Nye retningslinjer fra Personvernrådet om behandlingsansvar og databehandlere og målretting på sosiale medier

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om behandlingsansvar og databehandlere samt målretting på sosiale medier. Dessuten har EDPB lagt en plan for det videre arbeidet med Schrems II-dommen.

Retningslinjene om behandlingsansvar og databehandlere gir blant annet veiledning om når man er behandlingsansvarlig og databehandler. Et viktig siktemål med retningslinjene er å gi mer informasjon om felles behandlingsansvar og hva dette innebærer, i lys av en rekke dommer fra EU-domstolen om dette temaet. Retningslinjene utdyper også hvilke avgjørelser man kan overlate til databehandler og hva databehandleravtaler må inneholde. Bakerst i retningslinjene finnes flytskjemaer.

Retningslinjene om målretting på sosiale medier handler om grensene for markedsføring på sosiale medier. Retningslinjene inneholder en rekke eksempler på ulike former for målretting der EDPB forklarer hvorvidt det foreligger felles behandlingsansvar og hvilket behandlingsgrunnlag som passer. Retningslinjene tar også opp andre sentrale spørsmål, slik som informasjonsplikter og hva som utgjør særlige kategorier av personopplysninger.

Begge sett med retningslinjer er på offentlig høring frem til 19. oktober. I denne perioden kan hvem som helst gi innspill til retningslinjene, men innspill må gis på et EU-språk og aller helst på engelsk. Etter 19. oktober vil alle innspill gjennomgås, og retningslinjene vil deretter revideres og vedtas på nytt.

Les mer og gi innspill til retningslinjene om behandlingsansvar og databehandlere (edpb.europa.eu). 

Les mer og gi innspill til retningslinjene om målretting på sosiale medier (edpb.europa.eu). 

Schrems II

Schrems II-dommen har gjort det utfordrende å overføre personopplysninger til land utenfor EØS. Derfor vil EDPB fremover jobbe med anbefalinger om hvordan man identifiserer og implementerer «ytterligere tiltak» for å sikre et tilsvarende beskyttelsesnivå som i EØS. Samtidig uttaler EDPBs leder at det vil være vanskelig å finne én løsning som passer for alle.

Personvernorganisasjonen noyb har klaget inn 101 europeiske virksomheter for brudd på reglene om overføring av personopplysninger til tredjeland (noyb.eu). Det dreier seg om virksomheter som har brukt Google Analytics eller Facebook Connect. EDPB har opprettet en egen arbeidsgruppe for å fremme samarbeid og koordinering når disse klagesakene skal behandles, siden det er viktig å finne en felleseuropeisk løsning på problemstillingene.