Europos duomenų apsaugos valdyba

EDAV naujienos

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

On December 2nd and 3rd, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their sixteenth plenary session. During the plenary, several topics were discussed.
 
Art. 64 GDPR Opinion on Accreditation Requirements for Codes of Conduct monitoring bodies by UK SA
The EDPB adopted its opinion on the UK Supervisory Authority’s (SA) draft decision on the Accreditation Requirements for Codes of Conduct monitoring bodies. The opinion aims to ensure consistency and the correct application of these requirements among EEA SAs. In the opinion, the EDPB proposes some changes to the draft accreditation requirements, in order to ensure a consistent application of the accreditation of monitoring bodies.

Response to BEREC request for guidance on the revision of its guidelines on net neutrality rules
The EDPB adopted its response to a request for guidance by the Body of European Regulators for Electronic Communication (BEREC) on the current EU data protection framework. In the letter, the Board raises concerns regarding the processing of domain names and URLs for the purposes of traffic management and billing (zero-rating offers).

The EDPB encourages the internet access services (IAS), and where relevant BEREC, to define and agree on less invasive and more standardized ways to manage internet traffic, interoperable throughout different IASs, which are not based on the use of URLs and domain names.

Guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR” (part 1)
The Board adopted draft guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR.” The guidelines provide an interpretation of Art. 17 GDPR with regard to the grounds and exceptions for delisting requests directed to search engine providers and are an update of the 2014 guidelines on the implementation of the Costeja judgment, issued by the Article 29 Working Party (WP29). These guidelines, which will be presented for public consultation, will be complemented by another set of guidelines on the criteria for handling complaints for refusals of delisting.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Brussels, 14 November - On November 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fifteenth plenary session. During the plenary a wide range of topics was discussed.
 
Third Annual Privacy Shield Review
The EDPB adopted its report on the third Annual Joint Review of the EU-US Privacy Shield. In the report, the EDPB welcomes the efforts made by the U.S. authorities to implement the Privacy Shield, especially regarding ex officio oversight and enforcement actions on the commercial aspects, as well as the appointments of the last missing members of the Privacy and Civil Liberties Oversight Board (PCLOB) and of a permanent Ombudsperson.

However, a number of concerns still need to be addressed. The Board points out that substantial compliance checks with the substance of the Privacy Shield’s principles remain concerning. Other areas that require further attention are the application of the Privacy Shield requirements regarding onward transfers, HR data and processors, as well as the recertification process. More generally, the members of the Review Team would benefit from broader access to non-public information, concerning commercial aspects and ongoing investigations.

As regards the collection of data by public authorities, the EDPB encourages the PCLOB to issue and publish further reports, among others to provide an independent assessment of surveillance programmes conducted outside the US territory, while data are undergoing transfer from the EU to the US. The Board reiterates that its security-cleared experts remain ready to review further documents and discuss additional classified elements.

While the EDPB welcomes the new elements provided during this year’s review, the EDPB still cannot conclude that the Ombudsperson is vested with sufficient powers to access information and remedy non-compliance.

Guidelines on Territorial Scope
The EDPB adopted a final version of the Guidelines on Territorial Scope following public consultation. The guidelines aim to provide a common interpretation of the GDPR for EEA Data Protection Authorities when assessing whether a particular processing by a controller or a processor falls within the territorial scope of the legal framework, as per Art. 3 GDPR. The Guidelines provide further clarification on the application of the GDPR in various situations, for example, where the data controller or processor is established outside the EEA, including on the designation and role of a representative under Art. 27 GDPR.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation, while maintaining the overall interpretation and methodology presented in the first version of the guidelines.

Guidelines on Data Protection by Design & Default
The EDPB adopted Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation here is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This requires that controllers implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in an effective manner and to protect the rights and freedoms of data subjects. In addition, controllers must be able to demonstrate that the implemented measures are effective. The guidelines will be submitted for public consultation.

Article 64 Opinion on ExxonMobil BCRs
The EDPB adopted its opinion on the draft decision regarding ExxonMobil’s Binding Corporate Rules (BCRs), submitted to the Board by the Belgian Supervisory Authority. The EDPB is of the opinion that the draft controller BCRs provide sufficient safeguards in the meaning of Art. 46(2)(b) and comply with Art. 47 GDPR.

Response letter to LIBE on EU Information Systems
The EDPB adopted its response to the European Parliament’s committee for Civil Liberties’ request for a legal assessment on the European Commission’s proposals for the Regulation establishing the conditions for accessing the other EU information systems and the Regulation establishing the conditions for accessing other EU information systems for ETIAS purposes. In the letter, the EDPB argues that the proposals should be seen as part of a bigger picture, i.e. as implementing parts of the Interoperability Framework and recalls the concerns previously expressed by the Article 29 Working Party. Additionally, the letter points out there are concerns regarding fundamental data protection principles, such as transparency, data protection by design and by default, and purpose limitation.

Additional protocol to the Budapest Convention on Cybercrime
The EDPB has adopted a contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), to be considered within the framework of consultations held by the Council of Europe Cybercrime Convention Committee (T-CY). The EDPB recalls that the protection of personal data and legal certainty must be guaranteed, thus contributing to the objective of establishing sustainable arrangements for the sharing of personal data with third countries for law enforcement purposes, which are fully compatible with the EU Treaties and the Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

On October 8th and 9th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fourteenth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on the lawful basis for processing for online services based on contracts (Art. 6 (1) (b))
The EDPB adopted a final version of the guidelines on the scope and application of Article 6(1)(b) GDPR in the context of information society services. Following public consultation, points of clarification were included in the text. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Article 64 Opinion on Equinix BCRs
The EDPB adopted its opinion on the draft decision regarding Equinix Binding Corporate Rules (BCRs), submitted to the Board by the UK’s Information Commissioner’s Office (ICO). The EDPB is of the opinion that the Equinix BCRs contain all elements required under article 47 GDPR and WP256 rev01 and contain the appropriate safeguards.

Passenger Name Records (PNR)
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s letter regarding the renegotiated draft PNR agreement with Canada and its impact on other PNR agreements. In its response, the EDPB notes that the draft agreement has not yet been shared with the Board, but that the EDPB stands ready to issue an opinion. The letter further refers to a previous letter sent to the European Commission by the Article 29 Working Party (WP29), following the opinion of the European Court of Justice (CJEU) on the first draft PNR agreement with Canada.

Response to the Council Working Party on Sports Anti-Doping Code (WADA)
The EDPB adopted its response to the Council Working Party on Sports’ request regarding the ongoing review process of the World Anti-Doping Code. In its letter, the Board recalls two WP29 opinions on the previous versions of the WADA code. The letter points out that progress has been made in relation to the safeguards on privacy and data protection provided by the new version of the Code and its Standards, but that some important concerns remain.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Briuselis, liepos 11 d. Liepos 9 ir 10 d. į dvyliktąjį plenarinį Europos duomenų apsaugos valdybos (EDAV) posėdį susirinko Europos ekonominės erdvės (EEE) duomenų apsaugos institucijų atstovai ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP). Per plenarinį posėdį aptarti įvairūs klausimai.

Stebėjimo vaizdo kameromis gairės
Valdyba priėmė stebėjimo vaizdo kameromis gaires, kuriose paaiškinama, kaip Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas tvarkant asmens duomenis, kai naudojami vaizdo prietaisai, ir kuriomis siekiama užtikrinti nuoseklų BDAR taikymą šioje srityje. Šios gairės taikomos ir tradiciniams, ir išmaniesiems vaizdo prietaisams. Pastarųjų atveju gairėse daugiausia dėmesio skiriama taisyklėms dėl ypatingų kategorijų duomenų tvarkymo. Be to, gairės apima, be kita ko, duomenų tvarkymo teisėtumą, išimties namų ūkiams taikymą ir filmuotos medžiagos atskleidimą trečiosioms šalims. Dėl šių gairių bus rengiamos viešos konsultacijos.

EDAV ir EDAPP bendras atsakymas LIBE komitetui dėl JAV CLOUD akto poveikio
EDAV priėmė bendrą EDAV ir EDAPP atsakymą į Europos Parlamento Piliečių laisvių, teisingumo ir vidaus reikalų komiteto (LIBE) prašymą atlikti teisinį vertinimą, susijusį su JAV CLOUD akto poveikiu ES teisės duomenų apsaugos sistemai ir įgaliojimais derėtis dėl ES ir JAV susitarimo dėl tarpvalstybinės prieigos prie elektroninių įrodymų vykdant teisminį bendradarbiavimą baudžiamosiose bylose. Pagal CLOUD aktą JAV teisėsaugos institucijoms leidžiama reikalauti, kad JAV paslaugų teikėjai atskleistų duomenis nepriklausomai nuo to, kur tie duomenys saugomi.

EDAV ir EDAPP pabrėžia, kad išsamus ES ir JAV susitarimas dėl tarpvalstybinės prieigos prie elektroninių įrodymų, apimantis patikimas procedūrines ir esmines pagrindinių teisių apsaugos priemones, yra tinkamiausia priemonė užtikrinti būtiną ES duomenų subjektų apsaugos lygį ir įmonių teisinį tikrumą.

BDAR 64 straipsnis. Nuomonė dėl duomenų tvarkytojų standartinių sutarčių sąlygų pagal BDAR 28 straipsnio 8 dalį (pateikė Danijos priežiūros institucija)
EDAV priėmė nuomonę dėl standartinių sutarčių sąlygų (SSS), nustatančių duomenų tvarkytojų duomenų tvarkymo procedūrą, projekto, kurį valdybai pateikė Danijos priežiūros institucija. Nuomone, kuri yra pirmoji šia tema, siekiama užtikrinti nuoseklų BDAR 28 straipsnio, susijusio su duomenų tvarkytojais, taikymą. Joje valdyba pateikė kelias rekomendacijas, į kurias reikia atsižvelgti siekiant, kad Danijos priežiūros institucijos pateiktas SSS projektas būtų laikomas standartinėmis sutarčių sąlygomis. Jei bus įgyvendintos visos rekomendacijos, pagal BDAR 28 straipsnio 8 dalį Danijos priežiūros institucija galės šį susitarimo projektą naudoti kaip sutarčių standartines sąlygas.

BDAR 64 straipsnis. Nuomonė dėl elgesio kodeksų stebėsenos įstaigų akreditacijos kriterijų (pateikė Austrijos priežiūros institucija)
Gavusi Austrijos priežiūros institucijos sprendimo dėl elgesio kodeksų stebėsenos įstaigų akreditacijos kriterijų projektą, EDAV priėmė savo nuomonę. EDAV sutiko, kad visiems kodeksams, taikomiems ne valdžios institucijoms ir įstaigoms, pagal BDAR reikėtų priskirti akredituotas stebėsenos įstaigas.

BDAR 64 straipsnis. Nuomonė dėl priežiūros institucijos kompetencijos pasikeitus aplinkybėms, susijusioms su pagrindine arba vienintele buveine
Valdyba priėmė nuomonę dėl priežiūros institucijos kompetencijos pasikeitus aplinkybėms, susijusioms su pagrindine arba vienintele buveine. Taip gali atsitikti, kai pagrindinė buveinė perkeliama Europos ekonominėje erdvėje, pagrindinė buveinė perkeliama iš trečiosios šalies į EEE arba tuomet, kai pagrindinės arba vienintelės buveinės EEE nebelieka. Tokiomis aplinkybėmis EDAV laikosi nuomonės, kad vadovaujančiosios priežiūros institucijos kompetenciją gali perimti kita priežiūros institucija. Šiuo atveju bus toliau taikoma 60 straipsniu nustatyta bendradarbiavimo procedūra ir naujoji vadovaujančioji priežiūros institucija bus įpareigota bendradarbiauti su buvusia vadovaujančiąja priežiūros institucija ir kitomis atitinkamomis priežiūros institucijomis, kad būtų pasiektas bendras sutarimas. Kompetencija gali būti perimta tol, kol kompetentinga priežiūros institucija nepriima galutinio sprendimo.

Bendra EDAV ir EDAPP nuomonė dėl eHDSI
Valdyba priėmė bendrą EDAV ir EDAPP nuomonę dėl asmens duomenų apsaugos aspektų, susijusių su pacientų duomenų tvarkymu e. sveikatos skaitmeninių paslaugų infrastruktūroje (eHDSI). Tai pirmoji bendra EDAV ir EDAPP nuomonė, priimta gavus Europos Komisijos prašymą pagal Reglamento (ES) 2018/1725 dėl ES institucijų ir įstaigų duomenų apsaugos 42 straipsnio 2 dalį. Šioje nuomonėje EDAV ir EDAPP mano, kad šiuo konkrečiu atveju, taip pat dėl konkretaus pacientų duomenų tvarkymo eHDSI, nėra jokios priežasties nesutikti su Europos Komisijos vertinimu, kuriame ji išnagrinėjo savo, kaip duomenų tvarkytojo, vaidmenį. Be to, bendroje nuomonėje pabrėžiamas poreikis užtikrinti, kad visos Komisijos, kaip duomenų tvarkytojos, pareigos vykdant šią duomenų tvarkymo operaciją, kaip nurodyta taikytinuose duomenų apsaugos teisės aktuose, būtų aiškiai išdėstytos atitinkamame įgyvendinimo akte.

Kipro PDAV sąrašas
EDAV priėmė nuomonę dėl poveikio duomenų apsaugai vertinimo (PDAV) sąrašo, kurį valdybai pateikė Kipras. PDAV sąrašai yra svarbi priemonė, kuria užtikrinama, kad BDAR būtų nuosekliai taikomas visoje Europos ekonominėje erdvėje. PDAV – procedūra, padedanti nustatyti ir sumažinti duomenų apsaugos riziką, kuri galėtų paveikti asmenų teises ir laisves.

BDAR 64 straipsnis. Nuomonė dėl 35 straipsnio 5 dalies sąrašų, kuriuos pateikė Prancūzija, Ispanija ir Čekija (atleidimas nuo PDAV).
EDAV priėmė nuomonę dėl 35 straipsnio 5 dalies sąrašų, kuriuos valdybai pateikė Prancūzijos, Ispanijos ir Čekijos priežiūros institucijos.

Rekomendacija dėl Europos duomenų apsaugos priežiūros pareigūno sąrašo pagal Reglamento (ES) 2018/1725 39 straipsnio 4 dalį (PDAV sąrašas)
EDAV priėmė rekomendaciją dėl sąrašo pagal 39 straipsnio 4 dalį, kurį valdybai pateikė EDAPP. Prieš patvirtindamas šiuos sąrašus EDAPP turi konsultuotis su Europos duomenų apsaugos valdyba, jei „tokie sąrašai yra susiję su duomenų tvarkymo operacijomis, kurias duomenų valdytojas atlieka bendrai su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai“ (Reglamento (ES) 2018/1725 39 straipsnio 6 dalis). Panašiai kaip ir poveikio duomenų apsaugai vertinimo sąrašai pagal BDAR, EDAPP sąraše duomenų valdytojams pateikiama informacija apie duomenų tvarkymo veiklą, dėl kurios reikia atlikti poveikio duomenų apsaugai vertinimą.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Briuselis, birželio 5 d. Birželio 4 d. į vienuoliktąjį plenarinį Europos duomenų apsaugos valdybos posėdį susirinko EEE duomenų apsaugos institucijų atstovai ir Europos duomenų apsaugos priežiūros pareigūnas. Per plenarinį posėdį buvo aptarti įvairūs klausimai.

Elgesio kodeksų gairės
EDAV priėmė galutinę Elgesio kodeksų gairių redakciją. Po viešųjų konsultacijų tekstas patikslintas. Šiomis gairėmis siekiama suteikti praktinių rekomendacijų ir pagalbinių paaiškinimų, kaip taikyti BDAR 40 ir 41 straipsnius. Gairių tikslas – paaiškinti, kaip taikyti elgesio kodeksų teikimo, tvirtinimo ir skelbimo procedūras ir taisykles tiek nacionaliniu, tiek Europos lygmeniu. Šios gairės turėtų būti toliau taikomos kaip visoms kompetentingoms priežiūros institucijoms, Valdybai ir Komisijai aiškūs principai, kuriais remdamosi jos atlieka nuoseklų elgesio kodeksų vertinimą ir vertinimo procedūrų racionalizavimą.

Akreditavimo gairių priedas
Po viešųjų konsultacijų EDAV priėmė galutinę Akreditavimo gairių priedo redakciją. Tekstas atnaujintas, kad būtų aiškesnis. Šių gairių tikslas – padėti aiškinti ir įgyvendinti Bendrojo duomenų apsaugos reglamento 43 straipsnio nuostatas. Visų pirma jomis siekiama padėti valstybėms narėms, priežiūros institucijoms ir nacionalinėms akreditavimo įstaigoms nustatyti nuoseklius ir suderintus kriterijus, pagal kuriuos būtų akredituojamos sertifikavimo įstaigos, išduodančios sertifikatus pagal BDAR. Priede pateikiamos rekomendacijos dėl papildomų reikalavimų, kuriais remiantis akredituojamos sertifikavimo įstaigos ir kuriuos turi nustatyti priežiūros institucijos. Šie papildomi reikalavimai, prieš juos priimant priežiūros institucijoms, turi būti pateikti Europos duomenų apsaugos valdybai patvirtinti pagal 64 straipsnio 1 dalies c punktą.*

Sertifikavimo gairių priedas
EDAV priėmė galutinę Sertifikavimo gairių 2 priedo redakciją. Po viešųjų konsultacijų kai kurie skirsniai buvo papildyti įvairiais aspektais, pavyzdžiui, klausimu, ar kriterijuose atsižvelgiama į duomenų valdytojų (tvarkytojų) prievolę paskirti duomenų apsaugos pareigūną ir pareigą registruoti duomenų tvarkymo veiklą. Šiomis gairėmis visų pirma siekiama nustatyti bendruosius kriterijus, kurie gali tikti visų rūšių sertifikavimo mechanizmams, nustatytiems pagal BDAR 42 ir 43 straipsnius. Priede nustatomi klausimai, kuriuos duomenų apsaugos priežiūros institucijos ir EDAV svarstys ir į kuriuos atsižvelgs, kai bus tvirtinami sertifikavimo mechanizmo sertifikavimo kriterijai. Sąrašas nėra baigtinis, tačiau jame pateikiamos būtiniausios temos, į kurias reikia atsižvelgti.*

* Kitas EDAV žingsnis, prieš pradedant nagrinėti konkrečius sertifikavimo ir akreditavimo klausimus EDAV lygmeniu, yra parengti procedūrą, pagal kurią būtų lengviau nuosekliai ir laiku rengti nuomones dėl priežiūros institucijos sprendimų projektų ir pagal kurią būtų tvirtinami Europos duomenų apsaugos ženklai.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Briuselis, gegužės 15 d. Gegužės 14–15 d. į dešimtąjį plenarinį Europos duomenų apsaugos valdybos posėdį susirinko EEE duomenų apsaugos institucijų atstovai ir Europos duomenų apsaugos priežiūros pareigūnas. Per plenarinį posėdį buvo aptarti įvairūs klausimai.

Naujo pirmininkės pavaduotojo rinkimai
Valdybos nariai išrinko naują pirmininkės pavaduotoją. Juo tapo Nyderlandų priežiūros institucijos pirmininkas Aleidas Wolfsenas, jis pakeitė Willemą Debeuckelaere. Europos duomenų apsaugos valdybos (EDPB) pirmininkė Andrea Jelinek padėkojo p. Debeuckelaere už darbą. Ateinančius kelerius metus A. Wolfsenas kartu su kitu pirmininkės pavaduotoju – Ventsislavu Karadjovu – padės EDPB pirmininkei atlikti savo pareigas valdyboje. Dr. A. Jelinek pridūrė: „Visuomenės susidomėjimas duomenų apsauga kaip niekad didelis. Džiaugiuosi galimybe dirbti su Aleidu ir Ventsislavu, kad užmegztume dialogą su kuo platesne duomenų apsaugos srities suinteresuotųjų subjektų bendruomene.“

A. Wolfsenas pridūrė: „Artimiausiais metais mes, kaip valdyba, turėsime pateikti privalomas gaires ir patikimas rekomendacijas. Kaip pirmininkės pavaduotojas sieksiu, kad atsižvelgę į visas nuomones mes kalbėtume vienu balsu.“

Atsakymas į Europos Parlamento narės Sophie in ’t Veld raštą dėl susietųjų transporto priemonių
EDPB priėmė raštą, kuriuo atsakoma į 2019 m. balandžio 17 d. Europos Parlamento narės S. in ’t Veld raštą dėl dalijimosi automobilių vairuotojų asmens duomenimis su automobilio gamintoju ir trečiosiomis šalimis be aiškaus vairuotojo sutikimo – konkretaus informuoto asmens sutikimo – ir be tinkamo teisinio pagrindo. Atsakomajame rašte EDPB nurodo, kad 2017 m. valdybos nariai ir jų kolegos iš viso pasaulio priėmė Tarptautinės duomenų apsaugos ir privatumo priežiūros pareigūnų konferencijos rezoliuciją dėl duomenų apsaugos automatizuotose ir susietosiose transporto priemonėse ir kad Pasaulinis forumas transporto priemonių reglamentavimui suderinti priėmė Nuomonę 3/2017 dėl asmens duomenų tvarkymo sąveikiosiose intelektinėse transporto sistemose (C-ITS). Šis klausimas taip pat bus nagrinėjamas pagal EDPB 2019–2020 m. darbo programą.

Trečioji metinė privatumo skydo peržiūra
EDPB paskyrė atstovus, dalyvausiančius trečiojoje metinėje privatumo skydo peržiūroje. Atliekant peržiūrą valdybai atstovaus Austrijos, Bulgarijos, Prancūzijos, Vengrijos bei Vokietijos atstovai ir Europos duomenų apsaugos priežiūros pareigūnas.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Brussels, 10 April - On April 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their ninth plenary session.

During the plenary, the EDPB adopted guidelines on the scope and application of Article 6(1)(b)* GDPR in the context of information society services. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


* Article 6 (1) (B)

“1. Processing shall be lawful only if and to the extent that at least one of the following applies:

...

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; ”

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Europos duomenų apsaugos valdyba. Aštuntasis plenarinis posėdis. E. privatumo direktyvos ir Bendrojo duomenų apsaugos reglamento sąveika, pareiškimas dėl E. privatumo reglamento, Ispanijos ir Islandijos pateikti poveikio duomenų apsaugai vertinimo sąrašai, pareiškimas dėl rinkimų

Briuselis, kovo 13 d. Kovo 12–13 d. į aštuntąjį plenarinį Europos duomenų apsaugos valdybos posėdį susirinko EEE duomenų apsaugos institucijų atstovai ir Europos duomenų apsaugos priežiūros pareigūnas. Jame aptarti įvairūs klausimai.

E. privatumo direktyvos ir Bendrojo duomenų apsaugos reglamento sąveika
Europos duomenų apsaugos valdyba (EDAV) priėmė nuomonę dėl E. privatumo direktyvos ir Bendrojo duomenų apsaugos reglamento sąveikos. Nuomonėje siekiama atsakyti į klausimą, ar dėl to, kad asmens duomenų tvarkymas patenka tiek į Bendrojo duomenų apsaugos reglamento, tiek į E. privatumo direktyvos dalykinę taikymo sritį, ribojama duomenų apsaugos institucijų kompetencija, užduotys ir įgaliojimai pagal Bendrąjį duomenų apsaugos reglamentą. Europos duomenų apsaugos valdyba mano, kad duomenų apsaugos institucijos kompetentingos užtikrinti Bendrojo duomenų apsaugos reglamento vykdymą. Vien tik dėl to, kad dalis duomenų tvarkymo patenka į E. privatumo direktyvos taikymo sritį, duomenų apsaugos institucijų kompetencija pagal Bendrąjį duomenų apsaugos reglamentą nesumažėja.

Bendrojo duomenų apsaugos reglamento pažeidimas gali būti tuo pat metu ir nacionalinių e. privatumo taisyklių pažeidimas. Priežiūros institucijos gali į tai atsižvelgti taikydamos Bendrąjį duomenų apsaugos reglamentą (pavyzdžiui, vertindamos atitiktį teisėtumo arba sąžiningumo principams).

Pareiškimas dėl būsimo E. privatumo reglamento
Europos duomenų apsaugos valdyba priėmė pareiškimą, kuriuo ES teisės aktų leidėjai raginami dėti daugiau pastangų, kad būtų priimtas E. privatumo reglamentas, kuris būtinas siekiant baigti rengti ES duomenų apsaugos ir elektroninių ryšių konfidencialumo sistemą.

Dėl būsimojo E. privatumo reglamento jokiu būdu neturėtų sumažėti apsaugos lygis, kurį suteikia dabartinė E. privatumo direktyva, ir jis turėtų papildyti Bendrąjį duomenų apsaugos reglamentą papildomomis tvirtomis garantijomis visų rūšių elektroniniams ryšiams.

PDAV sąrašai
EDAV priėmė dvi nuomones dėl poveikio duomenų apsaugai vertinimo (PDAV) sąrašų, kuriuos valdybai pateikė Ispanija ir Islandija. Šie sąrašai yra svarbi priemonė, kuria užtikrinama, kad visoje Europos ekonominėje erdvėje (EEE) būtų nuosekliai taikomas BDAR. Poveikio duomenų apsaugai vertinimas – tai procedūra, padedanti nustatyti ir sumažinti grėsmę duomenų apsaugai, kuri galėtų paveikti asmenų teises ir laisves. Paprastai duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, turi įvertinti, ar reikia atlikti PDAV, todėl nacionalinės priežiūros institucijos sudaro ir paskelbia tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Šios dvi nuomonės, kaip ir per ankstesnius plenarinius posėdžius priimtos 28 nuomonės, padės visoje EEE nustatyti bendrus kriterijus, pagal kuriuos turi būti sudaromi PDAV sąrašai.

Pareiškimas dėl asmens duomenų naudojimo per politines kampanijas
Atsižvelgdama į būsimus Europos Parlamento rinkimus ir kitus 2019 m. Europos Sąjungoje ir ES nepriklausančiose šalyse vyksiančius rinkimus, Europos duomenų apsaugos valdyba priėmė pareiškimą dėl asmens duomenų apsaugos per rinkimų kampanijas. Dėl duomenų tvarkymo politiniais tikslais metodų gali kilti didelė grėsmė, susijusi ne tik su teise į privatumą ir duomenų apsaugą, bet ir su demokratinio proceso vientisumu. Savo pareiškime Europos duomenų apsaugos valdyba pabrėžia keletą svarbių klausimų, į kuriuos reikia atsižvelgti politinėms partijoms tvarkant asmens duomenis rinkimų metu.
 
Pastaba redaktoriams.
 
Pažymėtina, kad visus EDAV plenarinio posėdžio metu priimamus dokumentus privaloma patikrinti pagal teisinius, kalbinius ir formatavimo reikalavimus, ir, kai tai bus atlikta, jie bus paskelbti EDAV interneto svetainėje.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brussels, 13 February - On February 12th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventh plenary session. During the plenary a wide range of topics were discussed.
 
EDPB 2019/2020 Work program
The Board adopted its two-year work program for 2019-2020, according to Article 29 of the EDPB Rules of Procedure. The EDPB work program is based on the needs identified by the members as priority for individuals, stakeholders, as well as the EU legislator- planned activities.

Draft administrative arrangement in the field of financial markets supervision

The EDPB adopted its first opinion on an administrative arrangement (AA), based on article 46.3.b of the GDPR, for transfers of personal data between EEA financial supervisory authorities, including the European Securities and Markets Authority (ESMA) and their non-EU counterparts. This arrangement will be submitted to the competent supervisory authorities (SAs) for authorisation at national level. The competent supervisory authorities will monitor the AA and its practical application to ensure that there are in practice effective and enforceable data subject rights and appropriate means of redress and supervision.

Brexit

The EDPB adopted an information note addressed to commercial entities and public authorities on data transfers under the GDPR in the event of a no-deal Brexit.

Data flows from the EEA to UK

In the absence of an agreement between the EU and the UK (no-deal Brexit), the UK will become a third country from 00.00 am CET on 30 March 2019. As a consequence, the transfer of personal data from the EEA to the UK will have to be based on one of the following instruments: Standard or ad hoc Data Protection Clauses, Binding Corporate Rules, Codes of Conduct and Certification Mechanisms and the specific transfer instruments available to public authorities. In the absence of Standard Data Protection Clauses or other alternative appropriate safeguards, derogations can be used under certain conditions.

Data flows from UK to the EEA

As regards data transfers from the UK to the EEA, according to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.

                                                               

Guidelines on codes of conduct
The EDPB adopted guidelines on codes of conduct. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process. The guidelines will be subject to public consultation.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brussels, 24 January - On January 22nd and 23rd, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their sixth plenary session. During the plenary a wide range of topics were discussed.
 
Privacy Shield
The Board Members adopted the EDPB’s report on the Second Annual Review of the EU-US Privacy Shield. The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield, especially actions undertaken to adapt the initial certification process, start ex officio oversight and enforcement actions, as well as the efforts  to publish a number of important documents, in part by declassification (such as decisions by the FISA Court), the appointment of a new Chair as well as of three new members of the Privacy and Civil Liberties Oversight Board (PCLOB) and the recently announced appointment of a permanent Ombudsperson.

In view of the findings of the second joint review, the following concerns about the implementation of the Privacy Shield still remain. This includes concerns already expressed by the EDPB’s predecessor WP29 on the lack of concrete assurances that indiscriminate collection and access of personal data for national security purposes are excluded. Also, based on the information provided so far, the EDPB cannot currently consider that the Ombudsperson is vested with sufficient powers to remedy non-compliance. In addition, the Board points out that checks regarding compliance with the substance of the Privacy Shield’s principles are not sufficiently strong.

Moreover, the EDPB has some additional concerns with regard to the necessary checks to comply with the onward transfer requirements, the scope of meaning of HR Data and the recertification process, as well as to a list of remaining issues raised after the first joint review which are still pending.

Brexit

The EDPB discussed possible consequences of Brexit in the area of data protection. Members agreed to cooperate and exchange information regarding their preparations and the tools available to transfer data to the UK, once the UK will no longer be part of the EU.

Clinical trials Q&A

Following a request from the European Commission (DG SANTE), the EDPB adopted its opinion on the clinical trials Q&A. The opinion addresses in particular the aspects related to the adequate legal bases in the context of clinical trials, and the secondary uses of clinical trial data for scientific purposes. The opinion will now be transmitted to the European Commission.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Liechtenstein and Norway. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 22 opinions adopted during the September plenary, and the four opinions adopted during the December plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Guidelines on certification
The EDPB adopted the final version of the guidelines on certification following public consultation. Additionally, the Board also adopted a new annex. A draft version of the guidelines had been adopted during the EDPB’s first plenary in May. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. As such, the guidelines explore the rationale for certification as an accountability tool, provide explanations for the key concepts of the certification provisions in art. 42 and art. 43, explain the scope of what can be certified and outline the purpose of certification. The guidelines will help Member States, supervisory authorities and national accreditation bodies (NAB) when reviewing and approving certification criteria in accordance with art. 42 and art. 43 GDPR. The annex will be subject to public consultation.

Response to Australian Supervisory Authority on data breach notification

In October 2018, the EDPB Chair received a written request from the Office of the Australian Information Commissioner regarding the publication of the data breach notifications by supervisory authorities. The EDPB welcomes the Australian Commissioner’s interest in cooperating with the European Data Protection Board on this issue and stresses the importance of international collaboration. In its response, the EDPB provides further information on whether and how supervisory authorities handle the publication of information regarding data breach notifications.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary