EU-kommissionen har släppt sin andra rapport om tillämpningen av GDPR

Tillämpningen av GDPR

GDPR som trädde i kraft 2016 och som tillämpats sedan 2018, reglerar hur personuppgifter får behandlas inom EU. Var fjärde år ska EU-kommissionen utvärdera GDPR och den 25 juli 2024 publicerade EU-kommissionen sin andra rapport om tillämpningen av GDPR. Rapporten lyfter fram att riktlinjerna från Europeiska dataskyddstyrelsen (EDPB) ofta är för teoretiska, alltför långa och inte återspeglar GDPR:s riskbaserade strategi. Vidare konstaterar rapporten att GDPR har gett betydande resultat för både individer och företag, men identifierar också brister i efterlevnaden och betonar behovet av tydligare riktlinjer för att stärka dataskyddet i hela EU.

Utöver detta har EU-kommissionen observerat en kraftig ökning av tillsynsaktiviteter från dataskyddsmyndigheterna under de senaste åren, inklusive betydande sanktioner mot multinationella ”big tech”-företag. Detta har även lett till att mindre företag tar dataskyddsfrågor på större allvar, vilket i sin tur främjar en efterlevnadskultur inom organisationer.

Rapporten belyser även att dataskyddsmyndigheterna i medlemsstater tolkar GDPR på olika sätt, vilket leder till varierande krav på efterlevnad för organisationer som är verksamma i flera länder. Dessa skillnader utgör hinder för en enhetlig tillämpning av GDPR inom EU och skapar rättslig osäkerhet, samtidigt som de försvårar fri rörlighet av personuppgifter och gränsöverskridande verksamhet.

Behovet av tydligare riktlinjer

Rapporten understryker att EDPB[1] tillsammans med dataskyddsmyndigheterna bör prioritera behovet av tydligare riktlinjer om uppgifter som rör barn, vetenskaplig forskning, anonymisering[2], pseudonymisering och berättigat intresse. Det efterlyses mer vägledning från EDPB, som har ansvar för att säkerställa en enhetlig tillämpning av GDPR. Dessutom framhåller rapporten att medlemsstaterna har ansvar att vidta åtgärder för att säkerställa att barn skyddas, har egenmakt och respekteras på nätet.

En stor del av dataskyddsmyndigheternas resurser går åt till att hantera ett stort antal klagomål, vilket begränsar deras förmåga att genomföra andra viktiga uppgifter, såsom utredningar, medvetenhetskampanjer och samarbete med personuppgiftsansvariga. Dessutom har dataskyddsmyndigheterna svårt att konkurrera med den privata sektorn om tekniskt och juridiskt kunnig personal. Även små och medelstora företag saknar skräddarsydd vägledning, vilket gör det svårt att följa GDPR. För att underlätta efterlevnaden bör därför praktiska verktyg, mallar och lättförståeliga riktlinjer utvecklas.[3]

Sammanfattning och nästa steg

Rapporten belyser hur tillämpningen av GDPR har lett till flera positiva resultat. Samtidigt identifierar den problem och behov av förbättringar. EU-kommissionen har därför beslutat att ytterligare utvärdera och överväga specifika lagändringar eller nya riktlinjer för att säkerställa enhetlig och effektiv tillämpning av GDPR i hela EU. Vilka åtgärder EU kommer att vidta, förutom antagandet av procedurregler, återstår att se. En sak är säker – dataskydd kommer fortsättningsvis att vara en viktig fråga. Delphi följer som alltid den fortsatta utvecklingen noggrant.

[1] Den europeiska dataskyddsstyrelsen består av en representant för respektive medlemsstat och av europeiska datatillsynsmannen.

[2] Anonymisering innebär att personliga identifierare tas bort från data för att förhindra identifikation, medan pseudonymisering innebär att identifierare ersätts med pseudonymer, vilket gör att data kan länkas till individer med ytterligare information som hålls separat.

[3] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2024%3A357%3AFIN&qid=1721897017650

Denna artikel är skriven av Associate Ara Haydar.