den allmänna dataskyddsförordningens verktygslåda för överföringar ( 161 ), genom att tillhandahålla en enkel och heltäckande lösning för överföring av uppgifter utan att uppgiftsutföraren behöver vidta ytterligare skyddsåtgärder eller erhålla något tillstånd. Genom att besluten möjliggör fritt flöde av personuppgifter har de öppnat kommersiella kanaler för aktörer i EU, även genom att de kompletterar och förstärker handelsavtalens fördelar, och underlättar samarbete med utländska partner på en lång rad områden, från regleringssamarbete till forskning.

Sedan 2020 års rapport har antalet länder som har infört moderna dataskyddslagar – som bland annat innehåller viktiga principer för dataskydd, individuella rättigheter och effektivt genomförande av oberoende tillsynsmyndigheter – fortsatt att öka. Denna trend ( 162 ) har också gjort det möjligt för kommissionen att intensifiera sitt arbete för en adekvat skyddsnivå. Detta inbegriper antagandet av ett beslut om adekvat skyddsnivå för Förenade kungariket ( 163 ), som är centralt för att säkerställa att de olika avtal som ingåtts med Förenade kungariket efter Brexit fungerar korrekt. För att säkerställa att det förblir framtidssäkert innehåller beslutet om adekvat skyddsnivå en bestämmelse om tidsbegränsning som löper ut 2025, varefter den kan förnyas om skyddsnivån fortsätter att vara adekvat. Kommissionen antog också ett beslut om adekvat skyddsnivå för Republiken Korea ( 164 ), som kompletterar frihandelsavtalet mellan EU och Sydkorea om flödet av personuppgifter och underlättar regleringssamarbete. En första översyn av beslutet om adekvat skyddsnivå planeras mot slutet av 2024.

Efter ogiltigförklaringen av beslutet om adekvat skyddsnivå för skölden för skydd av privatlivet i EU och Förenta staterna inledde kommissionen dessutom samtal med Förenta staternas regering för att utveckla ett efterföljande arrangemang i enlighet med de krav som klargjorts av domstolen ( 165 ). USA:s president antog ett nytt dekret om ”Enhancing Safeguards for United States Signals Intelligence Activities”, som införde nya bindande och verkställbara skyddsåtgärder för att säkerställa att tillgång till uppgifter för nationella säkerhetsändamål endast kan ske i den utsträckning som är nödvändig och proportionell, och att européer har tillgång till effektiva rättsmedel. På grundval av detta antog kommissionen sitt beslut om adekvat skyddsnivå för ramen för dataskydd mellan EU och Förenta staterna (ramen för dataskydd) ( 166 ), vilket innebär att personuppgifter kan flöda fritt från EU till amerikanska företag som ansluter sig till ramen. Eftersom de skyddsåtgärder som den amerikanska regeringen har infört på området nationell säkerhet gäller för alla dataöverföringar till företag i USA, oavsett vilken överföringsmekanism som används enligt den allmänna dataskyddsförordningen, har användningen av andra verktyg, t.ex. standardavtalsklausuler och bindande företagsregler, underlättats avsevärt. En första översyn av hur ramen för dataskydd fungerar kommer att äga rum sommaren 2024 för att kontrollera att alla relevanta delar har genomförts fullt ut i USA:s rättsliga ram och fungerar effektivt i praktiken.

Förhandlingar om adekvat skyddsnivå pågår för närvarande med Brasilien och Kenya samt, för första gången, med flera internationella organisationer (förhandlingar om adekvat skyddsnivå är t.ex. långt framskridna med Europeiska patentorganisationen) ( 167 ). I enlighet med uppmaningarna från olika intressenter ( 168 ) har kommissionen aktivt fört förberedande samtal med länder i olika regioner i världen.

Kommissionen övervakar också kontinuerligt utvecklingen i de länder som redan omfattas av slutsatser om adekvat skyddsnivå och ser regelbundet över befintliga beslut, i enlighet med motsvarande skyldigheter enligt den allmänna dataskyddsförordningen ( 169 ). I april 2023 antog kommissionen sin rapport om den första periodiska översynen av beslutet om adekvat skyddsnivå för Japan ( 170 ), där slutsatsen drogs att Japan fortsätter att säkerställa en adekvat skyddsnivå ( 171 ). Översynen visade att EU:s och Japans ramar för uppgiftsskydd har konvergerat ytterligare sedan besluten om ömsesidig adekvat skyddsnivå antogs.

I enlighet med artikel 97 i den allmänna dataskyddsförordningen inleddes dessutom den första översynen av de 11 beslut om adekvat skyddsnivå ( 172 ) som antagits inom ramen för EU:s tidigare dataskyddsram (dataskyddsdirektivet) som en del av 2020 års utvärdering av den allmänna dataskyddsförordningens tillämpning och funktion. Slutförandet av denna del av översynen sköts upp, särskilt för att ta hänsyn till domstolens dom i målet Schrems II och dataskyddsstyrelsens efterföljande tolkning. De ovannämnda förtydligandena från domstolen om centrala delar av standarden för adekvat skyddsnivå ledde till detaljerade diskussioner med de berörda länderna och territorierna om relevanta aspekter av deras rättsliga ram samt tillsyns- och verkställighetsmekanismer.

Den 15 januari 2024 offentliggjorde kommissionen sin rapport om dessa elva beslut, tillsammans med detaljerade landsrapporter som beskriver utvecklingen i vart och ett av länderna och territorierna sedan besluten om adekvat skyddsnivå antogs, samt de regler som gäller för offentliga myndigheters tillgång till uppgifter, särskilt för brottsbekämpning och nationell säkerhet ( 173 ). I rapporten dras slutsatsen att alla elva länder och territorier fortsätter att tillhandahålla en adekvat skyddsnivå för personuppgifter som överförs från EU. Det återspeglar att alla berörda länder och territorier på olika sätt har moderniserat och stärkt sin rättsliga ram för integritetsskydd. För att hantera relevanta skillnader i skyddsnivå har det med vissa av dem – när det behövts för att säkerställa kontinuitet i beslutet om adekvat skyddsnivå – förhandlats fram och avtalats extra skyddsåtgärder för personuppgifter som överförs från Europa.

Dessa översyner visar också att besluten om adekvat skyddsnivå, snarare än att vara en ”slutpunkt”, har lagt grunden för ett närmare samarbete och ytterligare konvergens i lagstiftningen mellan EU och dessa likasinnade partner. I rapporten om den första översynen av tillämpningen av beslutet om Japans adekvata skyddsnivå konstateras t.ex. att en ytterligare förstärkning av den japanska ramen för uppgiftsskydd kan bana väg för att utvidga beslutet om adekvat skyddsnivå till att omfatta mer än kommersiella utbyten, så att det även omfattar överföringar som för närvarande inte omfattas av dess tillämpningsområde, t.ex. på området för regleringssamarbete och forskning. Samtal pågår för att utforska en sådan möjlig utvidgning. I allmänhet har beslut om adekvat skyddsnivå blivit en strategisk komponent i EU:s övergripande förbindelser med dessa utländska partner och erkänns som en viktig faktor för att fördjupa samarbetet på en rad olika områden.

Det växande nätverket av länder och territorier för vilka EU har antagit ett beslut om adekvat skyddsnivå utgör inte bara en stark grund för ökat bilateralt samarbete, utan ger också nya möjligheter att maximera fördelarna med säkra och fria dataflöden och att samarbeta närmare med likasinnade partner när det gäller att kontrollera efterlevnaden av dataskyddsbestämmelserna. I mars 2024 stod kommissionen därför värd för det första högnivåmötet någonsin om säkra dataflöden, som samlade ansvariga ministrar och chefer för dataskyddsmyndigheterna i 15 länder och territorier för vilka EU har antagit ett beslut om adekvat skyddsnivå, samt ordföranden för Europeiska dataskyddsstyrelsen ( 174 ). Flera konkreta åtgärdspunkter identifierades vid mötet och uppföljningsarbete pågår inom denna grupp.

Mer allmänt har Europeiska kommissionens olika beslut om adekvat skyddsnivå en ”nätverkseffekt”, så att de blir allt mer relevanta även utanför EU. Detta då de möjliggör fritt flöde av uppgifter inte bara med EU:s 30 ekonomier, utan även med många fler jurisdiktioner världen över, som i sina egna dataskyddsregler anser att länder som har ett EU-beslut om adekvat skyddsnivå är ”säkra destinationer” ( 175 ).

7.1.2Instrument som tillhandahåller lämpliga skyddsåtgärder

Sedan 2020 års rapport har ytterligare verktyg för lämpliga skyddsåtgärder tagits fram och praktisk vägledning har utfärdats för att underlätta deras användning.

Såsom tillkännagavs i 2020 års rapport har kommissionen antagit moderniserade standardavtalsklausuler ( 176 ), som har utvecklats i stor utsträckning med hjälp av återkoppling från olika berörda parter ( 177 ). De nya standardavtalsklausulerna har ersatt de tre uppsättningar av standardavtalsklausuler som antogs inom ramen för dataskyddsdirektivet. De viktigaste innovationerna är följande: i) Uppdaterade skyddsåtgärder i enlighet med den allmänna dataskyddsförordningen. ii) Ett modulärt tillvägagångssätt som erbjuder en enda ingångspunkt som omfattar ett brett spektrum av överföringsscenarier. iii) Ökad flexibilitet för flera parter att använda standardavtalsklausuler. iv) En praktisk verktygslåda för att följa Schrems II-domen.

De moderniserade standardavtalsklausulerna har välkomnats av berörda parter, och den återkoppling som mottagits bekräftar att standardavtalsklausuler fortfarande är det överlägset mest använda verktyget för överföringar från EU:s uppgiftsutförare ( 178 ). För att hjälpa uppgiftsutförare med deras efterlevnadsarbete har kommissionen tagit fram frågor och svar som ger ytterligare vägledning om användningen av klausulerna ( 179 ), som kommer att uppdateras ytterligare om nya frågor uppstår, bland annat mot bakgrund av ytterligare återkoppling som mottagits som en del av denna utvärdering.

Många uppgiftsutförare rapporterar att de har svårigheter med att genomföra de konsekvensbedömningar av överföringar som krävs enligt Schrems II-domen, och hänvisar särskilt till deras komplexitet samt till de kostnader och den tid som krävs för att genomföra dem ( 180 ). Samtidigt som de välkomnar styrelsens och standardavtalsklausulernas vägledning efterlyser de ytterligare vägledning (t.ex. om berörda parters ansvar och den detaljnivå som krävs i konsekvensbedömningar av överföringar) och ytterligare verktyg för att underlätta genomförandet av sådana bedömningar (t.ex. mallar, allmänna landsbedömningar, riskkataloger). Även om de berörda parterna främst gav sådan återkoppling om standardavtalsklausulerna, krävs samma bedömningar även för andra överföringsinstrument (t.ex. bindande företagsbestämmelser). Det är därför viktigt att dataskyddsstyrelsen – med utgångspunkt i erfarenheterna av att tillämpa Schrems II-kraven under de senaste åren, bland annat som en del av de nationella dataskyddsmyndigheternas tillsynsverksamhet – överväger att undersöka olika sätt/verktyg för att ytterligare hjälpa uppgiftsutförare i deras efterlevnadsarbete i detta sammanhang.

För att komplettera de befintliga standardavtalsklausulerna håller kommissionen på att utarbeta ytterligare uppsättningar klausuler för att ge EU:s uppgiftsutförare ett omfattande och sammanhängande paket. Detta kommer att omfatta standardavtalsklausuler enligt förordning (EU) 2018/1725 för dataöverföringar från EU:s institutioner och organ till kommersiella aktörer i tredjeländer ( 181 ) och standardavtalsklausuler för dataöverföringar till uppgiftsinförare i tredjeländer vars behandlingar direkt omfattas av den allmänna dataskyddsförordningen. De senare svarar på berörda parters uppmaning att särskilt täcka scenarier där uppgiftsinföraren omfattas av det territoriella tillämpningsområdet för den allmänna dataskyddsförordningen (t.ex. eftersom behandlingen i fråga riktar sig till EU-marknaden i enlighet med artikel 3.2 i den allmänna dataskyddsförordningen) ( 182 ). Som dataskyddsstyrelsen har klargjort krävs ett överföringsverktyg enligt kapitel V i den allmänna dataskyddsförordningen även i detta fall, på grund av de ökade riskerna för personuppgifter som behandlas utanför EU, till exempel på grund av eventuellt motstridiga nationella lagar eller oproportionell tillgång för myndigheter i tredjelandet ( 183 ). De nya standardavtalsklausuler som kommissionen håller på att ta fram kommer specifikt att behandla detta scenario och fullt ut ta hänsyn till de krav som redan gäller direkt för dessa personuppgiftsansvariga och personuppgiftsbiträden enligt den allmänna dataskyddsförordningen ( 184 ).

Såsom också erkänns av olika typer av berörda parter ( 185 ) spelar modellklausuler en alltmer central roll för att underlätta dataflöden över hela världen. Flera jurisdiktioner har godkänt EU:s standardavtalsklausuler som en överföringsmekanism enligt sina egna dataskyddslagar, med begränsade formella anpassningar av deras nationella rättsordning ( 186 ). Ett antal andra länder har antagit sina egna modellklausuler som har viktiga gemensamma drag med EU:s standardavtalsklausuler ( 187 ). Ett särskilt relevant exempel är skapandet av modellklausuler av andra internationella/regionala organisationer eller nätverk, såsom Europarådets rådgivande kommitté för konvention 108, Ibero-American Data Protection Network och Sydostasiatiska nationers förbund (Asean) ( 188 ). Detta öppnar nya möjligheter att underlätta dataflöden mellan olika regioner i världen på grundval av modellklausuler. Ett konkret exempel är EU–Asean:s vägledning om EU:s standardavtalsklausuler och Asean-modellklausuler som, med utgångspunkt i synpunkter från företag, hjälper dem i deras efterlevnadsinsatser enligt båda uppsättningarna klausuler ( 189 ).

Utöver standardavtalsklausuler fortsätter bindande företagsbestämmelser att användas i stor utsträckning för dataflöden mellan medlemmar i företagsgrupper eller bland företag som bedriver gemensam ekonomisk verksamhet. Eftersom den allmänna dataskyddsförordningen är tillämplig har dataskyddsstyrelsen antagit 80 positiva yttranden om nationella beslut om godkännande av bindande företagsbestämmelser ( 190 ). Dataskyddsstyrelsen utfärdade också vägledning om de delar som ska ingå i de bindande företagsbestämmelserna för personuppgiftsansvariga (och den information som ska tillhandahållas som en del av en ansökan om bindande företagsbestämmelser), som har uppdaterats för att återspegla kraven i den allmänna dataskyddsförordningen och domen i Schrems II-målet ( 191 ). Uppdaterad vägledning om bindande företagsbestämmelser för personuppgiftsbiträden håller också på att utarbetas ( 192 ). Eftersom de bindande företagsbestämmelserna syftar till att införa bindande strategier/program för dataskydd i företag anser många berörda parter att de är ett särskilt användbart efterlevnadsverktyg och ett tillförlitligt överföringsinstrument ( 193 ). Samtidigt fortsätter berörda parter att rapportera att de nationella dataskyddsmyndigheternas förfaranden för godkännande är så utdragna och komplexa att de förhindrar en bredare användning av bindande företagsbestämmelser. Det är därför viktigt att myndigheterna fortsätter att arbeta för att effektivisera och förkorta godkännandeförfarandet.

Sedan 2020 års rapport har man också vidtagit åtgärder för att underlätta användningen av certifiering och uppförandekoder som verktyg för överföringar, t.ex. genom att dataskyddsstyrelsen antar särskilda riktlinjer för båda verktygen ( 194 ). Samtidigt rapporterar berörda parter samma frågor om tidsplanen och komplexiteten i förfarandet för godkännande som de som nämns ovan när det gäller certifiering och uppförandekoder som verktyg för ansvarsskyldighet.

Slutligen innehåller den allmänna dataskyddsförordningen också bestämmelser om särskilda instrument – internationella avtal och administrativa överenskommelser som godkänts av dataskyddsmyndigheter – som offentliga myndigheter kan använda för att överföra personuppgifter till sina motparter i tredjeländer eller till internationella organisationer. Dataskyddsstyrelsen antog riktlinjer om de skyddsåtgärder som bör ingå i sådana instrument ( 195 ), som kan stödja förhandlingar om sådana avtal och arrangemang.

7.1.3Säkerställa samstämmighet med annan politik

Eftersom dataflöden har blivit avgörande för så många verksamheter är det viktigt att se till att dataskyddspolicyer och andra policyer kompletterar varandra. Att internationella instrument innehåller bestämmelser om dataskydd är inte bara ofta en förutsättning för dataflöden, utan också en viktig faktor för ett stabilt och tillförlitligt samarbete.

Exempelvis är internationella avtal som innehåller nödvändiga garantier för dataskydd, bland annat genom att säkerställa kontinuitet i skyddet för en begärande myndighet, avgörande för att säkerställa hövlighet och underlätta gränsöverskridande tillgång för brottsbekämpande myndigheter till elektronisk bevisning som innehas av företag och på så sätt en effektivare brottsbekämpning. Detta synsätt återspeglas i det andra tilläggsprotokollet till konventionen mot it-brottslighet ( 196 ), som förbättrar befintliga regler för att få gränsöverskridande tillgång till elektronisk bevisning i brottsutredningar samtidigt som lämpliga dataskyddsgarantier säkerställs. Protokollet har sedan dess undertecknats av flera EU-medlemsstater. På samma sätt pågår bilaterala förhandlingar mellan EU och Förenta staterna om ett avtal om gränsöverskridande tillgång till elektroniska bevis för straffrättsligt samarbete ( 197 ).

Utbytet av passageraruppgifter (PNR-uppgifter) är ett annat område i EU:s säkerhetspolitik som har gynnats av utvecklingen av starka dataskyddsåtgärder. År 2023 avslutade EU och Kanada sina förhandlingar om ett nytt PNR-avtal i linje med de krav som fastställts av domstolen i dess yttrande 1/15 ( 198 ). Liknande skyddsåtgärder har införts i kapitlet om passageraruppgifter i handels- och samarbetsavtalet mellan EU och Förenade kungariket. Införandet av förstärkt integritetsskydd i dessa avtal, som kan tjäna som mall för framtida avtal med andra partner, skapar rättssäkerhet för lufttrafikföretag samtidigt som man säkerställer stabiliteten i viktiga utbyten av uppgifter för att bekämpa terrorism och andra allvarliga gränsöverskridande brott.

Kommissionen förespråkar också starka bestämmelser för att skydda privatlivet och främja digital handel inom Världshandelsorganisationen (WTO) i de pågående förhandlingarna om det gemensamma uttalandet om elektronisk handel. Liknande bestämmelser om bekämpning av omotiverade hinder för digital handel, samtidigt som parternas nödvändiga politiska utrymme på området för dataskydd skyddas, har konsekvent tagits med i de frihandelsavtal som EU har ingått efter det att dataskyddsförordningen började tillämpas, särskilt i handels- och samarbetsavtalet mellan EU och Förenade kungariket och i avtalen med Chile, Japan och Nya Zeeland. Bestämmelser om integritet och dataflöden diskuteras också i de pågående förhandlingarna om digital handel med Singapore och Sydkorea.

7.2Internationellt samarbete om dataskydd

7.2.1Den bilaterala dimensionen

Kommissionen har fortsatt att föra en dialog med länder och internationella organisationer om utveckling, reform och genomförande av integritetsregler, bland annat genom att lämna in bidrag till offentliga samråd om förslag till lagstiftning eller regleringsåtgärder på området för integritet ( 199 ), att vittna inför behöriga parlamentsinstanser ( 200 ) och deltagande i särskilda möten med regeringsföreträdare, parlamentariska delegationer och tillsynsmyndigheter från många regioner i världen ( 201 ). Ett antal av dessa aktiviteter har genomförts genom det EU-finansierade projektet för bättre dataskydd och dataflöden, som stöder länder som avser att utveckla moderna ramar för dataskydd eller att stärka kapaciteten hos sina regleringsmyndigheter, genom utbildning, kunskapsutbyte, kapacitetsuppbyggnad och utbyte av bästa praxis. Kommissionen bidrog också till andra initiativ, t.ex. den digitala alliansen mellan EU och Celac.

Dataskyddet kommer också att fortsätta att spela en nyckelroll i kommissionens utvidgningsarbete. EU:s dataskyddslagstiftning är en viktig del av utvidgningsländernas övergripande ansträngningar att anpassa sina rättsliga ramar till EU:s (särskilt eftersom behandling och utbyte av personuppgifter utgör kärnan i så många politikområden). Att en dataskyddsmyndighet är oberoende och fungerar väl är dessutom en viktig del av övergripande kontroller och motvikter och rättsstatsprincipen, och kommer att bli allt viktigare i takt med att EU gradvis integrerar utvidgningsländerna på den inre marknaden (vilket planeras i initiativ såsom tillväxtplanen för västra Balkan).

En allt viktigare aspekt av EU:s dialog med tredjeländer handlar om utbytet mellan tillsynsmyndigheter. Som meddelades i 2020 års rapport har kommissionen inrättat en ”dataskyddsakademi” för att främja utbyten mellan dataskyddsmyndigheter i EU och tredjeländer och på så sätt bidra till kapacitetsuppbyggnad och förbättra samarbetet ”på fältet”. Akademin erbjuder skräddarsydd utbildning på begäran av myndigheter i tredjeländer och samlar sakkunskapen hos företrädare för tillsynsvärlden, den akademiska världen, den privata sektorn och EU-institutionerna. Utbildningens mervärde ligger i att anpassa de olika delarna till den begärande myndighetens intressen och behov. Dessa utbildningar gör det dessutom möjligt för dataskyddsmyndigheter i EU och tredjeländer att upprätta kontakter, utbyta kunskap erfarenheter och bästa praxis samtidentifiera möjliga samarbetsområden. Akademin har hittills tillhandahållit utbildning till dataskyddsmyndigheterna i Indonesien, Brasilien, Kenya, Nigeria och Rwanda och håller för närvarande på att förbereda utbildningar för flera andra länder.

Utöver vikten av att upprätthålla en dialog mellan tillsynsmyndigheterna finns det ett ökande behov av att utveckla lämpliga rättsliga instrument för närmare former av samarbete och ömsesidigt bistånd, bland annat genom att tillåta nödvändigt informationsutbyte i samband med utredningar, vilket också erkänns i den återkoppling som erhållits från rådet och dataskyddsstyrelsen ( 202 ). Eftersom integritetskränkningar i allt högre grad får gränsöverskridande effekter kan de ofta endast utredas och hanteras effektivt genom samarbete mellan tillsynsmyndigheter i och utanför EU. Kommissionen kommer därför att söka bemyndigande att inleda förhandlingar om ingående av avtal om tillsynssamarbete med berörda tredjeländer (vilket också föreskrivs i artikel 50 i den allmänna dataskyddsförordningen). I detta avseende noterar kommissionen dataskyddsstyrelsens begäran om att särskilt beakta länder med flest aktörer som direkt omfattas av dataskyddsförordningen som potentiella motparter, särskilt G7-länder och/eller länder som omfattas av beslut om adekvat skyddsnivå ( 203 ).

Inrättandet av sådana avtal om samarbete och ömsesidigt bistånd skulle också bidra till att säkerställa efterlevnad av och effektiv verkställighet mot utländska aktörer som omfattas av dataskyddsförordningen, t.ex. eftersom de specifikt riktar sig till EU-marknaden genom att erbjuda varor eller tjänster. Rådet noterar vikten av att se till att den allmänna dataskyddsförordningen efterlevs i sådana fall och uttrycker oro över lika villkor för enheter i EU samt ett effektivt skydd av enskildas rättigheter ( 204 ). Kommissionen instämmer i rådets uppmaning att undersöka olika sätt att underlätta genomförandet i detta scenario. Mer formella former av samarbete med tillsynsmyndigheter i tredjeländer kan visserligen spela en viktig roll, men andra – redan befintliga – möjligheter bör också utnyttjas mer kraftfullt. Detta inbegriper att fullt ut använda verktygslådan för verkställighet i artikel 58 i den allmänna dataskyddsförordningen och att involvera företrädare för utländska företag i EU (utsedda i enlighet med artikel 27 i den allmänna dataskyddsförordningen).

7.2.2Den multilaterala dimensionen

Kommissionen fortsätter också att aktivt delta i ett antal internationella forum för att främja gemensamma värden och skapa konvergens på regional och global nivå.

Detta innebär t.ex. att aktivt bidra till arbetet i den rådgivande kommittén för konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (konvention 108), det enda rättsligt bindande multilaterala instrumentet inom området för skydd av personuppgifter. Hittills har 31 stater ratificerat ändringsprotokollet för att modernisera konvention 108 ( 205 ), däribland många EU-medlemsstater, samt vissa länder som inte är medlemmar i Europarådet (Argentina, Mauritius och Uruguay). Bland EU:s medlemsstater är det fortfarande bara en medlemsstats underskrift ( 206 ) som återstår, medan åtta medlemsstater ( 207 ) hittills har undertecknat men inte ratificerat den moderniserade konventionen. Kommissionen uppmanar den återstående medlemsstaten att underteckna den moderniserade konventionen och andra att snarast gå vidare till ratificeringen, så att den kan träda i kraft inom en snar framtid. Utöver det fortsätter den att aktivt uppmuntra tredjeländer att ansluta sig.

Inom G20 och G7 har diskussionerna om integritet och dataflöden varit inriktade på att omsätta begreppet ”fria dataflöden med förtroende”, som ursprungligen föreslogs av Japan och som innebär att dataskydd och datasäkerhet kan bidra till förtroendet för den digitala ekonomin och underlätta dataflöden ( 208 ). OECD spelar en särskilt viktig roll i detta sammanhang genom att tillhandahålla ett forum för en expertgemenskap för fria dataflöden med förtroende som samlar ett brett spektrum av intressenter (regeringar, tillsynsmyndigheter, industrin, civilsamhället, den akademiska världen) för att lämna synpunkter på specifika projekt och frågor relaterade till fria dataflöden med förtroende. Ett viktigt resultat av initiativet om fria dataflöden med förtroende, som kommissionen i hög grad bidrog till, är dessutom OECD:s antagande av en förklaring om myndigheters tillgång till personuppgifter som lagras av enheter i den privata sektorn, det första internationella instrumentet på detta område. Den innehåller en rad gemensamma krav för att skydda integriteten vid åtkomst till personuppgifter i samband med nationell säkerhet och brottsbekämpning. Mot bakgrund av den ökande globala insikten om att förtroendet för dataöverföringar påverkas negativt av oproportionell statlig tillgång, är denna förklaring ett viktigt bidrag till att underlätta tillförlitliga dataflöden. Kommissionen kommer att fortsätta att uppmuntra länder att ansluta sig till förklaringen, som också är öppen för länder som inte är medlemmar i OECD.

Kommissionen samarbetar också med olika regionala organisationer och nätverk som utformar gemensamma dataskyddsåtgärder. Detta gäller till exempel Asean, Afrikanska unionen, Asia Pacific Privacy Authorities Forum, Ibero-American Data Protection Network och Network of African Data Protection Authorities (NADPA – RADPD). Utarbetandet av ovannämnda vägledning om modellklausuler mellan EU och Asean är ett konkret exempel på ett sådant givande samarbete.

Slutligen för kommissionen en dialog med olika internationella organisationer, bland annat för att undersöka hur man ytterligare kan underlätta dataflödet mellan EU och sådana organisationer. Eftersom många organisationer har moderniserat sina ramar för dataskydd under de senaste åren, eller håller på att göra det, uppstår också nya möjligheter att utbyta erfarenheter och bästa praxis. I detta avseende har årliga workshoppar med internationella organisationer, och en särskild arbetsgrupp om internationella dataöverföringar som organiseras av Europeiska datatillsynsmannen, visat sig vara särskilt användbara forum för att utbyta och utforska konkreta instrument för samarbete, inklusive utbyte av personuppgifter ( 209 ).

8Slutsats

Under de sex år som gått sedan den allmänna dataskyddsförordningen trädde i kraft har den gett människor möjlighet att ha kontroll över sina uppgifter. Den har också bidragit till att skapa lika villkor för företagen och utgjort en hörnsten för de många initiativ som driver på den digitala omställningen i EU.

För att fullt ut uppnå de dubbla målen i den allmänna dataskyddsförordningen – ett starkt skydd för enskilda personer samtidigt som man säkerställer ett fritt flöde av personuppgifter inom EU och säkra dataflöden utanför EU – måste man fokusera på följande:

·En stabil tillämpning av den allmänna dataskyddsförordningen, med början i ett snabbt antagande av kommissionens förslag om förfaranderegler för att ge snabba lösningar och rättssäkerhet i ärenden som rör enskilda personer i hela EU.

·Proaktivt stöd från dataskyddsmyndigheter till berörda parter i deras efterlevnadsarbete, särskilt små och medelstora företag och små aktörer.

·En konsekvent tolkning och tillämpning av den allmänna dataskyddsförordningen i hela EU.

·Effektivt samarbete mellan tillsynsmyndigheter på både nationell nivå och EU-nivå för att garantera en konsekvent och enhetlig tillämpning av EU:s digitala regler som ständigt blir fler.

·Ytterligare främjande av kommissionens internationella strategi för dataskydd.

För att stödja en effektiv tillämpning av den allmänna dataskyddsförordningen och ge underlag för ytterligare reflektioner om dataskydd behövs flera åtgärder som identifieras här. Kommissionen kommer att stödja och övervaka genomförandet av dem även mot bakgrund av nästa rapport 2028. 

Utveckla effektiva samarbetsstrukturer

Europaparlamentet och rådet uppmanas att snabbt anta förslaget om förfaranderegler för den allmänna dataskyddsförordningen.

Dataskyddsstyrelsen och dataskyddsmyndigheterna uppmanas att göra följande:

-Upprätta regelbundna samarbeten med andra sektoriella tillsynsmyndigheter i frågor som påverkar dataskyddet, särskilt sådana som inrättats enligt EU:s nya digitala lagstiftning, och aktivt delta i strukturer på EU-nivå som är utformade för att underlätta samarbete mellan tillsynsmyndigheter.

-Fullt ut utnyttja de verktyg för samarbete som föreskrivs i den allmänna dataskyddsförordningen, så att tvistlösning endast används som en sista utväg.

-Genomföra effektivare och mer målinriktade arbetsformer för riktlinjer, yttranden och beslut och prioritera viktiga frågor i syfte att minska bördan för dataskyddsmyndigheterna och snabbare reagera på marknadsutvecklingen.

Medlemsstaterna måste göra följande:

-Säkerställa att de nationella dataskyddsmyndigheterna faktiskt och fullständigt har en oberoende ställning.

-Tilldela dataskyddsmyndigheterna tillräckliga resurser för att de ska kunna fullgöra sina uppgifter, särskilt genom att förse dem med de tekniska resurser och den expertis som krävs för att hantera ny teknik och fullgöra nya skyldigheter enligt digital lagstiftning.

-Förse dataskyddsmyndigheterna med de utredningsverktyg som krävs för att de effektivt ska kunna utnyttja de verkställighetsbefogenheter som föreskrivs i den allmänna dataskyddsförordningen,

-Stödja dialogen mellan dataskyddsmyndigheter och andra nationella tillsynsmyndigheter, särskilt de som inrättats enligt den nya digitala lagstiftningen.

Kommissionen kommer att göra följande:

-Aktivt stödja medlagstiftarnas snabba antagande av förslaget om förfaranderegler för den allmänna dataskyddsförordningen,

-Fortsätta att noggrant övervaka att de nationella dataskyddsmyndigheterna faktiskt och fullständigt har en oberoende ställning.

-Skapa synergier och konsekvens mellan den allmänna dataskyddsförordningen och all lagstiftning som rör behandling av personuppgifter som bygger på erfarenhet och, om nödvändigt, vidta lämpliga åtgärder för att skapa rättssäkerhet.

-Reflektera över hur man bättra kan hantera behovet av ett strukturerat och effektivt samarbete mellan tillsynsmyndigheter för att garantera en effektiv, konsekvent och samstämmig tillämpning av EU:s digitala regler, samtidigt som dataskyddsmyndigheternas behörighet respekteras i alla frågor som rör behandling av personuppgifter.

Genomförande och komplettering av den rättsliga ramen

Medlemsstaterna måste göra följande:

-Säkerställa att dataskyddsmyndigheterna rådfrågas i god tid innan lagstiftning om behandling av personuppgifter antas.

Kommissionen kommer att göra följande:

-Fortsätta att använda alla tillgängliga verktyg, inklusive överträdelseförfaranden, för att säkerställa att medlemsstaterna följer den allmänna dataskyddsförordningen.

-Fortsätta att stödja utbyte av åsikter och nationell praxis mellan medlemsstaterna, bland annat genom medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen.

-Vidta åtgärder för att säkerställa att barn skyddas, har egenmakt och respekteras på nätet.

-Reflektera över möjliga kommande steg när det gäller förslaget till förordning om integritet och elektronisk kommunikation, inklusive dess förhållande till den allmänna dataskyddsförordningen.

Stödja berörda parter

Dataskyddsstyrelsen och dataskyddsmyndigheterna uppmanas att göra följande:

-Inleda en konstruktiv dialog med personuppgiftsansvariga och personuppgiftsbiträden om efterlevnaden av den allmänna dataskyddsförordningen,

-Ytterligare öka insatserna för att stödja små och medelstora företags efterlevnad genom att tillhandahålla skräddarsydd vägledning och skräddarsydda verktyg, undanröja eventuella ogrundade farhågor om efterlevnad hos små och medelstora företag som inte har behandling av personuppgifter som sin kärnverksamhet och stödja dem i deras efterlevnadsarbete.

-Stödja företagens genomförande av effektiva efterlevnadsåtgärder, såsom certifiering och uppförandekoder (inklusive som verktyg för överföringar), genom att samarbeta med intressenter under förfarandet för godkännande, tillhandahålla tydliga tidsramar för godkännanden och, i enlighet med datskyddsstyrelsens strategi 2024–2027, förklara för viktiga grupper av intressenter hur dessa verktyg kan användas.

-Se till att nationella riktlinjer och tillämpningen av den allmänna dataskyddsförordningen på nationell nivå är förenliga med dataskyddsstyrelsens riktlinjer och domstolens rättspraxis.

-Lösa olika tolkningar av den allmänna dataskyddsförordningen mellan dataskyddsmyndigheter, inbegripet mellan myndigheter inom samma medlemsstat.

-Tillhandahålla riktlinjer som är kortfattade, praktiska och tillgängliga för den berörda publiken, i enlighet med dataskyddsstyrelsens strategi för 2024–2027.

-Säkerställa ett tidigare och mer meningsfullt samråd om riktlinjer och yttranden för att bättre förstå marknadsdynamiken och affärspraxis, ta tillräcklig hänsyn till den återkoppling som mottagits och beakta den konkreta tillämpningen av de tolkningar som antagits.

-Slutföra det pågående arbetet med riktlinjer om uppgifter som rör barn, vetenskaplig forskning, anonymisering, pseudonymisering och berättigat intresse som en prioritering.

-Öka insatserna för att öka medvetenheten, informations- och verkställighetsåtgärder för att säkerställa att dataskyddsombuden kan fullgöra sin roll enligt den allmänna dataskyddsförordningen.

Kommissionen kommer att göra följande:

-Fortsätta att ge ekonomiskt stöd till dataskyddsmyndigheters verksamhet som underlättar små och medelstora företags genomförande av skyldigheterna enligt den allmänna dataskyddsförordningen.

-Använda alla tillgängliga medel för att snabbt klargöra viktiga frågor för berörda parter, inbegripet små och medelstora företag, särskilt genom att begära yttranden från dataskyddsstyrelsen.

Ytterligare utveckling av verktygslådan för dataöverföring och internationellt samarbete

Dataskyddsstyrelsen och dataskyddsmyndigheterna uppmanas att göra följande:

-Slutföra arbetet med att effektivisera och förkorta godkännandeprocessen för bindande företagsbestämmelser samt med att uppdatera vägledningen om vad som ska ingå i bindande företagsbestämmelser för personuppgiftsbiträden.

-Utforska sätt/verktyg för att ytterligare bistå uppgiftsutförarna i deras efterlevnadsarbete i förhållande till Schrems II-kraven.

-Utforska ytterligare sätt att säkerställa effektiv verkställighet mot aktörer som är etablerade i tredjeländer som omfattas av den allmänna dataskyddsförordningens territoriella tillämpningsområde.

Medlemsstaterna måste göra följande:

-Säkerställa återstående undertecknande och ratificering av Europarådets moderniserade konvention 108+ så snart som möjligt, så att den kan träda i kraft.

Kommissionen kommer att göra följande:

-Göra ytterligare framsteg i pågående samtal om adekvat skyddsnivå, undersöka den fortsatta utvecklingen av befintliga resultat om adekvat skyddsnivå och föra nya dialoger om adekvat skyddsnivå med berörda parter.

-Stödja ökat samarbete mellan nätverket av länder som omfattas av beslut om adekvat skyddsnivå,

-Slutföra arbetet med ytterligare standardavtalsklausuler, särskilt för uppgiftsöverföringar till uppgiftsinförare vars behandling direkt omfattas av den allmänna dataskyddsförordningen och överföringar enligt förordning (EU) 2018/1725 för uppgiftsöverföringar av EU:s institutioner och organ.

-Samarbeta med internationella partner om att underlätta dataflöden på grundval av standardavtalsklausuler,

-Stödja pågående reformförfaranden i tredjeländer om nya eller moderniserade dataskyddsregler genom utbyte av erfarenheter och bästa praxis.

-Samarbeta med internationella och regionala organisationer såsom OECD och G7 för att främja tillförlitliga dataflöden som grundas på höga dataskyddsstandarder, bland annat inom ramen för initiativet dataflöden med förtroende.

-Underlätta och stödja utbyten mellan europeiska och internationella regleringsmyndigheter, bland annat genom sin dataskyddsakademi.

-Bidra till att underlätta det internationella samarbetet kring tillämpning mellan tillsynsmyndigheter, bland annat genom förhandlingar om samarbete och avtal om ömsesidigt bistånd.

(1) ()    Dataskydd som en pelare för medborgarnas egenmakt och EU:s strategi för den digitala övergången – tillämpning av den allmänna dataskyddsförordningen under två års tid, 24.6.2020 COM(2020) 264.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/sv/pdf .

(3) ()    En sammanfattning av synpunkterna från den flerpartsexpertgruppen finns här: Report from Multistakeholder Expert group on GDPR application - June 2024.pdf . De synpunkter som mottagits som svar på den offentliga inbjudan att lämna synpunkter och genom bilaterala möten med berörda parter återspeglar i stort sett de synpunkter som uttryckts av medlemmarna i flerpartsexpertgruppen för dataskyddsförordningen.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_sv .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | . Europeiska dataskyddsstyrelsen (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | European Union Agency for Fundamental Rights (europa.eu) .

(7) ()    Förslag till Europaparlamentets och rådets förordning om fastställande av ytterligare förfaranderegler avseende verkställighet av förordning (EU) 2016/679 (COM(2023) 348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .

(9) ()    Genom flerpartsexpertgruppen för den allmänna dataskyddsförordningen och en inbjudan att lämna synpunkter som inleddes i februari 2023.

(10) ()    Framför allt genom medlemsstaternas expertgrupp för den allmänna dataskyddsförordningen: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sv&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Artikel 61 i den allmänna dataskyddsförordningen.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .

(13) ()    Artikel 62 i den allmänna dataskyddsförordningen.

(14) ()    Artikel 65 i den allmänna dataskyddsförordningen.

(15) ()    Den 3 november 2023 (bidrag från dataskyddsstyrelsen).

(16) ()    Enligt artikel 60.3 i den allmänna dataskyddsförordningen.

(17) ()    Från och med den 3 november 2023.

(18) ()    Den irländska myndigheten lämnade in flest formella ansökningar (246) medan de tyska myndigheterna mottog flest ansökningar (516).

(19) ()    Den irländska myndigheten lämnade in flest informella ansökningar (4 245) följt av de tyska myndigheterna (2 036).

(20) ()    Av 289 relevanta och motiverade invändningar som rapporterats av myndigheterna togs 101 (35 %) upp av de tyska myndigheterna. Graden av framgång med att nå samförstånd om relevanta och motiverade invändningar varierar från 15 % (av de tyska myndigheternas invändningar) till 100 % (av den polska myndighetens invändningar).

(21)

()    Artiklarna 64, 65 och 66 i den allmänna dataskyddsförordningen.

(22) ()    Yttranden enligt artikel 64.2 i dataskyddsförordningen.

(23)

()    Enligt artikel 65.1 a i den allmänna dataskyddsförordningen.

(24) ()    Enligt artikel 66.2 i den allmänna dataskyddsförordningen.

(25) ()    Se 5.3.4, bidrag från dataskyddsstyrelsen.

(26) ()    FRA-rapporten, s. 36.

(27) ()    Förslaget om förfaranderegler, artikel 5.

(28) ()    I Rumänien överklagades samtliga 26 beslut om överträdelse i domstol, medan andelen överklaganden i Nederländerna var 23 %. Graden av framgång för överklaganden var störst i Belgien (39 %).

(29) ()    Dataskyddsmyndigheter i Tyskland inledde det största antalet utredningar på eget initiativ (7 647), följt av Ungern (3 332), Österrike (1 681) och Frankrike (1 571).

(30) ()    Under 2022 mottog nio dataskyddsmyndigheter över 2 000 klagomål. Det högsta antalet klagomål registrerades av Tyskland (32 300), Italien (30 880), Spanien (15 128), Nederländerna (13 133) och Frankrike (12 193), medan det lägsta antalet registrerades av Liechtenstein (40), Island (140) och Kroatien (271).

(31) ()    Alla myndigheter utdömde administrativa sanktionsavgifter, utom Danmark, som inte föreskriver administrativa sanktionsavgifter. Det högsta antalet sanktionsavgifter utdömdes i Tyskland (2 106) och Spanien (1 596). Det lägsta antalet sanktionsavgifter utdömdes i Liechtenstein (3), Island (15) och Finland (20).

(32) ()    FRA-rapporten, s. 38.

(33) ()    FRA-rapporten s. 20 och 23. Se även rådets ståndpunkt och slutsatser, punkt 17.

(34) ()    Artikel 70.1 i den allmänna dataskyddsförordningen.

(35) ()    FRA-rapporten, s. 64.

(36) ()    FRA-rapporten, s. 67. År 2023 avsatte de tyska dataskyddsmyndigheterna de största resurserna till dataskyddsstyrelsen verksamhet (26 heltidsekvivalenter), följt av Irland (16) och Frankrike (12) (bidrag från dataskyddsstyrelsen).

(37) ()    FRA-rapporten, s. 67.

(38) ()    FRA-rapporten, s. 67. En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(39) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(40) ()    Se även rådets ståndpunkt och slutsatser, punkt 45.

(41) ()    Se även rådets ståndpunkt och slutsatser, punkt 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Se även rådets ståndpunkt och slutsatser, punkt 31 d.

(44) ()    De kräver klarhet i synnerhet när det gäller innebörden av begreppet ”vetenskaplig forskning”, rollen för samtycke till behandling av personuppgifter för forskning, den relevanta rättsliga grunden samt de berörda aktörernas roller och ansvar.

(45) ()    Se även rådets ståndpunkt och slutsatser, punkt 31 b.

(46) ()    Rådets ståndpunkt och slutsatser, punkterna 27–28.

(47) ()    Artikel 52 i den allmänna dataskyddsförordningen.

(48) ()    FRA-rapporten, s. 31.

(49) ()    Se avsnitt 4.4.1: bidrag från dataskyddsstyrelsen, även för absoluta siffror.

(50) ()    Endast fem dataskyddsmyndigheter anser att de har tillräckliga personalresurser (dataskyddsstyrelsens bidrag, sidan 33).

(51) ()    FRA-rapporten, s. 20. Vissa dataskyddsmyndigheter lägger ut vissa uppgifter på externa uppdragstagare, såsom hantering av klagomål, rättslig analys och kriminaltekniska analyser.

(52) ()    FRA-rapporten, s. 24.

(53) ()    FRA-rapporten, s. 22.

(54) ()    Se avsnitt 4.4.5: dataskyddsstyrelsens bidrag.

(55) ()    Bidrag från dataskyddsstyrelsen, s. 32.

(56) ()    FRA-rapporten, s. 48.

(57) ()    FRA-rapporten, s. 45. Dataskyddsmyndigheterna anser att utredningar på eget initiativ är särskilt viktiga, eftersom en enskild kanske inte känner till många överträdelser av den allmänna dataskyddsförordningen.

(58) ()    FRA-rapporten, s. 8.

(59) ()    FRA-rapporten, s. 39.

(60) ()    FRA-rapporten, s. 41.

(61) ()    Skäl 9 i den allmänna dataskyddsförordningen.

(62) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(63) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(64) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(65) ()    Artiklarna 6.1 f och 6.1 a i den allmänna dataskyddsförordningen.

(66) ()    Artikel 22.2 i den allmänna dataskyddsförordningen.

(67) ()    Skäl 4.

(68) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen. 

(69) ()    T.ex. minimiåldern för barns samtycke avseende informationssamhällets tjänster (artikel 8.1 i den allmänna dataskyddsförordningen).

(70) ()    Artikel 8.1 i den allmänna dataskyddsförordningen.

(71) ()    En möjlighet enligt artikel 9.4 i den allmänna dataskyddsförordningen.

(72) ()    Artikel 10 i den allmänna dataskyddsförordningen.

(73) ()    Rådets ståndpunkt och slutsatser, punkt 30.

(74) ()    Artikel 36 i den allmänna dataskyddsförordningen.

(75) ()    FRA-rapporten, s. 11.

(76) ()    Belgien (2021/4045) och Belgien (2022/2160).

(77) ()    Finland (2022/4010) och Sverige (2022/2022).

(78) ()    Med information om ärendet, typ av utredning (eget initiativ eller klagomålsbaserade), en sammanfattning av utredningens omfattning, de berörda dataskyddsmyndigheterna, de viktigaste åtgärder som vidtagits i förfarandet och datum, de utredningsåtgärder eller andra åtgärder som vidtagits och datum.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=sv&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Mål C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Målen C-184/20, ECLI:EU:C:2022:601, C-252/21, ECLI:EU:C:2023:537.

(83) ()    Målen C-683/21, ECLI:EU:C:2023:949, C-604/22, ECLI:EU:C:2024:214, C-231/22, ECLI:EU:C:2024:7.

(84) ()    Mål C-61/19, ECLI:EU:C:2020:901.

(85) ()    Målen C-597/19, ECLI:EU:C:2021:492, C-252/21, ECLI:EU:C:2023:537.

(86) ()    Mål C-307/22, ECLI:EU:C:2023:811. C-154/21, ECLI:EU:C:2023:3.

(87) ()    Mål C-460/20, ECLI:EU:C:2022:962.

(88) ()    Mål C-300/21, ECLI:EU:C:2023:370. Mål C-687/21, ECLI:EU:C:2024:72. Mål C-667/21, ECLI:EU:C:2023:1022.

(89) ()    De förenade målen C-26/22 och C-64/22 ECLI:EU:C:2023:958.

(90) ()    Målen C-807/21, ECLI:EU:C:2023:950, mål C-683/21, ECLI:EU:C:2023:949.

(91) ()    Mål C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Målen C-439/19, ECLI:EU:C:2021:504, C-184/20, ECLI:EU:C:2022:601.

(93) ()    Målen C-33/22, ECLI:EU:C:2024:46, C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Rådets ståndpunkt och slutsatser, punkt 13.

(95) ()    Bidrag från dataskyddsstyrelsen, avsnitt 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    FRA-rapporten, s. 9 och 48.

(98) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(99) ()    Artikel 10, förordning (EU) 2022/868 (dataförvaltningsakten), EUT L 152, 3.6.2022, s. 1.

(100) ()    Artikel 12.5 i den allmänna dataskyddsförordningen.

(101) ()    Domstolen har dock klargjort att den registrerade inte är skyldig att ange skälen för att begära tillgång till personuppgifter: Mål C-307/22, ECLI:EU:C:2023:811, punkt 38.

(102) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen. 

(103) ()    Rådets ståndpunkt och slutsatser, punkterna 27–28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Platform workers: Council confirms agreement on new rules to improve their working conditions - Consilium (europa.eu) .

(106) ()    Förslag till förordning om ett europeiskt hälsodataområde (COM(2022) 197 final).

(107) ()    Förslag till Europaparlamentets och rådets förordning om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010 och (EU) 2022/2554 (COM(2023) 360 final).

(108) ()    Direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenternas kollektiva intressen och om upphävande av direktiv 2009/22/EG – EUT L 409, 4.12.2020, s. 1.

(109) ()    Skäl 38 i dataskyddsförordningen.

(110) ()    Rekommendation om utveckling och förstärkning av integrerade system för skydd av barn som utgår från barnets bästa: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_sv .

(111) ()    Se även rådets ståndpunkt och slutsatser, punkt 31 a.

(112) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/sv/policies/strategy-better-internet-kids .

(115) ()    Förordning (EU) 2024/1183 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet, EUT L 2024/1183, 30.4.2024.

(116) ()    Som sägs i rapporten från plattformen ”Fit for future” har en expertgrupp på hög nivå inrättats för att hjälpa kommissionen att förenkla EU-lagstiftningen och minska därmed sammanhängande onödiga kostnader: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_en . Se även sammanfattningen av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen och rådets ståndpunkt och slutsatser, punkt 12.

(117) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(118) ()    Kommissionens genomförandebeslut (EU) 2021/915 av den 4 juni 2021 om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i den allmänna dataskyddsförordningen och artikel 29.7 i den allmänna dataskyddsförordningen (C/2021/3701) – EUT L 199, 7.6.2021, s. 18).

(119) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(120) ()    Rådets ståndpunkt och resultat, punkt 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(127) ()    Se rådets ståndpunkt och resultat, punkt 24. En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(128) ()    Artikel 30.5 i den allmänna dataskyddsförordningen.

(129) ()    Om en organisation sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

(130) ()    Rådets ståndpunkt och slutsatser, punkt 26. Dataskyddsstyrelsen 2023: Samordnade tillsynsåtgärder för utnämning av dataskyddsombud och deras ställning: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen. 

(132) ()    Se rekommendationerna i dataskyddsstyrelsens samordnade tillsynsåtgärder.

(133) ()    Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster), EUT L 277, 27.10.2022, s. 1.

(134) ()    Förordning (EU) 2022/1925 (rättsakten om digitala marknader), EUT L 265, 12.10.2022, s. 1.

(135) ()    Förordning (EU) 2024/1689 (förordningen om artificiell intelligens) EUT L, 2024/1689, 12.7.2024.

(136) ()     Platform workers: Council confirms agreement on new rules to improve their working conditions - Consilium (europa.eu) .

(137) ()    Förordning (EU) 2024/900 om transparens och inriktning när det gäller politisk reklam, EUT L, 2024/900, 20.3.2024.

(138) ()    Förslag till förordning om integritet och elektronisk kommunikation – COM(2017) 010 final.

(139) ()    Direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation), EUT L 201, 31.7.2002, s. 1.

(140)

()    Förordning (EU) 2024/903 (förordningen om ett interoperabelt Europa) EUT L, 2024/903, 22.3.2024.

(141) ()    Se rådets ståndpunkt och slutsatser, punkt 31 f.

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_sv .

(143) ()    Förordning (EU) 2022/868 (dataförvaltningsakten), EUT L 152, 3.6.2022, s. 1.

(144) ()    Förordning (EU) 2023/2854 (dataförordningen) EUT L, 2023/2854, 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_SV.html .

(146) ()    Se rådets ståndpunkt och resultat, punkterna 40–41. En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(147) ()    Se t.ex. artikel 37.3 i dataförordningen.

(148) ()    Direktiv (EU) 2022/2555 (NIS 2-direktivet) EUT L 333, 27.12.2022, s. 80.

(149) ()    Se rådets ståndpunkt och slutsatser, punkterna 18, 40–41 och sammanfattningen av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(150) ()     Tyskland har inrättat ett ”digitalt kluster”, som omfattar tillsynsmyndigheter från olika områden, i syfte att utöka sitt samarbete om alla aspekter av digitalisering och utbyta kunskap och bästa praxis: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Dataskyddsstyrelsens riktlinjer 05/2021.

(152) ()     Avsnitt 2 i dataskyddsstyrelsens riktlinjer 05/2021.

(153) ()     Mål C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Schrems II, punkt 93.

(155) ()     Schrems II, punkterna 96 och 105.

(156) ()     Schrems II, punkt 131.

(157) ()     Schrems II, punkt 105.

(158) ()     Dataskyddsstyrelsens rekommendationer 02/2020 och referensramen för adekvat skyddsnivå, WP 254 rev. 01.

(159) ()     Dataskyddsstyrelsens rekommendationer 01/2020, kompletterade med rekommendationerna 02/2020.

(160) ()     Se t.ex. punkterna 8–13 och 32–33 i dataskyddsstyrelsens rekommendationer 01/2020.

(161) ()     Se dataskyddsstyrelsens bidrag, s. 7–8. Rådets ståndpunkt och slutsatser, punkt 36. En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(162) ()    Genomförandet av kommissionens meddelande om utbyte och skydd av personuppgifter i en globaliserad värld, 10.1.2017 (COM(2017) 7 final).

(163) ()     Kommissionens genomförandebeslut (EU) 2021/1772, EUT L 360, 11.10.2021, s. 1.

(164) ()    Kommissionens genomförandebeslut (EU) 2022/254, EUT L 44, 24.2.2022, s. 1.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .

(166) ()    Kommissionens genomförandebeslut (EU) 2023/1795, EUT L 231, 20.9.2023, s. 118.

(167) ()     Europeiska patentorganisationen är en mellanstatlig organisation som inrättats på grundval av Europeiska patentkonventionen. Dess huvuduppgift är att bevilja EU-patent. I detta sammanhang har den ett nära samarbete med företag och offentliga myndigheter i EU:s medlemsstater samt med olika EU-institutioner och EU-organ.

(168) ()     Se dataskyddsstyrelsens bidrag, s. 7–8.

(169) ()    Artikel 45.4 och 45.5 i den allmänna dataskyddsförordningen. Se även Schrems I, punkt 76.

(170) ()     Kommissionens genomförandebeslut (EU) 2019/419, EUT L 76, 19.3.2019, s. 1. Se även https://ec.europa.eu/commission/presscorner/detail/en/IP_19_421 . Detta beslut utgjorde det första beslut om adekvat skyddsnivå som antogs enligt den allmänna dataskyddsförordningen och det första ömsesidiga avtalet om adekvat skyddsnivå.

(171) ()     Kommissionens rapport om den första översynen av tillämpningen av beslutet om Japans adekvata skyddsnivå, 3.4.2023, COM(2023) 275 final (och SWD(2023) 75 final).

(172) ()     Andorra, Argentina, Kanada (för kommersiella aktörer), Färöarna, Guernsey, Isle of Man, Israel, Jersey, Nya Zeeland, Schweiz och Uruguay.

(173) ()     Kommissionens rapport om den första översynen av hur de beslut om adekvat skyddsnivå som antagits enligt artikel 25.6 i direktiv 95/46/EG fungerar, 15.1.2024, COM(2024) 7 final (och SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .

(175) ()     T.ex. Argentina, Colombia, Israel, Marocko, Schweiz och Uruguay.

(176) ()     Kommissionens genomförandebeslut (EU) 2021/914, EUT L 199, 7.6.2021, s. 31.

(177) ()     Detta omfattade t.ex. EDPB:s och EDPS:s gemensamma yttrande 2/2021 som en del av antagandeförfarandet för standardavtalsklausulerna.

(178) ()     Rådets ståndpunkt och slutsatser, punkt 37, styrelsens bidrag, sidan 9, sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Se en sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(181) ()     I enlighet med artikel 48.2 b i förordning (EU) 2018/1725.

(182) ()     Rådets ståndpunkt och slutsatser, punkt 37, dataskyddsstyrelsens bidrag, sidan 9, sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(183) Dataskyddsstyrelsens riktlinjer 05/2021, punkt 3.

(184) ()     Såsom också anges i dataskyddsstyrelsens riktlinjer 05/2021, avsnitt 4.

(185) ()     Dataskyddsstyrelsens bidrag, sidan 9, sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(186) ()     T.ex. Förenade kungariket ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) och Schweiz ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     T.ex. Nya Zeeland ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) and Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Se https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 . https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf och https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Bidrag från dataskyddsstyrelsen, s. 9.

(191) ()     Dataskyddsstyrelsens rekommendationer 1/2022.

(192) ()     Bidrag från dataskyddsstyrelsen, s. 9.

(193) ()     En sammanfattning av återkopplingen från flerpartsexpertgruppen för den allmänna dataskyddsförordningen.

(194) ()    Dataskyddsstyrelsens riktlinjer 07/2022 och 04/2021.

(195) ()     Dataskyddsstyrelsens riktlinjer 2/2020.

(196) ()     Andra tilläggsprotokollet till konventionen om it-brottslighet om utökat samarbete och utlämnande av elektroniska bevis (CETS nr 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Kommissionens förslag till rådets beslut om undertecknande på Europeiska unionens vägnar av avtalet mellan Kanada och Europeiska unionen om överföring och behandling av passageraruppgifter (PNR-uppgifter), COM(2024) 94 final.

(199) ()     Detta gällde samråd som anordnades av t.ex. Australien, Kina, Rwanda, Argentina, Brasilien, Etiopien, Indonesien, Peru, Malaysia och Thailand.

(200) ()     Till exempel inför parlamentsinstanserna i Chile, Ecuador och Paraguay.

(201) () Detta omfattade även anordnande av seminarier och studiebesök, till exempel med Kenya, Indonesien och Singapore.

(202) ()     Bidrag från dataskyddsstyrelsen, s. 8. Rådets ståndpunkt och slutsatser, punkt 38.

(203) ()     Bidrag från dataskyddsstyrelsen, s. 8.

(204) ()     Rådets ståndpunkt och slutsatser, punkt 39.

(205) ()     Protokoll om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS nr 223).

(206) ()    Danmark.

(207) ()    Belgien, Tjeckien, Grekland, Irland, Lettland, Luxemburg, Nederländerna och Sverige.

(208) ()     Se t.ex. https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .