Европейски комитет за защита на данните

Новини от ЕКЗД

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

Брюксел, 4 декември — на 2 и 3 декември се състоя шестнадесетото пленарно заседание на органите за защита на данните в рамките на ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните. По време на пленарното заседание бяха обсъдени няколко въпроса.

Становище по член 64 от ОРЗД от Надзорния орган на Обединеното кралство относно изискванията за акредитация на органите за наблюдение на Кодекса за поведение
ЕКЗД прие своето становище относно проекторешението на Надзорния орган на Обединеното кралство относно изискванията за акредитация на органите за наблюдение на Кодекса за поведение. Становището има за цел да гарантира последователност и правилно прилагане на тези изисквания от страна на надзорните органи в ЕИП. В становището ЕКЗД предлага някои промени в предвидените изискванията за акредитация, за да се гарантира последователно прилагане на акредитацията на органите за наблюдение.

Отговор на искането на ОЕРЕС за указания във връзка с преразглеждането на неговите насоки относно правилата за неутралност на интернет
ЕКЗД прие своя отговор на искане  от Органа на европейските регулатори в областта на електронните съобщения (ОЕРЕС) за указания относно настоящата рамка на ЕС за защита на данните. В писмото Комитетът изразява загриженост относно обработването на имена на домейни и на URL за целите на управлението на трафика и фактурирането (оферти с нулева ставка).

ЕКЗД насърчава доставчиците на услуги за достъп до интернет и, когато е целесъобразно — ОЕРЕС, да определят и договарят по-малко инвазивни, и по-стандартизирани начини за управление на интернет трафика, оперативно съвместими за различните услуги за достъп до интернет, които не се основават на използването на URL, и на имена на домейни.

Насоки относно „Критериите за прилагане на правото да бъдеш забравен съгласно ОРЗД, в случаи, при които се използват услуги на търсачки“ (част 1)
Комитетът прие проект за Насоки относно „Критериите за прилагане на правото да бъдеш забравен съгласно ОРЗД, в случаи, при които се използват услуги на търсачки“. В насоките се предоставя тълкуване на член 17 от ОРЗД по отношение на основанията и изключенията във връзка с исканията за заличаване, отправени към доставчиците на търсачки, като те представляват актуализация на насоките от 2014 г. относно изпълнението на решението по делото Costeja, издадени от Работната група по член 29 (РГ29). Тези насоки, които ще бъдат представени за обществена консултация, ще бъдат придружени от други указания, свързани с критериите за разглеждане на жалби относно откази за заличаване.

Бележка за редакторите:
Следва да се има предвид, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Брюксел, 14 ноември — на 12 и 13 ноември се състоя петнадесетото пленарно заседание на Европейския комитет по защита на данните, в който участват органите за защита на данните в рамките на ЕИП и Европейският надзорен орган по защита на данните. По време на пленарното заседание бяха обсъдени широк кръг от теми.

Трети годишен преглед на Щита за личните данни
ЕКЗД прие своя доклад относно третия годишен съвместен преглед на Щита за личните данни в отношенията между ЕС и САЩ. В доклада, ЕКЗД приветства усилията, положени от органите на САЩ за прилагане на Щита за личните данни, особено във връзка с  предприетите действия за упражняване на надзор и правоприлагане по отношение на търговската дейност, както и за назначенията на последните липсващи членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (Privacy and Civil Liberties Oversight Board, PCLOB), и на постоянен омбудсман.

Въпреки това е необходимо да се разгледат определен брой въпроси, пораждащи безпокойство. Комитетът посочва, че продължава провеждането на обстойни проверки на съответствието по отношение на принципите, заложени в Щита за личните данни. Други области, на които е необходимо да се отдели допълнително внимание, са прилагането на изискванията на Щита за личните данни по отношение на последващото предаване, данните за човешките ресурси и обработващите лични данни, както и относно процеса на повторно сертифициране. Като цяло, за членовете на екипа за преглед ще е полезно да имат  по-широк достъп до непублична информация относно търговските аспекти и текущите разследвания.

Що се отнася до събирането на данни от публични органи, ЕКЗД насърчава Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи да издаде и публикува допълнителни доклади, освен всичко друго с оглед  предоставяне на независима оценка на програмите за наблюдение, използвани извън територията на САЩ, докато данните се прехвърлят от ЕС към САЩ. Комитетът отново заявява, че експертите, които имат разрешение за достъп до класифицирана информация, запазват готовност да разглеждат допълнителни документи и да обсъждат допълнителни класифицирани елементи.

Въпреки че ЕКЗД приветства новите елементи, предоставени по време на тазгодишния преглед, ЕКЗД все още не може да заключи, че омбудсманът разполага с достатъчно правомощия за достъп до информация и отстраняване на несъответствията.

Насоки относно териториалния обхват
След като се проведе обществена консултация, ЕКЗД прие окончателна версия на насоките за териториалния обхват. Насоките имат за цел да предоставят общо тълкуване на ОРЗД за органите за защита на данните в ЕИП, когато преценяват дали дадено обработване от даден администратор или обработващ лични данни попада в териториалния обхват на правната рамка съгласно член 3 от ОРЗД. В Насоките се предоставят допълнителни разяснения относно прилагането на ОРЗД в различни ситуации, например, когато администраторът или обработващият лични данни е установен извън ЕИП, включително относно определянето и ролята на представителя по член 27 от ОРЗД.

В окончателния текст на насоките са включени актуализирани формулировки и допълнителни правни съображения, в отговор на коментарите и обратната информация, получени по време на обществената консултация, като същевременно се запазва общото тълкуване и методологията, представени в първата версия на насоките.

Насоки за защита на данните на етапа на проектирането и по подразбиране
ЕКЗД прие Насоки за защита на данните на етапа на проектирането и по подразбиране. Насоките се съсредоточават върху задължението за защита на данните на етапа на проектирането и по подразбиране (DPbDD), както е посочено в член 25 от ОРЗД. Основното задължение тук е ефективното прилагане на принципите за защита на данните и на правата, и свободите на субектите на данни на етапа на проектирането, и по подразбиране. Това изисква от администраторите да прилагат подходящи технически и организационни мерки, и да въведат необходимите предпазни мерки, чиято цел е да се гарантират, по ефективен начин, принципите за защита на данните, и да се защитят правата и свободите на субектите на данни. Освен това, администраторите трябва да са в състояние да докажат, че приложените мерки са ефективни. Насоките ще бъдат представени за обществено обсъждане.

Становище съгласно член 64 относно ЗФП на Exxon Mobil
ЕКЗД прие становището си по проекторешението относно задължителните фирмени правила (ЗФП) на Exxon Mobil, представени на ЕКЗД от белгийския надзорен орган. ЕКЗД е на мнение, че проектът на ЗФП, предоставен от администратора на данни, дава  достатъчно гаранции по смисъла на член 46, параграф 2, буква б) и е в съответствие с член 47 от ОРЗД.

Писмо отговор до Комисията по граждански свободи, правосъдие и вътрешни работи (LIBE) относно информационните системи на ЕС
ЕКЗД прие своя отговор на искането на Комисията по граждански свободи, правосъдие и вътрешни работи към Европейския парламент за извършване на правна оценка на предложенията на Европейската комисия за регламент за определяне на условията за достъп до другите информационни системи на ЕС и Регламента за определяне на условията за достъп до други информационни системи на ЕС за целите на ETIAS. В писмото ЕКЗД твърди, че предложенията следва да се разглеждат като част от по-общата картина, т.е. като  части от рамката за оперативна съвместимост, и припомня опасенията, изразени по-рано от Работната група по член 29. Освен това, в писмото се посочва, че съществуват опасения по отношение на основните принципи за защита на данните, например прозрачност, защита на данните на етапа на проектирането и по подразбиране, и ограничение на целите.

Допълнителен протокол към Конвенцията от Будапеща за престъпления в кибернетичното пространство
ЕКЗД даде своя принос за проекта на втори допълнителен протокол към Конвенцията на Съвета на Европа за престъпления в кибернетичното пространство (Конвенцията от Будапеща), който следва да бъде разгледан в рамките на консултациите, проведени от Комитета на Съвета на Европа за Конвенцията за престъпленията в кибернетичното пространство (T-CY). ЕКЗД припомня, че защитата на личните данни и правната сигурност трябва да бъдат гарантирани, като по този начин се допринася за постигането на устойчиви договорености за обмен на лични данни с трети държави за целите на правоприлагането, които са напълно съвместими с Договорите на ЕС и Хартата на основните права.

Бележка за редакторите:
Следва да се има предвид, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Брюксел, 10 октомври — На 8 и 9 октомври се състоя четиринадесетото пленарно заседание на Европейския комитет по защита на данните, обединяващ органите за защита на данните в рамките на ЕИП и Европейският надзорен орган по защита на данните. По време на пленарното заседание бяха обсъдени широк кръг от теми.

Насоки относно законното основание за обработване на данни при предоставяне на онлайн услуги, основни на договори (член 6, параграф 1, буква б).
ЕКЗД прие окончателен вариант на насоките относно обхвата и прилагането на член 6, параграф 1, буква б) от ОРЗД в контекста на услугите на информационното общество. След обществената консултация в текста бяха включени допълнителни обяснения по определени въпроси. В своите насоки Съветът прави общи наблюдения относно принципите за защита на данните и връзката на член 6, параграф 1, буква б) с други законни основания. Освен това, насоките съдържат указания относно приложимостта на член 6, параграф 1, буква б) в случай на групиране на отделни услуги и прекратяване на договор.

Становище по член 64 относно ЗФП на Equinix
ЕКЗД прие становището си по проекторешението относно задължителните фирмени правила на Equinix (ЗФП), представени от Службата на комисаря по информацията на Обединеното кралство (ICO). ЕКЗД е на мнение, че ЗФП на Equinix съдържат всички елементи, които се изискват съгласно член 47 от ОРЗД и документ WP256 rev01, и съдържат подходящи гаранции.

Резервационни данни на пътниците (PNR)
ЕКЗД прие писмото, изготвено в отговор на писмото на члена на ЕП- София ин 'т Велд относно предоговарянето на проекта за споразумение с Канада относно резервационните данни на пътниците и въздействието му върху други споразумения в тази област. В своя отговор, ЕКЗД отбелязва, че проектът за споразумение все още не му е представен, но ЕКЗД е готов да издаде становище. В писмото се говори и за предишно писмо, изпратено до Европейската комисия от Работната група по член 29 (WP29) след становището на Съда на ЕС по първия проект за споразумение с Канада относно резервационните данни на пътниците.

Отговор на работната група на Съвета относно „Антидопингов кодекс в спорта“ (WADA)
ЕКЗД прие своя проект на отговор до работната група „Спорт“ на Съвета относно текущия процес на преразглеждане на Световния кодекс за борба с допинга. В писмото си Комитетът припомня две становища на Работната група по член 29 относно предходните версии на кодекса на Световната антидопингова агенция. В писмото се посочва, че е постигнат напредък по отношение на гаранциите за неприкосновеността на личния живот и защитата на данните, предвидени в новата версия на Кодекса и неговите стандарти, но че продължават да съществуват някои съществени опасения, свързани с тях.

Бележка за редакторите:
Следва да се има предвид, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Брюксел, 11 юли — На 9 и 10 юли, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните (ЕНОЗД), участващи в  Европейския комитет по защита на данните (ЕКЗД), проведоха дванадесетото си пленарно заседание. По време на заседанието бяха обсъдени широк кръг от теми.

Насоките относно видеонаблюдението
Комитетът прие насоки относно видеонаблюдението, които разясняват как се прилага ОРЗД за обработването на лични данни при ползването на видеоустройства и имат за цел да гарантират последователното прилагане на регламента. Насоките обхващат както традиционни видеоустройства, така и интелигентните видеоустройства. По отношение на последните, насоките са съсредоточени върху правилата за обработване на специални категории от данни. Освен това, в документа, наред с другото, е засегнат въпросът относно законосъобразността на обработването, приложимостта на изключението, свързано с обработката за домашни нужди и разкриването на видеоматериал на трети страни. Насоките ще бъдат предмет на обществена консултация.

Съвместен отговор на ЕКЗД и ЕНОЗД, даден на комисията LIBE, относно последиците от американския закон относно облачните технологии
Европейският комитет по защита на данните прие съвместен (ЕКЗД–ЕНОЗД) отговор на искането на комисията на Европейския парламент по граждански свободи, правосъдие и вътрешни работи (LIBE) за правна оценка на последиците, които ще настъпят от  американския закон относно облачните технологии  за правната рамка на ЕС за защита на данните и мандата за водене на преговори за споразумение между ЕС и САЩ относно трансграничния достъп до електронни доказателства в рамките на съдебното сътрудничество по наказателноправни въпроси. Законът относно облачните технологии позволява на правоприлагащите органи на САЩ да изискват оповестяването на данни от доставчиците на услуги в САЩ, независимо от мястото, където се съхраняват данните.

ЕКЗД и ЕНОЗД подчертават, че евентуално всеобхватно споразумение между ЕС и САЩ относно трансграничния достъп до електронни доказателства, съдържащо силни процедурни и съществени гаранции за основните права, изглежда най-подходящият инструмент за гарантиране на необходимото ниво на защита на субектите на данни от ЕС и правна сигурност за предприятията.

Становище съгласно член 64 от ОРЗД относно представените от датския надзорен орган стандартни договорни клаузи за обработващите лични данни по смисъла на член 28, параграф 8
ЕКЗД прие становището си относно предоставения от датския надзорен орган (НО), проект на стандартни договорни клаузи (СДК), с които се въвеждат рамкови условия на обработване от страна на обработващ лични данни. Становището, което е първото по тази тема, има за цел да гарантира последователно прилагане на член 28 от ОРЗД по отношение на обработващите лични данни. В него комитетът прави няколко препоръки, които следва да се вземат предвид, за да може СДК от проекта на датския НО да се смятат за стандартни договорни клаузи. Ако бъдат изпълнени всички препоръки, датският НО ще може да използва този проект на споразумение като стандартни договорни клаузи в съответствие с член 28, параграф 8 от ОРЗД.

Становище съгласно член 64 от ОРЗД относно представените от австрийския НО критерии за акредитиране на органите за наблюдение на кодексите за поведение
След представянето от страна на австрийския НО на проект на решение относно критериите за акредитация на органите за наблюдение на кодексите за поведение Комитетът прие своето становище. Комитетът прие, че за всички кодекси, обхващащи непублични институции и органи, се изисква да са налице акредитирани органи за наблюдение в съответствие с ОРЗД.

Становище съгласно член 64 от ОРЗД относно компетентността на надзорен орган в случай на промяна в обстоятелствата, свързани с основното или единственото място на установяване
Комитетът прие становище относно компетентността на надзорен орган в случай на промяна в обстоятелствата, свързани с основното или единственото място на установяване. Това може да настъпи, когато основното място на установяване е преместено в рамките на ЕИП, когато основно място на установяване се премества от трета държава в ЕИП или когато вече няма основно, или единствено място на установяване в ЕИП. Становището на комитета е, че при такива обстоятелства компетентността на водещия надзорен орган (ВНО) може да бъде прехвърлена на друг НО. В този случай, процедурата за сътрудничество, предвидена съгласно член 60, продължава да се прилага, като новият НО е задължен да си сътрудничи с предишния НО, както и с другите съответни НО и да се стреми към постигането на консенсус. Прехвърлянето може да продължава, докато не е взето окончателно решение от компетентния надзорен орган.

Съвместно становище на ЕКЗД–ЕНОЗД относно eHDSI
Комитетът прие съвместно становище на ЕКЗД–ЕНОЗД относно аспектите на защитата на личните данни при обработката на данните на пациентите в eHDSI. Това е първото съвместно становище на ЕКЗД–ЕНОЗД, прието в отговор на искане от Европейската комисия съгласно член 42, параграф 2 от Регламент № 2018/1725 относно защитата на данните за институциите и органите на ЕС. В своето становище ЕКЗД и ЕНОЗД считат, че в този конкретен случай и за конкретната обработка на данните на пациентите в рамките на eHDSI няма причина за несъгласие с оценката на Европейската комисия по отношение на ролята ѝ на обработващ лични данни в рамките на eHDSI. Освен това, в съвместното становище се подчертава необходимостта да се гарантира, че всички задължения на Комисията, като обработващ лични данни, при тази обработка на данни, както са посочени в приложимото законодателство за защита на данните, са ясно определени в съответния акт за изпълнение.

Списък за оценка на въздействието върху защитата на данните (ОВЗД), представен от Кипър
ЕКЗД прие становище относно списъка за ОВЗД, представен на  от Кипър. Списъците за ОВЗД представляват важен инструмент за съгласуваното прилагане на ОРЗД в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата, и свободите на физическите лица.

Становище съгласно член 64 от ОРЗД относно представените от Франция, Испания и Чехия, списъци по член 35, параграф 5 (изключение от ОВЗД )
ЕКЗД прие становището си относно представените от НО на Франция, Испания и Чехия, списъци по член 35, параграф 5.

Препоръка относно представения от ЕНОЗД списък съгласно чл. 39, параграф 4 от Регламент 2018/1725 (списък за ОВЗД )
Комитетът прие препоръка относно списъка съгласно чл. 39, параграф 4, представен на комитета от ЕНОЗД. ЕНОЗД трябва да се консултира с ЕКЗД преди приемането на тези списъци, доколкото те „се отнасят до операции по обработване от администратор, действащ съвместно с един или повече администратори, различни от институции и органи на Съюза“ (член 39, параграф 6 от Регламент (ЕС) 2018/1725). Подобно на списъците за ОВЗД съгласно ОРЗД, списъкът на ЕНОЗД информира администраторите за дейностите по обработване, за които се изисква ОВЗД.

Бележка към редакторите:
Моля, отбележете, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Брюксел, 5 юни — на 4 юни, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в  Европейския комитет по защита на данните (ЕКЗД), проведоха единадесетото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.

Насоки относно кодексите за поведение
ЕКЗД прие окончателния вариант на Насоките относно кодексите за поведение. След провеждането на обществена консултация в текста бяха включени допълнителни разяснения. Целта на тези насоки е да се предоставят практически указания и помощ при тълкуването във връзка с прилагането на членове 40 и 41 от Общия регламент относно защитата на данните. Целта на насоките е да се улесни изясняването на процедурите и правилата, свързани с внасянето, одобрението и публикуването на кодекси за поведение, както на национално, така и на европейско равнище. Тези насоки следва да продължат да действат като ясна рамка за всички компетентни надзорни органи, Комитета и Комисията с цел съгласувано оценяване на кодексите за поведение и опростяване на процедурите, използвани в процеса на оценяване..

Приложение към Насоките относно акредитацията
След провеждането на обществена консултация ЕКЗД прие окончателния вариант на приложението към Насоките относно акредитацията. Текстът беше преразгледан, за да се постигне по-голяма яснота. Целта на насоките е да се предостави ръководство за това, как да се тълкуват и прилагат разпоредбите на член 43 от ОРЗД. По-специално, те имат за цел да помогнат на държавите членки, надзорните органи и националните органи по акредитация да създадат съгласувани и хармонизирани основни критерии за акредитация на сертифициращите органи, които издават сертификати в съответствие с Общия регламент относно защитата на данните. Приложението дава насоки относно допълнителните изисквания за акредитация на сертифициращите органи, които трябва да бъдат установени от надзорните органи. Преди да бъдат приети от надзорните органи, тези допълнителни изисквания следва да се представят за одобрение на Европейския комитет по защита на данните съгласно член 64, параграф 1, буква в). *

Приложение към Насоките за сертифициране
ЕКЗД прие окончателния вариант на приложение 2 към Насоките за сертифициране. След обществена консултация в определени раздели бяха добавени някои аспекти, като например, дали критериите включват задължението на администратора/обработващия лични данни да определи длъжностно лице по защита на данните и задължението за водене на документация за дейностите по обработване. Основната цел на тези насоки е да се установят всеобхватни критерии, които да имат значение за всички видове механизми за сертифициране, създавани в съответствие с член 42 и член 43 от ОРЗД. В приложението се определят теми, които надзорните органи по защита на данните и Европейският комитет по защита на данните ще разглеждат и ще взимат предвид при одобряването на критерии за сертифициране за механизъм за сертифициране. Списъкът не е изчерпателен, но представя минималния брой теми, които да бъдат разгледани. *

Бележка към редакторите:

* Като следваща стъпка, преди да могат да бъдат обсъдени конкретни случаи във връзка със сертифицирането и акредитацията на равнището на ЕКЗД, ЕКЗД подготвя процедура за улесняване на последователното и своевременно изготвяне на становища относно проектите на решения на надзорните органи и за одобряване на европейските печати за защита на данните.

Всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД, веднага, щом тези проверки бъдат извършени

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Брюксел, 15 май — На 14 и 15 май органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в на Европейския комитет по защита на данните (ЕКЗД), проведоха десетото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.

Избор на нов заместник-председател
Членовете на Комитета избраха Aleid Wolfsen, председател на нидерландския надзорен орган, за нов заместник-председател, заменящ Willem Debeuckelaere, на когото председателят на ЕКЗД Андреа Йелинек благодари за свършената работа. Заедно със своя колега заместник- председател Венцислав Караджов, г-н Wolfsen ще подкрепя председателя на ЕКЗД в нейната работа за Комитета през следващите години. Д-р Йелинек добави: „Общественият интерес към защитата на данните е рекордно висок. С нетърпение очаквам да работим заедно с Aleid и Венцислав за осъществяване на контакти с по-широк кръг от заинтересованите страни в областта за защита на данните.“

Г-н Wolfsen добави: „През следващите години ние, като Комитет, носим отговорността да предоставяме авторитетни насоки и добри съвети. В качеството ми на заместник-председател, аз ще поема отговорността за съобразяването с всички становища и в крайна сметка за излизането с единна позиция.“

Отговор на въпрос на члена на ЕП, г-жа Sophie In’t Veld относно свързаните превозни средства
ЕКЗД прие текст на писмо в отговор на писмото на члена на ЕП, г-жа Sophie In’t Veld от 17 април 2019 г. във връзка със споделянето на лични данни на водачите на леки автомобили с производителите на леки автомобили и трети страни без изрично, конкретно и информирано съгласие на водача и без подходящо правно основание. В отговора си ЕКЗД подчертава, че членовете на Комитета и колегите им от различни държави през 2017 г. са приели резолюция относно защитата на данните в автоматизирани и свързани превозни средства по време на Международната конференция на органите по защита на личните данни и неприкосновеността (ICDPPC) и че Работната група по член 29 е приела своето Становище 3/2017 относно обработването на лични данни в контекста на съвместните интелигентни транспортни системи (СИТС). Този въпрос ще бъде разгледан също и в рамките на работната програма на ЕКЗД за 2019—2020 г. .

Трети годишен преглед на Щита за личните данни
ЕКЗД определи представители за участие в третия годишен преглед на Щита за личните данни. По време на прегледа, Комитетът ще бъде представляван от Австрия, България, Франция, Германия, Унгария и ЕНОЗД.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Европейски комитет по защита на данните — девето пленарно заседание: Насоки относно обработването на лични данни в контекста на услугите на информационното общество

 
Брюксел, 10 април — На 9 и 10 април, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха деветото си пленарно заседание.
 
По време на пленарното заседание ЕКЗД прие Насоки относно обхвата и прилагането на член 6, параграф 1, буква б)* от ОРЗД в контекста на услугите на информационното общество. В своите насоки, Комитетът прави общи коментари във връзка с принципите за защита на данните и взаимодействието на член 6, параграф 1, буква б) с други правни основания. Наред с това в тях са включени указания относно приложимостта на член 6, параграф 1, буква б) в случай на групиране на отделни услуги и прекратяване на договора.

Бележка към редакторите:
 
Всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

* Член 6, параграф 1, буква б)
„1. Обработването е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:
[...]
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; “
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Европейски комитет по защита на данните — осмо пленарно заседание: взаимодействие между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и ОРЗД, изявление във връзка с Регламента за неприкосновеността на личния живот и електронните съобщения, списъци на случаите, в които се изисква ОВЗД (Испания и Исландия), изявление във връзка с изборите

Брюксел, 13 март — На 12 и 13 март, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха осмото си пленарно заседание. По време на пленарното заседание бяха обсъдени множество различни въпроси.

Взаимодействие между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и ОРЗД

ЕКЗД прие становище относно взаимодействието между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и Общия регламент относно защитата на данните (ОРЗД). В становището се дава отговор на въпроса дали фактът, че обработването на лични данни попада в материалното приложно поле и на ОРЗД, и на Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, ограничава компетентността, задачите и правомощията на органите за защита на данните, регламентирани в ОРЗД. ЕКЗД е на мнение, че органите за защита на данните са компетентни да прилагат ОРЗД. Самият факт, че част от обработването попада в приложното поле на Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, не ограничава компетентността на органите за защита на данните.

Нарушаване на ОРЗД може да представлява едновременно и нарушаване на националните правила за неприкосновеността на личния живот в сектора на електронните съобщения. Надзорните органи могат да вземат това под внимание, когато прилагат ОРЗД (т.е. когато правят оценка на спазването на принципите за законосъобразност или добросъвестност).  

Изявление във връзка с бъдещия Регламент за неприкосновеността на личния живот и електронните съобщения
ЕКЗД прие изявление, в което призова законодателите на ЕС да положат по-големи усилия за приемането на Регламента за неприкосновеността на личния живот и електронните съобщения, който е от основно значение за завършването на правната рамка на Съюза  в сферата на  защитата на данните и поверителността на електронните съобщения.

Бъдещият Регламент за неприкосновеността на личния живот и електронните съобщения не трябва, при никакви обстоятелства,  да занижава нивото на защита, предлагано от Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, и той трябва да допълва ОРЗД, като предоставя надеждни гаранции за всички видове електронни съобщения.

Списъци на случаите, в които се изисква ОВЗД 

ЕКЗД прие две становища по  списъците на случаите, в които се изисква оценка на въздействието върху защитата на данните (ОВЗД), изпратени от Испания и Исландия. Тези списъци представляват важен инструмент за съгласуваното прилагане на ОРЗД в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата и свободите на физическите лица. Въпреки че,  администраторът на лични данни по принцип трябва да прецени дали се изисква ОВЗД, преди да започне дейността по обработване, националните надзорни органи съставят и изготвят списък на видовете операции по обработване, подлежащи на оценка на въздействието върху защитата на данните. Тези две становища бяха приети след 28-те становища, приети на предходни пленарни заседания, и ще допринесат допълнително за установяването на общи критерии за списъците на случаите, в които се изисква ОВЗД, в цялото ЕИП.

Изявление във връзка с използването на лични данни в хода на политически кампании

С оглед на предстоящите европейски избори и на други избори, които ще се проведат в държавите от ЕС и извън тях през 2019 г., ЕКЗД прие изявление във връзка с използването на лични данни в хода на изборни кампании. Техниките за обработване на данни за политически цели могат да представляват сериозен риск не само за правото на неприкосновеност на личния живот и защита на данните, но и за целостта на демократичния процес. В изявлението си ЕКЗД изтъква няколко основни аспекта, които трябва да бъдат взети под внимание, когато политическите партии обработват лични данни в хода на предизборни дейности.

Бележка към редакторите:

Моля, отбележете, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Брюксел, 13 февруари - На 12 февруари, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха седмото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.
 
Работна програма на Европейския комитет по защита на данните за 2019-2020 г.
Комитетът прие своята двугодишна работна програма за периода 2019-2020 г. съгласно член 29 от Правилника на ЕКЗД. Работната програма на ЕКЗД се основава на нуждите, които членовете са определили като приоритетни за физическите лица и заинтересованите страни, както и на дейностите, планирани от законодателя на ЕС.  

Проект за административно споразумение в областта на надзора на финансовите пазари
ЕКЗД прие своето първо становище, въз основа на член 46, параграф 3, буква б) от Общия регламент относно защитата на данните, относно административното споразумение (АС)за предаването на лични данни между финансовите надзорни органи на държавите от ЕИП, включително Европейския орган за ценни книжа и пазари (ЕОЦКП) и техните партньори извън ЕС. Това споразумение ще бъде представено на компетентните надзорни органи за разрешение на национално равнище. Компетентните надзорни органи ще наблюдават АС и практическото му прилагане, за да гарантират, че субектите на данни се ползват на практика от ефективни и приложими права, както и че съществуват подходящи средства за правна защита и за надзор.

Брекзит
ЕКЗД прие информационно съобщение, адресирано до търговските субекти и публичните органи, относно предаването на данни съгласно ОРЗД, в случай че Обединеното кралство напусне ЕС без споразумение.

Потоци от данни от ЕИП към Обединеното кралство
При липсата на споразумение между ЕС и Обединеното кралство от 00.00 ч. централноевропейско време на 30 март 2019 г. Обединеното кралство ще стане трета държава. Вследствие на това предаването на лични данни от ЕИП към Обедненото кралство ще трябва да се основава на един от следните инструменти: стандартни или специфични клаузи за защита на данните, задължителни фирмени правила, кодекси за поведение и механизми за сертифициране, както и на конкретните инструменти за предаване на данни, с които разполагат публичните органи. При липсата на стандартни клаузи за защита на данните или други алтернативни подходящи предпазни мерки могат да се използват дерогации при определени условия.

Потоци от данни от Обединеното кралство към ЕИП
По отношение на предаването на данни от Обединеното кралство към ЕИП според правителството на Обединеното кралство настоящата практика, която позволява личните данни да се движат свободно от Обединеното кралство към ЕИП, ще продължи да се използва, в случай че Обединеното кралство напусне ЕС без споразумение.
    
Насоки относно кодексите за поведение
ЕКЗД прие насоки относно кодексите за поведение. Целта на тези насоки е да се предоставят практически указания и помощ при тълкуването във връзка с прилагането на членове 40 и 41 от Общия регламент относно защитата на данните. Целта на насоките е да се улесни изясняването на процедурите и правилата, свързани с внасянето, одобрението и публикуването на кодекси за поведение, както на национално, така и на европейско равнище. Тези насоки следва да продължат да действат като ясна рамка за всички компетентни надзорни органи, Комитета и Комисията с цел кодексите за поведение да бъдат оценявани по последователен начин, а процедурите, използвани в процеса на оценяване, да бъдат опростени. Насоките ще бъдат предмет на обществена консултация.

Бележка към редакторите:

Моля, отбележете, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Брюксел, 24 януари — На 22 и 23 януари, европейските органи за защита на данните, които членуват в Европейския комитет по защита на данните (ЕКЗД), проведоха шестото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.
 
Щит за личните данни
Членовете на Комитета приеха доклада на ЕКЗД относно втория годишен преглед на Щита за личните данни в отношенията между ЕС и САЩ. ЕКЗД приветства усилията, положени от органите на САЩ и от Комисията за прилагането на Щита за личните данни, по-специално действията, предприети за приспособяване на първоначалния процес на сертифициране, за започване на, упражняван по служебен път, надзор и на действия по правоприлагане, както и усилията за публикуване на множество важни документи (като решения на Съда за наблюдение на чуждите разузнавателни служби) отчасти чрез разсекретяване, назначаването на нов председател и на трима нови членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи и наскоро обявеното назначаване на постоянен омбудсман.

След направените констатации от втория съвместен преглед на Щита за личните данни продължават да съществуват някои опасения относно прилагането му. Към тях спадат притеснения, които вече бяха изразени от РГ по чл.29 — предшественика на ЕКЗД, свързани с липсата на конкретни уверения, че ще бъде сложен край на безразборното събиране на и достъп до лични данни за целите на националната сигурност. Освен това, предвид  предоставената до момента информация, ЕКЗД понастоящем не може да прецени, дали омбудсманът разполага с достатъчно правомощия за корективни мерки, които да бъдат приложени в случай на неспазване на заложените разпоредби. Комитетът също така изтъква, че проверките относно спазването на принципите на Щита за личните данни не са достатъчно добре проведени.

Наред с това ЕКЗД изразява някои допълнителни опасения по отношение на извършването на необходимите проверки с цел спазване на изискванията за последващо предаване на данни,  на обхвата на значението на понятията „данни за човешките ресурси“ и „процес на пресертифициране“, както и относно редица други въпроси, повдигнати след първия съвместен преглед, които  все още не са уредени.

Брекзит
ЕКЗД обсъди възможните последици от Брекзит в областта на защитата на данните. Членовете се съгласиха да си сътрудничат и да обменят информация по отношение на своята подготовка и наличните инструменти за предаване на данни към Обединеното кралство, след като държавата престане да бъде част от ЕС.

Въпросник относно клиничните изпитвания
По искане на Европейската комисия (ГД „Здравеопазване и безопасност на храните“), ЕКЗД прие своето становище за въпросника относно клиничните изпитвания. В становището се обръща внимание по-специално на аспектите, свързани с подходящите правни основания в контекста на клиничните изпитвания, и на повторното използване на данни от клинични изпитвания за научни цели. Становището ще бъде изпратено на Европейската комисия.

Списъци на случаите, в които се изисква ОВЗД
ЕКЗД прие становища по списъците, изпратените от Лихтенщайн и Норвегия, на случаите, в които се изисква оценка на въздействието върху защитата на данните (ОВЗД). Тези списъци представляват важен инструмент за съгласуваното прилагане на Общия регламент относно защитата на данните (ОРЗД) в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата и свободите на физическите лица. Въпреки че администраторът на лични данни по принцип трябва да прецени дали се изисква ОВЗД, преди да започне дейността по обработване, националните надзорни органи съставят и изготвят списък на видовете операции по обработване, при които се извършва оценка на въздействието върху защитата на данните. Тези две становища бяха приети след приемането на 22 становища по време на пленарното заседание през септември и четири становища по време на пленарното заседание през декември. Те ще допринесат допълнително за установяването на общи критерии в цялото ЕИП по отношение на списъците на случаите, в които се изисква ОВЗД,.

Насоки относно сертифицирането
След провеждането на обществена консултация, ЕКЗД прие окончателната версия на насоките относно сертифицирането. Освен това, Комитетът прие и ново приложение. По време на първото пленарно заседание на ЕКЗД през май бе приет проект на насоките. Основната цел на тези насоки е да се установят всеобхватни критерии, които да се прилагат за всички видове механизми за сертифициране, създавани в съответствие с член 42 и член 43 от ОРЗД. Поради тази причина,  в насоките основанието за сертифициране се  разглежда като инструмент за отчетност, предоставят се обяснения за основните понятия от разпоредбите на член 42 и член 43, пояснява се какъв е обхватът на сертификационния режим и целта на сертифицирането. Насоките ще помогнат на държавите членки, надзорните органи и националните органи по акредитация (НОА) при прегледа и одобряването на критериите за сертифициране в съответствие с член 42 и член 43 от ОРЗД. Приложението ще бъде предмет на обществена консултация.

Отговор, предназначен за австралийския надзорен орган по отношение на уведомленията за нарушение на сигурността на данните
През октомври 2018 г. председателят на ЕКЗД получи писмено искане от Службата на комисаря по информацията на Австралия относно публикуването на уведомленията за нарушение на сигурността на данните от страна на надзорните органи. ЕКЗД приветства желанието на комисаря на Австралия за съвместна работа с Комитета по отношение на този въпрос и подчертава значението на международното сътрудничество. В своя отговор, ЕКЗД предоставя допълнителни подробности за това, дали и как надзорните органи се занимават с публикуването на информация относно уведомленията за нарушение на сигурността на данните.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary