Det Europæiske Databeskyttelsesråd

Nyheder fra Databeskyttelsesrådet

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

On December 2nd and 3rd, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their sixteenth plenary session. During the plenary, several topics were discussed.
 
Art. 64 GDPR Opinion on Accreditation Requirements for Codes of Conduct monitoring bodies by UK SA
The EDPB adopted its opinion on the UK Supervisory Authority’s (SA) draft decision on the Accreditation Requirements for Codes of Conduct monitoring bodies. The opinion aims to ensure consistency and the correct application of these requirements among EEA SAs. In the opinion, the EDPB proposes some changes to the draft accreditation requirements, in order to ensure a consistent application of the accreditation of monitoring bodies.

Response to BEREC request for guidance on the revision of its guidelines on net neutrality rules
The EDPB adopted its response to a request for guidance by the Body of European Regulators for Electronic Communication (BEREC) on the current EU data protection framework. In the letter, the Board raises concerns regarding the processing of domain names and URLs for the purposes of traffic management and billing (zero-rating offers).

The EDPB encourages the internet access services (IAS), and where relevant BEREC, to define and agree on less invasive and more standardized ways to manage internet traffic, interoperable throughout different IASs, which are not based on the use of URLs and domain names.

Guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR” (part 1)
The Board adopted draft guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR.” The guidelines provide an interpretation of Art. 17 GDPR with regard to the grounds and exceptions for delisting requests directed to search engine providers and are an update of the 2014 guidelines on the implementation of the Costeja judgment, issued by the Article 29 Working Party (WP29). These guidelines, which will be presented for public consultation, will be complemented by another set of guidelines on the criteria for handling complaints for refusals of delisting.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Bruxelles, den 14. november – Den 12. og 13. november samledes EØS-landenes databeskyttelsesmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til dets 15. plenarmøde. På plenarmødet blev der drøftet en bred vifte af emner.

Tredje årlige rapport om privatlivsskjoldet
Databeskyttelsesrådet vedtog sin rapport om den tredje årlige fælles gennemgang af EU-USA-privatlivsskjoldet. I rapporten udtrykker Databeskyttelsesrådet tilfredshed med de amerikanske myndigheders bestræbelser på at gennemføre privatlivsskjoldet, navnlig hvad angår tilsyns- og håndhævelsesaktiviteter ex officio vedrørende kommercielle aspekter, samt udnævnelserne af de sidste manglende medlemmer i rådet for tilsyn med privatlivets fred og borgerlige rettigheder (PCLOB) og af en fast ombudsmand.

Der er dog endnu nogle problemstillinger, som skal tages op. Udvalget påpeger, at en væsentlig del af kontrollerne af overholdelsen af indholdet i principperne i privatlivsskjoldet giver anledning til betænkelighed. Andre områder, der kræver yderligere opmærksomhed, er anvendelsen af privatlivsskjoldets krav vedrørende videreoverførsel, oplysninger og databehandlere vedrørende menneskelige ressourcer samt processen til fornyet certificering. Mere generelt vil medlemmerne af evalueringsgruppen få bredere adgang til ikke-offentlige oplysninger, kommercielle aspekter og igangværende undersøgelser.

Hvad angår offentlige myndigheders indsamling af oplysninger opfordrer Databeskyttelsesrådet til, at rådet for tilsyn med privatlivets fred og borgerlige rettigheder udsender og offentliggør yderligere rapporter, bl.a. med en uafhængig vurdering af overvågningsprogrammer, der gennemføres uden for USA's område samtidig med overførsel af oplysninger fra EU til USA. Bestyrelsen gentager, at dets sikkerhedsgodkendte eksperter fortsat er rede til at gennemgå yderligere dokumenter og drøfte yderligere klassificerede elementer.

Databeskyttelsesrådet ser med tilfredshed på de nye elementer, der er fremlagt i løbet af dette års revision, men kan ikke konkludere, at ombudsmanden har tilstrækkelige beføjelser til at få adgang til oplysninger og afhjælpe manglende overholdelse.

Retningslinjer for territorialt anvendelsesområde
Databeskyttelsesrådet vedtog en endelig udgave af retningslinjerne for territorialt anvendelsesområde efter forudgående offentlig høring. Retningslinjerne sigter mod at give EEA's databeskyttelsesmyndigheder en fælles fortolkning af den generelle forordning om databeskyttelse i forbindelse med vurdering af, om en given databehandling, der foretages af en dataansvarlig eller databehandler, falder inden for det territoriale anvendelsesområde i henhold til den retlige ramme, jf. artikel 3 i den generelle forordning om databeskyttelse. Retningslinjerne giver yderligere præciseringer vedrørende anvendelsen af den generelle forordning om databeskyttelse i en række situationer, f.eks. hvor den dataansvarlige eller databehandleren er etableret uden for EØS, herunder vedrørende udpegelsen af en repræsentant og dennes rolle i henhold til artikel 27 i den generelle forordning om databeskyttelse.

De endelige retningslinjer indeholder en ajourført formulering og yderligere retlig begrundelse med henblik på at tackle bemærkninger og feedback fra den offentlige høring, samtidig med at de fastholder den overordnede fortolkning og metode fra den første udgave af retningslinjerne.

Vejledning om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Databeskyttelsesrådet vedtog retningslinjer for databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. Retningslinjerne fokuserer på forpligtelsen til databeskyttelse gennem design og gennem standardindstillinger som fastlagt i artikel 25 i den generelle forordning om databeskyttelse. Den centrale forpligtelse er her at sikre effektiv gennemførelse af databeskyttelsesprincipperne og de registreredes rettigheder og friheder gennem design og gennem standardindstillinger. Dette kræver, at de dataansvarlige gennemfører hensigtsmæssige tekniske og organisatoriske foranstaltninger og tilvejebringer de nødvendige garantier, der er udformet med henblik på at eftergå overholdelsen af databeskyttelsesprincipperne effektivt og beskytte de registreredes rettigheder og friheder. Desuden skal de dataansvarlige kunne påvise, at de gennemførte foranstaltninger er effektive. Retningslinjerne vil blive fremlagt til offentlig høring.

Artikel 64 – Udtalelse om bindende virksomhedsregler for ExxonMobil
Databeskyttelsesrådet vedtog sin udtalelse om udkastet til afgørelse om bindende virksomhedsregler for ExxonMobil, som den belgiske tilsynsmyndighed havde forelagt rådet. Databeskyttelsesrådet er af den opfattelse, at udkastet til bindende virksomhedsregler for den dataansvarlige giver tilstrækkelige garantier som omhandlet i artikel 46, stk. 2, litra b) og er i overensstemmelse med artikel 47 i den generelle forordning om databeskyttelse.

Svarskrivelse til Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender om EU-informationssystemer
Det Europæiske Databeskyttelsesråd vedtog sit svar på anmodningen fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender om en juridisk vurdering af Kommissionens forslag til forordningen om fastsættelse af betingelserne for at få adgang til de andre EU-informationssystemer og til forordningen om fastlæggelse af betingelserne for at få adgang til andre EU-informationssystemer til ETIAS-formål. I brevet anfører Databeskyttelsesrådet, at forslagene bør ses som en del af et større billede, dvs. som de gennemførende dele af interoperabilitetsrammen, og minder om de betænkeligheder, som artikel 29-Gruppen tidligere har givet udtryk for. Desuden påpeges det i brevet, at der er betænkeligheder med hensyn til grundlæggende databeskyttelsesprincipper såsom gennemsigtighed, databeskyttelse gennem design og gennem standardindstillinger, og formålsbegrænsning.

Tillægsprotokol til Budapestkonventionen om cyberkriminalitet
Det Europæiske Databeskyttelsesråd har vedtaget et bidrag til udkastet til anden tillægsprotokol til Europarådets konvention om cyberkriminalitet (Budapestkonventionen), der skal tages i betragtning i forbindelse med høringer i Europarådets komité for konventionen om cyberkriminalitet. Databeskyttelsesrådet minder om, at beskyttelse af personoplysninger og retssikkerhed skal være garanteret for derved at bidrage til målsætningen om – med henblik på deling af personoplysninger med tredjelande til retshåndhævelsesformål – at etablere bæredygtige ordninger, som er fuldt forenelige med EU-traktaterne og chartret om grundlæggende rettigheder.

Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og gøres tilgængelige på Databeskyttelsesrådets websted, når de er afsluttet.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Bruxelles, den 10. oktober — Den 8. og 9. oktober samledes EØS-landenes databeskyttelsesmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til dets 14. plenarmøde. På mødet blev der drøftet en lang række emner.

Retningslinjer for det retlige grundlag for behandling i forbindelse med onlinetjenester baseret på kontrakter (artikel 6, stk. 1, litra b))
Databeskyttelsesrådet vedtog en endelig udgave af retningslinjerne for anvendelsesområdet for og anvendelsen af artikel 6, stk. 1, litra b), i databeskyttelsesforordningen (GDPR) i forbindelse med informationssamfundstjenester. Efter en offentlige høring blev der indføjet præciseringer i teksten. I sine retningslinjer fremsætter Databeskyttelsesrådet generelle bemærkninger vedrørende databeskyttelsesprincipper og samspillet mellem artikel 6, stk. 1, litra b) og andre retsgrundlag. Desuden indeholder retningslinjerne vejledning om anvendelsen af artikel 6, stk. 1, litra b), i tilfælde af bundtning af særskilte tjenester og opsigelse af kontrakten.

Artikel 64 — Udtalelse om bindende virksomhedsregler
Databeskyttelsesrådet vedtog sin udtalelse om udkastet til afgørelse om Equinix' bindende virksomhedsregler, som den britiske databeskyttelsesmyndighed (Information Commissioner's Office) havde forelagt bestyrelsen. Databeskyttelsesrådet er af den opfattelse, at Equinix' bindende virksomhedsregler indeholder alle de elementer, der kræves i henhold til artikel 47 i GDPR og WP256 rev01, og at de indeholder de fornødne garantier.

Passagerlister
Databeskyttelsesrådet vedtog et brev som svar på MEP Sophie in ’t Velds brev om det genforhandlede udkast til passagerlisteaftalen med Canada og indvirkningen heraf på andre aftaler om passagerlister. I sit svar bemærkede Databeskyttelsesrådet, at udkastet til aftale endnu ikke er blevet forelagt bestyrelsen, men at Databeskyttelsesrådet er parat til at afgive en udtalelse. Brevet henviser endvidere til et tidligere brev, som Artikel 29-Gruppen (WP29) sendte til Europa-Kommissionen efter EU-Domstolens udtalelse om det første udkast til passagerlisteaftale med Canada.

Svar til Rådets Sportsgruppe vedrørende antidopingkodeks (WADA)
Databeskyttelsesrådet vedtog sit svar på anmodningen fra Rådets Sportsgruppe vedrørende den igangværende revision af den internationale antidopingkodeks. I sit brev minder udvalget om to af Artikel 29-Gruppens udtalelser om de tidligere udgaver af den internationale antidopingkodeks. Det påpeges i brevet, at der er gjort fremskridt med hensyn til beskyttelse af privatlivets fred og databeskyttelse i den nye udgave af kodeksen og dens standarder, men at der stadig er nogle vigtige problemstillinger.

Bemærkning til redaktører:
Bemærk, at alle dokumenter, der vedtages på Databeskyttelsesrådets plenarmøde, undergår de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Databeskyttelsesrådets websted, når disse er afsluttet.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruxelles, den 11. juli – den 9. og 10. juli mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres tolvte plenarmøde. På mødet blev der drøftet en lang række emner.

Retningslinjer for videoovervågning
Rådet vedtog retningslinjer for videoovervågning, hvori det præciseres, hvordan databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, når der anvendes videoudstyr, og som har til formål at sikre en konsekvent anvendelse af databeskyttelsesforordningen i denne henseende. Retningslinjerne dækker både traditionelt og intelligent videoudstyr. For sidstnævntes vedkommende fokuserer retningslinjerne på reglerne for behandling af særlige kategorier af oplysninger. Desuden omfatter retningslinjerne bl.a. lovligheden af behandling, anvendeligheden af undtagelsen for husholdninger og fremlæggelse af optagelser for tredjeparter. Retningslinjerne vil blive genstand for en offentlig høring.

EDPB-EDPS svar til LIBE-udvalget om konsekvenserne af den amerikanske CLOUD Act
Det Europæiske Databeskyttelsesråd (Herefter EDPB) vedtog et fælles svar med Den Europæiske Tilsynsførende for Databeskyttelse (Herefter EDPS) på Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggenders (Herefter LIBE komiteen) anmodning om en retlig vurdering af konsekvenserne af US CLOUD Act, vedrørende EU's retlige rammer for databeskyttelse og mandatet for forhandlinger om en aftale mellem EU og USA om grænseoverskridende adgang til elektronisk bevismateriale med henblik på retligt samarbejde i straffesager. CLOUD Act giver de amerikanske retshåndhævende myndigheder mulighed for at kræve, at leverandører af tjenesteydelser i USA videregiver oplysninger, uanset hvor oplysningerne er lagret.

EDPB og EDPS  understreger, at en omfattende aftale mellem EU og USA vedrørende grænseoverskridende adgang til elektronisk bevismateriale med stærke proceduremæssige og væsentlige garantier vedrørende fundamentale rettigheder synes at være det mest hensigtsmæssige instrument til at sikre det nødvendige beskyttelsesniveau for registrerede i EU og retssikkerhed for virksomheder.

Udtalelse efter  artikel 64 i databeskyttelsesforordningenvedrørende standardkontraktbestemmelser for databehandlere i henhold til artikel 28, stk. 8, forelagt af Danmarks tilsynsmyndighed
Det Europæiske Databeskyttelsesråd vedtog sin udtalelse om det udkast til standardkontraktbestemmelserne for at skabe rammer for databehandleres databehandling, som den danske tilsynsmyndighed (SA) havde forelagt rådet. Udtalelsen, som er den første om dette emne, har til formål at sikre en konsekvent anvendelse af artikel 28 i den databeskyttelsesforordningen, hvad angår databehandlere. I udtalelsen fremsatte bestyrelsen en række henstillinger, som skal tages i betragtning, for at Danmarks tilsynsmyndigheds udkast til standardkontraktbestemmelser kan betragtes som standardkontraktbestemmelser. Hvis alle henstillinger gennemføres, vil den danske tilsynsmyndighed kunne anvende dette udkast som standardkontraktbestemmelser i henhold til artikel 28, stk. 8, i den generelle forordning om databeskyttelse.

Udtalelse i henhold til artikel 64 i databeskyttelsesforordningenom godkendelseskriterier for organer, der fører tilsyn med adfærdskodekser, forelagt af Østrigs tilsynsmyndigheder
Efter at Østrigs tilsynsmyndigheder havde forelagt deres udkast til afgørelse om godkendelseskriterier for organer, der fører tilsyn med adfærdskodekser, vedtog udvalget sin udtalelse. Rådet var enigt i, at alle kodekser, der omfatter ikke-offentlige myndigheder og organer, skal have godkendte tilsynsorganer i overensstemmelse med den generelle forordning om databeskyttelse.

Udtalelse i henhold til artikel 64 i databeskyttelsesforordningen om en tilsynsmyndigheds kompetence i tilfælde af en ændring i forhold, der vedrører hovedvirksomheden eller den eneste etablering
Rådet vedtog en udtalelse om en tilsynsmyndigheds kompetence i tilfælde af en ændring i forhold, der vedrører ændring af hovedvirksomheden eller den eneste etablering. Dette kan forekomme, når hovedvirksomheden flyttes inden for EØS, når en hovedvirksomhed flyttes til EØS fra et tredjeland, eller når der ikke længere er en hoved- eller eneetablering i EØS. I sådanne tilfælde finder rådet, at kompetencen som ledende tilsynsmyndighed kan skifte til en anden tilsynsmyndighed. Sker dette, vil samarbejdsproceduren, der er fastsat i artikel 60, fortsat finde anvendelse, og den nye ledende tilsynsmyndighed vil være forpligtet til at samarbejde med den foregående ledende tilsynsmyndighed og med de andre berørte tilsynsmyndigheder i et forsøg på at nå til enighed. Skiftet kan finde sted, så længe den kompetente tilsynsmyndighed ikke har truffet endelig afgørelse.

Fælles udtalelse fra EDPB-EDPS om eHDSI
Rådet vedtog en fælles udtalelse fra EDPB og EDPS om beskyttelse af personoplysninger i forbindelse med behandling af patientoplysninger i digitalinfrastrukturen for e-sundhed (eHDSI). Det er den første fælles udtalelse fra EDPB og EDPS, der blev vedtaget som svar på en anmodning fra Europa-Kommissionen i henhold til artikel 42, stk. 2, i forordning 2018/1725 om databeskyttelse for EU's institutioner og organer. I sin udtalelse finder EDPB og EDPS, at der i denne specifikke situation og med hensyn til den konkrete behandling af patientoplysninger inden for eHDSI ikke er nogen grund til at afvige fra Europa-Kommissionens vurdering af dens rolle som databehandler i eHDSI. Endvidere understreges det i den fælles udtalelse behovet for at sikre, at alle Kommissionens opgaver som databehandler i denne databehandlingsaktivitet, som anført i den gældende databeskyttelseslovgivning, klart fastlægges i den relevante gennemførelsesretsakt.  

Liste vedrørende konsekvensanalyse forelagt af Cypern
Det Europæiske Databeskyttelsesråd vedtog en udtalelse om den liste vedrørende konsekvensanalyse, som Cypern har forelagt rådet. Lister vedrørende konsekvensanalyser er et vigtigt redskab til sikring af en ensartet anvendelse af databeskyttelsesforordningen i hele EØS. Konsekvensanalyse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder.

Artikel 64 i databeskyttelsesforordningen om lister vedrørende artikel 35, stk. 5, forelagt af Frankrig, Spanien og Tjekkiet (undtagelse med hensyn til konsekvensanalyse)
Det Europæiske Databeskyttelsesråd vedtog sin udtalelse om de lister vedrørende artikel 35, stk. 5, som blev forelagt rådet af de franske, spanske og tjekkiske tilsynsmyndigheder.

Henstilling om liste forelagt af Den Europæiske Tilsynsførende for Databeskyttelse i henhold til artikel 39, stk. 4, i forordning 2018/1725 (liste vedrørende konsekvensanalyse)
Rådet har vedtaget en henstilling om den liste i henhold til artikel 39, stk. 4, som Den Europæiske Tilsynsførende for Databeskyttelse har forelagt rådet. Den Europæiske Tilsynsførende for Databeskyttelse skal høre Det Europæiske Databeskyttelsesråd inden vedtagelsen af disse lister, for så vidt som disse "omhandler behandlingsaktiviteter udført af en dataansvarlig, der handler sammen med en eller flere andre dataansvarlige end Unionens institutioner og organer" (artikel 39, stk. 6, i forordning (EU) 2018/1725). I lighed med listerne vedrørende konsekvensanalyse i henhold til den generelle databeskyttelsesforordning giver listerne fra Den Europæiske Tilsynsførende for Databeskyttelse databehandlere oplysninger om behandlingsaktiviteter, som forudsætter en konsekvensanalyse.

Baggrundsoplysninger:
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarforsamling, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruxelles, den 5. juni - den 4. juni mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres ellevte plenarforsamling. På mødet blev der drøftet en lang række emner.

Retningslinjer for adfærdskodekser
Det Europæiske Databeskyttelsesråd vedtog en endelig udgave af retningslinjerne for adfærdskodekser. Efter en offentlig høring blev der indføjet en række præciseringer i teksten. Formålet med disse retningslinjer er at yde praktisk vejledning og fortolkningsmæssig bistand i forbindelse med anvendelsen af artikel 40 og 41 i GDPR. Hensigten med retningslinjerne er at bidrage til at klarlægge procedurerne og reglerne i forbindelse med forelæggelse, godkendelse og offentliggørelse af adfærdskodekser på både nationalt og europæisk plan. Disse retningslinjer bør derudover fungere som en klar ramme for alle kompetente tilsynsmyndigheder, Det Europæiske Databeskyttelsesråd og Kommissionen i forbindelse med konsekvent evaluering af adfærdskodekser og strømlining af procedurerne i vurderingsprocessen.

Bilag til retningslinjerne for akkreditering
Det Europæiske Databeskyttelsesråd vedtog en endelig udgave af bilaget til retningslinjerne for akkreditering efter en offentlig høring. Teksten er blevet revideret for at forbedre klarheden. Formålet med retningslinjerne er at vejlede om, hvordan man skal fortolke og implementere bestemmelserne i artikel 43 i databeskyttelsesforordningen. De tager navnlig sigte på at hjælpe medlemsstaterne, tilsynsmyndighederne og de nationale akkrediteringsorganer med at etablere et sammenhængende og ensartet grundlag for akkreditering af certificeringsorganer, som udsteder  et certifikat i overensstemmelse med databeskyttelsesforordningen. Bilaget indeholder vejledning om de ekstra krav til akkreditering af certificeringsorganer, som tilsynsmyndighederne skal fastlægge. Disse ekstra krav skal inden de gennemføres af tilsynsmyndighederne indberettes til Det Europæiske Databeskyttelsesråd med henblik på godkendelse i henhold til artikel 64, stk. 1, litra c).*

Bilag til retningslinjerne for certificering
Det Europæiske Databeskyttelsesråd vedtog en endelig udgave af bilag 2 til retningslinjerne for certificering. Efter en offentlig høring blev der tilføjet en række aspekter til visse afsnit, f.eks. om, hvorvidt kriterierne adresserer den dataansvarliges/databehandlerens forpligtelse til at udpege en databeskyttelsesrådgiver og registrere behandlingsaktiviteterne. Hovedformålet med disse retningslinjer er at indkredse overordnede kriterier, som kan være relevante for alle former for certificeringsmekanismer, der er oprettet i overensstemmelse med artikel 42 og 43 i databeskyttelsesforordningen. I bilaget udpeges emner, som tilsynsmyndighederne for databeskyttelse og Det Europæiske Databeskyttelsesråd vil tage i betragtning og anvende i forbindelse med godkendelse af certificeringskriterier for en certificeringsmekanisme. Listen er ikke udtømmende, men indeholder de emner, der som minimum skal tages i betragtning.*

Bemærkninger til redaktørerne:
* Som et næste skridt inden konkrete sager vedrørende certificering og akkreditering kan drøftes på Databeskyttelsesrådsniveau, er Det Europæiske Databeskyttelsesråd i færd med at udarbejde en procedure, som har til formål at fremme konsekvente og rettidige udtalelser om tilsynsmyndighedernes udkast til afgørelser og godkende europæisk databeskyttelsesmærkning.

Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarforsamling, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruxelles, den 15. maj – den 14. og 15. maj mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres tiende plenarmøde. På mødet blev der drøftet en lang række emner.

Valg af ny næstformand
Rådets medlemmer valgte Aleid Wolfsen, formand for den nederlandske tilsynsmyndighed, som ny næstformand, der afløser Willem Debeuckelaere, som af formand for Det Europæiske Databeskyttelsesråd Andrea Jelinek blev takket for sit arbejde. Sammen med den anden næstformand, Ventsislav Karadjov, vil Aleid Wolfsen yde støtte til Databeskyttelsesrådets formand i forbindelse med hendes arbejde for bestyrelsen i de kommende år. Andrea Jelinek tilføjede: "Offentlighedens interesse i databeskyttelse er rekordhøj. Jeg ser frem til at samarbejde med Aleid og Ventsislav om dialog med det bredere interessentfællesskab inden for databeskyttelse."

Aleid Wolfsen tilføjede: "I de kommende år er det vores ansvar som organ at formulere kyndige retningslinjer og kvalificeret rådgivning. Jeg vil som næstformand sørge for, at vi indarbejder alle holdninger og i sidste ende taler med én stemme."

Svar til MEP Sophie In't Veld vedrørende netforbundne køretøjer
Det Europæiske Databeskyttelsesråd vedtog et brev som svar på MEP Sophie In't Veld's brev af 17. april 2019 om deling af bilføreres personoplysninger med bilproducenten og tredjeparter uden udtrykkeligt samtykke, førerens specifikke og informerede samtykke, og uden tilstrækkeligt retsgrundlag. I sit svar fremhæver Det Europæiske Databeskyttelsesråd, at rådets medlemmer og deres internationale kolleger under den internationale konference for databeskyttelsesmyndigheder (ICDPPC) vedtog en beslutning om databeskyttelse i automatiserede og netforbundne køretøjer i 2017, og at Artikel 29-Gruppen har vedtaget udtalelse 3/2017 om behandling af personoplysninger i forbindelse med samarbejdende intelligente transportsystemer (C-ITS). Spørgsmålet vil også blive behandlet i henhold til arbejdsprogrammet for Det Europæiske Databeskyttelsesråd for 2019-2020.

Tredje årlige undersøgelse af Privacy Shield
Det Europæiske Databeskyttelsesråd udpegede repræsentanter til den tredje årlige revision af Privacy Shield.  Østrig, Bulgarien, Frankrig, Tyskland, Ungarn og Den Europæiske Tilsynsførende for Databeskyttelse repræsenterer bestyrelsen under revisionen.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Det Europæiske Databeskyttelsesråd — niende plenarmøde: Retningslinjer for behandling af personoplysninger i forbindelse med informationssamfundstjenester

Bruxelles, den 10. april — Den 9. og 10. april mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres niende plenarmøde.
 
På plenarmødet vedtog Det Europæiske Databeskyttelsesråd retningslinjer for anvendelsesområdet for og anvendelsen af artikel 6, stk. 1, litra b,* i databeskyttelsesforordningen vedrørende informationssamfundstjenester. I retningslinjerne fremsætter Databeskyttelsesrådet generelle bemærkninger vedrørende databeskyttelsesprincipperne og samspillet mellem artikel 6, stk. 1, litra b, og andre retsgrundlag. Retningslinjerne indeholder desuden vejledning om anvendeligheden af artikel 6, stk. 1, litra b, i tilfælde af en pakke bestående af særskilte tjenester og opsigelse af kontrakt.
 
Bemærkning til redaktørerne:
 
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds hjemmeside når disse er afsluttet.

*Artikel 6, stk. 1, litra b
"1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
...
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. "

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Det Europæiske Databeskyttelsesråd – ottende plenarmøde: Samspillet mellem e-datadirektivet og databeskyttelsesforordningen, erklæring om e-databeskyttelsesforordningen, ES- & IS DPIA lister, erklæring om valg

Bruxelles, den 13. marts – Den 12. og 13. marts mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres ottende plenarforsamling. På mødet blev der drøftet en lang række emner.

Samspillet mellem e-datadirektivet og databeskyttelsesforordningen
Det Europæiske Databeskyttelsesråd vedtog sin udtalelse om samspillet mellem
e-databeskyttelsesdirektivet og databeskyttelsesforordningen. Formålet med udtalelsen er at finde svar på spørgsmålet om, hvorvidt den omstændighed, at behandlingen af personoplysninger falder ind under det materielle anvendelsesområde for både databeskyttelsesforordningen og e-datadirektivet, begrænser databeskyttelsesmyndighedernes kompetencer, opgaver og beføjelser, som fastlagt i  ved databeskyttelsesforordningen. Det Europæiske Databeskyttelsesråd finder, at databeskyttelsesmyndighederne har kompetence til at håndhæve databeskyttelsesforordningen. Den blotte omstændighed, at en del af behandlingen falder inden for anvendelsesområdet for e-databeskyttelsesdirektivet, begrænser ikke databeskyttelsesmyndighedernes kompetence i henhold til databeskyttelsesforordningen.

En overtrædelse af bestemmelserne i databeskyttelsesforordningen kan samtidig udgøre en overtrædelse af de nationale e-databeskyttelsesregler. Tilsynsmyndighederne kan tage dette i betragtning ved anvendelsen af databeskyttelsesforordningen (f.eks. ved vurdering af om principperne om lovlighed eller rimelighed er overholdt).

Erklæring om den fremtidige forordning om e-databeskyttelse
Det Europæiske Databeskyttelsesråd vedtog en erklæring med opfordring til EU-lovgivere om at styrke bestræbelserne på at vedtage forordningen om e-databeskyttelse, hvilket er afgørende for færdiggørelsen af EU's ramme for databeskyttelse og fortroligheden af elektronisk kommunikation.

Den fremtidige e-databeskyttelsesforordning bør under ingen omstændigheder sænke beskyttelsesniveauet i det nuværende e-databeskyttelsesdirektiv og bør komplementere databeskyttelsesforordningen ved at indeholde yderligere supplerende garantier for alle former for elektronisk kommunikation.

Lister over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse (DPIA lister)
Det Europæiske Databeskyttelsesråd vedtog to udtalelser om de DPIA lister, det havde modtaget fra Spanien og Island. Disse lister er et vigtigt redskab til at sikre en ensartet anvendelse af databeskyttelsesforordningen overalt i EØS. Konsekvensanalyser vedrørende databeskyttelse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder. Mens den registeransvarlige generelt skal vurdere, hvorvidt det er nødvendigt at foretage en konsekvensanalyse, inden databehandlingen iværksættes, skal de nationale tilsynsmyndigheder fastsætte og udarbejde en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse. Disse to udtalelser følger efter de 28 udtalelser, der blev vedtaget på forudgående plenarforsamlinger, og vil yderligere bidrage til at fastlægge fælles kriterier for DPIA lister i hele EØS.

Erklæring om anvendelse af personoplysninger i forbindelse med politiske kampagner
På baggrund af det kommende valg til Europa-Parlamentet og andre valg, der finder sted i og uden for EU i 2019, har Det Europæiske Databeskyttelsesråd vedtaget en erklæring om anvendelsen af personoplysninger i forbindelse med valgkampagner. Databehandlingsteknikker til politiske formål kan udgøre alvorlige risici, ikke blot med hensyn til retten til privatlivets fred og databeskyttelse, men også til integriteten af den demokratiske proces. I sin udtalelse fremhæver Det Europæiske Databeskyttelsesråd en række centrale punkter, der skal tages i betragtning, når de politiske partier behandler personoplysninger i forbindelse med valgaktiviteter.

Bemærkning til redaktørerne:

Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarforsamling, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds hjemmeside, når disse er afsluttet.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, den 13. februar — den 12. februar mødtes EØS-databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse i Det Europæiske Databeskyttelsesråd til deres syvende plenarforsamling. På mødet blev der drøftet en lang række emner.
 
Det Europæiske Databeskyttelsesråds arbejdsprogram for 2019-2020
Det Europæiske Databeskyttelsesråd vedtog sit toårige arbejdsprogram for 2019-2020 i overensstemmelse med artikel 29 i Det Europæiske Databeskyttelsesråds forretningsorden. Det Europæiske Databeskyttelsesråds arbejdsprogram er baseret på de behov, som medlemmerne har identificeret som prioriteter for enkeltpersoner, interessenter såvel som EU's lovgivning — planlagte aktiviteter.

Udkast til administrativ ordning for tilsynet med de finansielle markeder
Det Europæiske Databeskyttelsesråd vedtog på grundlag af artikel 46, stk. 3, litra b), i GDPR sin første udtalelse om en administrativ ordning for overførsler af personoplysninger mellem de finansielle tilsynsmyndigheder i EØS, herunder Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) og dennes modparter uden for EU. Denne ordning vil blive forelagt de kompetente tilsynsmyndigheder (SA'er) med henblik på godkendelse på nationalt plan. De kompetente tilsynsmyndigheder vil overvåge den administrative ordning og den praktiske gennemførelse heraf for at sikre, at registrerede i praksis har effektive rettigheder, som det er muligt at håndhæve, og at der findes passende retsmidler og tilsyn.

Brexit
Det Europæiske Databeskyttelsesråd vedtog en orienterende note til kommercielle enheder og offentlige myndigheder vedrørende dataoverførsler under GDPR i tilfælde af et brexit uden en aftale.

Datastrømme fra EØS til Det Forenede Kongerige

I tilfælde af, at der ikke indgås nogen aftale mellem EU og Det Forenede Kongerige, vil Det Forenede Kongerige blive et tredjeland med virkning fra kl. 00.00 centraleuropæisk tid den 30. marts 2019. Som konsekvens heraf skal overførsel af personoplysninger fra EØS til Det Forenede Kongerige baseres på et af følgende instrumenter: Standard- eller ad hoc-bestemmelser om databeskyttelse, bindende virksomhedsregler, adfærdskodekser og certificeringsmekanismer og de specifikke overførselsinstrumenter, som offentlige myndigheder har adgang til. I tilfælde af mangel på standardbestemmelser om databeskyttelse eller andre passende sikkerhedsforanstaltninger kan undtagelser finde anvendelse i visse tilfælde.

Datastrømme fra Det Forenede Kongerige til EØS

Hvad angår dataoverførsler fra Det Forenede Kongerige til EØS vil den nuværende praksis, ifølge hvilken personoplysninger kan flyde frit fra Det Forenede Kongerige til EØS, fortsætte i tilfælde af brexit uden en aftale.                          

Retningslinjer for adfærdskodekser
Det Europæiske Databeskyttelsesråd vedtog retningslinjer for adfærdskodekser. Formålet med disse retningslinjer er at yde praktisk vejledning og fortolkningsmæssig bistand i forbindelse med anvendelsen af artikel 40 og 41 i GDPR. Hensigten med retningslinjerne er at bidrage til at tydeliggøre procedurerne og reglerne i forbindelse med forelæggelse, godkendelse og offentliggørelse af adfærdskodekser på både nationalt og europæisk plan. Disse retningslinjer bør derudover fungere som en klar ramme for alle kompetente tilsynsmyndigheder, Det Europæiske Databeskyttelsesråd og Kommissionen i forbindelse med konsekvent evaluering af adfærdskodekser og strømlining af procedurerne i vurderingsprocessen. Retningslinjerne vil blive genstand for en offentlig høring.

Baggrundsoplysninger:

Bemærk at alle de dokumenter, der blev vedtaget på Det Europæiske Databeskyttelsesråds plenarforsamling, er underlagt de nødvendige juridiske, sproglige og formateringsmæssige kontroller og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse kontroller er afsluttet.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruxelles, den 24. januar — Den 22. og 23. januar deltog repræsentanter for de europæiske databeskyttelsesmyndigheder i Det Europæiske Databeskyttelsesråds sjette plenarmøde. På mødet blev der drøftet en lang række emner.
 
Privatlivsskjold
Databeskyttelsesrådets medlemmer vedtog Databeskyttelsesrådets rapport om den anden årlige evaluering af EU-USA-privatlivsskjoldet. Det Europæiske Databeskyttelsesråd glæder sig over de amerikanske myndigheders og Kommissionens indsats for at gennemføre privatlivsskjoldet, navnlig de foranstaltninger, der er truffet for at tilpasse den indledende certificeringsprocedure og iværksætte tilsyns- og håndhævelsesforanstaltninger, bestræbelserne på, delvis gennem afklassificering (såsom afgørelser truffet af FISA-domstolen), at offentliggøre en række vigtige dokumenter, udnævnelsen af en ny formand og af tre nye medlemmer af rådet for tilsyn med privatlivets fred og borgerlige rettigheder (PCLOB) samt den nyligt bebudede udnævnelse af en permanent ombudsmand.

I lyset af konklusionerne i den anden fælles evaluering giver følgende forhold vedrørende gennemførelsen af privatlivsskjoldet fortsat anledning til betænkeligheder. Disse omfatter spørgsmål, som Databeskyttelsesrådets forgænger, Artikel 29-Gruppen, allerede gav udtryk for med hensyn til manglen på konkrete løfter om at udelukke vilkårlig indsamling og adgang til personoplysninger af hensyn til den nationale sikkerhed. På baggrund af de hidtil fremlagte oplysninger har Databeskyttelsesrådet heller ikke på nuværende tidspunkt grund til at mene, at ombudsmanden har de fornødne beføjelser til at afhjælpe manglende overholdelse. Desuden påpeger Databeskyttelsesrådet, at kontrollen med, om principperne for privatlivsskjoldet i det store og hele overholdes, ikke er tilstrækkelig stærk.

Databeskyttelsesrådet har endvidere yderligere betænkeligheder angående den nødvendige kontrol for at opfylde de videre krav i forbindelse med overførslen, rækkevidden af begrebet "HR-data" og proceduren vedrørende fornyet certificering samt angående den liste af resterende spørgsmål, der er blevet rejst efter den første fælles evaluering, og som endnu ikke er afsluttet.

Brexit
Databeskyttelsesrådet drøftede de mulige konsekvenser af Brexit på området for databeskyttelse. Databeskyttelsesrådets medlemmer blev enige om at samarbejde og udveksle oplysninger om deres forberedelser og de tilgængelige værktøjer til overførsel af data til Det Forenede Kongerige, når Det Forenede Kongerige ikke længere vil være en del af EU.

Spørgsmål og svar vedrørende kliniske forsøg
På anmodning fra Europa-Kommissionen (GD SANTE) vedtog Databeskyttelsesrådet sin udtalelse om spørgsmålene og svarene vedrørende kliniske forsøg. Udtalelsen omhandler navnlig aspekterne vedrørende et tilstrækkeligt retsgrundlag i forbindelse med kliniske forsøg samt sekundær anvendelse af kliniske forsøgsdata til videnskabelige formål. Udtalelsen fremsendes nu til Europa-Kommissionen.

Lister for konsekvensanalyser vedrørende databeskyttelse
Databeskyttelsesrådet vedtog udtalelser om de lister for databeskyttelseskonsekvensanalyser, det havde modtaget fra Liechtenstein og Norge. Disse lister er et vigtigt redskab til at sikre en ensartet anvendelse af databeskyttelsesforordningen overalt i EØS. Databeskyttelseskonsekvensanalyse er en proces, der skal hjælpe med at indkredse og afbøde databeskyttelsesrisici, der kan påvirke enkeltpersoners rettigheder og friheder. Mens den registeransvarlige skal vurdere, hvorvidt det er nødvendigt at foretage en databeskyttelseskonsekvensanalyse, inden databehandlingen iværksættes, skal de nationale tilsynsmyndigheder fastsætte og udarbejde en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse. Disse to udtalelser følger efter de 22 udtalelser, der blev vedtaget på plenarmødet i september, og de fire udtalelser, der blev vedtaget på plenarmødet i december, og vil bidrage yderligere til at fastlægge fælles kriterier for listerne for databeskyttelseskonsekvensanalyser i hele EØS.

Retningslinjer for certificering
Databeskyttelsesrådet vedtog efter en offentlig høring den endelige udgave af retningslinjerne for certificering. Desuden vedtog Databeskyttelsesrådet et nyt bilag. Det Europæiske Databeskyttelsesråd vedtog på sit første plenarmøde i maj et udkast til retningslinjer. Hovedformålet med disse retningslinjer er at indkredse de overordnede kriterier, som kan være relevante for alle typer certificeringsmekanismer, der udstedes i overensstemmelse med databeskyttelsesforordningens artikel 42 og 43. I den forstand afdækker retningslinjerne rationalet bag certificering som et ansvarlighedsværktøj, redegør for nøglebegreberne i certificeringsbestemmelserne i artikel 42 og 43, angiver omfanget af, hvad der kan certificeres, og gennemgår formålet med certificeringen. Retningslinjerne vil hjælpe medlemsstaterne, tilsynsmyndighederne og de nationale akkrediteringsorganer med at gennemgå og godkende kriterierne for certificering i overensstemmelse med databeskyttelsesforordningens artikel 42 og 43. Bilaget vil blive genstand for en offentlig høring.

Svar til de australske tilsynsmyndigheder om anmeldelse af brud på datasikkerheden
I oktober 2018 modtog formanden for Databeskyttelsesrådet en skriftlig anmodning fra den australske databeskyttelsestilsynsmyndighed (Information Commissioner's Office) om tilsynsmyndighedernes offentliggørelse af anmeldelser af brud på datasikkerheden. Databeskyttelsesrådet glæder sig over den australske tilsynsmyndigheds interesse i at samarbejde med Det Europæiske Databeskyttelsesråd om dette spørgsmål og understreger betydningen af internationalt samarbejde. Databeskyttelsesrådet giver i sit svar yderligere oplysninger om, hvorvidt og hvordan tilsynsmyndighederne håndterer offentliggørelsen af oplysninger vedrørende anmeldelser af brud på datasikkerheden.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary