Europski odbor za zaštitu podataka

EDPB News

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

Bruxelles, 4. prosinca – Tijela za zaštitu podataka zemalja članica EGP-a i Europski nadzornik za zaštitu podataka okupili su se 2. i 3. prosinca u Europskom odboru za zaštitu podataka i održali svoju 16. plenarnu sjednicu. Tijekom plenarne sjednice raspravljalo se o nekoliko tema.

Mišljenje u skladu s člankom 64. Opće uredbe o zaštiti podataka (GDPR) o uvjetima za akreditaciju tijela za praćenje kodeksa ponašanja koje je donijelo nadzorno tijelo Ujedinjene Kraljevine
EDPB je donio svoje mišljenje o nacrtu odluke nadzornog tijela Ujedinjene Kraljevine o uvjetima za akreditaciju tijela za praćenje kodeksa ponašanja. Cilj je mišljenja osigurati dosljednost i ispravnu primjenu navedenih uvjeta u nadzornim tijelima EGP-a. EDPB u mišljenju predlaže određene izmjene nacrta uvjeta za akreditaciju kako bi se osigurala dosljedna primjena akreditacije nadzornih tijela.

Odgovor na zahtjev BEREC-a za upute o reviziji BEREC-ovih smjernica o pravilima za neutralnost mreže
EDPB je utvrdio svoj odgovor na zahtjev Tijela europskih regulatora za elektroničke komunikacije (BEREC-a) za upute o postojećem okviru EU-a za zaštitu osobnih podataka. Odbor je u svojem pismu izrazio zabrinutost u odnosu na obradu naziva domena i URL-ova radi upravljanja prometom i fakturiranja (ponuda po nultoj stopi).

EDPB potiče usluge pristupa internetu i, tamo gdje je to važno za BEREC, definiranje manje invazivnih i standardiziranijih načina upravljanja internetskim prometom i dogovor oko navedenog uz interoperabilnost raznih usluga pristupa internetu koji se ne temelje na upotrebi URL-ova i naziva domena.

Smjernice o „kriterijima prava na zaborav u slučajevima internetskog pretraživanja u skladu s Općom uredbom o zaštiti podataka” (1. dio)
Odbor je usvojio nacrt smjernica o „kriterijima prava na zaborav u slučajevima internetskog pretraživanja u skladu s Općom uredbom o zaštiti podataka”. Smjernice sadrže tumačenje članka 17. Opće uredbe o zaštiti podataka s obzirom na razloge zahtjeva za brisanje i izuzetaka od tih zahtjeva, koji se upućuju pružateljima usluga internetskog pretraživanja te predstavljaju ažuriranu inačicu smjernica iz 2014. o izvršenju presude u slučaju Costeja koje je izdala Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka (Radna skupina iz članka 29.). Navedene smjernice, koje će biti dostupne za javnu raspravu, bit će dopunjene drugim nizom smjernica o kriterijima za rješavanje žalbi na odbijanje brisanja.

Napomena urednicima:
Napominjemo da svi dokumenti doneseni tijekom plenarne sjednice EDPB-a podliježu potrebnim pravnim, jezičnim i oblikovnim provjerama te da će biti dostupni na mrežnom mjestu EDPB-a nakon tih provjera.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Bruxelles, 14. studenoga – Dana 12. i 13. studenoga nadležna tijela EGP-a za zaštitu podataka i Europski nadzornik za zaštitu podataka, okupljeni u Europskom odboru za zaštitu podataka, sastali su se na 15. plenarnoj sjednici. Tijekom plenarne sjednice razmatran je širok raspon tema.

Treće godišnje preispitivanje sustava zaštite privatnosti
Europski odbor za zaštitu podataka (EDPB) donio je izvješće o trećem godišnjem zajedničkom preispitivanju europsko-američkog sustava zaštite privatnosti. U izvješću EDPB pozdravlja napore koje su nadležna tijela SAD-a uložila u provedbu sustava zaštite privatnosti, posebno u pogledu nadzora po službenoj dužnosti i mjera izvršenja u području trgovine te imenovanja posljednjih članova Nadzornog odbora za zaštitu privatnosti i građanskih sloboda (PCLOB) koji su nedostajali te stalnog pravobranitelja.

Međutim, i dalje postoji niz problematičnih pitanja koja treba razmotriti. Odbor ističe da opsežne provjere usklađenosti sa sadržajem načelâ sustava zaštite privatnosti izazivaju zabrinutost. Druga područja kojima je potrebno dodatno posvetiti pozornost jesu primjena zahtjeva sustava zaštite privatnosti u pogledu daljnjih prijenosa, podataka o ljudskim resursima i izvršiteljima obrade te postupak ponovnog certificiranja. Općenitije gledajući, članovi tima za preispitivanje imali bi koristi od šireg pristupa informacijama koje nisu javne, a odnose se na trgovinske aspekte i istrage u tijeku.

Kad je riječ o prikupljanju podataka koje provode javna tijela, EDPB potiče PCLOB da izda i objavi dodatna izvješća, među ostalim o neovisnom ocjenjivanju programa nadzora koji se provode izvan državnog područja SAD-a dok je u tijeku postupak prijenosa podataka iz EU-a u SAD. Odbor ponavlja da su njegovi stručnjaci koji su prošli sigurnosnu provjeru i dalje spremni na pregled dodatnih dokumenata i raspravu o dodatnim povjerljivim elementima.

Iako pozdravlja nove elemente iznesene tijekom ovogodišnjeg preispitivanja, EDPB i dalje ne može zaključiti da pravobranitelj ima dostatne ovlasti za pristup informacijama i ispravljanje neusklađenosti.

Smjernice o teritorijalnom području primjene
Europski odbor za zaštitu podataka donio je konačnu verziju Smjernica o teritorijalnom području primjene nakon javnog savjetovanja. Svrha je Smjernica osigurati ujednačeno tumačenje Opće uredbe o zaštiti podataka među nadležnim tijelima EGP-a za zaštitu podataka pri procjeni toga je li određeni postupak obrade koji provodi voditelj obrade ili izvršitelj obrade obuhvaćen teritorijalnim područjem primjene pravnog okvira, u skladu s člankom 3. Opće uredbe o zaštiti podataka. Smjernicama se dodatno pojašnjava primjena Opće uredbe o zaštiti podataka u različitim situacijama, na primjer ako voditelj obrade ili izvršitelj obrade nema poslovni nastan u EGP-u, među ostalim u pogledu imenovanja i uloge predstavnika u skladu s člankom 27. Opće uredbe o zaštiti podataka.

U konačnoj se verziji Smjernica objedinjuje ažurirani tekst i dodatno pravno obrazloženje kako bi se odgovorilo na primjedbe i povratne informacije primljene tijekom javnog savjetovanja, uz zadržavanje općenitog tumačenja i metodologije iznesenih u prvoj verziji Smjernica.

Smjernice o tehničkoj i integriranoj zaštiti podataka
Europski odbor za zaštitu podataka donio je Smjernice o tehničkoj i integriranoj zaštiti podataka. Smjernice su usmjerene na obvezu tehničke i integrirane zaštite podataka, kako je utvrđeno u članku 25. Opće uredbe o zaštiti podataka. Ključna obveza o kojoj je riječ jest djelotvorna provedba načela tehničke i integrirane zaštite podataka te prava i sloboda ispitanika. Time se od voditelja obrade traži provedba odgovarajućih tehničkih i organizacijskih mjera te potrebnih zaštitnih mjera, osmišljenih kako bi se djelotvorno utvrdila načela zaštite podataka te zaštitila prava i slobode ispitanika. Osim toga, voditelji obrade moraju moći dokazati da su provedene mjere djelotvorne. Smjernice će se uputiti na javno savjetovanje.

Mišljenje o obvezujućim korporativnim pravilima društva Exxon Mobil u skladu s člankom 64.
Europski odbor za zaštitu podataka donio je mišljenje o nacrtu odluke o obvezujućim korporativnim pravilima društva Exxon Mobil koji je Odboru podnijelo belgijsko nadzorno tijelo. EDPB smatra da su u nacrtu obvezujućih korporativnih pravila za voditelje obrade predviđene odgovarajuće zaštitne mjere u smislu članka 46. stavka 2. točke (b) i da su ta pravila u skladu s člankom 47. Opće uredbe o zaštiti podataka.

Odgovor Odboru za građanske slobode, pravosuđe i unutarnje poslove o informacijskim sustavima EU-a
Europski odbor za zaštitu podataka odgovorio je na zahtjev Odbora Europskog parlamenta za građanske slobode za pravnu ocjenu prijedlogâ Europske komisije za uredbu o utvrđivanju uvjeta za pristup drugim informacijskim sustavima EU-a i uredbu o utvrđivanju uvjeta za pristup drugim informacijskim sustavima EU-a za potrebe ETIAS-a. U pismu EDPB navodi da bi se prijedlozi trebali promatrati kao dio šire slike, tj. trebalo bi se smatrati da se njima provode dijelovi okvira interoperabilnosti, i podsjeća na zabrinutosti koje je prethodno izrazila Radna skupina iz članka 29. Osim toga, EDPB u pismu ističe zabrinutost u pogledu temeljnih načela zaštite podataka, kao što su transparentnost, tehnička i integrirana zaštita podataka te ograničavanje svrhe.

Dodatni protokol uz Budimpeštansku konvenciju o kiberkriminalu
Europski odbor za zaštitu podataka donio je doprinos nacrtu drugog dodatnog protokola uz Konvenciju Vijeća Europe o kiberkriminalu (Budimpeštanska konvencija), koji bi se trebao razmotriti u okviru savjetovanja Odbora Vijeća Europe za Konvenciju o kiberkriminalu. EDPB podsjeća da se moraju zajamčiti zaštita osobnih podataka i pravna sigurnost, čime se pridonosi cilju uspostave održivih sustava za razmjenu osobnih podataka sa zemljama izvan EU-a u svrhu kaznenog progona, koji su u potpunosti u skladu s Ugovorima o EU-u i Poveljom o temeljnim pravima.

Napomena urednicima:
Napominjemo da svi dokumenti doneseni tijekom plenarne sjednice EDPB-a podliježu potrebnim pravnim, jezičnim i oblikovnim provjerama te da će biti dostupni na mrežnom mjestu EDPB-a nakon tih provjera.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Bruxelles, 10. listopada - dana 8. i 9. listopada nadležna tijela EGP-a za zaštitu podataka i Europski nadzornik za zaštitu podataka, okupljeni u Europskom odboru za zaštitu podataka sastali su se na 14. plenarnoj sjednici. Tijekom plenarne sjednice razmatran je širok raspon tema.

Smjernice o zakonitoj osnovi za obradu mrežnih usluga na temelju ugovora (čl. 6. st. 1, t. (b))
Europski odbor za zaštitu podataka (EDPB) usvojio je konačnu verziju smjernica o opsegu i primjeni članka 6. stavka 1. točke (b) Opće uredbe o zaštiti podataka (GDPR) u kontekstu usluga informacijskog društva. Nakon javne rasprave u tekst su dodane točke pojašnjenja. U smjernicama Odbor navodi opća opažanja o načelima zaštite podataka i primjeni članka 6. stavka 1. točke (b) zajedno s drugim pravnim osnovama. Nadalje, smjernice sadrže upute o primjenjivosti članka 6. stavka 1. točke (b) u slučaju spajanja zasebnih usluga i raskida ugovora.

Članak 64. - mišljenje o obvezujućim korporativnim pravilima tvrtke Equinix
EDPB je donio svoje mišljenje o nacrtu odluke o obvezujućim korporativnim pravilima tvrtke Equinix koju je Odboru podnio Ured povjerenika UK-a za informacije. Mišljenje je EDPB-a da obvezujuća korporativna pravila tvrtke Equinix sadrže sve elemente propisane člankom 47. GDPR-a i dokumentom WP256 rev01 kao i svu odgovarajuću zaštitu.

Evidencija podataka o putnicima
EDPB je usvojio odgovor na pismo zastupnice u Europskom parlamentu Sophie in’t Veld u pogledu ponovo ispregovaranog nacrta dogovora s Kanadom o evidenciji podataka o putnicima i posljedicama koje taj dogovor ima na druge evidencije podataka o putnicima. U svom je odgovoru EDPB naveo da nacrt dogovora još nije predstavljen Odboru, no da je EDPB spreman donijeti odluku o tom pitanju. U dopisu se nadalje upućuje na prethodni dopis koje je Europskoj komisiji poslala Radna skupina iz članka 29. (WP 29) nakon mišljenja Suda Europske unije o prvom nacrtu dogovora s Kanadom o evidenciji podataka o putnicima.

Odgovor Radnoj skupini Vijeća za sport o Svjetskom antidopinškom kodeksu (WADA)
EDPB je usvojio svoj odgovor na zahtjev Radne skupine Vijeća za sport o preispitivanju postupka Svjetskog antidopinškog kodeksa koji je u tijeku. U tom se dopisu Odbor poziva na dva mišljenja Radne skupine WP 29 i prethodne verzije kodeksa WADA. U dopisu se navodi da je u novoj verziji Kodeksa i njegovih standarda postignut napredak u pogledu zaštite privatnosti i podataka, no da i dalje postoji značajna zabrinutost oko nekih aspekata.

Napomena urednicima:
Napominjemo da svi dokumenti doneseni tijekom plenarne sjednice EDPB-a podliježu potrebnim pravnim, jezičnim i oblikovnim provjerama te da će biti dostupni na mrežnom mjestu EDPB-a nakon tih provjera.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruxelles, 11. srpnja – Tijela EGP-a za zaštitu podataka i Europski nadzornik za zaštitu podataka okupili su se 9. i 10. srpnja na dvanaestoj plenarnoj sjednici Europskog odbora za zaštitu podataka. Na sjednici se raspravljalo o širokom rasponu tema.
 
Smjernice za videonadzor
Odbor je prihvatio smjernice za videonadzor u kojima se pojašnjava kako se Opća uredba o zaštiti podataka („Uredba”) primjenjuje na obradu osobnih podataka pri korištenju videouređaja te se nastoji osigurati dosljedna primjena Uredbe. Smjernice obuhvaćaju klasične i pametne videouređaje. Smjernice za pametne videouređaje temelje se na pravilima za obradu posebnih kategorija podataka. Osim toga, smjernice, među ostalim, obuhvaćaju zakonitost obrade, primjenjivost izuzeća kućanstava i otkrivanje videosnimaka trećim stranama. Smjernice će biti predmet javnog savjetovanja.

Zajednički odgovor Europskog odbora za zaštitu podataka (EDPB) i Europskog nadzornika za zaštitu podataka (EDPS) Odboru LIBE o implikacijama američkog Zakona o računalstvu u oblaku
Europski odbor za zaštitu podataka prihvatio je zajednički odgovor EDPB-a i EDPS-a na zahtjev Odbora Europskog parlamenta za građanske slobode, pravosuđe i unutarnje poslove (LIBE) za pravnu ocjenu učinka američkog Zakona o računalstvu u oblaku na pravni okvir EU-a za zaštitu podataka i mandat za pregovaranje o sporazumu EU-a i SAD-a o prekograničnom pristupu elektroničkim dokazima za potrebe pravosudne suradnje u kaznenim stvarima. Zakon o računalstvu u oblaku američkim tijelima za izvršavanje zakonodavstva omogućuje da od pružatelja usluga u SAD-u zatraže otkrivanje podataka, bez obzira na to gdje su podaci pohranjeni.

EDPB i EDPS naglašavaju da sveobuhvatni sporazum između EU-a i SAD-a o prekograničnom pristupu elektroničkim dokazima, koji sadržava snažne materijalne i postupovne zaštitne mjere u pogledu temeljnih prava, djeluje kao najprimjereniji instrument za osiguravanje potrebne razine zaštite za ispitanike iz EU-a te pravne sigurnosti za poduzeća.

Mišljenje Odbora na temelju članka 64. Uredbe o standardnim ugovornim klauzulama za izvršitelje obrade u skladu s člankom 28. stavkom 8. Uredbe koje je dostavilo dansko nadzorno tijelo
EDPB je donio mišljenje o nacrtu standardnih ugovornih klauzula kojima se uređuju aktivnosti izvršitelja obrade koji je Odboru dostavilo dansko nadzorno tijelo. Mišljenjem, koje je prvo mišljenje Odbora o toj temi, nastoji se osigurati dosljedna primjena članka 28. Uredbe u vezi s izvršiteljima obrade. Odbor je u njemu iznio nekoliko preporuka koje treba uzeti u obzir kako bi se nacrt standardnih ugovornih klauzula danskog nadzornog tijela mogao smatrati standardnim ugovornim klauzulama. Ako se sve preporuke provedu, dansko nadzorno tijelo moći će nacrt sporazuma upotrijebiti kao standardne ugovorne klauzule u skladu s člankom 28. stavkom 8. Uredbe.

Mišljenje na temelju članka 64. Uredbe o kriterijima za akreditaciju tijela za praćenje kodeksa ponašanja koje je dostavilo austrijsko nadzorno tijelo
Odbor je donio mišljenje nakon što je austrijsko nadzorno tijelo dostavilo nacrt svoje odluke o kriterijima za akreditaciju tijela za praćenje. Odbor se složio da su u skladu s Uredbom akreditirana tijela za praćenje potrebna za sve kodekse kojima su obuhvaćena nedržavna tijela.

Mišljenje na temelju članka 64. Uredbe o nadležnosti nadzornog tijela u slučaju promjene okolnosti koje se odnose na glavni poslovni nastan ili jedini poslovni nastan
Odbor je donio mišljenje o nadležnosti nadzornog tijela u slučaju promjene okolnosti koje se odnose na glavni poslovni nastan ili jedini poslovni nastan. One mogu nastati kada se glavni poslovni nastan premjesti unutar EGP-a, premjesti u EGP iz treće zemlje ili kada više ne postoji glavni ili jedinstveni poslovni nastan u EGP-u. Odbor smatra da se u takvim okolnostima nadležnost vodećeg nadzornog tijela može prenijeti na drugo nadzorno tijelo. U tom se slučaju i dalje primjenjuje postupak suradnje utvrđen u članku 60. i novo vodeće nadzorno tijelo obvezno je surađivati s bivšim nadzornim tijelom i drugim uključenim nadzornim tijelima u nastojanju da se pronađe konsenzus. Prenošenje nadležnosti može se provesti sve dok nadležno nadzorno tijelo ne donese konačnu odluku.

Zajedničko mišljenje EDPB-a i EDPS-a o eHDSI-ju
Odbor je prihvatio zajedničko mišljenje EDPB-a i EDPS-a o elementima zaštite osobnih podataka pri obradi podataka pacijenata u okviru digitalnih usluga e-zdravstva („European eHealth Digital Service Infrastructure”, eHDSI). Riječ je o prvom zajedničkom mišljenju EDPB-a i EDPS-a koje je doneseno na zahtjev Europske komisije u skladu s člankom 42. stavkom 2. Uredbe 2018/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije. EDPB i EDPS u svojem su mišljenju istaknuli da u toj posebnoj situaciji te za potrebe konkretne obrade podataka pacijenata u okviru eHDSI-ja nema razloga za odstupanje od Komisijine procjene vlastite uloge kao izvršitelja obrade u okviru eHDSI-ja. Osim toga, u zajedničkom mišljenju naglašava se potreba da se u odgovarajućem provedbenom aktu jasno definiraju sve Komisijine zadaće u ulozi izvršitelja obrade u navedenim radnjama obrade, kako je navedeno u primjenjivom zakonodavstvu o zaštiti podataka.  

Popis Cipra za procjenu učinka na zaštitu podataka
EDPB je donio mišljenje o popisu za procjenu učinka na zaštitu podataka koji je Odboru podnio Cipar. Ti su popisi važno sredstvo za dosljednu primjenu Opće uredbe o zaštiti podataka u cijelom EGP-u. Procjena učinka na zaštitu podataka postupak je kojim se pridonosi utvrđivanju i ublažavanju rizika za zaštitu podataka koji bi mogli utjecati na prava i slobode pojedinaca.

Mišljenje na temelju članka 64. Uredbe o popisima iz članka 35. stavka 5. koje su dostavile Francuska, Španjolska i Češka (izuzeće od procjena učinka na zaštitu podataka)
EDPB je donio mišljenje o popisima iz članka  35. stavka 5. koje su Odboru dostavila francuska, španjolska i češka nadzorna tijela.

Preporuka za popis Europskog nadzornika za zaštitu podataka u skladu s člankom 39. stavkom 4. Uredbe 2018/1725 (popis za procjenu učinka na zaštitu podataka)
Odbor je donio preporuku za popis iz članka 39. stavka 4. koju je Odboru dostavio Europski nadzornik za zaštitu podataka. Europski nadzornik za zaštitu podataka mora se savjetovati s Europskim odborom za zaštitu podataka prije no što donese popise ako se „odnose na postupke obrade koje voditelj obrade provodi zajednički s jednim ili više voditelja obrade koji nisu institucije i tijela Unije” (članak 39. stavak 6. Uredbe (EU) 2018/1725). Slično popisima za procjenu učinka na zaštitu podataka iz Opće uredbe o zaštiti podataka, popisom Europskog nadzornika za zaštitu podataka voditelji obrade podataka obavješćuju se o aktivnostima obrade za koje je potrebna procjena učinka na zaštitu podataka.

Napomena urednicima:
Napominjemo da svi dokumenti doneseni na plenarnoj sjednici Europskog odbora za zaštitu podataka moraju proći potrebnu pravnu i jezičnu provjeru i provjeru formatiranja te da će tek nakon izvršene provjere biti dostupni na njegovim internetskim stranicama.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brussels, 5 June - On June 4th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eleventh plenary session. During the plenary a wide range of topics were discussed.

Guidelines on Codes of Conduct
The EDPB adopted a final version of the Guidelines on Codes of Conduct. Following public consultation, points of clarification were included in the text. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process.

Annex to the Guidelines on Accreditation
The EDPB adopted a final version of the annex to the Guidelines on Accreditation, following public consultation. The text has been reviewed to enhance clarity. The aim of the guidelines is to provide guidance on how to interpret and implement the provisions of Article 43 GDPR. In particular, they aim to help Member States, supervisory authorities and national accreditation bodies establish a consistent and harmonised baseline for the accreditation of certification bodies that issue certification in accordance with the GDPR. The annex provides guidance on the additional requirements for the accreditation of certification bodies to be established by the supervisory authorities. These additional requirements, before being adopted by supervisory authorities, are to be submitted to the European Data Protection Board for approval pursuant to Article 64(1)(c).*

Annex to the Guidelines on Certification
The EDPB adopted a final version of annex 2 to the Guidelines on Certification. Following public consultation, some aspects were added to certain sections, for example, whether the criteria address the obligation of the controller/processor to appoint a DPO and the obligation to keep records of the processing activities. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. The annex identifies topics that data protection supervisory authorities and the EDPB will consider and apply for the approval of certification criteria for a certification mechanism. The list is not exhaustive, but presents the minimum topics to be considered.*

Note to editors:

* As a next step, before specific cases regarding certification and accreditation can be discussed at the EDPB level, the EDPB is preparing a procedure to facilitate consistent and timely opinions on SA draft decisions and to approve European Data Protection Seals.

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brussels, 15 May - On May 14th and 15th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their tenth plenary session. During the plenary a wide range of topics were discussed.

Election of a new Deputy Chair

The Members of the Board elected Aleid Wolfsen, Chairman of the Dutch Supervisory Authority, as new Deputy Chair, replacing Willem Debeuckelaere, whom EDPB Chair Andrea Jelinek thanked for his work. Along with fellow Deputy Chair Ventsislav Karadjov, Mr. Wolfsen will support the EDPB Chair in her work for the Board over the coming years. Dr. Jelinek added: “Public interest in data protection is at an all-time high. I look forward to working with Aleid and Ventsislav to engage with the wider community of data protection stakeholders.”

Mr. Wolfsen added: “In the years to come, it is our responsibility as Board to deliver authoritative guidance and sound advice. I will make it my responsibility as Deputy Chair that we take on board all opinions, and ultimately speak with one voice.”

Response to MEP Sophie In’t Veld regarding connected vehicles

The EDPB adopted a letter in response to MEP Sophie In’t Veld’s letter of 17 April 2019 regarding the sharing of car drivers’ personal data with the car producer and third parties, without explicit consent, specific and informed consent of the driver, and without adequate legal basis. In its response the EDPB highlights that the Members of the Board and their international colleagues adopted an ICDPPC resolution on Data Protection in Automated and Connected Vehicles in 2017 and that the WP29 adopted its Opinion 3/2017 on the processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS). The issue will also be dealt with according to the EDPB 2019-2020 work program.

Third Annual Privacy Shield Review

The EDPB designated representatives for the third annual review of the Privacy Shield.  Austria, Bulgaria, France, Germany, Hungary and the EDPS will represent the Board during the review.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Brussels, 10 April - On April 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their ninth plenary session.

During the plenary, the EDPB adopted guidelines on the scope and application of Article 6(1)(b)* GDPR in the context of information society services. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


* Article 6 (1) (B)

“1. Processing shall be lawful only if and to the extent that at least one of the following applies:

...

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; ”

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, 13. veljače – Tijela EGP-a za zaštitu podataka i Europski nadzornik za zaštitu podataka okupili su se 12. veljače na sedmoj plenarnoj sjednici Europskog odbora za zaštitu podataka, na kojoj se raspravljalo o brojnim temama.
 
Program rada Europskog odbora za zaštitu podataka za 2019. – 2020.
Odbor je na temelju članka 29. svojeg poslovnika donio dvogodišnji program rada za 2019. – 2020. Program rada temelji se na potrebama koje su članovi odredili kao prioritete za pojedince i dionike te na planiranim aktivnostima zakonodavaca EU-a.

Nacrt administrativnog dogovora u području nadzora financijskih tržišta
Na temelju članka 46. stavka 3. točke (b) Opće uredbe o zaštiti podataka Odbor je donio prvo mišljenje o administrativnom dogovoru za prijenose osobnih podataka između nadzornih tijela EGP-a, uključujući Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) i ekvivalentna tijela iz zemalja izvan EU-a. Taj će se dogovor dostaviti nadležnim nadzornim tijelima, koja ga trebaju odobriti na nacionalnoj razini. Nadležna nadzorna tijela pratit će primjenu administrativnog dogovora kako bi osigurala da djelotvorna i provediva prava ispitanika te odgovarajuća sudska zaštita i nadzor postoje u praksi.

Brexit
Europski odbor za zaštitu podataka izdao je informativnu napomenu za gospodarske subjekte i javna tijela u vezi s prijenosima podataka na temelju Opće uredbe o zaštiti podataka u slučaju da se ne postigne dogovor o Brexitu.

Protoci podataka iz EGP-a u Ujedinjenu Kraljevinu
Ne postignu li EU i Ujedinjena Kraljevina dogovor (Brexit bez dogovora), Ujedinjena Kraljevina od 30. ožujka 2019. u ponoć po srednjoeuropskom vremenu postaje treća zemlja. Slijedom toga, prijenos osobnih podataka iz EGP-a u Ujedinjenu Kraljevinu morat će se temeljiti na jednom od sljedećih instrumenata: standardnim ili ad hoc klauzulama o zaštiti podataka, obvezujućim korporativnim pravilima, kodeksima ponašanja i mehanizmima certificiranja ili posebnim instrumentima za prijenos koji su dostupni javnim tijelima. Ako ne postoje standardne klauzule o zaštiti podataka ili druge odgovarajuće zaštitne mjere, pod određenim se uvjetima mogu primijeniti odstupanja.

Protoci podataka iz Ujedinjene Kraljevine u EGP
Kad je riječ o prijenosima podataka iz Ujedinjene Kraljevine u EGP u slučaju Brexita bez dogovora, vlada Ujedinjene Kraljevine tvrdi da će se nastaviti postojeća praksa dopuštanja slobodnog protoka osobnih podataka iz Ujedinjene Kraljevine u EGP.
    
Smjernice za kodekse ponašanja
Europski odbor za zaštitu podataka donio je smjernice za kodekse ponašanja. Njihova je svrha pružiti praktične upute i pomoć u tumačenju u vezi s primjenom članaka 40. i 41. Opće uredbe o zaštiti podataka. U smjernicama se pojašnjavaju postupci i pravila koji se odnose na podnošenje, odobravanje i objavljivanje kodeksa ponašanja na nacionalnoj i europskoj razini. Smjernice bi ujedno trebale poslužiti kao jasan okvir na temelju kojeg bi nadležna nadzorna tijela, Odbor i Komisija dosljedno ocjenjivali kodekse ponašanja i pojednostavnili sam postupak ocjenjivanja. Smjernice će biti predmet javnog savjetovanja.

Napomena urednicima:

Napominjemo da svi dokumenti doneseni na plenarnoj sjednici Europskog odbora za zaštitu podataka moraju proći potrebnu pravnu i jezičnu provjeru i provjeru formatiranja te da će tek nakon izvršene provjere biti dostupni na njegovim internetskim stranicama.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brussels, 24 January - On January 22nd and 23rd, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their sixth plenary session. During the plenary a wide range of topics were discussed.
 
Privacy Shield
The Board Members adopted the EDPB’s report on the Second Annual Review of the EU-US Privacy Shield. The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield, especially actions undertaken to adapt the initial certification process, start ex officio oversight and enforcement actions, as well as the efforts  to publish a number of important documents, in part by declassification (such as decisions by the FISA Court), the appointment of a new Chair as well as of three new members of the Privacy and Civil Liberties Oversight Board (PCLOB) and the recently announced appointment of a permanent Ombudsperson.

In view of the findings of the second joint review, the following concerns about the implementation of the Privacy Shield still remain. This includes concerns already expressed by the EDPB’s predecessor WP29 on the lack of concrete assurances that indiscriminate collection and access of personal data for national security purposes are excluded. Also, based on the information provided so far, the EDPB cannot currently consider that the Ombudsperson is vested with sufficient powers to remedy non-compliance. In addition, the Board points out that checks regarding compliance with the substance of the Privacy Shield’s principles are not sufficiently strong.

Moreover, the EDPB has some additional concerns with regard to the necessary checks to comply with the onward transfer requirements, the scope of meaning of HR Data and the recertification process, as well as to a list of remaining issues raised after the first joint review which are still pending.

Brexit

The EDPB discussed possible consequences of Brexit in the area of data protection. Members agreed to cooperate and exchange information regarding their preparations and the tools available to transfer data to the UK, once the UK will no longer be part of the EU.

Clinical trials Q&A

Following a request from the European Commission (DG SANTE), the EDPB adopted its opinion on the clinical trials Q&A. The opinion addresses in particular the aspects related to the adequate legal bases in the context of clinical trials, and the secondary uses of clinical trial data for scientific purposes. The opinion will now be transmitted to the European Commission.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Liechtenstein and Norway. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 22 opinions adopted during the September plenary, and the four opinions adopted during the December plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Guidelines on certification
The EDPB adopted the final version of the guidelines on certification following public consultation. Additionally, the Board also adopted a new annex. A draft version of the guidelines had been adopted during the EDPB’s first plenary in May. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. As such, the guidelines explore the rationale for certification as an accountability tool, provide explanations for the key concepts of the certification provisions in art. 42 and art. 43, explain the scope of what can be certified and outline the purpose of certification. The guidelines will help Member States, supervisory authorities and national accreditation bodies (NAB) when reviewing and approving certification criteria in accordance with art. 42 and art. 43 GDPR. The annex will be subject to public consultation.

Response to Australian Supervisory Authority on data breach notification

In October 2018, the EDPB Chair received a written request from the Office of the Australian Information Commissioner regarding the publication of the data breach notifications by supervisory authorities. The EDPB welcomes the Australian Commissioner’s interest in cooperating with the European Data Protection Board on this issue and stresses the importance of international collaboration. In its response, the EDPB provides further information on whether and how supervisory authorities handle the publication of information regarding data breach notifications.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary