Help Print this page 

Document 52018DC0043

Title and reference
MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET Starkare skydd, nya möjligheter - riktlinjer från kommissionen om den direkta tillämpningen av den allmänna dataskyddsförordningen från och med den 25 maj 2018

COM/2018/043 final
Multilingual display
Dates
  • Date of document: 24/01/2018
  • Date of dispatch: 24/01/2018; överlämnat till rådet
  • Date of dispatch: 24/01/2018; överlämnat till Europaparlamentet
Miscellaneous information
  • Author: Europeiska kommissionen, Generaldirektoratet för rättsliga frågor och konsumentfrågor
  • Form: Meddelande
Procedure
  • Department responsible: JUST
Text

Bryssel den 24.1.2018

COM(2018) 43 final

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

Starkare skydd, nya möjligheter - riktlinjer från kommissionen om den direkta tillämpningen av den allmänna dataskyddsförordningen från och med den 25 maj 2018


Meddelande från kommissionen till Europaparlamentet och rådet

Starkare skydd, nya möjligheter – riktlinjer från kommissionen om den direkta tillämpningen av den allmänna dataskyddsförordningen från och med den 25 maj 2018

Inledning

Den 6 april 2016 godkände EU en stor reform av sin ram för dataskydd genom att anta reformpaketet för dataskydd. Reformpaketet består av den allmänna dataskyddsförordningen  1 , som ersätter det tjugo år gamla direktiv 95/46/EG 2 (dataskyddsdirektivet) och polisdirektivet 3 . Den allmänna dataskyddsförordningen (nedan kallad förordningen) är det nya EU-omfattande instrumentet för dataskydd och den kommer att bli direkt tillämplig den 25 maj 2018, två år efter att den antogs och trädde i kraft 4 .

Den nya förordningen kommer att stärka skyddet för den enskildes rätt till personuppgiftsskydd, vilket återspeglar Europeiska unionens syn på dataskydd som en grundläggande rättighet 5 .

Förordningen innehåller en gemensam uppsättning regler som är direkt tillämpliga i medlemsstaternas rättsordningar och kommer att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna och återupprätta konsumenternas förtroende och säkerhet, två inslag som är oumbärliga för en verklig digital inre marknad. På så sätt kommer förordningen att skapa nya möjligheter för företag, särskilt mindre sådana. Detta kommer även att göras genom att införa tydligare regler för internationella överföringar av uppgifter.

Även om den nya ramen för dataskydd bygger på befintlig lagstiftning kommer den att få en omfattande inverkan och kräva betydande anpassningar i vissa aspekter. Av detta skäl innehåller förordningen en övergångsperiod på två år (fram till den 25 maj 2018) för att ge medlemsstaterna och intressenter tid att helt förbereda sig inför den nya rättsliga ramen.

Under de senaste två åren har alla intressenter, från nationella förvaltningar och nationella dataskyddsmyndigheter till personuppgiftsansvariga och personuppgiftsbiträden, deltagit i ett antal verksamheter för att se till att de är väl införstådda med vikten och omfattningen av de ändringar som sker till följd av det nya dataskyddet, och att alla aktörer är redo för tillämpningen. Nu när tidsfristen den 25 maj närmar sig anser kommissionen att det är nödvändigt att se över det arbete som har utförts och undersöka ytterligare åtgärder som kan vidtas för att se till att alla delar är på plats för att den nya ramen framgångsrikt ska kunna träda i kraft 6 .

I detta meddelande

·sammanställs de huvudsakliga nyheter och möjligheter som uppstår genom den nya EU-lagstiftningen om dataskydd,

·granskas det förberedande arbete som hittills har utförts på EU-nivå,

·beskrivs vad Europeiska kommissionen, nationella dataskyddsmyndigheter och nationella förvaltningar ännu bör göra för att framgångsrikt slutföra det förberedande arbetet,

·fastställs åtgärder som kommissionen avser att vidta under de kommande månaderna.

Parallellt med antagandet av detta meddelande inrättar kommissionen även en verktygslåda på nätet för att hjälpa intressenter att förbereda sig för tillämpningen av förordningen och, med stöd från representationskontoren, en informationskampanj i alla medlemsstater.

1.DEN NYA EU-RAMEN FÖR DATASKYDD – STARKARE SKYDD och NYA MÖJLIGHETER

Förordningen fortsätter att följa dataskyddsdirektivets upplägg, men reglerna tydliggörs och moderniseras genom att bygga vidare på 20 års EU-lagstiftning om dataskydd och relevant rättspraxis. Förordningen innehåller ett antal nya delar som stärker skyddet för enskilda personers rättigheter och skapar möjligheter för företag. Detta gäller särskilt följande delar:

·En harmoniserad rättslig ram som leder till en enhetlig tillämpning av regler till fördel för EU:s digitala inre marknad. Detta innebär en gemensam uppsättning regler för medborgare och företag, för att komma till rätta med dagens läge där medlemsstaterna har genomfört direktivets regler på olika sätt. För att se till att reglerna tillämpas enhetligt och konsekvent i alla medlemsstater inrättas en mekanism för en enda kontaktpunkt.

·Lika villkor för alla företag som är verksamma på EU:s marknad. Förordningen innehåller krav på att företag som är baserade utanför EU ska följa samma regler som företag som är baserade i EU om de erbjuder varor och tjänster med anknytning till personuppgifter eller övervakar beteendet hos enskilda personer i unionen. Företag som drivs från utanför EU och är aktiva på den inre marknaden ska under vissa omständigheter utse en företrädare i EU som allmänheten och myndigheter kan kontakta utöver eller i stället för det utrikesbaserade företaget.

·Principerna om inbyggt dataskydd och dataskydd som standard som främjar innovativa lösningar för hantering av dataskyddsfrågor redan i ett tidigt skede.

·Starkare rättigheter för enskilda personer. I förordningen införs nya krav på öppenhet, förstärkta rättigheter vad gäller information, tillgång och radering (rätten att bli bortglömd), krav på en entydig bekräftande handling för att uttrycka samtycke, i stället för att tystnad eller inaktivitet gäller som giltigt samtycke, samt skydd av barn på nätet.

·Mer kontroll över personuppgifter för enskilda personer. Genom förordningen fastställs en ny rätt till dataportabilitet som gör det möjligt för medborgare att be ett företag eller en organisation om att få tillbaka personuppgifter som denne har gett företaget eller organisationen baserat på samtycke eller avtal. Om det är tekniskt möjligt får sådana personuppgifter även överföras direkt till ett annat företag eller en annan organisation. Eftersom det gör det möjligt att direkt överföra personuppgifter mellan olika företag eller organisationer innebär denna rätt även att man stödjer det fria flödet av personuppgifter i EU, undviker ”inlåsning” av personuppgifter och främjar konkurrens mellan företag. Genom att göra det lättare för allmänheten att byta mellan olika tjänsteleverantörer främjas utvecklingen av nya tjänster i samband med strategin för den digitala inre marknaden.

·Starkare skydd mot personuppgiftsincidenter. I förordningen fastställs en omfattande uppsättning regler om personuppgiftsincidenter. Den innehåller en tydlig definition av vad som avses med ”personuppgiftsincident” och en skyldighet att meddela tillsynsmyndigheten inom 72 timmar om det är troligt att personuppgiftsincidenten medför en risk för den enskilda personens rättigheter och friheter. Under vissa omständigheter måste den person underrättas vars uppgifter berörs av incidenten. Detta förstärker skyddet avsevärt i jämförelse med den aktuella situationen i EU, där endast leverantörer av elektroniska kommunikationstjänster, leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster är skyldiga att rapportera personuppgiftsincidenter, enligt direktivet om integritet och elektronisk kommunikation (e-integritetsdirektivet) 7 respektive direktivet om säkerhet i nätverks- och informationssystem (it-säkerhetsdirektivet) 8 .

·Genom förordningen får alla dataskyddsmyndigheter befogenhet att utfärda sanktionsavgifter för personuppgiftsansvariga och personuppgiftsbiträden. För närvarande har inte alla av dem denna befogenhet. Detta kommer att förbättra genomförandet av reglerna. Sanktionsavgifterna kan uppgå till 20 miljoner euro eller, för företag, till 4 % av den globala årsomsättningen.

·Mer flexibilitet för personuppgiftsansvariga och personuppgiftsbiträden som behandlar personuppgifter, på grund av entydiga bestämmelser om ansvar (ansvarsprincipen). Förordningen rör sig bort från ett anmälningssystem och närmare ansvarsprincipen. Ansvarsprincipen genomförs med skalbara skyldigheter som är riskbaserade (t.ex. närvaron av ett dataskyddsombud eller skyldigheten att utföra konsekvensbedömningar avseende dataskydd). För att hjälpa till att bedöma risken innan behandlingen påbörjas inrättas ett nytt verktyg: konsekvensbedömningen avseende dataskydd. Bedömningen krävs om det är sannolikt att behandlingen leder till en hög risk för enskilda personers rättigheter och friheter. I förordningen nämns särskilt tre sådana situationer: när ett företag gör systematiska och omfattande utvärderingar av en enskild persons personliga aspekter (inklusive profilering), när det behandlar känsliga uppgifter i stor skala eller när det systematiskt övervakar offentliga utrymmen i stor skala. Nationella dataskyddsmyndigheter kommer att vara skyldiga att offentliggöra förteckningar över ärenden som kräver konsekvensbedömningar avseende dataskydd 9 .

·Tydliggörande av personuppgiftsansvarigas skyldigheter och personuppgiftsbiträdens ansvar vid val av en personuppgiftsansvarig.

·Ett modernt styrningssystem för att garantera en mer konsekvent och en mer kraftfull tillämpning av reglerna. Detta omfattar harmoniserade befogenheter för dataskyddsmyndigheter, inklusive för sanktionsavgifter och nya mekanismer för att myndigheterna ska kunna samarbeta i ett nätverk.

·Det skydd för personuppgifter som garanteras genom förordningen följer med uppgifterna när de förs utanför EU, vilket säkerställer en hög skyddsnivå 10 . Förordningens struktur vad gäller reglerna om internationella överföringar förblir i huvudsak densamma som i direktivet från 1995, men genom reformen förtydligas och förenklas användningen av dessa regler och nya verktyg för överföringar införs. När det gäller beslut om adekvat skyddsnivå innehåller förordningen en exakt och detaljerad förteckning över uppgifter som måste beaktas när kommissionen bedömer om ett utländskt system har ett adekvat skydd av personuppgifter. Genom förordningen formaliseras och utökas även antalet alternativa överföringsinstrument, såsom standardavtalsklausuler och bindande företagsbestämmelser.

Den reviderade förordningen för EU:s institutioner, organ, kontor och byråer 11 liksom förordningen om integritet och elektronisk kommunikation (e-integritetsförordningen) 12 , som för närvarande håller på att förhandlas, kommer när de väl har antagits att säkerställa att EU har en stark och omfattande uppsättning dataskyddsregler 13 .

2.Förberedande arbete som hittills har utförts på EU-nivå

För att förordningen framgångsrikt ska kunna tillämpas måste alla som är inblandade i dataskydd samarbeta: medlemsstaterna, däribland offentliga förvaltningar, nationella dataskyddsmyndigheter, företag, organisationer som behandlar personuppgifter och enskilda personer samt kommissionen.

2.1 Europeiska kommissionens åtgärder

En kort tid efter det att förordningen trädde i kraft i mitten av 2016 inledde kommissionen ett samarbete med medlemsstaternas myndigheter, dataskyddsmyndigheter och intressenter för att förbereda tillämpningen av förordningen och tillhandahålla stöd och rådgivning.

a) Stöd till medlemsstaterna och deras myndigheter

Kommissionen har haft ett nära samarbete med medlemsstaterna för att stödja deras arbete under övergångsperioden, i syfte att uppnå högsta möjliga nivå av enhetlighet. För att göra detta har kommissionen inrättat en expertgrupp som ska arbeta tillsammans med medlemsstaterna under förberedelserna inför förordningen. Gruppen har redan sammanträtt 13 gånger och fungerar som ett forum där medlemsstaterna kan utbyta erfarenheter och sakkunskap 14 . Kommissionen har också deltagit i bilaterala möten med medlemsstaternas myndigheter för att diskutera frågor som uppstår på nationell nivå.

b) Stöd till enskilda dataskyddsmyndigheter och inrättande av Europeiska dataskyddsstyrelsen

Kommissionen har aktivt stöttat det arbete som utförs av Artikel 29-arbetsgruppen för en smidig övergång till Europeiska dataskyddsstyrelsen 15 .

c) Internationell räckvidd

Förordningen kommer ytterligare att stärka EU:s förmåga att aktivt främja sina dataskyddsvärden och underlätta flödet av uppgifter över gränserna genom att uppmuntra konvergens av rättsliga system världen över 16 . EU:s dataskyddsregler erkänns alltmer på internationell nivå som några av de högsta standarderna för dataskydd i hela värden. Europarådets konvention 108, det enda rättsligt bindande multilaterala instrumentet inom området skydd av personuppgifter, håller också på att moderniseras. Kommissionen arbetar för att konventionen ska återspegla samma principer som EU:s nya dataskyddsregler och på så sätt bidra till att inrätta en gemensam uppsättning höga standarder för dataskydd. Kommissionen kommer aktivt att främja ett snabbt antagande av konventionens reviderade text för att EU ska kunna bli konventionspart 17 . Kommissionen uppmuntrar länder utanför EU att ratificera Europarådets konvention 108 och dess tilläggsprotokoll.

Dessutom finns det flera länder och regionala organisationer utanför EU, allt från vår omedelbara närhet till Asien, Latinamerika och Afrika, som antar ny eller uppdaterar befintlig dataskyddslagstiftning i syfte att utnyttja de möjligheter som erbjuds inom den globala digitala ekonomin, och för att möta den växande efterfrågan på högre datasäkerhet och integritetsskydd. Länderna skiljer sig visserligen åt i fråga om tillvägagångssätt och nivå för utvecklingen av lagstiftningen, men det finns tecken på att förordningen alltmer används som referenspunkt och inspirationskälla 18 .

I detta sammanhang fortsätter kommissionen sitt arbete med internationell räckvidd i linje med kommissionens meddelande 19 från januari 2017 genom att aktivt samarbeta med viktiga handelspartner särskilt i östra och sydöstra Asien och i Latinamerika för att undersöka möjligheten att anta beslut om adekvat skyddsnivå 20 .

Kommissionen arbetar särskilt med Japan för att samtidigt finna en lämplig skyddsnivå för båda sidor senast i början av 2018, enligt vad som meddelades av ordförande Juncker och premiärminister Abe i deras gemensamma förklaring av den 6 juli 2017 21 . Man har även inlett samtal med Sydkorea om ett möjligt beslut om adekvat skyddsnivå. Antagandet av ett beslut om adekvat skyddsnivå skulle säkerställa ett fritt flöde av uppgifter med berörda tredjeländer samtidigt som en hög skyddsnivå garanteras för personuppgifter som överförs från EU till dessa länder.

Samtidigt arbetar kommissionen med intressenter för att utnyttja samtliga möjligheter med den allmänna dataskyddsförordningens verktygslåda för internationella överföringar genom att utveckla alternativa överföringsmekanismer som är anpassade till specifika industriers och/eller aktörers särskilda behov 22 .

d) Kontakt med intressenter

Kommissionen har anordnat ett antal evenemang för att nå ut till intressenter 23 . En ny workshop som riktas mot konsumenter planeras för det första kvartalet 2018. Särskilda sektorsinriktade diskussioner inom områden som forskning och finanstjänster har också ägt rum.

Kommissionen har även inrättat en grupp bestående av flera intressenter för förordningen, bestående av företrädare från civilsamhället och företag, forskare och yrkesverksamma. Gruppen kommer att ge råd till kommissionen, i synnerhet om hur en lämplig nivå av medvetenhet om förordningen kan uppnås bland intressenter 24 .

Slutligen har Europeiska kommissionen genom sitt ramprogram för forskning och innovation, Horisont 2020 25 , finansierat åtgärder för att utveckla verktyg som ska stödja en effektiv tillämpning av förordningens regler om samtycke och integritetsbevarande metoder för analys av uppgifter, såsom säker flerpartsberäkning (multi-party computing) och homomorfisk kryptering.

2.2 Åtgärder av Artikel 29-arbetsgruppen och Europeiska dataskyddsstyrelsen

Artikel 29-arbetsgruppen omfattar alla nationella dataskyddsmyndigheter, inklusive Europeiska dataskyddsstyrelsen, och spelar en viktig roll i förberedelserna inför tillämpningen av förordningen i och med att gruppen utfärdar riktlinjer för företag och andra intressenter. Eftersom nationella dataskyddsmyndigheter överser tillämpningen av förordningen och fungerar som direkta kontaktpunkter för intressenter är de bäst lämpade att tillhandahålla ytterligare rättssäkerhet i samband med tolkningen av den.

Riktlinjer och arbetsdokument från Artikel 29-arbetsgruppen mot bakgrund av att förordningen börjar tillämpas 26

Right to data portability (rätten till dataportabilitet)

Antagna den 4–5 april 2017

Data protection officers (dataskyddsombud)

Designation of the lead Supervisory Authority (utnämning av ansvarig tillsynsmyndighet)

Data protection impact assessment (konsekvensbedömning avseende dataskydd)

Antagna den 3–4 oktober 2017

Administrative fines (administrativa sanktionsavgifter)

Antagna den 3–4 oktober 2017

Profiling (profilering)

Arbete pågår

Data breach (personuppgiftsincidenter)

Arbete pågår

Consent (samtycke)

Arbete pågår

Transparency (insyn)

Arbete pågår

Certification and accreditation (certifiering och ackreditering)

Arbete pågår

Adequacy referential (referensram för adekvat skyddsnivå)

Arbete pågår

Binding corporate rules for controllers (bindande företagsregler för personuppgiftsansvariga)

Arbete pågår

Binding corporate rules for processors (bindande företagsregler för personuppgiftsbiträden)

Arbete pågår

Artikel 29-arbetsgruppen arbetar för att uppdatera befintliga yttranden, inklusive om verktygen för att överföra uppgifter till länder utanför EU.

Eftersom det är mycket viktigt att aktörerna har en samstämmig och gemensam uppsättning riktlinjer måste de nuvarande nationella riktlinjerna antingen upphävas eller anpassas till de riktlinjer som har antagits av Artikel 29-arbetsgruppen och Europeiska dataskyddsstyrelsen om samma ämne.

Kommissionen fäster stor vikt vid att dessa riktlinjer är föremål för offentligt samråd innan de genomförs. Det är mycket viktigt att intressenternas synpunkter under förfarandet är så precisa och konkreta som möjligt, eftersom det kommer att bidra till att definiera bästa praxis och uppmärksamma Artikel 29-arbetsgruppen på industriers och sektorers särdrag. Artikel 29-arbetsgruppen och den framtida Europeiska dataskyddsstyrelsen har fortfarande det slutliga ansvaret för riktlinjerna, och dataskyddsmyndigheterna ska hänvisa till dessa två vid tillämpningen av förordningen.

Riktlinjerna bör kunna ändras mot bakgrund av utveckling och praxis. Det är därför mycket viktigt att dataskyddsmyndigheterna främjar en kultur som präglas av dialog med alla intressenter, inklusive företag.

När det gäller frågor om tolkning och tillämpning av förordningen är det viktigt att komma ihåg att den slutliga tolkningen görs av domstolar på nationell nivå och EU-nivå.

3.Kvarstående steg för ett lyckat förberedande arbete

3.1 Medlemsstaternas inrättande av den rättsliga ramen på nationell nivå

Förordningen är direkt tillämplig i alla medlemsstater 27 . Det innebär att den träder i kraft och tillämpas oberoende av nationella rättsliga åtgärder. Bestämmelserna i förordningen kan normalt sett åberopas direkt av allmänheten, företag, offentliga förvaltningar och andra organisationer som behandlar personuppgifter. Medlemsstaterna måste dock, i enlighet med förordningen, ta de steg som krävs för att anpassa sin lagstiftning genom att upphäva och ändra befintliga lagar. De måste även inrätta nationella dataskyddsmyndigheter 28 , utse ett ackrediteringsorgan 29 och fastställa regler för sammanjämkningen av yttrandefrihet och dataskydd 30 .

Genom förordningen ges medlemsstaterna även möjlighet att ytterligare specificera tillämpningen av dataskyddsreglerna inom vissa områden: den offentliga sektorn 31 , arbetsrätt och social trygghet 32 , förebyggande hälso- och sjukvård och yrkesmedicin, folkhälsa 33 , arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål 34 , nationella identifikationsnummer 35 , allmänhetens rätt att få tillgång till allmänna handlingar 36 och tystnadsplikt 37 . För genetiska eller biometriska uppgifter eller uppgifter om hälsa bemyndigar dessutom förordningen medlemsstaterna att upprätthålla eller införa ytterligare villkor, inklusive begränsningar 38 .

I detta sammanhang bygger medlemsstaternas åtgärder på följande två delar:

1.Artikel 8 i stadgan, vilket innebär att all nationell specificerad lagstiftning ska uppfylla kraven i artikel 8 i stadgan (och förordningen som bygger på artikel 8 i stadgan).

2.Artikel 16.2 i fördraget om Europeiska unionens funktionssätt, enligt vilken nationell lagstiftning inte får inkräkta på det fria flödet av personuppgifter i EU.

Förordningen innebär en möjlighet att förenkla det rättsliga regelverket och att få färre nationella regler och förbättrad tydlighet för aktörer.

När medlemsstaterna anpassar sin nationella lagstiftning måste de beakta att alla nationella åtgärder som skulle orsaka hinder för förordningens direkta tillämplighet och äventyra dess enhetliga och samtidiga tillämpning i hela EU strider mot fördragen 39 .

Det är också förbjudet att upprepa texten i förordningarna i den nationella lagstiftningen (t.ex. genom att upprepa definitioner eller individers rättigheter), om inte sådana upprepningar är absolut nödvändiga för samstämmigheten och för att göra de nationella lagarna begripliga för de personer för vilka lagarna gäller 40 . Att återupprepa texten i förordningen ord för ord i nationell specificerad lagstiftning bör endast ske i motiverade undantagsfall, och får inte göras för att lägga till ytterligare villkor eller tolkningar till texten i förordningen.

Tolkningen av förordningen lämnas åt de europeiska domstolarna (de nationella domstolarna och i slutändan Europeiska unionens domstol), inte åt medlemsstaternas lagstiftare. Den nationella lagstiftaren kan därför varken kopiera texten i förordningen när så inte krävs på grund av kriterier i rättspraxis, eller tolka texten eller lägga till ytterligare villkor till de regler som är direkt tillämpliga enligt förordningen. Om de gjorde detta skulle aktörer i hela unionen återigen stå inför en bristande enhetlighet och skulle inte veta vilka regler de måste följa.

I nuläget är det bara två medlemsstater som har antagit relevant nationell lagstiftning 41 . De återstående medlemsstaterna befinner sig i olika skeden i sina lagstiftningsförfaranden 42 och planerar att anta lagstiftningen senast den 25 maj 2018. Det är viktigt att ge aktörerna tillräckligt med tid att förbereda sig för alla de bestämmelser som de måste iaktta.

Om medlemsstaterna inte vidtar de åtgärder som krävs enligt förordningen, är sena med att vidta dem eller använder de specifikationsklausuler som föreskrivs i förordningen på ett sätt som strider mot densamma kommer kommissionen att använda sig av alla de verktyg som står till dess förfogande, inklusive tillämpning av överträdelseförfarandet.

3.2 Dataskyddsmyndigheter för att säkerställa att den nya oberoende Europeiska dataskyddsstyrelsen är fullt fungerande

Genom förordningen inrättas det nya organet Europeiska dataskyddsstyrelsen 43 , som är en efterföljare till Artikel 29-arbetsgruppen. Det är mycket viktigt att styrelsen är fullt fungerande senast den 25 maj 2018.

Europeiska datatillsynsmannen, som är den dataskyddsmyndighet som ansvarar för tillsynen av EU-institutioner och EU-organ, kommer att tillhandahålla sekretariatet för Europeiska dataskyddsstyrelsen för att förbättra synergier och effektivitet. Under de senaste månaderna har Europeiska datatillsynsmannen påbörjat de nödvändiga förberedelserna för detta.

Europeiska dataskyddsstyrelsen kommer att stå i centrum för dataskyddet i Europa. Styrelsen kommer att bidra till en konsekvent tillämpning av dataskyddslagstiftningen och tillhandahålla en solid grund för samarbete mellan dataskyddsmyndigheterna, inklusive Europeiska datatillsynsmannen. Europeiska dataskyddsstyrelsen kommer inte enbart att utfärda riktlinjer om hur centrala begrepp i förordningen ska tolkas, utan kommer även att uppmanas fatta bindande beslut om tvister som rör gränsöverskridande behandling. Detta kommer att säkerställa en enhetlig tillämpning av EU:s regler och förhindra att samma ärende hanteras på olika sätt i olika medlemsstater.

Att Europeiska dataskyddsstyrelsen fungerar smidigt och effektivt är därför ett villkor för att hela systemet ska fungera på ett bra sätt. Europeiska dataskyddsstyrelsen måste mer än någonsin tidigare skapa en gemensam dataskyddskultur bland alla de nationella dataskyddsmyndigheterna för att se till att reglerna i förordningen tolkas konsekvent. Genom förordningen främjas samarbetet mellan dataskyddsmyndigheterna i och med att de får verktyg för att effektivt kunna samarbeta. De kommer särskilt att kunna genomföra gemensamma insatser, anta beslut i samförstånd och lösa eventuella diskrepanser som rör tolkningen av förordningen inom styrelsen, genom yttranden och bindande beslut. Kommissionen uppmuntrar dataskyddsmyndigheterna att anamma dessa förändringar och anpassa sin funktions-, finans- och arbetskultur för att kunna leva upp till de nya rättigheterna och skyldigheterna.

3.3 Medlemsstaternas tillhandahållande av nödvändiga ekonomiska och personella resurser till nationella dataskyddsmyndigheter

Det är mycket viktigt att inrätta helt oberoende tillsynsmyndigheter i varje medlemsstat för att se till att fysiska personer skyddas i samband med hanteringen av deras personuppgifter inom EU 44 . Tillsynsmyndigheterna kan inte effektivt skydda enskilda personers rättigheter och friheter om de inte agerar helt oberoende. Underlåtenhet att garantera att dessa myndigheter är oberoende och effektivt kan utöva sina befogenheter har en omfattande negativ inverkan när det gäller efterlevnaden av dataskyddslagstiftningen 45 .

I förordningen kodifieras kravet att alla dataskyddsmyndigheter ska agera helt oberoende 46 . Det stärker de nationella dataskyddsmyndigheternas självständighet och ger dem enhetliga befogenheter i hela EU, så att de är lämpligt rustade för att effektivt hantera klagomål, utföra effektiva utredningar, fatta bindande beslut och förelägga effektiva och avskräckande sanktioner. Genom förordningen får de även befogenhet att ålägga administrativa sanktionsavgifter för personuppgiftsansvariga och personuppgiftsbiträden på upp till 20 miljoner euro eller, för företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst.

Dataskyddsmyndigheterna är naturliga samtalspartner och den första kontaktpunkten för allmänheten, företag och offentliga förvaltningar som har frågor rörande förordningen. Dataskyddsmyndigheternas roll omfattar att informera personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter och att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i samband med uppgiftsbehandling. Det innebär dock inte att personuppgiftsansvariga och personuppgiftsbiträden bör förvänta sig att dataskyddsmyndigheterna ska förse dem med sådan skräddarsydd och anpassad juridisk rådgivning som bara en advokat eller ett dataskyddsombud kan tillhandahålla.

De nationella dataskyddsmyndigheterna spelar därför en central roll, men den relativa obalansen mellan de personella och ekonomiska resurser som dessa myndigheter tilldelas i olika medlemsstater kan äventyra deras effektivitet och i slutändan det fullständiga oberoende som föreskrivs enligt förordningen. Det kan också få negativa konsekvenser för dataskyddsmyndigheternas sätt att utöva sina befogenheter, såsom utredningsbefogenheter. Medlemsstaterna uppmuntras att uppfylla sin rättsliga skyldighet att förse sin nationella dataskyddsmyndighet med personella, tekniska och ekonomiska resurser, lokaler och infrastruktur som behövs för att myndigheten effektivt ska kunna genomföra sina uppgifter och utöva sina befogenheter 47 .

3.4 Förberedelser inför tillämpningen av de nya reglerna av företag, offentliga förvaltningar och andra organisationer som behandlar uppgifter

Förordningen har inte väsentligt ändrat de grundläggande begrepp och principer i dataskyddslagstiftningen som infördes redan 1995. Detta innebär att den stora majoriteten av personuppgiftsansvariga och personuppgiftsbiträden, under förutsättning att de redan följer befintliga EU-lagar om dataskydd, inte kommer att behöva göra några större ändringar i sina behandlingsförfaranden för att uppfylla kraven i förordningen.

Förordningen påverkar mest aktörer vars centrala verksamheter är behandling av uppgifter och/eller hantering av känsliga uppgifter. Den påverkar även de som regelbundet och systematiskt övervakar enskilda personer i stor skala. Sådana aktörer kommer troligtvis att behöva utse ett dataskyddsombud, utföra en konsekvensbedömning avseende dataskydd och anmäla personuppgiftsincidenter om enskilda personers rättigheter och friheter riskerar att påverkas. Aktörer vars centrala verksamhet inte medför höga risker, särskilt små och medelstora företag, kommer däremot inte att normalt sett vara föremål för dessa särskilda skyldigheter i förordningen.

Det är viktigt att personuppgiftsansvariga och personuppgiftsbiträden noga ser över sin policycykel för uppgifter för att tydligt identifiera vilka uppgifter de har, vad de används för och på vilken rättslig grund (t.ex. molnmiljö, aktörer i finanssektorn). De måste också bedöma tecknade kontrakt, särskilt kontrakt mellan personuppgiftsansvariga och personuppgiftsbiträden, vägar för internationella överföringar och den övergripande styrningen (vilka it-åtgärder och organisatoriska åtgärder som ska finnas), inklusive utnämningen av ett dataskyddsombud. En mycket viktig del i denna process är att se till att den högsta ledningsnivån är delaktig i sådana översyner, kommer med synpunkter och regelbundet uppdateras och rådfrågas om ändringar i företagets datapolicy.

För att göra detta använder sig vissa aktörer av checklistor för efterlevnad (interna eller externa), rådfrågar konsulter och advokatbyråer och söker efter produkter som följer kraven för inbyggt dataskydd och dataskydd som standard. Varje sektor måste ta fram metoder som passar sektorns särskilda egenskaper och som är anpassade efter dess affärsmodell.

Företag och andra organisationer som behandlar uppgifter kommer också att kunna dra nytta av de nya verktygen i förordningen för att visa att reglerna följs, såsom uppförandekoder och certifieringsmekanismer. De utgörs av bottom-up-strategier från näringslivet, föreningar eller andra organisationer som representerar kategorier av personuppgiftsansvariga och personuppgiftsbiträden och återspeglar bästa praxis, viktiga framsteg i en viss sektor eller som kan informera om den nivå för dataskydd som krävs för vissa produkter och tjänster. Förordningen innehåller en strömlinjeformad uppsättning regler för sådana mekanismer, som är anpassade efter hur marknaden fungerar (t.ex. certifiering av ett certifieringsorgan eller av en dataskyddsmyndighet).

De stora företagen förbereder sig aktivt för tillämpningen av de nya reglerna, men många små och medelstora företag är ännu inte helt medvetna om de kommande dataskyddsreglerna.

Sammanfattningsvis bör aktörer förbereda sig för och anpassa sig till de nya reglerna och se förordningen som

·ett tillfälle att få ordning på sin verksamhet när det gäller vilka personuppgifter som de behandlar och hur de gör detta,

·en skyldighet att utveckla sekretess- och dataskyddsvänliga produkter och bygga upp ett nytt förhållande med sina kunder baserat på öppenhet och förtroende, och

·ett tillfälle att återställa sina förbindelser med dataskyddsmyndigheter genom ansvarsskyldighet och proaktiv efterlevnad.

3.5 Information till intressenter, särskilt allmänheten och små och medelstora företag

Förordningens framgång bygger på korrekt kunskap hos alla som påverkas av de nya reglerna (näringslivet och andra organisationer som behandlar uppgifter, den offentliga sektorn och allmänheten). På nationell nivå är det dataskyddsmyndigheterna som främst ansvarar för att öka medvetenheten och fungera som en första kontaktpunkt för personuppgiftsansvariga, personuppgiftsbiträden och enskilda personer. Eftersom dataskyddsmyndigheterna ser till att dataskyddsreglerna följs inom deras territorium är de också bäst lämpade att informera företag och den offentliga sektorn om de ändringar som införs genom förordningen, liksom att göra allmänheten medveten om sina rättigheter.

Dataskyddsmyndigheterna har börjat informera intressenter enligt de särskilda nationella tillvägagångssätten. Vissa anordnar seminarier med offentliga förvaltningar, också på regional och lokal nivå, och genomför workshoppar med olika affärssektorer för att öka kännedomen om förordningens viktigaste bestämmelser. Andra genomför särskilda utbildningsprogram för dataskyddsombud. De flesta av myndigheterna tillhandahåller informationsmaterial i olika format på sina webbplatser (checklistor, videor etc.).

Allmänheten är dock ännu inte tillräckligt medveten om de förändringar och stärkta rättigheter som de nya dataskyddsreglerna medför. De utbildnings- och informationsinitiativ som har inletts av dataskyddsmyndigheterna bör fortsätta och intensifieras, med särskilt fokus på små och medelstora företag. Dessutom kan nationella sektorsvisa förvaltningar stödja dataskyddsmyndigheters verksamhet och nå ut till andra intressenter med utgångspunkt i myndigheternas insatser.

4.Nästa steg

Under de kommande månaderna kommer kommissionen att fortsätta att aktivt stödja alla aktörer i förberedelserna inför tillämpningen av förordningen.

a) Arbete med medlemsstaterna

Kommissionen kommer att fortsätta att arbeta tillsammans med medlemsstaterna under förberedelserna fram till maj 2018. Från och med maj 2018 kommer den att övervaka hur de nya reglerna tillämpas i medlemsstaterna och vidta lämpliga åtgärder efter behov.

b) Nya riktlinjer på nätet på alla EU-språk och informationsspridning

Kommissionen håller på att ta fram praktiska riktlinjer 48 för att hjälpa företag (särskilt små och medelstora företag), offentliga myndigheter och allmänheten att följa och dra nytta av de nya dataskyddsreglerna.

Riktlinjerna utgörs av ett praktiskt nätverktyg som är tillgängligt på alla EU-språk. Nätverktyget kommer att uppdateras regelbundet och är avsett att tjäna tre huvudsakliga målgrupper: allmänheten, företag (särskilt små och medelstora företag) och andra organisationer samt offentliga förvaltningar. Det omfattar frågor och svar som valts ut baserat på återkoppling från intressenter med praktiska exempel och länkar till olika informationskällor (t.ex. artiklar i förordningen, riktlinjer från Artikel 29-arbetsgruppen och Europeiska dataskyddsstyrelsen samt material som utarbetats på nationell nivå).

Kommissionen kommer regelbundet att aktualisera verktyget genom att lägga till frågor och uppdatera svaren, med utgångspunkt i återkoppling och nya problem som uppstår under genomförandet.

Riktlinjerna kommer att främjas genom en informationskampanj och spridningsaktiviteter i alla medlemsstater, med inriktning på företag och allmänheten.

Eftersom förordningen föreskriver starkare rättigheter för enskilda personer kommer kommissionen också att engagera sig i informationsspridning och delta i evenemang runt om i medlemsstaterna för att informera allmänheten om förordningens fördelar och inverkan.

c) Ekonomiskt stöd till nationella kampanjer och informationsspridning

Kommissionen stödjer nationella ansträngningar att sprida information och förbättra efterlevnaden genom att bevilja bidrag som kan användas för utbildning av dataskyddsmyndigheter, offentliga förvaltningar, jurister och dataskyddsombud 49 och för att göra dem förtrogna med förordningen.

Cirka 1,7 miljoner euro kommer att tilldelas sex bidragsmottagare i mer än hälften av medlemsstaterna. Finansieringen kommer att inriktas på lokala offentliga myndigheter, däribland dataskyddsombud vid lokala offentliga myndigheter, offentliga myndigheter och från den privata sektorn, domare och advokater. Bidragen kommer att användas för att utveckla utbildningsmaterial för dataskyddsmyndigheter, dataskyddsombud och andra yrkesverksamma, liksom för program för utbildning av utbildare.

Kommissionen har även gett ut en inbjudan att lämna förslag, med särskilt fokus på dataskyddsmyndigheter. Den totala budgeten uppgår till 2 miljoner euro och kommer att hjälpa dem att nå ut till intressenter 50 . Målet är att tillhandahålla 80 % medfinansiering för åtgärder som vidtas av dataskyddsmyndigheter 2018–2019 för att öka medvetenheten hos företag, särskilt små och medelstora företag, och svara på deras frågor. Finansieringen kan även användas för att öka kunskapen hos allmänheten.

d) Bedömning av behovet att använda kommissionens befogenheter

Förordningen 51 ger kommissionen möjlighet att utfärda genomförandeakter eller delegerade akter för att ytterligare stödja genomförandet av de nya reglerna. Kommissionen kommer endast att använda dessa befogenheter om det finns ett tydligt mervärde och baserat på återkoppling från samråd med intressenter. I synnerhet kommer kommissionen att arbeta med frågan om certifiering, baserat på en undersökning som gavs i uppdrag åt externa experter, och synpunkter och råd om denna fråga från den flerpartsgrupp om förordningen som inrättades i slutet av 2017. Det arbete som utförs av Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) inom området it-säkerhet kommer också att vara relevant i detta sammanhang.

e) Införlivande av förordningen i avtalet om Europeiska ekonomiska samarbetsområdet

Kommissionen kommer att fortsätta att arbeta med tre stater inom Europeiska frihandelssammanslutningen (Island, Liechtenstein och Norge) i det Europeiska ekonomiska samarbetsområdet för att införliva förordningen i avtalet om Europeiska ekonomiska samarbetsområdet 52 . Först när förordningen har införlivats i avtalet kommer personuppgifter att kunna flöda fritt mellan länderna i EU och Europeiska ekonomiska samarbetsområdet på samma sätt som de gör mellan medlemsstaterna.

f) Förenade kungarikets utträde ur EU

I samband med förhandlingarna om ett avtal om utträde mellan EU och Förenade kungariket, som grundas på artikel 50 i fördraget om Europeiska unionen, kommer kommissionen att fortsätta att arbeta för att unionens bestämmelser om skydd av personuppgifter som tillämpas dagen före datumet för utträde fortsätter att tillämpas på de personuppgifter i Förenade kungariket som behandlas före datumet för utträde 53 . Berörda enskilda personer bör till exempel fortfarande ha rätt till information, tillgång, rättelse, radering, begränsning av behandling, dataportabilitet och rätt att göra invändningar mot behandling och att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, på grundval av unionsrättens relevanta bestämmelser som tillämpas datumet för utträde. De personuppgifter som avses ovan bör inte lagras längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlades.

Från och med datumet för utträde, och enligt de övergångsbestämmelser som kan ingå i ett eventuellt avtal om utträde, tillämpas förordningens regler om överföringar av personuppgifter till tredjeländer på Förenade kungariket 54 .

g) Utvärdering i maj 2019

Efter den 25 maj 2018 kommer kommissionen noga att övervaka tillämpningen av de nya reglerna och vara redo att vidta åtgärder om något betydande problem skulle uppstå. När förordningen har tillämpats i ett år (2019) kommer kommissionen att anordna ett evenemang för att utvärdera de olika intressenternas erfarenheter av genomförandet av förordningen. Detta kommer också att ingå i den rapport som kommissionen ska presentera senast i maj 2020 om tillämpningen och översynen av förordningen. Rapporten kommer att ha särskilt fokus på internationella överföringar och på de bestämmelser om samarbete och enhetlighet som rör dataskyddsmyndigheternas arbete.

Slutsats

Den 25 maj kommer en ny gemensam uppsättning dataskyddsregler att träda i kraft i hela EU. Det nya regelverket kommer att innebära betydande fördelar för enskilda personer, företag, offentliga förvaltningar och andra organisationer. Det är även ett tillfälle för EU att bli världsledare på området skydd av personuppgifter. Reformen kan dock endast lyckas om alla inblandade anammar sina skyldigheter och rättigheter.

Sedan antagandet av förordningen i maj 2016 har kommissionen aktivt samarbetat med alla berörda aktörer – regeringar, nationella myndigheter, företag och det civila samhället – för tillämpningen av de nya reglerna. En stor del av arbetet har ägnats åt att se till att alla är fullt informerade om och förberedda inför tillämpningen, men det finns fortfarande mycket att göra. Det förberedande arbetet pågår i olika hastigheter i medlemsstaterna och bland de många aktörerna. Dessutom har inte alla lika stor kännedom om de fördelar och möjligheter som de nya reglerna innebär. Det finns ett särskilt behov av att höja medvetenheten och främja efterlevnaden hos små och medelstora företag.

Kommissionen uppmanar därför alla berörda aktörer att intensifiera det pågående arbetet för att se till att de nya reglerna tolkas och tillämpas på samma sätt i hela EU, och för att öka kunskapen bland både företag och allmänhet. Kommissionen kommer att stödja dessa ansträngningar med finansiering och administrativt stöd och kommer att hjälpa till att höja den allmänna kunskapsnivån, särskilt genom att inrätta verktygslådan med riktlinjer på nätet.

Uppgifter är alltmer värdefulla för dagens ekonomi och de är grundläggande i medborgarnas dagliga liv. De nya reglerna innebär en unik möjlighet för både företag och allmänheten. Företag, särskilt mindre sådana, kommer att kunna dra nytta av de innovationsvänliga gemensamma reglerna och få ordning på sin verksamhet när det gäller personuppgifter, i syfte att återupprätta konsumenternas förtroende och använda detta som en konkurrensfördel i EU. Allmänheten kommer att kunna dra fördel av det starkare skyddet av personuppgifter och få större kontroll över hur företagen hanterar uppgifterna.

Den digitala ekonomin expanderar snabbt i den moderna världen och Europeiska unionen, dess medborgare och företag måste vara fullt rustade för att utnyttja fördelarna med och förstå konsekvenserna av dataekonomin. Den nya förordningen tillhandahåller de verktyg som behövs för att göra Europa redo för 2000-talet.

Kommissionen kommer att vidta följande åtgärder:

För medlemsstaterna

·Kommissionen kommer att fortsätta att arbeta med medlemsstaterna för att främja samstämmighet och begränsa fragmentering i samband med tillämpningen av förordningen, med hänsyn till medlemsstaternas utrymme för specificering enligt den nya lagstiftningen.

·Efter maj 2018 kommer kommissionen noga att övervaka tillämpningen av förordningen i medlemsstaterna och vidta lämpliga åtgärder efter behov, inklusive tillämpning av överträdelseförfarandet.

För dataskyddsmyndigheter

·Fram till maj 2018 kommer kommissionen att stödja det arbete som utförs av dataskyddsmyndigheterna inom ramen för Artikel 29-arbetsgruppen och under övergången till den framtida Europeiska dataskyddsstyrelsen. Efter maj 2018 kommer den att bidra till Europeiska dataskyddsstyrelsens arbete.

·Under 2018–2019 kommer kommissionen att medfinansiera (med en total budget på upp till 2 miljoner euro) informationsverksamhet som bedrivs av dataskyddsmyndigheter på nationell nivå (projekten genomförs från och med mitten av 2018).

För intressenter

·Kommissionen kommer att inrätta ett praktiskt nätverktyg med riktlinjer som innehåller frågor och svar, riktat mot allmänheten, företag och offentliga förvaltningar. Den planerar att sprida riktlinjerna bland målgrupperna med hjälp av en informationskampanj för företag och allmänheten under förberedelserna inför maj 2018 samt efter detta.

·Under 2018 och framåt kommer kommissionen att fortsätta att aktivt samarbeta med intressenter, i synnerhet genom gruppen bestående av flera intressenter, om genomförandet av förordningen och nivån av medvetenhet om de nya reglerna.

För alla aktörer

·Under 2018–2019 kommer kommissionen att bedöma behovet av att använda sin befogenhet att anta delegerade akter eller genomförandeakter.

·I maj 2019 kommer kommissionen att se över genomförandet av förordningen och rapportera om tillämpningen av de nya reglerna under 2020.

(1) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119, 4.5.2016.
(2) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995.
(3) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, EUT L 119, 4.5.2016.
(4) Förordningen har varit i kraft sedan den 24 maj 2016 och kommer att börja tillämpas den 25 maj 2018.
(5) Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16 i fördraget om Europeiska unionens funktionssätt.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_sv.pdf
(7) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), EGT L 201, 31.7.2002, s. 37). Enligt artikel 95 i den allmänna dataskyddsförordningen ska den förordningen inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG. Detta betyder till exempel att enheter som omfattas av e-integritetsdirektivet är föremål för skyldigheten enligt det direktivet att meddela en personuppgiftsincident om incidenten avser en tjänst som i sak omfattas av e-integritetsdirektivet. Inga ytterligare skyldigheter åläggs dem enligt den allmänna dataskyddsförordningen i det avseendet.
(8) Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, EUT L 194, 19.7.2016, s. 1. Enheter som omfattas av it-säkerhetsdirektivet bör rapportera incidenter som påverkar deras tillhandahållande av tjänster på ett betydande eller väsentligt sätt. Incidentrapportering enligt it-säkerhetsdirektivet påverkar inte anmälan av incidenter enligt förordningen.
(9) Artikel 35 i förordningen.
(10) Meddelande från kommissionen om utbyte och skydd av personuppgifter i en globaliserad värld, COM(2017) 7 final.
(11) Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG, COM(2017) 8 final.
(12) Förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (förordning om integritet och elektronisk kommunikation), COM(2017) 10 final.
(13) Fram till dess att e-integritetsförordningen antas och börjar tillämpas gäller direktiv 2002/58/EG som lex specialis till förordningen.
(14) En fullständig förteckning över möten, agendor, sammanfattningar av diskussioner och en överblick över det aktuella läget för lagstiftningen i de olika medlemsstaterna finns på http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=SV
(15) Kommissionen kommer till exempel att göra det möjligt för Europeiska dataskyddsstyrelsens medlemmar att kommunicera genom informationssystemet för den inre marknaden.
(16)  Diskussionsunderlag – Hur vi bemöter globaliseringen, COM(2017) 240.
(17) Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS nr 108) och 2001 års tilläggsprotokoll till denna konvention om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (CETS nr 181). Konventionen är öppen för icke-medlemmar av Europarådet och har redan ratificerats av 51 länder (däribland Uruguay, Mauritius, Senegal och Tunisien).
(18) Se t.ex. de ibero-amerikanska dataskyddsstandarderna på http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19) COM(2017) 7.
(20) COM(2017) 7, ibid. s. 10–11.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm
(22) COM(2017) 7, ibid. s. 10–11.
(23)

Två workshoppar med industrin i juli 2016 och april 2017, två rundabordssamtal med företag i december 2016 och maj 2017, en workshop om hälsouppgifter i oktober 2017 och en workshop med företrädare för små och medelstora företag i november 2017.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=SV
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26) Alla antagna riktlinjer finns tillgängliga på http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
(27) Artikel 288 i EUF-fördraget.
(28) Artikel 54.1 i förordningen.
(29) Enligt artikel 43.1 i förordningen ska medlemsstaterna erbjuda två möjliga ackrediteringsmetoder för certifieringsorgan, nämligen genom den nationella tillsynsmyndigheten för dataskydd som inrättats i enlighet med dataskyddslagstiftningen och/eller genom det nationella ackrediteringsorgan som inrättats enligt förordning (EG) nr 765/2008 om ackreditering och marknadskontroll. För att uppnå detta bör ett nära samarbete föras mellan den europeiska samarbetsorganisationen för ackreditering (som erkänns enligt förordning 765/2008), där nationella ackrediteringsorgan samlas, och tillsynsmyndigheter enligt den allmänna dataskyddsförordningen.
(30) Artikel 85.1 i förordningen.
(31) Artikel 6.2 i förordningen.
(32) Artiklarna 88 och 9.2 b i förordningen. Den europeiska pelaren för sociala rättigheter anger även att ”[a]rbetstagare har rätt till skydd för sina personuppgifter kopplade till anställningen” (2017/C 428/09, EUT C 428, 13.12.2017, s. 10).
(33) Artikel 9.2 h och i i förordningen.
(34) Artikel 9.2 j i förordningen.
(35) Artikel 87 i förordningen.
(36) Artikel 86 i förordningen.
(37) Artikel 90 i förordningen.
(38) Artikel 9.4 i förordningen.
(39) Mål 94/77, Fratelli Zerbone Snc/Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 och 101.
(40) Skäl 8 i förordningen.
(41) Österrike ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ) och
Tyskland (
https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42) En överblick över det aktuella läget för lagstiftningsförfarandet i de olika medlemsstaterna finns på http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=SV
(43) Europeiska dataskyddsstyrelsen kommer att vara ett EU-organ med status som juridisk person och kommer att ansvara för att förordningen tillämpas på ett konsekvent sätt. Styrelsen kommer att bestå av chefen för varje dataskyddsmyndighet och av Europeiska datatillsynsmannen, eller deras företrädare.
(44) Skäl 117 och tidigare angett i skäl 62 i direktiv 95/46.
(45) Meddelande från kommissionen till Europaparlamentet och rådet om uppföljningen av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet, KOM(2007) 87 slutlig, 7.3.2007.
(46) Artikel 52 i förordningen.
(47) Artikel 52.4 i förordningen.
(48) Riktlinjerna kommer att bidra till en bättre förståelse av EU:s dataskyddsregler, men endast texten i förordningen har rättslig verkan. Följaktligen kan endast förordningen ge upphov till rättigheter och skyldigheter för enskilda personer.
(49)  Beviljade bidrag inom ramen för 2016 års program för rättigheter och medborgarskap: https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc
(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51) Delegerad akt om information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla standardiserade symboler (artikel 12.8 i förordningen), delegerad akt om krav som ska tas i beaktande för certifieringsmekanismer (artikel 43.8 i förordningen), genomförandeakt om fastställande av tekniska standarder för certifieringsmekanismer och sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och märkningar (artikel 43.9 i förordningen), genomförandeakt om vilket format och vilka rutiner som ska användas för de personuppgiftsansvarigas, personuppgiftsbiträdenas och tillsynsmyndigheternas utbyte av information om bindande företagsbestämmelser (artikel 47.3 i förordningen), och genomförandeakter om format och förfaranden för ömsesidigt bistånd samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan (artiklarna 61.9 och 67 i förordningen).
(52) Information om det aktuella läget finns på http://www.efta.int/eea-lex/32016R0679
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54) Se kommissionens tillkännagivande till intressenter om Förenade kungarikets utträde och EU-regler inom området dataskydd (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).
Top