Det Europæiske Databeskyttelsesråd

EDPB News

2018

Generic press release icon
05 December 2018

Brussels, 5 December - On December 4th and 5th, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their fifth plenary session. During the plenary a wide range of topics were discussed.
 
EU-Japan draft adequacy decision
The Board Members adopted an opinion on the EU-Japan draft adequacy decision, which the Board received from the European Commission in September 2018. The EDPB made its assessment on the basis of the documentation made available by the European Commission. The EDPB’s key objective was to assess whether the Commission has ensured sufficient guarantees are in place for an adequate level of data protection for individuals in the Japanese framework. It is important to recognise that the EDPB does not expect the Japanese legal framework to replicate European data protection law. The EDPB welcomes the efforts made by the European Commission and the Japanese PPC to increase convergence between the Japanese legal framework and the European one. The improvements brought in by the Supplementary Rules to bridge some of the differences between the two frameworks are very important and well received. However, following a careful analysis of the Commission’s draft adequacy decision as well as of the Japanese data protection framework, the EDPB notices that a number of concerns remain, such as the protection of personal data, transferred from the EU to Japan, throughout their whole life cycle. The EDPB recommends the European Commission to also address the requests for clarification made by the EDPB, to provide further evidence and explanations regarding the issues raised and to closely monitor the effective application.

The EDPB considers that the EU-Japan adequacy decision is of paramount importance. As the first adequacy decision since the entering into application of the General Data Protection Regulation (GDPR), it will set a precedent.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Denmark, Croatia, Luxembourg and Slovenia. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These four opinions follow the 22 opinions adopted during the September plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA. The EDPB Chair, Andrea Jelinek said: “This process has been an excellent opportunity for the EDPB to test the possibilities and challenges of consistency in practice. The GDPR does not require full harmonisation or an 'EU list', but requires more consistency, which we have achieved in all of these opinions by agreeing on a common view.”

Guidelines on accreditation
The EDPB has adopted a revised version of the WP29 guidelines on accreditation, including a new annex. The draft guidelines were originally adopted by the WP29 and submitted for public consultation. The EDPB finalised the analysis and reached a conclusion on the final version. The aim of the guidelines is to provide guidance on how to interpret and implement the provisions of Article 43 of the GDPR. In particular, they aim to help Member States, supervisory authorities and national accreditation bodies establish a consistent and harmonised baseline for the accreditation of certification bodies that issue certification in accordance with the GDPR. The guidelines have now been completed by an annex providing guidance on the additional requirements for the accreditation of certification bodies to be established by the supervisory authorities. This annex will be subject to public consultation.

04 December 2018

On December 4 and 5, the European Data Protection Board's fifth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Fifth Plenary

Generic press release image
19 November 2018

Bruxelles, den 19. november — Den 16. november deltog repræsentanter for de europæiske databeskyttelsesmyndigheder i Det Europæiske Databeskyttelsesråds fjerde plenarmøde. På mødet blev der drøftet en lang række emner.
 
Udkast til afgørelsen om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan  
Databeskyttelsesrådets medlemmer drøftede status for Databeskyttelsesrådets arbejde med det udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan, som kommissær Věra Jourová forelagde Databeskyttelsesrådet i september 2018. Databeskyttelsesrådet understregede, hvor vigtigt det er, at der i forbindelse med dataoverførsler fra EU sikres kontinuitet og et højt beskyttelsesniveau.

Vejledning fra Databeskyttelsesrådet om udarbejdelse af spørgsmål og svar vedrørende samspillet mellem databeskyttelsesforordningen og forordningen om kliniske forsøg
Som svar på Kommissionens høringsanmodning gav Databeskyttelsesrådet mandat til en vejledning i forbindelse med Kommissionens udarbejdelse af spørgsmål og svar vedrørende samspillet mellem databeskyttelsesforordningen og forordningen om kliniske forsøg.
 
Retningslinjer om territorialt anvendelsesområde
Databeskyttelsesrådet vedtog på plenarmødet i september et udkast til nye retningslinjer, som skal bidrage til en fælles fortolkning af databeskyttelsesforordningens territoriale anvendelsesområde og til nærmere at præcisere databeskyttelsesforordningens anvendelse, navnlig i de situationer hvor den dataansvarlige eller databehandleren er etableret uden for EU, herunder i forbindelse med udpegning af en repræsentant. Da den afsluttende, sædvanlige juridiske gennemgang forud for offentliggørelsen havde vist, at visse spørgsmål skulle drøftes mere indgående, besluttede Databeskyttelsesrådet at genbehandle vejledningen på plenarmødet i november. Disse spørgsmål er nu blevet fuldt ud behandlet, og vejledningen forventes snart offentliggjort med henblik på en offentlig høring.

16 November 2018

On November 16, the European Data Protection Board's fourth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of fourth plenary

26 September 2018

Pressemeddelelse

Det Europæiske Databeskyttelsesråd – tredje plenarmøde: Udkast til afgørelsen om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan, lister til brug for konsekvensanalyse vedrørende databeskyttelse, territorialt anvendelsesområde og elektronisk bevismateriale.
Bruxelles, den 26. september — Den 25. og 26. september deltog repræsentanter for de europæiske databeskyttelsesmyndigheder i Det Europæiske Databeskyttelsesråds tredje plenarmøde. På mødet blev der drøftet en lang række emner.

Tilstrækkelighedsafgørelsen  vedrørende Japan  
Databeskyttelsesrådets medlemmer drøftede det af kommissær Věra Jourová forelagte udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende Japan, som de var blevet anmodet om at afgive udtalelse om. Databeskyttelsesrådet vil nu foretage en grundig gennemgang af udkastet til afgørelsen. Rådet er fast besluttet på at tage hensyn til de vidtrækkende konsekvenser af udkastet til afgørelsen om et tilstrækkeligt beskyttelsesniveau samt til behovet for at beskytte personoplysninger i EU.  

Lister til brug for konsekvensanalyse vedrørende databeskyttelse
Databeskyttelsesrådet nåede til enighed om og vedtog 22 udtalelser om fælles kriterier for lister til brug for konsekvensanalyse vedrørende databeskyttelse. Disse lister er et vigtigt redskab til at sikre en ensartet anvendelse af databeskyttelsesforordningen overalt i EU. Databeskyttelseskonsekvensanalyse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder. De nationale tilsynsmyndigheder opfordres i databeskyttelsesforordningen til at bidrage til en præcisering af, hvilke typer af databehandling der kan være underlagt kravet om en databeskyttelseskonsekvensanalyse, ved at oprette og offentliggøre lister over de typer af behandlingsaktiviteter, som sandsynligvis vil indebære en høj risiko. Databeskyttelsesrådet har modtaget 22 nationale lister med i alt 260 forskellige typer behandling. Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Det har både for Databeskyttelsesrådets medlemmer og sekretariat været en enorm opgave at gennemse alle disse lister og fastsætte fælles kriterier for, hvornår en konsekvensanalyse vedrørende databeskyttelse er påkrævet eller ej. For Databeskyttelsesrådet var det en glimrende lejlighed til i praksis at afprøve mulighederne og udfordringerne ved en sammenhængende anvendelse. Databeskyttelsesforordningen indeholder ingen krav om en fuldstændig harmonisering eller "EU-liste", men der kræves en større sammenhæng, hvilket vi i disse 22 udtalelser har opnået ved at tage udgangspunkt i en fælles holdning."
De 22 udtalelser om listerne til brug for databeskyttelseskonsekvensanalyse er en konsekvens af databeskyttelsesforordningens artikel 35, stk. 4 og 6, og er i tråd med de retningslinjer, der er udarbejdet af Artikel 29-Gruppen.

Retningslinjer om territorialt anvendelsesområde
Databeskyttelsesrådet har vedtaget et udkast til nye retningslinjer, som skal bidrage til en fælles fortolkning af databeskyttelsesforordningens territoriale anvendelsesområde og til nærmere at præcisere databeskyttelsesforordningens anvendelse, navnlig i de situationer hvor den dataansvarlige eller databehandleren er etableret uden for EU, herunder i forbindelse med udpegning af en repræsentant. Retningslinjerne vil blive genstand for en offentlig høring.

Elektronisk bevismateriale
Databeskyttelsesrådet har afgivet en udtalelse om den nye forordning om elektronisk bevismateriale, som Kommissionen foreslog i april 2018. I udtalelsen understregede Databeskyttelsesrådet, at de foreslåede nye regler for indsamling af elektronisk bevismateriale bør yde tilstrækkelig beskyttelse af enkeltpersoners databeskyttelsesrettigheder og i højere grad bør stemme overens med EU's databeskyttelseslovgivning.

Plenary generic picture
25 September 2018

On September 25 and 26, the European Data Protection Board's third plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Third Plenary

23 August 2018

The General Data Protection Regulation five months on

Initiatives in the EU and international perspectives

25 October 2018

Rue de la Loi 170

2:30 pm

Side event by EDPS and EDPB

Registration closed

Welcome from Giovanni Buttarelli, European Data Protection Supervisor

Introduction by Andrea Jelinek, Chair European Data Protection Board

Part 1    Initiatives in the EU - a new quality of cooperation

  • Helen Dixon, Irish Data Protection Commissioner

  • Cristina Angela Gulisano, Director Danish Data Protection Agency

  • Isabelle Vereecken, Head of the EDPB Secretariat

  • Questions by moderator to 3 panelists

At 3:15 PM:

  • Keynote: Catherine De Bolle, Executive Director of Europol, The broader framework for EU data protection: a law enforcement perspective – TBC

  • Comments by the audience and questions to EDPB Members

    BREAK

    At 4:00 PM:

  • Keynote: Koen Lenaerts, President European Court of Justice - Accountability in a digitalized world: the Court’s role in enhancing data protection in the European Union

Part 2   International perspectives and cross-border cooperation

  • Bruno Gencarelli, Head of the International Data Flows and Protection Unit, European Commission

  • Professor Masao Horibe, Chairman Personal Information Protection Commission Japan 

  • Professor Danilo Doneda Instituto Brasiliense de Direito Público 

  • Felipe Harboe, Senator of the Republic of Chile

  • Ludmila Georgieva, Co-Chair HWP Cyber Issues, Co-Chair DAPIX (Data Protection), Perm Rep Austria

  • Joan Antokol, Managing partner, Park Legal LLC
  • Florence Raynal, Deputy Director, Head of the Department of European and International Affairs, CNIL
  • Questions by the moderator to the 5 panelists

  • Comments by the audience and questions to the panel

  • Wrap-up

     

Generic image
20 July 2018

Brussels, 19 July – An important innovation of the General Data Protection Regulation (GDPR) is the new way in which the supervisory authorities of the Member States closely cooperate to ensure a consistent application as well as a consistent protection of individuals throughout the EU.

During its second plenary meeting on 4 and 5 July the EDPB discussed the consistency and the cooperation systems, sharing first experiences on the functioning of the One-Stop Shop mechanism, the performance of the Internal Market Information System (IMI), the challenges the authorities are facing and the type of questions received since 25 May. Most data protection authorities reported a substantial increase in complaints received. The first cross-border cases were initiated in IMI on 25 May. Currently, around 100 cross-border cases in IMI are under investigation.

The EDPB Chair Andrea Jelinek said: “Despite the sharp increase in the number of cases in the last month, the Members of the EDPB report that the workload is manageable for the moment, in large part thanks to a thorough preparation in the past two years by the Article 29 Data Protection Working Party. However, we should only expect the first results of the new procedures to deal with cross-border cases in a few months from now. To handle complaints lead supervisory authorities will have to carry out investigations, observe procedural rules, and coordinate and share information with other supervisory authorities. The GDPR sets specific deadlines for each phase of the procedure. All of this takes time. During this time, complainants are entitled to be kept informed on the state of play of a case. The GDPR does not offer a quick fix in case of a complaint but we are confident the procedures detailing the way in which the authorities work together are robust and efficient.”

Generic press release pictures
05 July 2018

Bruxelles, den 5. juli 2018 – De europæiske databeskyttelsesmyndigheder, der er samlet i Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet), mødtes den 4. og 5. juli på Databeskyttelsesrådets andet plenarmøde. På mødet drøftede de europæiske databeskyttelsesmyndigheder en lang række emner.
 
Status for samarbejds- og sammenhængsprocedurer
Databeskyttelsesrådet drøftede sammenhængs- og samarbejdsmekanismerne og udvekslede erfaringer om dels de udfordringer, som myndighederne står over for, dels den type spørgsmål, de har modtaget siden den 25. maj, samt erfaringer om, hvordan one-stop-shop-mekanismen og informationssystemet for det indre marked (IMI), der tjener som platform for udveksling af oplysninger om grænseoverskridende spørgsmål, har fungeret. Flertallet af databeskyttelsesmyndighederne indberettede en betydelig stigning i antallet af indgivne klager. De første sager blev indledt i IMI den 25. maj. Der efterforskes på nuværende tidspunkt ca. 30 grænseoverskridende klager i IMI. Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Trods sidste måneds markante stigning i antallet af sager beretter Databeskyttelsesrådets medlemmer, at arbejdsbyrden i øjeblikket er overskuelig takket være Artikel 29-Gruppens grundige forberedelsesarbejde over de seneste to år. Databeskyttelsesforordningen tilbyder ingen hurtig løsning af klager, men vi er overbeviste om, at de procedurer, som nøje fastlægger myndighedernes samarbejde inden for rammerne af sammenhængsmekanismen, er pålidelige og effektive."
 
ICANN
Databeskyttelsesrådet har vedtaget en skrivelse, der på vegne af rådets formand sendes til Internet Corporation for Assigned Names and Numbers (ICANN), med en vejledning i, hvordan ICANN i overensstemmelse med databeskyttelsesforordningen kan udvikle en model for adgang til personoplysninger, der behandles i forbindelse med Whois.
Denne skrivelse omhandler spørgsmålene om formålsspecifikation, indsamling af "komplette Whois-data", registrering af juridiske personer og af adgangen til ikkeoffentlige Whois-data, opbevaring af data, adfærdskodekser og akkreditering.
Databeskyttelsesrådets forgænger, Artikel 29-Gruppen, har siden 2003 vejledt ICANN i, hvordan Whois kan bringes i overensstemmelse med de europæiske databeskyttelsesregler.
Databeskyttelsesrådet forventer, at ICANN udvikler og gennemfører en Whois-model, der gør det muligt for de relevante interessenter, såsom de retshåndhævende myndigheder, lovligt at anvende personoplysninger om registranter i overensstemmelse med databeskyttelsesforordningen, uden at dette medfører en ubegrænset offentliggørelse af disse oplysninger.
 
Det reviderede direktiv om betalingstjenester (PSD2)
Databeskyttelsesrådet har vedtaget en skrivelse, der på vegne af rådets formand sendes til medlem af Europa-Parlamentet Sophie in't Veld, vedrørende det reviderede direktiv om betalingstjenester (PSD2). Databeskyttelsesrådet giver i sit svar til Sophie in't Veld nærmere oplysninger omkring "silent party data", dvs. passiv dataindsamling foretaget af tredjepartsleverandører, procedurerne for afgivning og tilbagetrækning af samtykke, de reguleringsmæssige tekniske standarder, samarbejdet mellem bankerne, Europa-Kommissionen, Den Europæiske Tilsynsførende for Databeskyttelse og Artikel 29-Gruppen og omkring den resterende opgave med at lukke eventuelle huller i databeskyttelsen.
 
Privacy Shield
Den amerikanske ombudsmand med ansvar for behandlingen af klager vedrørende den nationale sikkerhed under Privacy Shield, ambassadør Judith Garber, blev indbudt til en drøftelse med Databeskyttelsesrådets medlemmer på rådets plenarmøde. Databeskyttelsesrådet var særligt interesseret i de bekymringer, som dets forgænger, Artikel 29-Gruppen, havde udtrykt over for USA, navnlig manglen på udnævnelse af en permanent ombudsmand og på formelle udnævnelser inden for Privacy and Civil Liberties Oversight Board (PCLOB) samt manglen på supplerende oplysninger, dels om ombudsmandsmekanismen, dels om yderligere afklassificering af procedurereglerne, især vedrørende ombudsmandens samarbejde med efterretningstjenesterne.
 
Databeskyttelsesrådet påpegede, at mødet med ombudsmanden var interessant og kollegialt, men ikke resulterede i et endeligt svar på ovennævnte bekymringer, og at disse spørgsmål fortsat vil stå øverst på dagsordenen i den anden årlige evaluering (berammet til oktober 2018). Rådet anmoder derudover de amerikanske myndigheder om supplerende dokumentation med hensyn til behandlingen af disse problemer. Endelig bemærker Databeskyttelsesrådet, at EU-Domstolen vil behandle de samme spørgsmål i allerede verserende sager, i forbindelse med hvilke Databeskyttelsesrådet også har tilbudt at afgive sin opfattelse på en eventuel opfordring fra EU-Domstolen.

Generic image for fintech
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.

ICANN generic letter image
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to the Internet Corporation for Assigned Names and Numbers (ICANN), providing guidance to enable ICANN to develop a GDPR-compliant model for access to personal data processed in the context of WHOIS.

The letter addresses the issues of purpose specification, collection of “full WHOIS data”, registration of legal persons, logging of access to non-public WHOIS data, data retention and codes of conduct and accreditation.

The EDPB’s predecessor, WP29, has been offering guidance to ICANN on how to bring WHOIS in compliance with European data protection law since 2003.

The EDPB expects ICANN to develop and implement a WHOIS model which will enable legitimate uses by relevant stakeholders, such as law enforcement, of personal data concerning registrants in compliance with the GDPR, without leading to an unlimited publication of those data.

Generic image of plenary
04 July 2018

On 4 and 5 July the second plenary of the European Data Protection Board is taking place in Brussels. Please consult the agenda for more information.

Generic IMI Picture
27 June 2018

It has been just a month ago that the General Data Protection Regulation (GDPR) entered into application, the long awaited revamp of the EU’s data protection rules. Under the GDPR, the supervisory authorities of the Member States closely cooperate to ensure a consistent application of the GDPR throughout the European Union, as well as consistent protection of individuals. They assist each other and coordinate decision-making in these cross-border data protection cases. Via the so-called consistency mechanism the European Data Protection Board issues opinions and takes binding decisions to arbitrate different positions on cross border cases between national data protection authorities.

IMI (Internal Market Information System) was chosen as the IT platform to support cooperation and consistency procedures under the GDPR. IMI helps public authorities across the EU to cooperate and exchange information. The GDPR is the 13th legal area supported by the system.

IMI has been developed by the European Commission’s DG GROW and was adapted to cater for the needs of the GDPR, in close cooperation with the Secretariat of the European Data Protection Board and the national supervisory authorities.

On 25 May, the first case was initiated in IMI, and shortly afterwards the supervisory authorities started to cooperate via the system. Currently, more than 30 cross-border cases are under investigation.

14 IMI modules, 19 forms and more than 10.000 data fields were put in place to address the needs of data protection authorities and the GDPR procedures. 

Generic picture derogation guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted the final version of the Guidelines on derogations applicable to international transfers (art 49). The Article 29 Working Party conducted a public consultation on a draft of these guidelines. The EDPB took into consideration the replies received and integrated the appropriate changes into the adopted version. 

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Generic picture certification guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted a draft version of the Guidelines on certification. A public consultation is available for 6 weeks. If you are interested to contribute, please go to the “Public Consultations” section of our website or click the link bellow:

Public consultation: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679

Generic picture
28 May 2018

Under det første plenarmøde den 25. maj vedtog Databeskyttelsesrådet en erklæring om revisionen af e-databeskyttelsesforordningen og om dennes indvirkning på beskyttelse af enkeltpersoner med hensyn til den private og fortrolige karakter af deres kommunikation.

Denne erklæring indeholder en opfordring til en hurtig vedtagelse af den nye e-databeskyttelsesforordning og nogle forslag om særlige spørgsmål vedrørende de ændringer, som lovgiverne har foreslået.

Erklæring om e-databeskyttelse

Generic picture Icann
27 May 2018

Det Europæiske Databeskyttelsesråd udtalte støtte til erklæringen fra Artikel 29-Gruppen om ICANN (Internet Corporation for Assigned Names and Numbers)/WHOIS under sit første plenarmøde den 25. maj.

Artikel 29-Gruppens erklæring om WHOIS

"Artikel 29-Gruppen anerkender de vigtige funktioner, som varetages af WHOIS-tjenesten. 
 
Artikel 29-Gruppen har vejledt ICANN i, hvordan WHOIS kan bringes i overensstemmelse med de europæiske databeskyttelsesregler siden 2003 (se Artikel 29-Gruppens udtalelse fra 2003 her). ICANN’s arbejde med at bringe sig i overensstemmelse med databeskyttelsesforordningen synes formelt at være blevet indledt i løbet af 2017, hvilket kan være en medvirkende årsag til, at nogle interessenter er bekymrede over, at databeskyttelsesforordningen finder anvendelse fra den 25. maj 2018.
 
Databeskyttelsesforordningen tillader hverken de nationale tilsynsmyndigheder eller Det Europæiske Databeskyttelsesråd (Artikel 29-Gruppen bliver den 25. maj 2018 til Databeskyttelsesrådet) at skabe et "håndhævelsesmoratorium" for individuelle dataansvarlige. Databeskyttelse er en grundlæggende rettighed for enkeltpersoner, som kan indgive klager til deres nationale databeskyttelsesmyndighed, når som helst de mener, at deres rettigheder i henhold til databeskyttelsesforordningen er blevet krænket. 
 
Databeskyttelsesmyndighederne kan dog tage de foranstaltninger i betragtning, som allerede er truffet eller er på vej, når de fastsætter den hensigtsmæssige reaktion efter at have modtaget sådanne klager.

Som der også er givet udtryk for i tidligere korrespondance med ICANN (inkl. dette brev fra december 2017 og dette brev fra april 2018), forventer Artikel 29-Gruppen, at ICANN udvikler og gennemfører en WHOIS-model, der gør det muligt for de relevante interessenter, såsom de retshåndhævende myndigheder, lovligt at anvende personoplysninger om registranter i overensstemmelse med databeskyttelsesforordningen, uden at dette medfører en ubegrænset offentliggørelse af disse oplysninger.

Artikel 29-Gruppen anerkender de seneste tiltag fra ICANN med henblik på at sikre, at WHOIS-systemet er i overensstemmelse med reglerne. Artikel 29-Gruppen vil fortsat nøje overvåge ICANN's fremskridt, og medlemmerne af Gruppen kontakter eventuelt ICANN for at sikre, at lovkravene ifølge EU's databeskyttelsesregler håndteres korrekt.

generic picture guidelines
25 May 2018

During its first plenary meeting the European Data Protection Board endorsed the GDPR related WP29 Guidelines(Corrigendum: In document nr 8 reference to the WP 259 has been replaced by the correct WP 244).

Generic picture Plenary
25 May 2018

On 25 May 2018, the greatly anticipated General Data Protection Regulation (GDPR) entered into application and its pre-decessor Directive 95/46/EC was repealed. On that date, the Article 29 Working Party, the body bringing together the independent data protection authorities, ceased to exist and was replaced by a new body: the European Data Protection Board or EDPB.

The Board is composed of the heads of national supervisory authorities and the European Data Protection Supervisor (EDPS). The Board also includes a representative of the European Commission who, however, does not have a right to vote.

The Board’s primary role is to safeguard the consistent application of the GDPR, but it has additional competences. It advises the European Commission on, for example, the level of data protection offered by third countries. In addition, the Board promotes cooperation between the national supervisory authorities and plays a role in conciliation procedures for disputes between national supervisory authorities. In exercising its powers, the Board issues guidelines, recommendations and statements of best practice on myriad topics.

During its first plenary meeting on 25 May the Board elected its Chair and two Vice-Chairs. The EDPB Chair will lead the Board for the coming five years and will exert an important influence on data protection in Europe and beyond. The Chair’s role will be crucial for the success and effectiveness of the GDPR.

Generic picture Press release
25 May 2018

Transparency and awareness are two core principles of the Board. Therefore, following the first plenary meeting of the Board, the newly elected EDPB Chair will hold a press conference on 25 May at 12.30 in the Brussels Press Club (Rue Froissart 95, Brussels). The press conference will be broadcast in EbS: http://ec.europa.eu/avservices/ebs/live.cfm?page=2 

Generic picture Secretariat
25 May 2018

The European Data Protection Board needs to rely on an effective Secretariat to be able to effectively accomplish all the tasks it is required to carry out under the GDPR. The EDPB Secretariat is composed of legal experts, communication and IT officers and administrative staff.

This brand-new team has worked hard to make the launch of the EDPB possible.  They will, without a doubt, have busy months ahead to organise the meetings of the Board and answer questions on the Board’s tasks and responsibilities.   

 

Generic picture Press release
25 May 2018

Bruxelles, den 25. maj - I dag afholdt Det Europæiske Databeskyttelsesråd sit første plenarmøde. Dette nye uafhængige EU-beslutningsorgan, der har status som juridisk person, oprettes ved den generelle forordning om databeskyttelse (databeskyttelsesforordningen), som træder i kraft i dag. Databeskyttelsesrådet er efterfølgeren til Artikel 29-Gruppen og forener Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og medlemsstaternes tilsynsmyndigheder for både at sikre en ensartet anvendelse af databeskyttelsesforordningen i hele EU og en ensartet beskyttelse af enkeltpersoner.  Desuden fører EDPB tilsyn med gennemførelsen af direktivet om databeskyttelse på retshåndhævelsesområdet.

Formand for Databeskyttelsesrådet Andrea Jelinek udtaler: "Denne længeventede lovgivning giver enkeltpersoner mere kontrol over deres personoplysninger og fastlægger et samlet regelsæt, som gælder for alle, der behandler personoplysninger i EU. I en verden hvor data betragtes som betalingsmiddel, overses eller endda tilsidesættes enkeltpersoners rettigheder ofte. Vi må ikke glemme, at personoplysninger er en iboende del af alle mennesker. Jeg er overbevist om, at databeskyttelsesforordningen giver enkeltpersoner og tilsynsmyndighederne midlerne til effektivt at beskytte og håndhæve denne grundlæggende rettighed."

"De nye databeskyttelsesregler er ofte blevet kogt ned til at handle om risikoen for at blive pålagt store bøder, men databeskyttelsesforordningen handler om meget mere end det. Den handler om at give førsteprioritet til enkeltpersoners rettigheder og om at opgradere EU's databeskyttelsesregler, så de er effektive og fremtidssikrede. Samtidigt vil firmaer, der driver virksomhed i Europa, nyde godt af databeskyttelsesforordningen, da den giver retssikkerhed og vil gøre det lettere at operere i hele det Indre Marked. Desuden vil overholdelse af databeskyttelsesforordningen bidrage til virksomhedernes gode omdømme. I vores datadrevne økonomi kan et omdømme blive ødelagt i løbet af få dage, hvis folk mister tiltroen til, at en virksomhed behandler deres oplysninger med omhu."

Afslutningsvis understreger Andrea Jelinek, at det er vigtigt at arbejde sammen for at sikre, at databeskyttelsesforordningen bliver en succes: "I EDPB er det helt afgørende, at vi samler vores kræfter for at sikre et højt og ensartet databeskyttelsesniveau for enkeltpersoner, uanset hvor i EU de bor. Vi vil også fremme kendskabet til databeskyttelsesrettigheder i offentligheden. Databeskyttelsesrådet er et nyt EU-organ, som har en ny styrings-og koordineringsmodel og beføjelse til at træffe bindende afgørelser. Dette giver os mulighed for at udøve vores rolle effektivt, når vi giver vejledning om de vigtigste begreber i databeskyttelsesforordningen."

Databeskyttelsesforordningen er en ny EU-lov, som skærper kontrollen med, hvordan mennesker og organisationer bruger og deler personoplysninger. Den gælder også for organisationer uden for Europa, som retter sig imod enkeltpersoner i EU eller overvåger deres adfærd. Databeskyttelsesforordningen erstatter EU's databeskyttelsesdirektiv fra 1995, dengang internettet stadig var i sin opstartsfase. Den erstatter et kludetæppe af nationale regler med én EU-forordning, som er udarbejdet for at øge organisationernes ansvar for og give enkeltpersoner mere kontrol over deres data. Forordningen sigter på at forbedre retssikkerheden for virksomheder, så der sættes skub i innovationen og den fremtidige udvikling af det digitale indre marked.  

Generic picture MoU
25 May 2018

Der blev indgået et aftalememorandum mellem Det Europæiske Databeskyttelsesråd (EDPB) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) under det første plenarmøde i EDPB. Dette aftalememorandum beskriver, hvordan EDPB og EDPS samarbejder.

Aftalememorandum

Generic picture Cocktail
24 May 2018

A new regulation and a new EU Body need to be celebrated! To do so, a cocktail reception took place on the 24th of May. Within the beautiful venue of the Bibliotheque Solvay in Brussels, Commissioner Vera Jourova, Jan Philipp Albrecht MEP, European Data Protection Supervisor Giovanni Buttarelli and WP29 Chair Andrea Jelinek held speeches looking back at the coming into application of the GDPR and the challenges ahead. Many of those who played an active role in the negotiations of the GDPR were present and proud to see the achievement of such a long process.