Europeiska dataskyddsstyrelsen har beslutat att initiera en ”årlig samordnad åtgärd”, med syfte att koordinera de nationella dataskyddsmyndigheternas arbete under det kommande året. Enligt planen ska tillsynsmyndigheternas fokus nu ligga på användandet av molnbaserade tjänster inom offentlig sektor.
I samband med antagandet av den allmänna dataskyddsförordningen – GDPR – inrättades också det nya europeiska dataskyddsorganet EDPB, eller Europeiska dataskyddsstyrelsen. Enligt dataskyddsförordningen ska EDPB bland annat verka för ökat samarbete och ömsesidigt utbyte mellan de nationella tillsynsmyndigheterna.
Som en del av det europeiska samordningsarbetet antog EDPB under oktober 2020 ett ramverk för samordnat genomförande enligt GDPR. Ramverket syftar i sin tur till att skapa en struktur för att koordinera så kallade återkommande årliga aktiviteter, eller årliga samordnade åtgärder, inom medlemsländerna: specifika fokusområden som de nationella tillsynsmyndigheterna förväntas prioritera under ungefär ett år framöver. I ramverksdokumentet förklarar EDPB att det rör sig om att främja kunskapsutbyte mellan de nationella tillsynsmyndigheterna inom ett visst ämnesområde – men också att förbättra regelefterlevnaden på det utvalda området:
”Syftet med återkommande årliga samordnade åtgärder är att främja efterlevnad, ge de registrerade möjlighet att utnyttja sina rättigheter, öka medvetenheten och/eller förbättra tillsynsmyndigheternas kunskaper.”
Under förra veckan kom beskedet att EDPB nu för första gången har lagt fram ett förslag på en sådan årlig samordnad åtgärd. Enligt förslaget ska den samordnade åtgärden avse användning av molnbaserade tjänster inom offentlig sektor. Området har varit högaktuellt redan tidigare, inte minst efter EU-domstolens dom i Schrems II-målet under sommaren 2020, och, för svensk del, slutsatserna från den så kallade IT-driftsutredningen som presenterades i början av året.
Om förslaget antas ska medlemsstaternas tillsynsmyndigheter – däribland den svenska Integritetsskyddsmyndigheten – ta ställning till tillämpningsområdet för sitt nationella genomförande av den årliga samordnade åtgärden. Det är inte obligatoriskt för de nationella tillsynsmyndigheterna att delta i varje årlig samordnad åtgärd. Däremot är målet med det valda ämnesområdet att maximera de nationella tillsynsmyndigheternas deltagande.
När den årliga samordnade åtgärden är genomförd ska resultaten av arbetet utvärderas och läggas till grund för eventuella uppföljningsåtgärder, antingen på nationell nivå eller på EU-nivå.
Om du vill veta mer om EDPB:s åtgärdsförslag eller har frågor om gällande dataskyddskrav för användning av molntjänster är du välkommen att kontakta Mats Ohlén, advokat och partner, Caroline Lorentzen, biträdande jurist, eller Gustav Tranvik, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
