Evropský sbor pro ochranu osobních údajů

Zprávy EDPB

10 October 2019

On October 8th and 9th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fourteenth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on the lawful basis for processing for online services based on contracts (Art. 6 (1) (b))
The EDPB adopted a final version of the guidelines on the scope and application of Article 6(1)(b) GDPR in the context of information society services. Following public consultation, points of clarification were included in the text. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Article 64 Opinion on Equinix BCRs
The EDPB adopted its opinion on the draft decision regarding Equinix Binding Corporate Rules (BCRs), submitted to the Board by the UK’s Information Commissioner’s Office (ICO). The EDPB is of the opinion that the Equinix BCRs contain all elements required under article 47 GDPR and WP256 rev01 and contain the appropriate safeguards.

Passenger Name Records (PNR)
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s letter regarding the renegotiated draft PNR agreement with Canada and its impact on other PNR agreements. In its response, the EDPB notes that the draft agreement has not yet been shared with the Board, but that the EDPB stands ready to issue an opinion. The letter further refers to a previous letter sent to the European Commission by the Article 29 Working Party (WP29), following the opinion of the European Court of Justice (CJEU) on the first draft PNR agreement with Canada.

Response to the Council Working Party on Sports Anti-Doping Code (WADA)
The EDPB adopted its response to the Council Working Party on Sports’ request regarding the ongoing review process of the World Anti-Doping Code. In its letter, the Board recalls two WP29 opinions on the previous versions of the WADA code. The letter points out that progress has been made in relation to the safeguards on privacy and data protection provided by the new version of the Code and its Standards, but that some important concerns remain.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Brusel 11. července – Ve dnech 9. a 10. července se úřady pro ochranu údajů v EHP a evropský inspektor ochrany údajů (EIOÚ) sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém dvanáctém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.

Pokyny ke kamerovému dohledu
Sbor přijal pokyny týkající se kamerového dohledu, v nichž upřesňuje, jak se GDPR uplatňuje na zpracování osobních údajů při používání videozařízení. Touto cestou má být zajištěno jednotné uplatňování GDPR v této oblasti. Pokyny platí jak pro tradiční kamerová zařízení, tak pro inteligentní videozařízení. U inteligentních videozařízení se pokyny zaměřují na pravidla pro zpracování zvláštních kategorií údajů. Pokyny navíc upravují, mimo jiné, zákonnost zpracování, použitelnost výjimky pro domácí zpracování a zpřístupňování záznamů třetím stranám. Tyto pokyny budou předloženy k veřejné konzultaci.

Společná odpověď EDPB a EIOÚ Výboru LIBE k důsledkům zákona USA CLOUD Act
EDPB přijal společnou odpověď EDPB a EIOÚ na žádost Výboru Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE) o právní posouzení dopadu amerického zákona CLOUD Act na právní rámec EU pro ochranu osobních údajů a mandát k vyjednávání dohody mezi EU a USA o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech. Zákon CLOUD Act umožňuje americkým donucovacím orgánům požadovat, aby poskytovatelé služeb ve Spojených státech zpřístupnili údaje bez ohledu na to, kde jsou údaje uloženy.

EDPB a EIOÚ zdůrazňují, že komplexní dohoda mezi EU a USA o přeshraničním přístupu k elektronickým důkazům, která obsahuje silné procesní a hmotné záruky ohledně základních práv, je zřejmě nejvhodnějším nástrojem k zajištění nezbytné úrovně ochrany subjektů údajů v EU a právní jistoty pro podniky.

Stanovisko podle článku 64 GDPR ke standardním smluvním doložkám pro zpracovatele ve smyslu čl. 28 odst. 8 (návrh dánského dozorového úřadu)
EDPB přijal stanovisko k návrhu standardních smluvních doložek pro stanovení rámcových podmínek pro zpracování údajů zpracovatelem, který mu předložil dánský dozorový úřad. Stanovisko, které je k tomuto tématu prvním stanoviskem, má za cíl zajistit jednotné uplatňování článku 28 GDPR, jenž se týká zpracovatelů. Stanovisko EDPB obsahuje několik doporučení, která je třeba vzít v úvahu, aby mohly být standardní smluvní doložky navržené dánským dozorovým úřadem považovány za standardní smluvní doložky. Pokud budou všechna doporučení provedena, může dánský dozorový úřad použít tento návrh dohody jako standardní smluvní doložky podle čl. 28 odst. 8 GDPR.

Stanovisko podle článku 64 GDPR k akreditačním kritériím pro subjekty pro monitorování kodexu chování, která předložil rakouský dozorový úřad
EDPB přijal stanovisko k návrhu rozhodnutí předloženému rakouským dozorovým úřadem o akreditačních kritériích pro subjekty pro monitorování kodexu chování. Sbor souhlasí s tím, že všechny kodexy vztahující se na neveřejné orgány a subjekty musí mít v souladu s GDPR akreditované subjekty pro monitorování.

Stanovisko podle článku 64 GDPR k příslušnosti dozorového úřadu v případě změny okolností týkajících se hlavní nebo jediné provozovny
Sbor přijal stanovisko k příslušnosti dozorového úřadu v případě, že se změní okolnosti týkající se hlavní nebo jediné provozovny. Změněné okolnosti mohou nastat, pokud je hlavní provozovna přemístěna v rámci EHP nebo je hlavní provozovna přemístěna do EHP ze třetí země, nebo pokud v EHP již neexistuje hlavní nebo jediná provozovna. Za takových okolností se sbor domnívá, že příslušnost může být přenesena z vedoucího dozorového úřadu na jiný dozorový úřad. V takovém případě postup spolupráce stanovený v článku 60 GDPR platí i nadále, a nový vedoucí dozorový úřad je povinen spolupracovat s bývalým vedoucím dozorovým úřadem a s dalšími dotčenými dozorovými úřady, aby bylo dosaženo konsensu. K přenosu může docházet, dokud příslušný dozorový úřad nepřijme konečné rozhodnutí.

Společné stanovisko EDPB a EIOÚ k eHDSI
Sbor přijal společné stanovisko EDPB a EIOÚ k aspektům ochrany osobních údajů při zpracovávání údajů o pacientech v rámci infrastruktury digitálních služeb elektronického zdravotnictví (eHDSI). Přitom se jedná se o první společné stanovisko EDPB a EIOÚ přijaté v reakci na žádost Evropské komise podle čl. 42 odst. 2 nařízení 2018/1725 o ochraně osobních údajů orgány a institucemi EU. EDPB a EIOÚ ve svém stanovisku zastávají názor, že v této specifické situaci a s ohledem na konkrétní zpracování údajů o pacientech v rámci eHDSI není důvod odchylovat se od hodnocení Evropské komise týkající se její úlohy jako zpracovatele v rámci eHDSI. Kromě toho ve svém společném stanovisku upozorňují na to, že je třeba zajistit, aby veškeré povinnosti, které má Komise jako zpracovatel při této operaci zpracování, jak je stanoveno v příslušných právních předpisech o ochraně údajů, byly jasně stanoveny v příslušném prováděcím aktu.  

Seznam ohledně DPIA podaný Kyprem
EDPB přijal stanovisko k seznamu ohledně posouzení vlivu na ochranu osobních údajů (DPIA), který Kypr předložil sboru. Seznamy DPIA představují důležitý nástroj umožňující jednotné uplatňování GDPR v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou osobních údajů, která by mohla mít dopad na práva a svobody fyzických osob.

Stanovisko podle článku 64 GDPR k seznamům podle čl. 35 odst. 5 (výjimky z DPIA) předloženým Francií, Španělskem a Českou republikou
EDPB přijal stanovisko k seznamům podle čl. 35 odst. 5, které sboru předložily dozorové úřady Francie, Španělska a České republiky.

Doporučení k seznamu EIOÚ podle čl. 39 odst. 4 nařízení (EU) 2018/1725 (seznam DPIA)
Sbor přijal doporučení týkající se seznamu podle čl. 39 odst. 4, který sboru předložil EIOÚ. Podle čl. 39 odst. 6 nařízení (EU) 2018/1725 musí EIOÚ před přijetím těchto seznamů konzultovat EDPB, pokud se tyto seznamy „týkají operací zpracování prováděných společně dvěma nebo více správci jinými než orgány a subjekty Unie“. Podobně jako v případě seznamů DPIA podle GDPR, informuje EIOÚ prostřednictvím seznamu zpracovatele o činnostech zpracování, které vyžadují posouzení dopadu na ochranu údajů.

Poznámka pro redaktory:
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EDPB, jakmile budou uvedené kontroly dokončeny.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brusel 5. června – Dne 4. června se úřady pro ochranu údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém jedenáctém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.

Pokyny ke kodexům chování
EDPB přijal finální znění pokynů ke kodexům chování. Na základě veřejné konzultace byly do textu doplněny vysvětlivky. Cílem těchto pokynů je poskytnout praktické rady a pomoc s výkladem, pokud jde o použití článků 40 a 41 obecného nařízení o ochraně osobních údajů. Pokyny by měly pomoci vyjasnit postupy a pravidla pro předkládání, schvalování a zveřejňování kodexů chování na vnitrostátní i na evropské úrovni. Dále by měly sloužit jako jasný rámec pro všechny příslušné dozorové úřady, EDPB a Evropskou komisi k zajištění jednotného hodnocení kodexů chování a zjednodušení postupů spojených s procesem posouzení.

Příloha pokynů k akreditaci
EDPB přijal finální znění přílohy pokynů k akreditaci, které zohledňuje výsledky veřejné konzultace. Text byl upraven tak, aby byl srozumitelnější. Cílem pokynů je poskytnout návod, jak vykládat a provádět ustanovení článku 43 obecného nařízení o ochraně osobních údajů. Zejména mají pomoci členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům vytvořit konzistentní a harmonizovaný základ pro akreditaci subjektů vydávajících osvědčení v souladu s obecným nařízením o ochraně osobních údajů. Příloha obsahuje pokyny týkající se doplňkových požadavků na akreditaci subjektů vydávajících osvědčení, které mají stanovit dozorové úřady. Předtím, než dozorové úřady tyto doplňkové požadavky přijmou, musí být v souladu s čl. 64 odst. 1 písm. c) předloženy Evropskému sboru pro ochranu osobních údajů ke schválení.*

Příloha pokynů k vydávání osvědčení
EDPB přijal finální znění přílohy 2 pokynů k vydávání osvědčení. Na základě veřejné konzultace byly do některých oddílů doplněny určité aspekty, například zda kritéria zohledňují povinnost správce/zpracovatele jmenovat pověřence pro ochranu osobních údajů a povinnost uchovávat záznamy o činnostech spojených se zpracováním. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 obecného nařízení o ochraně osobních údajů. Příloha vymezuje témata, která dozorové úřady pro ochranu údajů a EDPB posoudí a použijí při schvalování kritérií pro vydávání osvědčení vztahujících se na mechanismy pro vydávání osvědčení. Seznam není vyčerpávající, ale obsahuje minimální témata, jež mají být posouzena.*

Poznámka pro redaktory:

* Předtím, než bude možné na úrovni EDPB projednávat konkrétní případy týkající se vydávání osvědčení a akreditace, připravuje EDPB jako další krok postup, jenž by usnadnil jednotné a včasné přijímání stanovisek k návrhům rozhodnutí dozorových úřadů a schvalování evropské pečeti ochrany údajů.

Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou uvedené kontroly dokončeny.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brusel 15. dubna – Ve dnech 14. a 15. května se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém desátém plenárním zasedání. Na tomto zasedání se diskutovalo o široké paletě témat.

Volba nového místopředsedy
Členové představenstva zvolili novým místopředsedou Aleida Wolfsena, předsedu nizozemského dozorového úřadu. Vystřídá v této funkci Willema Debeuckelaera, jemuž předsedkyně EDPB Andrea Jelineková poděkovala za vykonanou práci. Pan Wolfsen bude v nadcházejících letech spolu s dalším místopředsedou, Ventsislavem Karadjovem, podporovat předsedkyni EDPB v její práci pro sbor. Předsedkyně EDPB k tomu dodala: „Zájem veřejnosti o ochranu osobních údajů je na historicky nejvyšší úrovni. Těším se, že ve spolupráci s kolegy Wolfsenem a Karadjovem budeme oslovovat širší komunitu zúčastněných stran v oblasti ochrany dat.“

Místopředseda Wolfsen uvedl: „Povinností sboru bude v nadcházejících letech poskytovat směrodatné pokyny a spolehlivé poradenství. Ve funkci místopředsedy se postarám o to, abychom vždy zohlednili všechny názory a poté vyslovili jednomyslné stanovisko sboru.“

Odpověď na dotaz poslankyně EP Sophie in ’t Veldové ohledně propojených vozidel
Sbor schválil dopis, kterým reaguje na dotaz poslankyně EP Sophie in ’t Veldové ze 17. dubna 2019 týkající se sdílení osobních údajů řidiče s výrobcem automobilu a třetími stranami bez jeho výslovného, konkrétního a informovaného souhlasu a bez odpovídajícího právního základu. EDPB v odpovědi zdůrazňuje, že v roce 2017 přijali členové sboru a jejich mezinárodní kolegové usnesení Mezinárodní konference komisařů pro ochranu údajů a soukromí (ICDPPC) o ochraně údajů u automatizovaných a propojených vozidel a dále že pracovní skupina zřízená podle článku 29 přijala stanovisko č. 3/2017 ke zpracování osobních údajů v souvislosti se spolupracujícími inteligentními dopravními systémy (C-ITS). Tato otázka bude rovněž řešena v rámci pracovního programu EDPB na období 2019–2020.

Třetí roční přezkum štítu na ochranu soukromí
EDPB jmenoval zástupce pro třetí roční přezkum štítu na ochranu soukromí.  Při přezkumu budou sbor zastupovat Bulharsko, Francie, Maďarsko, Německo, Rakousko a evropský inspektor ochrany údajů.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Evropský sbor pro ochranu osobních údajů – deváté plenární zasedání: Pokyny pro zpracování osobních údajů v souvislosti se službami informační společnosti

Brusel 10. dubna – Ve dnech 9. a 10. dubna se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém devátém plenárním zasedání.
 
V jeho průběhu přijal EDPB pokyny týkající se rozsahu působnosti a uplatňování čl. 6 odst. 1 písm. b)* obecného nařízení o ochraně osobních údajů (GDPR) v souvislosti se službami informační společnosti. Sbor v těchto pokynech uvádí obecné připomínky týkající se zásad ochrany údajů a vzájemného působení čl. 6 odst. 1 písm. b) ve vztahu k jiným právním základům. Kromě toho tento dokument obsahuje i instrukce ohledně použitelnosti čl. 6 odst. 1 písm. b) v případě spojování samostatných služeb a ukončení smlouvy.

Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EDPB, jakmile budou tyto kontroly dokončeny.

* Čl. 6 odst. 1 písm. b)
„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
...
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;“.
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Evropský sbor pro ochranu osobních údajů – osmé plenární zasedání: vztah mezi směrnicí o soukromí a elektronických komunikacích a GDPR, prohlášení o nařízení o soukromí a elektronických komunikacích, seznamy posouzení vlivu na ochranu osobních údajů ve Španělsku a na Islandu, prohlášení o volbách

Brusel 13. března – Dne 12. a 13. března se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém osmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Vztah mezi směrnicí o soukromí a elektronických komunikacích a nařízením GDPR
Evropský sbor pro ochranu osobních údajů přijal stanovisko ke vztahu mezi směrnicí o soukromí a elektronických komunikacích a obecným nařízením o ochraně osobních údajů (GDPR). Stanovisko má odpovědět na otázku, zda skutečnost, že zpracování osobních údajů vyvolává věcnou působnost jak GDPR, tak směrnice o soukromí a elektronických komunikacích, omezuje příslušnost, úkoly a pravomoci úřadů pro ochranu údajů podle GDPR. Sbor je toho názoru, že úřady pro ochranu údajů jsou příslušné k prosazování GDPR. Pouhá skutečnost, že určitý díl zpracování osobních údajů spadá do působnosti směrnice o soukromí a elektronických komunikacích, příslušnost úřadů pro ochranu osobních údajů podle GDPR neomezuje.

Porušení GDPR může představovat i porušení vnitrostátních pravidel o ochraně soukromí a elektronických komunikacích. Dozorové úřady mohou tuto skutečnost při uplatňování GDPR zohlednit (např. při posuzování souladu se zásadami zákonnosti nebo korektnosti).  

Prohlášení o budoucím nařízení o soukromí a elektronických komunikacích
Evropský sbor pro ochranu osobních údajů přijal prohlášení, v němž vyzývá normotvůrce Unie, aby vystupňovali úsilí o přijetí nařízení o soukromí a elektronických komunikacích, které má zásadní význam pro dokončení rámce EU pro ochranu údajů a důvěrnost elektronických komunikací.

Budoucí nařízení o soukromí a elektronických komunikacích by v žádném případě nemělo snižovat míru ochrany, kterou nabízí stávající směrnice o soukromí a elektronických komunikacích, a mělo by doplňovat GDPR tím, že poskytne další silné záruky pro všechny druhy elektronických komunikací.
 
Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal dvě stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, jež předložily Španělsko a Island. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Tato dvě stanoviska, která následují po 28 stanoviscích přijatých na předchozích plenárních zasedáních, dále přispějí ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Prohlášení o používání osobních údajů v politických kampaních
S ohledem na nadcházející volby do Evropského parlamentu a další volby, které se v roce 2019 konají v EU i jinde na světě, vydal přijal sbor prohlášení o používání osobních údajů během volebních kampaní. Techniky zpracování dat pro politické účely mohou představovat závažná rizika nejen z hlediska práva na soukromí a ochrany údajů, ale i z hlediska integrity demokratického procesu. Ve svém prohlášení sbor upozorňuje na řadu klíčových bodů, které je třeba vzít v úvahu, když politické strany zpracovávají osobní údaje v rámci volebních činností.
 
Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brusel 13. února – Dne 12. února se orgány pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém sedmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Pracovní program Evropského sboru pro ochranu osobních údajů na období 2019–2020
EDPB přijal svůj dvouletý pracovní program na období 2019–2020 v souladu s článkem 29 jednacího řádu EDPB. Pracovní program EDPB vychází z potřeb, které členové označili za prioritní pro fyzické osoby, zúčastněné strany a rovněž plánované činnosti normotvůrce EU.

Návrh správního ujednání v oblasti dohledu nad finančními trhy
EDPB přijal svoje první stanovisko k správnímu ujednání (na základě čl. 46 odst. 3 písm. b) obecného nařízení o ochraně osobních údajů) o převádění osobních údajů mezi orgány finančního dohledu v EHP, včetně Evropského orgánu pro cenné papíry a trhy (ESMA), a jejich protějšky ze zemí mimo EU. Toto ujednání bude předloženo příslušným dozorovým úřadům k autorizaci na vnitrostátní úrovni. Příslušné dozorové úřady budou monitorovat toto správní ujednání a jeho uplatňování v praxi, aby se zajistila existence účinných a vymahatelných práv subjektu údajů a vhodných prostředků právní ochrany a dohledu v praxi.

Brexit
EDPB přijal informační sdělení určené komerčním subjektům a orgánům veřejné moci o předávání údajů podle obecného nařízení o ochraně osobních údajů v případě brexitu bez dohody.

Pohyb údajů z EHP do Spojeného království
V případě neexistence dohody mezi EU a Spojeným královstvím (brexitu bez dohody) bude Spojené království od 30. března 2019 00:00 hodin SEČ třetí zemí. V důsledku toho se bude muset předávání osobních údajů z EHP Spojenému království zakládat na jednom z těchto nástrojů: standardních nebo ad hoc doložkách o ochraně údajů, závazných podnikových pravidlech, kodexech chování a mechanismech pro vydávání osvědčení a specifických nástrojích pro předávání, které mají orgány veřejné moci k dispozici. V případě neexistence standardních doložek o ochraně údajů nebo jiných alternativních vhodných záruk lze při splnění určitých podmínek použít výjimky.

Pohyb údajů ze Spojeného království do EHP
Pokud jde o předávání údajů ze Spojeného království do EHP, bude podle vlády Spojeného království v případě brexitu bez dohody pokračovat stávající praxe, která umožňuje volný pohyb osobních údajů ze Spojeného království do EHP.
    
Pokyny ke kodexům chování
EDPB přijal pokyny ke kodexům chování. Cílem těchto pokynů je poskytnout praktické rady a pomoc s výkladem, pokud jde o použití článků 40 a 41 obecného nařízení o ochraně osobních údajů. Pokyny by měly pomoci vyjasnit postupy a pravidla pro předkládání, schvalování a zveřejňování kodexů chování na úrovni členských států a na úrovni evropské. Tyto pokyny by dále měly sloužit jako jasný rámec pro všechny příslušné dozorové úřady, sbor a Komisi k zajištění jednotného hodnocení kodexů chování a zjednodušení postupů spojených s procesem posouzení. Tyto pokyny budou předloženy k veřejné konzultaci.

 

Poznámka pro redaktory:

Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brusel 24. ledna – Ve dnech 22. a 23. ledna se evropské orgány pro ochranu osobních údajů setkaly v rámci Evropského sboru pro ochranu osobních údajů na svém šestém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Štít na ochranu soukromí
Členové Evropského sboru pro ochranu osobních údajů přijali zprávu sboru o druhém meziročním přezkumu štítu EU-USA na ochranu soukromí. Sbor vítá úsilí orgánů USA a Komise o zavedení štítu na ochranu údajů, zejména pokud jde o opatření přijatá ke změně původního postupu vydávání osvědčení, zahájení postupů dohledu z moci úřední a prosazování předpisů. Dále vítá úsilí o zveřejnění řady důležitých dokumentů, a to částečně odtajněním (např. rozhodnutí Soudu pro uplatňování zákona FISA), jmenování nového předsedy a tří nových členů Výboru pro dohled nad ochranou soukromí a občanských svobod a nedávno ohlášené jmenování stálého veřejného ochránce práv.

Ze závěrů druhého společného přezkumu vyplývá, že k zavádění štítu na ochranu soukromí stále přetrvávají některé výhrady. Tyto výhrady, které vyjádřil již předchůdce sboru, pracovní skupina zřízená podle článku 29, se týkají absence konkrétních záruk, že je vyloučeno neselektivní shromažďování osobních údajů a přístup k nim pro účely národní bezpečnosti. Na základě dosud poskytnutých informací dále sbor konstatuje, že veřejný ochránce práv nyní nemá odpovídající pravomoci k nápravě nesouladu. Sbor navíc upozorňuje, že kontroly dodržování zásad štítu na ochranu soukromí nejsou dostatečně přísné.

Sbor má také další výhrady, pokud jde o kontroly nezbytné ke splnění požadavků na další předávání údajů, významový rozsah pojmu údaje o lidských zdrojích, postup opětovného vydávání osvědčení a seznam otázek, jež byly vzneseny po prvním společném přezkumu a stále nejsou dořešeny.

Brexit
Evropský sbor pro ochranu osobních údajů jednal o možných důsledcích brexitu v oblasti ochrany údajů. Členové se dohodli na spolupráci a výměně informací o přípravě a nástrojích, které budou k dispozici pro předávání osobních údajů do Spojeného království po jeho odchodu z EU.

Otázky a odpovědi týkající se klinických hodnocení
Na žádost Evropské komise (Generální ředitelství pro zdraví a bezpečnost potravin) přijal Evropský sbor pro ochranu osobních údajů stanovisko k otázkám a odpovědím týkajícím se klinických hodnocení. Stanovisko se zabývá především aspekty vhodného právního základu pro klinická hodnocení a druhotným využíváním údajů z klinických hodnocení pro vědecké účely. Stanovisko bude nyní zasláno Evropské komisi.

Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, předloženým Lichtenštejnskem a Norskem. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Uvedená dvě stanoviska navazují na 22 stanovisek přijatých na zářijovém plenárním zasedání a na čtyři stanoviska přijatá na prosincovém plenárním zasedání a budou využita ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Pokyny k vydávání osvědčení
Evropský sbor pro ochranu osobních údajů schválil po veřejné konzultaci konečnou verzi pokynů k vydávání osvědčení. Sbor dále přijal novou přílohu. Návrh pokynů byl přijat již na prvním květnovém plenárním zasedání sboru. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 GDPR. Pokyny se zabývají vydáváním osvědčení jakožto nástrojem pro zajištění odpovědnosti a vysvětlují klíčové pojmy ustanovení o vydávání osvědčení v článcích 42 a 43, rozsah toho, co může být osvědčováno, a účel vydávání osvědčení. Pokyny pomohou členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům při přezkoumávání a schvalování kritérií pro vydávání osvědčení podle článků 42 a 43 GDPR. Příloha pokynů bude předložena k veřejné konzultaci.

Odpověď australskému dozorovému úřadu týkající se oznamování případů porušení zabezpečení údajů
V říjnu 2018 obdržel předseda Evropského sboru pro ochranu osobních údajů písemnou žádost Úřadu australské komisařky pro informace, která se týkala toho, jak dozorové úřady zveřejňují oznámení o případech porušení zabezpečení údajů. Sbor vítá zájem australské komisařky o spolupráci v této otázce a zdůrazňuje význam mezinárodní spolupráce. Ve své odpovědi podrobněji informuje, zda a jak se dozorové úřady zabývají zveřejňováním informací týkajících se oznámení o porušení zabezpečení údajů.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary