European Data Protection Board (EDPB)

Europeiska dataskyddsstyrelsen (EDPB)

Europeiska dataskyddsstyrelsen, EDPB (European Data Protection Board), är det oberoende EU-organ som ansvarar för att säkerställa en enhetlig tillämpning av GDPR i alla medlemsländer. För marknadsförare och företag som verkar i Europa är det avgörande att förstå EDPB:s roll och riktlinjer för att upprätthålla regelefterlevnad och undvika sanktioner. I denna artikel förklarar vi vad EDPB gör, vilka av deras ståndpunkter som är mest relevanta för digital marknadsföring och hur du håller dig uppdaterad.

EDPB:s roll och mandat

EDPB ersatte den tidigare Article 29 Working Party när GDPR trädde i kraft i maj 2018. Organet består av representanter från dataskyddsmyndigheterna i alla EU- och EES-länder samt Europeiska datatillsynsmannen. EDPB har befogenhet att utfärda bindande beslut i gränsöverskridande ärenden, vilket ger dem reell makt att forma hur GDPR tillämpas i praktiken.

Vad EDPB gör

EDPB utfärdar riktlinjer, rekommendationer och bindande beslut som formar hur GDPR tolkas och tillämpas i hela EU. Vägledningen täcker ämnen från samtycke och dataöverföringar till automatiserat beslutsfattande och anmälan av personuppgiftsincidenter. Nationella dataskyddsmyndigheter, som Sveriges IMY, ser till EDPB:s vägledning när de fattar tillsynsbeslut. Det innebär att EDPB:s tolkningar i praktiken blir normerande för hela Europa.

Viktiga EDPB-ståndpunkter för marknadsförare

• Samtyckeskrav: EDPB har utfärdat detaljerad vägledning om vad som utgör giltigt samtycke, inklusive krav på granularitet, återkallelse och förbudet mot samtyckesväggar.
• Internationella dataöverföringar: Efter Schrems II-domen har EDPB gett vägledning om kompletterande åtgärder för överföring av data utanför EU.
• Cookiesamtycke: EDPB har klargjort att scrollning eller fortsatt surfning inte utgör giltigt samtycke för cookies.
• Berättigat intresse: EDPB har beskrivit den avvägning som krävs vid åberopande av berättigat intresse som rättslig grund för behandling av personuppgifter.
• Dark patterns: EDPB har tagit ställning mot dark patterns i samtyckegränssnitt, där designen manipulerar användare att ge samtycke de annars inte hade gett.

Hur EDPB:s beslut påverkar dig i praktiken

När EDPB publicerar nya riktlinjer eller fattar beslut i ett ärende sätter det standarden för hur nationella myndigheter i hela EU kommer att agera. Om du exempelvis samlar in samtycke på ett sätt som inte uppfyller EDPB:s riktlinjer kan du förvänta dig att IMY så småningom kommer att ställa samma krav. Att vara proaktiv och anpassa sig efter EDPB:s vägledning innan den nationella myndigheten agerar är alltid den bättre strategin.

EDPB och det nya dataprivacy-ramverket

EU:s och USA:s Data Privacy Framework, som antogs 2023, har gett en ny rättslig grund för dataöverföringar till USA. EDPB har granskat ramverket och gett sin bedömning. Även om ramverket ger en tillfällig lösning har EDPB uttryckt viss försiktighet kring dess långsiktiga hållbarhet. Marknadsförare som förlitar sig på detta ramverk bör ha en reservplan om det, likt sina föregångare Safe Harbor och Privacy Shield, ifrågasätts juridiskt.

Håll dig uppdaterad

EDPB publicerar alla sina riktlinjer, rekommendationer och beslut på sin webbplats. Prenumerera på deras nyhetsbrev eller RSS-flöde för att hålla dig informerad om nya publikationer. Branschorganisationer som IAPP (International Association of Privacy Professionals) och nationella branschföreningar sammanfattar ofta EDPB:s beslut på ett mer tillgängligt sätt. Att avsätta tid varje månad för att följa utvecklingen är en investering som kan spara ditt företag från kostsamma tillsynsåtgärder. Läs också om lagen om elektronisk kommunikation som reglerar cookies i Sverige.