Den ena riktlinjen handlar om hur administrativa sanktionsavgifter enligt dataskyddsförordningen ska beräknas och syftar till att skapa en harmoniserad metod och principer för beräkningen av sanktionsavgifter, så att lika fall behandlas lika av dataskyddsmyndigheterna.
– Att dataskyddsmyndigheterna tolkar och tillämpar reglerna på ett harmoniserat sätt är viktigt för rättssäkerheten, säger Petra Lennhede, jurist på Integritetsskyddsmyndigheten (IMY) och ordförande i den arbetsgrupp inom EDPB som arbetat med riktlinjen.
Metoden som dataskyddsmyndigheterna kommit överens om består av ett antal steg. I korthet ska man först identifiera vilka överträdelser som är aktuella. Därefter görs en bedömning av överträdelsens allvarlighet och den granskade organisationens omsättning/storlek för att komma fram till ett startbelopp. Nästa steg består i att öka eller minska startbeloppet beroende på förmildrande och försvårande faktorer. Avslutningsvis kontrolleras att den slutliga sanktionsavgiften inte överstiger det lagstadgade maxbeloppet och sedan att den är effektiv, proportionerlig och avskräckande.
Arbetet med riktlinjen har bedrivits i en arbetsgrupp inom EDPB, där IMY varit ordförande tillsammans med den nederländska dataskyddsmyndigheten.
Den andra riktlinjen handlar om användning av ansiktsigenkänningsteknik hos polis och andra brottsbekämpande myndigheter. Användning av sådan teknik innebär behandling av biometriska uppgifter som anses särskilt skyddsvärda. Riktlinjen beskriver närmare tekniken kring ansiktsigenkänning, vad den kan användas till och vad som krävs enligt dataskyddsreglerna för att sådan teknik ska kunna användas. Bland annat beskriver man sex olika scenarion och resonerar kring om ansiktsigenkänning skulle vara tillåten i de olika situationerna.
EDPB uttalar en förståelse för de behov som kan finnas inom brottsbekämpningen av att kunna använda sig av effektiva verktyg för att bekämpa terrorism och annan allvarlig brottslighet. Samtidigt betonas i riktlinjen att användningen av sådana verktyg måste följa gällande regler och framför allt de krav på nödvändighet och proportionalitet som EU-stadgan om grundläggande rättigheter ställer upp.
– Viss slags användning av ansiktsigenkänning innebär så allvarliga risker för integritetsintrång att de bör vara förbjudna enligt EDPB. Det gäller till exempel automatiserad ansiktsigenkänning på allmän plats vilket innebär en slags massövervakning som EDPB inte anser hör hemma i ett demokratiskt samhälle, säger Elisabeth Jilderyd, jurist och internationell samordnare på IMY, som också har deltagit i arbetet med riktlinjen.
