ευρωπαϊκό συμβούλιο προστασίας δεδομένων

Νέα του ΕΣΠΔ

20 November 2020

Brussels, 20 November - On November 19th, the EDPB met for its 42nd plenary session. During the plenary, the European Commission presented two new sets of draft Standard Contractual Clauses (SCCs) and the EDPB adopted a statement on the future ePrivacy Regulation.
 
The European Commission presented two draft SCCs: one set of SCCs for contracts between controllers and processors, and another one for data transfers outside the EU. The draft controller-processor SCCs are fully new and have been developed by the Commission in accordance with Art. 28 (7) GDPR and Art. 29 (7) of Regulation 2018/1725. These SCCs will have an EU-wide effect and aim to ensure full harmonisation and legal certainty across the EU when it comes to contracts between controllers and their processors. In addition, the Commission presented another set of SCCs for the transfer of personal data to third countries pursuant to Art. 46 (2) (c) GDPR. These SCCs will replace the existing SCCs for international transfers that were adopted on the basis of Directive 95/46 and needed to be updated to bring them in line with GDPR requirements, as well as with the CJEU’s ‘Schrems II’ ruling, and to better reflect the widespread use of new and more complex processing operations often involving multiple data importers and exporters. The Commission has requested a joint opinion from the EDPB and the EDPS on the implementing acts on both sets of SCCs.
 
EDPB Chair Andrea Jelinek said: “The new SCCs for the transfer of personal data to third countries have been highly anticipated, and it is important to point out that they are not a catch-all solution for data transfers post-Schrems II. While the updated SCCs are an important piece of the puzzle and a very important development, data exporters should still make the puzzle complete. The step-by-step approach of the EDPB recommendations on supplementary measures is necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. Together with the EDPS, the Board will now thoroughly draft a joint opinion on the two sets of draft SCCs as invited by the European Commission.”
 
Recommendations 1/2020 on supplementary measures: During the plenary, the Members of the Board decided to extend the deadline for the public consultation on the Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data from 30 November 2020 until 21 December 2020.

The EDPB adopted a statement on the future ePrivacy Regulation and the future role of supervisory authorities and the EDPB in this context. The EDPB expressed concerns about some new orientations of the discussions in the Council concerning the enforcement of the future ePrivacy Regulation, which could lead to fragmented supervision, procedural complexity and a lack of consistency and legal certainty for individuals and companies. The EDPB underlines that many of the provisions of the future ePrivacy Regulation concern processing of personal data and that many provisions of the GDPR and the ePrivacy Regulation are closely intertwined. Consistent interpretation and enforcement of both sets of rules, when covering personal data protection, would therefore be fulfilled in the most efficient way, if the enforcement of those parts of the ePrivacy Regulation and the GDPR would be entrusted to the same authority.
 
EDPB Chair Andrea Jelinek added: “The oversight of personal data processing activities under the ePrivacy Regulation should  be entrusted  to  the  same  national  authorities that are responsible for the enforcement of the GDPR. This will ensure a high level of data protection, guarantee a level playing field and ensure a harmonised interpretation and enforcement of the personal data processing elements of the ePrivacy Regulation across the EU.”
 
The EDPB also stressed the need to adopt the new Regulation as soon as possible.
 
The EDPB added that this statement is without prejudice to the Board’s previous positions, including its statement of March 2019 and May 2018 and reiterated that the future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for confidentiality and protection of all types of electronic communications.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Brussels, 11 November - During its 41st plenary session, the EDPB adopted recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, as well as recommendations on the European Essential Guarantees for surveillance measures. 

Both documents were adopted as a follow-up to the CJEU’s ‘Schrems II’ ruling. As a result of the ruling on July 16th, controllers  relying on Standard Contractual Clauses (SCCs) are required to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data in the third country, if the law of the third country ensures a level of protection of the personal data transferred that is essentially equivalent to that guaranteed in the European Economic Area (EEA). The CJEU allowed exporters to add measures that are supplementary to the SCCs to ensure effective compliance with that level of protection where the safeguards contained in SCCs are not sufficient.   

The recommendations aim to assist controllers and processors acting as data exporters with their duty to identify and implement appropriate supplementary measures where they are needed to ensure an essentially equivalent level of protection to the data they transfer to third countries. In doing so, the EDPB seeks a consistent application of the GDPR and the Court’s ruling across the EEA. 

EDPB Chair, Andrea Jelinek said: “The EDPB is acutely aware of the impact of the Schrems II ruling on thousands of EU businesses and the important responsibility it places on data exporters. The EDPB hopes that these recommendations can help data exporters with identifying and implementing effective supplementary measures where they are needed. Our goal is to enable lawful transfers of personal data to third countries while guaranteeing that the data transferred is afforded a level of protection essentially equivalent to that guaranteed within the EEA.”  

The recommendations contain a roadmap of the steps data exporters must take to find out if they need to put in place supplementary measures to be able to transfer data outside the EEA in accordance with EU law, and help them identify those that could be effective. To assist data exporters, the recommendations also contain a non-exhaustive list of examples of supplementary measures and some of the conditions they would require to be effective. 

However, in the end data exporters are responsible for making the concrete assessment in the context of the transfer, the third country law and the transfer tool they are relying on. Data exporters must proceed with due diligence and document their process thoroughly, as they will be held accountable to the decisions they take on that basis, in line with the GDPR principle of accountability. Moreover, data exporters should know that it may not be possible to implement sufficient supplementary measures in every case.

The recommendations on the supplementary measures will be submitted to public consultation. They will be applicable immediately following their publication. 

In addition, the EDPB adopted recommendations on the European Essential Guarantees for surveillance measures. The recommendations on the European Essential Guarantees are complementary to the recommendations on supplementary measures. The European Essential Guarantees recommendations provide data exporters with elements to determine if the legal framework governing public authorities’ access to data for surveillance purposes in third countries can be regarded as a justifiable interference with the rights to privacy and the protection of personal data, and therefore as not impinging on the commitments of the Article 46 GDPR transfer tool the data exporter and importer rely on.

The Chair added: “The implications of the Schrems II judgment extend to all transfers to third countries. Therefore, there are no quick fixes, nor a one-size-fits-all solution for all transfers, as this would be ignoring the wide diversity of situations data exporters face. Data exporters will need to evaluate their data processing operations and transfers and take effective measures bearing in mind the legal order of the third countries to which they transfer or intend to transfer data.”

The EEA data protection supervisory authorities will continue coordinating their actions in the EDPB to ensure consistency in the application of EU data protection law. 

The agenda of the forty-first plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_18

10 November 2020

Brussels, 10 November - During its 41st plenary session, the EDPB adopted by a 2/3 majority of its members its first dispute resolution decision on the basis of Art. 65 GDPR. The binding decision seeks to address the dispute arisen following a draft decision issued by the Irish SA as lead supervisory authority (LSA) regarding Twitter International Company and the subsequent relevant and reasoned objections (RROs) expressed by a number of concerned supervisory authorities (CSAs). 

The Irish SA issued the draft decision following an own-volition inquiry and investigations into Twitter International Company, after the company notified the Irish SA of a personal data breach on 8 January 2019. In May 2020, the Irish SA shared its draft decision with the CSAs in accordance with Art. 60 (3) GDPR. The CSAs then had four weeks to submit their RROs. Among others, the CSAs issued RROs on the infringements of the GDPR identified by the LSA, the role of Twitter International Company as the (sole) data controller, and the quantification of the proposed fine. 

As the LSA rejected the objections and/or considered they were not “relevant and reasoned”, it referred the matter to the EDPB in accordance with Art 60 (4) GDPR, thereby initiating the dispute resolution procedure. 

Following the submission by the LSA, the completeness of the file was assessed, resulting in the formal launch of the Art. 65 procedure on 8 September 2020. In compliance with Article 65 (3) GDPR and in conjunction with Article 11.4 of the EDPB Rules of Procedure, the default adoption timeline of one month was extended by a further month because of the complexity of the subject matter. 

On 9 November 2020, the EDPB adopted its binding decision and will shortly notify it formally to the Irish SA. 

The Irish SA shall adopt its final decision on the basis of the EDPB decision, which will be addressed to the controller, without undue delay and at the latest one month after the EDPB has notified its decision. The LSA and CSAs shall notify the EDPB of the date the final decision was notified to the controller. Following this notification, the EDPB will publish its decision on its website.

For further information see: Art. 65 FAQ

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_17

21 October 2020

Βρυξέλλες, 21 Οκτωβρίου - Στις 20 Οκτωβρίου το ΕΣΠΔ πραγματοποίησε την 40η σύνοδο της ολομέλειάς του. Κατά τη σύνοδο της ολομέλειας συζητήθηκε ευρύ φάσμα θεμάτων.

Κατόπιν δημόσιας διαβούλευσης, το ΕΣΠΔ ενέκρινε την τελική έκδοση των Κατευθυντήριων γραμμών σχετικά με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι κατευθυντήριες γραμμές επικεντρώνονται στην υποχρέωση προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, όπως ορίζεται στο άρθρο 25 του ΓΚΠΔ. Η βασική υποχρέωση που προβλέπεται στο άρθρο 25 είναι η αποτελεσματική εφαρμογή των αρχών προστασίας δεδομένων καθώς και των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Αυτό σημαίνει ότι οι υπεύθυνοι επεξεργασίας πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα και τις αναγκαίες διασφαλίσεις που αποσκοπούν στην έμπρακτη τήρηση των αρχών προστασίας των δεδομένων και στην προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων. Επιπλέον, οι υπεύθυνοι της επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξουν ότι τα εφαρμοζόμενα μέτρα είναι αποτελεσματικά.

Οι κατευθυντήριες γραμμές περιλαμβάνουν επίσης οδηγίες σχετικά με την αποτελεσματική εφαρμογή των αρχών της προστασίας των δεδομένων που προβλέπονται στο άρθρο 5 του ΓΚΠΔ, απαριθμώντας κύρια στοιχεία σχεδιασμού και εξ ορισμού στοιχεία, καθώς και πρακτικές περιπτώσεις ως ενδεικτικά παραδείγματα. Επιπλέον, διατυπώνουν συστάσεις σχετικά με τον τρόπο που οι υπεύθυνοι επεξεργασίας, οι εκτελούντες την επεξεργασία και οι παραγωγοί μπορούν να συνεργαστούν για την επίτευξη της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Οι τελικές κατευθυντήριες γραμμές περιλαμβάνουν επικαιροποιημένη διατύπωση και περαιτέρω νομικό σκεπτικό προκειμένου να λάβουν υπόψη τις παρατηρήσεις και την ανατροφοδότηση που διατυπώθηκαν κατά τη δημόσια διαβούλευση.

Το ΕΣΠΔ αποφάσισε να θεσπίσει ένα Συντονισμένο Πλαίσιο Επιβολής (ΣΠΕ). Το ΣΠΕ παρέχει μια δομή για τον συντονισμό των τακτικών ετήσιων δραστηριοτήτων των εποπτικών αρχών (ΕΑ) του ΕΣΠΔ. Στόχος του ΣΠΕ είναι να διευκολύνει τη διεξαγωγή κοινών δράσεων με ευέλικτο και συντονισμένο τρόπο, οι οποίες θα περιλαμβάνουν από κοινές δραστηριότητες ευαισθητοποίησης και συλλογή πληροφοριών έως σαρώσεις σχετικά με την επιβολή της νομοθεσίας και κοινές έρευνες. Σκοπός των τακτικών ετήσιων συντονισμένων δράσεων είναι η προώθηση της συμμόρφωσης, η παροχή της δυνατότητας στα υποκείμενα των δεδομένων να ασκούν τα δικαιώματά τους και η αύξηση της ευαισθητοποίησης.

Το ΕΣΠΔ ενέκρινε απαντητική επιστολή προς την Europäische Akademie für Informationsfreiheit und Datenschutz σχετικά με τις επιπτώσεις που έχει στην προστασία των δεδομένων το άρθρο 17 της οδηγίας για τα δικαιώματα πνευματικής ιδιοκτησίας, ιδιαιτέρως όσον αφορά τα φίλτρα αναφόρτωσης. Στην επιστολή, το ΕΣΠΔ αναφέρει ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς φίλτρων αναφόρτωσης πρέπει να είναι αναλογική και αναγκαία και ότι, στο μέτρο του δυνατού, δεν θα πρέπει να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα κατά την εφαρμογή του άρθρου 17 της οδηγίας για τα δικαιώματα πνευματικής ιδιοκτησίας. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη, όπως για παράδειγμα στην περίπτωση του μηχανισμού προσφυγής, τα εν λόγω δεδομένα θα πρέπει να αφορούν μόνο τα δεδομένα που είναι αναγκαία για τον συγκεκριμένο σκοπό, εφαρμόζοντας παράλληλα όλες τις υπόλοιπες αρχές του ΓΚΠΔ. Το ΕΣΠΔ τόνισε περαιτέρω ότι βρίσκεται σε συνεχή επικοινωνία με την Ευρωπαϊκή Επιτροπή για το θέμα αυτό και ότι έχει δηλώσει τη διαθεσιμότητά του για περαιτέρω συνεργασία.

Σημείωση προς τους συντάκτες:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_16

12 October 2020

Βρυξέλλες, 12 Οκτωβρίου — Κατά τη διάρκεια της 39ης συνόδου ολομέλειάς του, το ΕΣΠΔ ενέκρινε κατευθυντήριες γραμμές σχετικά με την έννοια της σχετικής και αιτιολογημένης ένστασης. Οι κατευθυντήριες γραμμές θα συμβάλουν στην ενιαία ερμηνεία της έννοιας, η οποία θα βοηθήσει στον εξορθολογισμό των διαδικασιών του άρθρου 65 του ΓΚΠΔ στο μέλλον.

Στο πλαίσιο του μηχανισμού συνεργασίας που θεσπίζεται από τον ΓΚΠΔ, οι εποπτικές αρχές (ΕΑ) έχουν καθήκον «να ανταλλάσσουν μεταξύ τους κάθε συναφή πληροφορία» και να συνεργάζονται «με σκοπό την επίτευξη συναίνεσης». Σύμφωνα με το άρθρο 60 παράγραφοι 3 και 4 του ΓΚΠΔ, η επικεφαλής εποπτική αρχή υποχρεούται να υποβάλει σχέδιο απόφασης στις ενδιαφερόμενες εποπτικές αρχές, οι οποίες μπορούν στη συνέχεια να προβάλουν σχετική και αιτιολογημένη ένσταση εντός συγκεκριμένης προθεσμίας. Μετά την παραλαβή της σχετικής και αιτιολογημένης ένστασης, η επικεφαλής εποπτική αρχή έχει δύο επιλογές. Εάν δεν ακολουθήσει τη σχετική και αιτιολογημένη ένσταση ή είναι της γνώμης ότι η ένσταση δεν είναι αιτιολογημένη ή σχετική, υποβάλλει το ζήτημα στο ΕΣΠΔ στο πλαίσιο του μηχανισμού συνεκτικότητας (άρθρο 65 του ΓΚΠΔ). Εάν, αντιθέτως, η επικεφαλής εποπτική αρχή ακολουθήσει την ένσταση και εκδώσει το αναθεωρημένο σχέδιο απόφασης, οι ενδιαφερόμενες εποπτικές αρχές μπορούν να διατυπώσουν σχετική και αιτιολογημένη ένσταση επί του αναθεωρημένου σχεδίου απόφασης εντός προθεσμίας δύο εβδομάδων.

Οι κατευθυντήριες γραμμές αποσκοπούν στη διαμόρφωση κοινής αντίληψης της έννοιας «σχετική και αιτιολογημένη», μεταξύ άλλων το τι θα πρέπει να λαμβάνεται υπόψη κατά την αξιολόγηση του κατά πόσον μια ένσταση «καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης» (άρθρο 4 παράγραφος 24 του ΓΚΠΔ).

Σημείωση προς τους συντάκτες:

Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον διαδικτυακό τόπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_15

04 September 2020

Βρυξέλλες 3 Σεπτεμβρίου - Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε κατευθυντήριες γραμμές σχετικά με τις έννοιες του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ καθώς και κατευθυντήριες γραμμές σχετικά με τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης. Επιπλέον, το ΕΣΠΔ συγκρότησε ειδική ομάδα για τις καταγγελίες που υποβάλλονται σύμφωνα με την απόφαση Schrems II του ΔΕΕ και ειδική ομάδα για τα συμπληρωματικά μέτρα που ενδέχεται να πρέπει να λάβουν οι εξαγωγείς και οι εισαγωγείς κατά τη διαβίβαση δεδομένων με βάση την απόφαση Schrems ΙΙ του ΔΕΕ.

Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ. Από την έναρξη ισχύος του ΓΚΠΔ, έχουν τεθεί ερωτήματα σχετικά με τον βαθμό στον οποίο ο ΓΚΠΔ επέφερε αλλαγές στις εν λόγω έννοιες, ιδίως στην έννοια της από κοινού ευθύνης επεξεργασίας (όπως ορίζεται στο άρθρο 26 του ΓΚΠΔ και σε διάφορες αποφάσεις του ΔΕΕ), καθώς και στις υποχρεώσεις των εκτελούντων την επεξεργασία (που ορίζονται συγκεκριμένα στο άρθρο 28 του ΓΚΠΔ) σύμφωνα με τις διατάξεις του κεφαλαίου IV του ΓΚΠΔ.

Τον Μάρτιο του 2019, το ΕΣΠΔ, σε συνεργασία με τη γραμματεία του, διοργάνωσε εκδήλωση για τα ενδιαφερόμενα μέρη, στην οποία κατέστη σαφές ότι πρέπει να παρασχεθούν πιο πρακτικές οδηγίες και δόθηκε η δυνατότητα στο ΕΣΠΔ να κατανοήσει καλύτερα τις ανάγκες και τους προβληματισμούς στον συγκεκριμένο τομέα. Οι νέες κατευθυντήριες γραμμές αποτελούνται από δύο κύρια μέρη: στο πρώτο μέρος επεξηγούνται οι διάφορες έννοιες και στο δεύτερο μέρος παρέχεται αναλυτική καθοδήγηση σχετικά με τις κύριες συνέπειες αυτών των εννοιών για τους υπευθύνους επεξεργασίας, τους εκτελούντες την επεξεργασία και τους από κοινού υπεύθυνους επεξεργασίας. Οι κατευθυντήριες γραμμές περιλαμβάνουν διάγραμμα ροής των εργασιών για την παροχή περαιτέρω πρακτικών οδηγιών. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση.

Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης. Οι κατευθυντήριες γραμμές αποσκοπούν στην παροχή πρακτικών οδηγιών στα ενδιαφερόμενα μέρη και περιλαμβάνουν πολλά παραδείγματα για διάφορες περιπτώσεις, ώστε τα ενδιαφερόμενα μέρη να μπορούν να εντοπίζουν γρήγορα το «σενάριο» που αντιστοιχεί καλύτερα στην πρακτική στόχευσης που προτίθενται να εφαρμόσουν. Κύριος στόχος των κατευθυντήριων γραμμών είναι να διευκρινιστούν οι ρόλοι και οι αρμοδιότητες του παρόχου μέσων κοινωνικής δικτύωσης και του στοχευόμενου προσώπου. Για τον σκοπό αυτό, οι κατευθυντήριες γραμμές προσδιορίζουν, μεταξύ άλλων, τους δυνητικούς κινδύνους για τις ελευθερίες του ατόμου, τους κύριους φορείς και τον ρόλο τους, καθώς και την εφαρμογή των βασικών απαιτήσεων για την προστασία δεδομένων, όπως η νομιμότητα, η διαφάνεια και η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων. Καθορίζονται τα βασικά στοιχεία των συμφωνιών μεταξύ των παρόχων μέσων κοινωνικής δικτύωσης και των στοχευόμενων προσώπων. Οι κατευθυντήριες γραμμές εστιάζουν επίσης στους διάφορους μηχανισμούς στόχευσης, στην επεξεργασία ειδικών κατηγοριών δεδομένων και στην υποχρέωση των από κοινού υπευθύνων επεξεργασίας να συνάπτουν κατάλληλη συμφωνία σύμφωνα με το άρθρο 26 του ΓΚΠΔ. Η ολομέλεια θα υποβάλει τις κατευθυντήριες γραμμές σε δημόσια διαβούλευση.

Το ΕΣΠΔ συγκρότησε μια ειδική ομάδα για την εξέταση των καταγγελιών που υποβάλλονται μετά την έκδοση της απόφασης Schrems II του ΔΕΕ. Συνολικά, έχουν υποβληθεί 101 ταυτόσημες καταγγελίες στις αρχές προστασίας δεδομένων του ΕΟΧ κατά διαφόρων υπευθύνων επεξεργασίας στα κράτη μέλη του ΕΟΧ σχετικά με τη χρήση υπηρεσιών Google/Facebook οι οποίες περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, οι καταγγέλλοντες, εκπροσωπούμενοι από τη ΜΚΟ NOYB, ισχυρίζονται ότι η Google/Facebook διαβιβάζει δεδομένα προσωπικού χαρακτήρα στις ΗΠΑ βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ ή των τυποποιημένων συμβατικών ρητρών και ότι, σύμφωνα με την πρόσφατη απόφαση του ΔΕΕ στην υπόθεση C-311/18, ο υπεύθυνος επεξεργασίας δεν είναι σε θέση να διασφαλίσει επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα των καταγγελλόντων. Η ειδική ομάδα θα αναλύσει το ζήτημα και θα διασφαλίσει τη στενή συνεργασία μεταξύ των μελών του ΕΣΠΔ.

Κατόπιν της απόφασης Schrems II του ΔΕΕ, εκτός από το έγγραφο συχνών ερωτήσεων το οποίο εγκρίθηκε στις 23 Ιουλίου, το ΕΣΠΔ συγκρότησε επίσης ειδική ομάδα, η οποία θα εκπονήσει συστάσεις για να συνδράμει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία στο καθήκον τους να θεσπίζουν και να εφαρμόζουν κατάλληλα συμπληρωματικά μέτρα για τη διασφάλιση επαρκούς προστασίας κατά τη διαβίβαση δεδομένων σε τρίτες χώρες.

Η κ. Andrea Jelinek, πρόεδρος του ΕΣΠΔ, δήλωσε: «Το ΕΣΠΔ έχει πλήρη επίγνωση του γεγονότος ότι η απόφαση Schrems II αναθέτει στους υπευθύνους επεξεργασίας σημαντική ευθύνη. Εκτός από τη γνωμοδότηση και το έγγραφο συχνών ερωτήσεων που δημοσιεύσαμε σύντομα μετά την απόφαση, θα εκπονήσουμε επίσης συστάσεις για την υποστήριξη των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία στο καθήκον τους να θεσπίζουν και να εφαρμόζουν κατάλληλα συμπληρωματικά μέτρα νομικού, τεχνικού και οργανωτικού χαρακτήρα που να εγγυώνται επίπεδο προστασίας που συνάδει με το πρότυπο «ουσιαστικής ισοδυναμίας» κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες. Ωστόσο, οι συνέπειες της απόφασης είναι ευρείες και τα πλαίσια διαβίβασης δεδομένων σε τρίτες χώρες παρουσιάζουν μεγάλες διαφορές. Ως εκ τούτου, δεν μπορεί να βρεθεί μια άμεση λύση για όλες τις περιπτώσεις. Κάθε οργανισμός θα πρέπει να αξιολογεί τις δικές του πράξεις επεξεργασίας δεδομένων και διαβιβάσεις δεδομένων και να λαμβάνει τα κατάλληλα μέτρα.»

Σημείωση προς τους συντάκτες:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_14

24 July 2020

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσιεύει έγγραφο με συχνές ερωτήσεις σχετικά με την απόφαση του ΔΕΕ στην υπόθεση C-311/18 («Schrems II»)

Μετά την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-311/18 — Data Protection Commissioner κατά Facebook Ireland Ltd και Maximillian Schrems, το ΕΣΠΔ δημοσίευσε έγγραφο με «συχνές ερωτήσεις», με σκοπό να παρέχει αρχικές διευκρινίσεις και προκαταρκτικές οδηγίες στα ενδιαφερόμενα μέρη σχετικά με την εφαρμογή των νομικών εργαλείων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, συμπεριλαμβανομένων των ΗΠΑ. Το εν λόγω έγγραφο θα αναπτυχθεί και θα συμπληρωθεί με περαιτέρω καθοδήγηση, καθώς το ΕΣΠΔ εξακολουθεί να εξετάζει και να αξιολογεί την απόφαση του Δικαστηρίου. 

Το έγγραφο με συχνές ερωτήσεις σχετικά με την απόφαση του ΔΕΕ στην υπόθεση C-311/18 διατίθεται εδώ.

ΕΣΠΔ_Δελτίο Τύπου_δήλωση_2020_06

23 July 2020

Βρυξέλλες, 23 Ιουλίου — Εν όψει της επικείμενης λήξης της μεταβατικής περιόδου για το Brexit, το ΕΣΠΔ εξέδωσε ενημερωτικό σημείωμα στο οποίο περιγράφονται οι δράσεις που πρέπει να αναλάβουν οι εποπτικές αρχές (ΕΑ), οι κάτοχοι εγκεκριμένων δεσμευτικών εταιρικών κανόνων (BCR) και οι οργανισμοί που έχουν BCR σε εκκρεμότητα με την ΕΑ του Ηνωμένου Βασιλείου, προκειμένου να διασφαλιστεί ότι οι εν λόγω BCR μπορούν να συνεχίσουν να χρησιμοποιούνται ως έγκυρο εργαλείο διαβίβασης μετά τη λήξη της μεταβατικής περιόδου. Δεδομένου ότι η ΕΑ του Ηνωμένου Βασιλείου δεν θα θεωρείται πλέον αρμόδια ΕΑ στο πλαίσιο του ΓΚΠΔ κατά τη λήξη της μεταβατικής περιόδου, οι αποφάσεις έγκρισης της ΕΑ του Ηνωμένου Βασιλείου που θα λαμβάνονται στο πλαίσιο του ΓΚΠΔ δεν θα παράγουν πλέον έννομα αποτελέσματα στον ΕΟΧ. Επιπλέον, το περιεχόμενο των εν λόγω BCR μπορεί να χρειαστεί να τροποποιηθεί πριν από τη λήξη της μεταβατικής περιόδου, καθώς οι εν λόγω BCR περιλαμβάνουν γενικά αναφορές στην έννομη τάξη του Ηνωμένου Βασιλείου. Αυτό ισχύει επίσης για τους BCR που έχουν ήδη εγκριθεί βάσει της οδηγίας 95/46/ΕΚ.

Οι κάτοχοι BCR, οι οποίοι έχουν ως επικεφαλής ΕΑ για τους BCR την ΕΑ του Ηνωμένου Βασιλείου, πρέπει να θέσουν σε εφαρμογή όλες τις οργανωτικές ρυθμίσεις που απαιτούνται για τον προσδιορισμό νέας επικεφαλής ΕΑ για τους BCR στον ΕΟΧ. Η αλλαγή της επικεφαλής ΕΑ για τους BCR θα πρέπει να πραγματοποιηθεί πριν από τη λήξη της μεταβατικής περιόδου για το Brexit.

Οι σημερινοί αιτούντες BCR οφείλουν να θέσουν σε εφαρμογή όλες τις οργανωτικές ρυθμίσεις για τον προσδιορισμό νέας επικεφαλής ΕΑ για τους BCR στον ΕΟΧ πολύ πριν από τη λήξη της μεταβατικής περιόδου για το Brexit, καθώς και να επικοινωνήσουν με την εν λόγω ΕΑ για την παροχή όλων των απαραίτητων πληροφοριών σχετικά με τους λόγους για τους οποίους η εν λόγω ΕΑ θεωρείται η νέα επικεφαλής ΕΑ για τους BCR. Στη συνέχεια, η νέα αρμόδια επικεφαλής ΕΑ θα επιληφθεί της αίτησης και θα δρομολογήσει επισήμως τη διαδικασία έγκρισης κατόπιν σχετικής γνώμης του ΕΣΠΔ. Για όλους τους BCR που έχουν εγκριθεί από την ΕΑ του Ηνωμένου Βασιλείου στο πλαίσιο του ΓΚΠΔ θα απαιτείται η έκδοση νέας απόφασης έγκρισης από τη νέα επικεφαλής ΕΑ για τους BCR στον ΕΟΧ, πριν από τη λήξη της μεταβατικής περιόδου, κατόπιν σχετικής γνώμης του ΕΣΠΔ. Το ΕΣΠΔ εξέδωσε επίσης παράρτημα με κατάλογο ελέγχου των στοιχείων που πρέπει να τροποποιηθούν στα έγγραφα BCR στο πλαίσιο του Brexit.

Το παρόν ενημερωτικό σημείωμα καταρτίστηκε με την επιφύλαξη της ανάλυσης την οποία διενεργεί το ΕΣΠΔ επί του παρόντος σχετικά με τις επιπτώσεις που έχει η απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) στην υπόθεση DPC κατά Facebook Ireland και Schrems για τους BCR ως εργαλεία διαβίβασης.

ΕΣΠΔ_Δελτίο Τύπου_2020_13

20 July 2020

Βρυξέλλες, 20 Ιουλίου — Το ΕΣΠΔ, στην 34η σύνοδο ολομέλειάς του, εξέδωσε δήλωση σχετικά με την απόφαση του ΔΕΕ στην υπόθεση Facebook Ireland κατά Schrems, ενέκρινε κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ της δεύτερης οδηγίας για τις υπηρεσίες πληρωμών (PSD2) και του ΓΚΠΔ και απέστειλε απαντητική επιστολή στην βουλευτή του Ευρωπαϊκού Κοινοβουλίου Ďuriš Nicholsonová σχετικά με την ιχνηλάτηση επαφών, τη διαλειτουργικότητα των εφαρμογών και τις εκτιμήσεις αντικτύπου για την προστασία δεδομένων (DPIA).

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-311/18 — Data Protection Commissioner κατά Facebook Ireland και Maximillian Schrems, η οποία ακυρώνει την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ ενώ θεωρεί έγκυρη την απόφαση 2010/87 της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες (SCC) για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες την επεξεργασία εγκατεστημένους σε τρίτες χώρες.

Όσον αφορά την ασπίδα προστασίας της ιδιωτικής ζωής, το ΕΣΠΔ επισημαίνει ότι η ΕΕ και οι ΗΠΑ θα πρέπει να καθορίσουν ένα πλήρες και αποτελεσματικό πλαίσιο, σύμφωνα με την απόφαση, το οποίο να εξασφαλίζει ότι το επίπεδο προστασίας που ισχύει για τα δεδομένα προσωπικού χαρακτήρα στις ΗΠΑ είναι ουσιαστικά ισοδύναμο με το επίπεδο που διασφαλίζεται εντός της ΕΕ. Το ΕΣΠΔ προτίθεται να συνεχίσει να διαδραματίζει εποικοδομητικό ρόλο διασφαλίζοντας τη διατλαντική διαβίβαση δεδομένων προσωπικού χαρακτήρα προς όφελος των πολιτών και των οργανισμών του ΕΟΧ, και είναι έτοιμο να παρέχει συνδρομή και καθοδήγηση στην Ευρωπαϊκή Επιτροπή ώστε να τη βοηθήσει να θεσπίσει, σε συνεργασία με τις ΗΠΑ, ένα νέο πλαίσιο το οποίο συμμορφώνεται πλήρως με τη νομοθεσία της ΕΕ περί προστασίας δεδομένων.

Όσον αφορά τις τυποποιημένες συμβατικές ρήτρες, το ΕΣΠΔ λαμβάνει υπόψη την πρωταρχική ευθύνη του εξαγωγέα και του εισαγωγέα, όταν εξετάζουν το ενδεχόμενο να συνάψουν τυποποιημένες συμβατικές ρήτρες, να διασφαλίζουν ένα επίπεδο προστασίας που είναι κατ' ουσίαν ισοδύναμο με το επίπεδο που εγγυάται ο ΓΚΠΔ, σύμφωνα με τον Χάρτη της ΕΕ. Κατά τη διενέργεια της εν λόγω προηγούμενης αξιολόγησης, ο εξαγωγέας (εφόσον κρίνεται αναγκαίο, με τη συνδρομή του εισαγωγέα) λαμβάνει υπόψη το περιεχόμενο των τυποποιημένων συμβατικών ρητρών, τις ειδικές περιστάσεις της διαβίβασης, καθώς και το εφαρμοστέο νομικό καθεστώς στη χώρα του εισαγωγέα. Το Δικαστήριο υπογραμμίζει ότι ο εξαγωγέας ίσως χρειαστεί να εξετάσει το ενδεχόμενο να εφαρμόσει επιπρόσθετα μέτρα πέραν εκείνων που συμπεριλαμβάνονται στις τυποποιημένες συμβατικές ρήτρες. Το ΕΣΠΔ θα διερευνήσει περαιτέρω ποια θα μπορούσαν να είναι τα εν λόγω επιπρόσθετα μέτρα.

Το ΕΣΠΔ λαμβάνει επίσης υπόψη τα καθήκοντα των αρμόδιων εποπτικών αρχών να αναστέλλουν ή να απαγορεύουν τη διαβίβαση δεδομένων σε τρίτη χώρα σύμφωνα με τις τυποποιημένες συμβατικές ρήτρες αν, κατά την άποψη της αρμόδιας εποπτικής αρχής και υπό το πρίσμα όλων των περιστάσεων της εκάστοτε διαβίβασης, οι ρήτρες αυτές δεν τηρούνται ή δεν είναι δυνατόν να τηρηθούν στην εν λόγω τρίτη χώρα, και η προστασία των διαβιβαζόμενων δεδομένων δεν μπορεί να εξασφαλιστεί με άλλο τρόπο, ιδίως όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει ήδη αναστείλει ή τερματίσει τη διαβίβαση.

Το ΕΣΠΔ υπενθυμίζει ότι έχει εκδώσει κατευθυντήριες γραμμές σχετικά με το άρθρο 49 του ΓΚΠΔ και επισημαίνει ότι οι εν λόγω παρεκκλίσεις πρέπει να εφαρμόζονται κατά περίπτωση.

Το ΕΣΠΔ θα εξετάσει διεξοδικότερα την απόφαση και θα παράσχει περαιτέρω διευκρινίσεις για τους ενδιαφερομένους και κατευθυντήριες γραμμές σχετικά με τη χρήση των μέσων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με την απόφαση. Το ΕΣΠΔ και οι ευρωπαϊκές εποπτικές αρχές προτίθενται, όπως ορίζει το ΔΕΕ, να διασφαλίσουν τη συνεκτικότητα σε ολόκληρο τον ΕΟΧ.

Η πλήρης δήλωση είναι διαθέσιμη εδώ: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές για τη δεύτερη οδηγία για τις υπηρεσίες πληρωμών (PSD2). Η PSD2 εκσυγχρονίζει το νομικό πλαίσιο για την αγορά των υπηρεσιών πληρωμών. Σημαντικό είναι ότι η PSD2 εισάγει ένα νομικό πλαίσιο για τις νέες υπηρεσίες εκκίνησης πληρωμής (PISP) και τις υπηρεσίες πληροφοριών λογαριασμού (AISP). Οι χρήστες μπορούν να παρέχουν στους νέους αυτούς παρόχους υπηρεσιών πληρωμών πρόσβαση στους λογαριασμούς πληρωμών τους. Μετά το εργαστήριο για τα ενδιαφερόμενα μέρη που πραγματοποιήθηκε τον Φεβρουάριο του 2019, το ΕΣΠΔ εκπόνησε κατευθυντήριες γραμμές σχετικά με την εφαρμογή των διατάξεων του ΓΚΠΔ σε αυτές τις νέες υπηρεσίες πληρωμών.

Στις κατευθυντήριες γραμμές επισημαίνεται ότι στο συγκεκριμένο πλαίσιο η επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα εν γένει απαγορεύεται (σύμφωνα με το άρθρο 9 παράγραφος 1 του ΓΚΠΔ), εκτός εάν το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση (άρθρο 9 παράγραφος 2 στοιχείο α) του ΓΚΠΔ) ή η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος (άρθρο 9 παράγραφος 2 στοιχείο ζ) του ΓΚΠΔ).

Στις κατευθυντήριες γραμμές εξετάζονται επίσης οι όροι υπό τους οποίους οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού (ASPSP) παρέχουν στους PISP και AISP πρόσβαση σε πληροφορίες λογαριασμών πληρωμών, ιδίως μερική πρόσβαση σε λογαριασμούς πληρωμών.

Διευκρινίζεται στις εν λόγω κατευθυντήριες γραμμές ότι ούτε το άρθρο 66 παράγραφος 3 στοιχείο ζ) ούτε το άρθρο 67 παράγραφος 2 στοιχείο στ) της οδηγίας PSD2 προβλέπουν τη δυνατότητα περαιτέρω επεξεργασίας, εκτός εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ ή εάν η επεξεργασία προβλέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση.

Τέλος, το ΕΣΠΔ απάντησε στις ερωτήσεις της κας Ďuriš Nicholsonová, μέλους του Ευρωπαϊκού Κοινοβουλίου, σχετικά με την προστασία των δεδομένων στο πλαίσιο της καταπολέμησης της COVID-19. Η επιστολή απαντά σε ερωτήσεις σχετικά με την εναρμόνιση και τη διαλειτουργικότητα των εφαρμογών ιχνηλάτησης επαφών, την απαίτηση διενέργειας DPIA για την εν λόγω επεξεργασία και το χρονικό διάστημα επεξεργασίας που μπορεί να καθοριστεί.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

During its 32nd plenary session, the EDPB adopted a statement on the interoperability of contact tracing apps, as well as a statement on the opening of borders and data protection rights. The Board also adopted two letters to MEP Körner - on encryption and on Article 25 GDPR - and a letter to CEAOB on PCAOB arrangements.

The EDPB adopted a statement on the interoperability of contact tracing applications, building on the EDPB Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The statement offers a more in-depth analysis of key aspects, including transparency, legal basis, controllership, data subject rights, data retention and minimisation, information security and data accuracy in the context of creating an interoperable network of applications, that need to be considered on top of those highlighted in the EDPB Guidelines 04/2020.

The EDPB emphasises that the sharing of data about individuals that have been diagnosed or tested positively with such interoperable applications should only be triggered by a voluntary action of the user. Giving data subjects information and control will increase their trust in the solutions and their potential uptake. The goal of interoperability should not be used as an argument to extend the collection of personal data beyond what is necessary.

Moreover, contact tracing apps need to be part of a comprehensive public health strategy to fight the pandemic, such as testing and subsequent manual contact tracing for the purpose of improving effectiveness of the performed measures.

Ensuring interoperability is not only technically challenging and sometimes impossible without disproportionate trade-offs, but also leads to a potential increased data protection risk. Therefore, controllers need to ensure measures are effective and proportionate and must assess whether a less intrusive alternative can achieve the same purpose.

The EDPB adopted a statement on the processing of personal data in the context of reopening the Schengen borders following the COVID-19 outbreak. The measures allowing a safe reopening of the borders currently envisaged or implemented by Member States include testing for COVID-19, requiring certificates issued by health professionals and the use of a voluntary contact tracing app. Most measures involve processing of personal data.

The EDPB recalls that data protection legislation remains applicable and allows for an efficient response to the pandemic, while at the same time protecting fundamental rights and freedoms. The EDPB stresses that the processing of personal data must be necessary and proportionate, and the level of protection should be consistent throughout the EEA. In the statement, the EDPB urges the Member States to take a common European approach when deciding which processing of personal data is necessary in this context.

The statement also addresses the GDPR principles that Member States need to pay special attention to when processing personal data in the context of reopening the border. These include lawfulness, fairness and transparency, purpose limitation, data minimisation, storage limitation, security of data and data protection by design and by default. Moreover, the decision to allow the entrance into a country should not only be based on the automated individual decision making technologies. In any case, such decisions should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Automated individual decision measures should not apply to children.

Finally, the EDPB highlights the importance of a prior consultation with competent national supervisory authorities when Member States intend to process personal data in this context.

The EDPB adopted a response to a letter from MEP Moritz Körner on the relevance of encryption bans in third countries for assessing the level of data protection when personal data are transferred to countries where these bans exist. According to the EDPB, any ban on encryption or provisions weakening encryption would seriously undermine compliance with GDPR security obligations applicable to controllers and processors, be that in a third country or in the EEA. Security measures are one of the elements the European Commission must take into account when assessing the adequacy of the level of protection in a third country.

A second letter to MEP Körner addresses the topic of laptop camera covers. MEP Körner highlighted that this technology could help comply with the GDPR and suggested new laptops should be equipped with it. In its reply, the Board clarifies that while laptop manufacturers should be encouraged to take into account the right to data protection when developing and designing such products, they are not responsible for the processing carried out with those products and the GDPR does not establish legal obligations for manufacturers, unless they also act as controllers or processors. Controllers must evaluate the risks of each processing and choose the appropriate safeguards to comply with GDPR, including the privacy by design and by default enshrined in Article 25 GDPR.

Finally, the EDPB adopted a letter to the Committee of European Auditor Oversight Bodies (CEAOB). The EDPB received a proposal from the CEAOB, which gathers the national auditor oversight bodies at EU level, to cooperate and receive feedback on negotiations of draft administrative arrangements for the transfer of data to the US Public Company Accounting Oversight Board (PCAOB). The EDPB welcomes this proposal and indicates that it is available to hold an exchange with the CEAOB to clarify any potential questions on data protection requirements related to such arrangements in light of the EDPB Guidelines 2/2020 on Art. 46 (2) (a) and 46 (3) (b) GDPR for transfers of personal data between EEA and non-EEA public authorities. The exchange could also involve the PCAOB if the CEAOB and its members deem it beneficial for their work on these arrangements.

The agenda of the 32nd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_11

10 June 2020

Βρυξέλλες, 10 Ιουνίου  — Κατά την 31η σύνοδο ολομέλειας, το ΕΣΠΔ αποφάσισε να συγκροτήσει ειδική ομάδα για τον συντονισμό των πιθανών δράσεων που θα απαιτηθούν και για την απόκτηση μιας πιο ολοκληρωμένης εικόνας των διεργασιών και των πρακτικών του TikTok σε ολόκληρη την ΕΕ, και ενέκρινε επιστολή σχετικά με τη χρήση των υπηρεσιών της Clearview AI από τις αρχές επιβολής του νόμου. Επιπλέον, το ΕΣΠΔ ενέκρινε απάντηση προς τη συμβουλευτική ομάδα του ENISA και μια επιστολή απάντησης στην ανοιχτή επιστολή του NOYB.

Το ΕΣΠΔ ανακοίνωσε την απόφασή του να συγκροτήσει ειδική ομάδα για τον συντονισμό των πιθανών δράσεων που θα απαιτηθούν και για την απόκτηση μιας πιο ολοκληρωμένης εικόνας των διεργασιών και των πρακτικών του TikTok σε ολόκληρη την ΕΕ.

Απαντώντας στο αίτημα του ευρωβουλευτή κ. Körner σχετικά με το TikTok, το ΕΣΠΔ επισημαίνει ότι έχει ήδη εκδώσει κατευθυντήριες γραμμές και συστάσεις που θα πρέπει να λαμβάνονται υπόψη από όλους τους υπευθύνους επεξεργασίας δεδομένων των οποίων η επεξεργασία υπόκειται στον ΓΚΠΔ, ιδίως όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, τις ουσιαστικές και διαδικαστικές προϋποθέσεις για την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα ή την εφαρμογή του εδαφικού πεδίου εφαρμογής του ΓΚΠΔ, ιδίως όσον αφορά την επεξεργασία των δεδομένων ανηλίκων. Το ΕΣΠΔ υπενθυμίζει ότι ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας, ακόμη και αν δεν είναι εγκατεστημένος στην Ένωση, όταν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων στην Ένωση.

Στην απάντησή του στους βουλευτές σε σχέση με την Clearview AI, το ΕΣΠΔ εξέφρασε τις ανησυχίες του όσον αφορά ορισμένες εξελίξεις στις τεχνολογίες αναγνώρισης προσώπου. Το ΕΣΠΔ υπενθυμίζει ότι βάσει της οδηγίας για την επιβολή του Νόμου (ΕΕ) 2016/680, οι αρχές επιβολής του νόμου δύνανται να προβαίνουν στην επεξεργασία βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου μόνο σε συμμόρφωση με τους αυστηρούς όρους των άρθρων 8 και 10 της οδηγίας.

Το ΕΣΠΔ έχει αμφιβολίες ως προς το κατά πόσον η νομοθεσία της Ένωσης ή των κρατών μελών παρέχει τη νομική βάση για τη χρήση μιας υπηρεσίας όπως αυτή που προσφέρεται από την Clearview AI. Ως εκ τούτου, ως έχει σήμερα η παρούσα κατάσταση και με την επιφύλαξη κάθε μελλοντικής ή εκκρεμούσης έρευνας, η νομιμότητα της χρήσης τέτοιων υπηρεσιών από τις αρχές επιβολής του νόμου της ΕΕ δεν μπορεί να εξακριβωθεί.

Με την επιφύλαξη περαιτέρω αναλύσεων βάσει στοιχείων που θα προστεθούν, το ΕΣΠΔ διατυπώνει, ως εκ τούτου, την γνώμη ότι η χρήση μιας υπηρεσίας όπως αυτής της Clearview AI από τις αρχές επιβολής του νόμου στην Ευρωπαϊκή Ένωση, ενδέχεται να μη συνάδει, με βάση την παρούσα κατάσταση, με το καθεστώς προστασίας δεδομένων που ισχύει στην ΕΕ.

Τέλος, το ΕΣΠΔ, αναφερόμενο στις κατευθυντήριες γραμμές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω συσκευών βίντεο, ανακοινώνει τις επερχόμενες εργασίες του σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου από τις αρχές επιβολής του νόμου.

Σε απάντηση της επιστολής που έλαβε από τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) στην οποία ζητείται από το ΕΣΠΔ να ορίσει εκπρόσωπο στη συμβουλευτική ομάδα του ENISA, το Συμβούλιο διορίζει τον κ. Gwendal Le Grand, αναπληρωτή Γενικό Γραμματέα της CNIL, ως εκπρόσωπο. Η συμβουλευτική ομάδα υποστηρίζει τον εκτελεστικό διευθυντή του ENISA στην κατάρτιση του ετήσιου προγράμματος εργασίας και στην εξασφάλιση της επικοινωνίας με τους σχετικούς ενδιαφερόμενους.

Το ΕΣΠΔ ενέκρινε την απάντηση στην ανοιχτή επιστολή του NOYB σχετικά με τη συνεργασία μεταξύ των εποπτικών αρχών και με τις διαδικασίες συνοχής. Στην επιστολή του, το Συμβούλιο επισημαίνει ότι έχει εργαστεί με συνέπεια για την ενίσχυση της συνεργασίας μεταξύ των εποπτικών αρχών και τη βελτίωση των διαδικασιών συνοχής. Το Συμβούλιο έχει επίγνωση των ζητημάτων που χρήζουν βελτίωσης, όπως οι διαφορές στις εθνικές νομοθεσίες και πρακτικές των διοικητικών διαδικασιών, καθώς και στον χρόνο και τους πόρους που απαιτούνται για την επίλυση των διασυνοριακών υποθέσεων. Το Συμβούλιο επαναλαμβάνει ότι δεσμεύεται για την εξεύρεση λύσεων οι οποίες εμπίπτουν στο πεδίο αρμοδιοτήτων του.

Σημείωση προς τους συντάκτες:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον διαδικτυακό τόπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_10

03 June 2020

Βρυξέλλες, 3 Ιουνίου - Κατά τη διάρκεια της 30ής συνόδου της ολομέλειας, το ΕΣΠΔ εξέδωσε δήλωση σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων στο πλαίσιο της κατάστασης έκτακτης ανάγκης στα κράτη μέλη. Το Συμβούλιο εξέδωσε επίσης απαντητική επιστολή προς την Civil Liberties Union for Europe (Ένωση για τις Αστικές Ελευθερίες για την Ευρώπη), την Access Now (Πρόσβαση Τώρα) και την Hungarian Civil Liberties Union (Ουγγρική Ένωση για τις Αστικές Ελευθερίες, HCLU) σχετικά με το διάταγμα 179/2020 της 4ης Μαΐου της Ουγγρικής Κυβέρνησης.

Το ΕΣΠΔ υπενθυμίζει ότι, ακόμη και σε εξαιρετικές περιστάσεις, η προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να διασφαλίζεται κατά την εφαρμογή όλων των μέτρων έκτακτης ανάγκης, συμβάλλοντας στον σεβασμό των υπέρτερων αξιών της δημοκρατίας, του κράτους δικαίου και των θεμελιωδών δικαιωμάτων επί των οποίων βασίζεται η Ένωση.

Τόσο στη δήλωση, όσο και στην επιστολή, το ΕΣΠΔ επαναλαμβάνει ότι ο ΓΚΠΔ εξακολουθεί να εφαρμόζεται και επιτρέπει μια αποτελεσματική απόκριση στην πανδημία, προστατεύοντας ταυτόχρονα τα θεμελιώδη δικαιώματα και τις ελευθερίες. Το δίκαιο προστασίας των δεδομένων ήδη επιτρέπει τη διενέργεια πράξεων επεξεργασίας δεδομένων που κρίνονται αναγκαίες στο πλαίσιο της αντιμετώπισης της πανδημίας COVID-19.

Η δήλωση υπενθυμίζει τις βασικές αρχές που άπτονται των περιορισμών των δικαιωμάτων του υποκειμένου των δεδομένων στο πλαίσιο της κατάστασης έκτακτης ανάγκης στα κράτη μέλη:

  • Περιορισμοί γενικής φύσεως, εκτεταμένοι ή παρεμβατικοί στον βαθμό που να καταργούν το βασικό περιεχόμενο κάποιου θεμελιώδους δικαιώματος είναι αδικαιολόγητοι.
  • Υπό συγκεκριμένους όρους, το άρθρο 23 του ΓΚΠΔ επιτρέπει στους εθνικούς νομοθέτες να περιορίζουν με νομοθετικά μέτρα το πεδίο εφαρμογής των υποχρεώσεων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, καθώς και των δικαιωμάτων των υποκειμένων των δεδομένων, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση σημαντικών σκοπών στο πλαίσιο του γενικού δημοσίου συμφέροντος της Ένωσης ή του κράτους μέλους, όπως είναι ιδίως η δημόσια υγεία.
  • Τα δικαιώματα του υποκειμένου των δεδομένων αποτελούν τον πυρήνα του θεμελιώδους δικαιώματος της προστασίας των δεδομένων, το δε άρθρο 23 του ΓΚΠΔ πρέπει να ερμηνεύεται με γνώμονα την αρχή ότι η άσκηση των εν λόγω δικαιωμάτων πρέπει να αποτελεί τον γενικό κανόνα. Καθώς οι περιορισμοί αποτελούν εξαιρέσεις στον γενικό κανόνα, η εφαρμογή τους πρέπει να επιτρέπεται μόνο σε συγκεκριμένες περιπτώσεις.
  • Οι περιορισμοί πρέπει να προβλέπονται «δια νόμου», ο δε νόμος που θεσπίζει περιορισμούς πρέπει να είναι αρκούντως σαφής ώστε να επιτρέπει στους πολίτες να κατανοούν τους όρους υπό τους οποίους οι υπεύθυνοι επεξεργασίας δύνανται να τους εφαρμόζουν. Επιπλέον, οι περιορισμοί πρέπει να είναι αναμενόμενοι από τα πρόσωπα που υπόκεινται σε αυτούς. Δεν πληρούν το κριτήριο αυτό οι περιορισμοί που επιβάλλονται για αόριστο χρονικό διάστημα, τυγχάνουν αναδρομικής εφαρμογής ή εφαρμόζονται υπό ασαφείς όρους.
  • Η απλή ύπαρξη πανδημίας ή οποιασδήποτε άλλης κατάστασης έκτακτης ανάγκης δεν δικαιολογεί επαρκώς την εφαρμογή οποιουδήποτε περιοριστικού μέτρου σε βάρος των δικαιωμάτων των υποκειμένων των δεδομένων. Αντιθέτως, κάθε περιορισμός πρέπει να συμβάλλει σαφώς στη διασφάλιση σημαντικού σκοπού γενικού δημοσίου συμφέροντος της ΕΕ ή  κράτους μέλους.
  • Η κήρυξη κατάστασης έκτακτης ανάγκης στο πλαίσιο μιας πανδημίας αποτελεί νομικό όρο, ο οποίος μπορεί να νομιμοποιήσει περιορισμούς των δικαιωμάτων των υποκειμένων των δεδομένων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί εφαρμόζονται αποκλειστικά στο μέτρο που είναι απολύτως αναγκαίοι και αναλογικοί για τη διασφάλιση του σκοπού της δημόσιας υγείας. Ως εκ τούτου, οι περιορισμοί πρέπει να έχουν περιορισμένο πεδίο και χρονικό ορίζοντα εφαρμογής, καθώς τα δικαιώματα των υποκειμένων των δεδομένων μπορούν μεν να περιοριστούν, όχι όμως και να καταργηθούν. Επιπλέον, οι εγγυήσεις που προβλέπονται βάσει του άρθρου 23 παράγραφος 2 του ΓΚΠΔ πρέπει να εφαρμόζονται πλήρως.
  • Περιορισμοί που θεσπίζονται στο πλαίσιο μιας κατάστασης έκτακτης ανάγκης αναστέλλοντας ή αναβάλλοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και την τήρηση των σχετικών υποχρεώσεων των υπεύθυνων επεξεργασίας και των εκτελούντων την επεξεργασία χωρίς σαφές χρονικό όριο ισοδυναμούν με εν τοις πράγμασι γενική αναστολή των εν λόγω δικαιωμάτων και δεν είναι συμβατοί με την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών.

Περαιτέρω, το ΕΣΠΔ ανακοίνωσε ότι κατά τους προσεχείς μήνες θα εκδώσει κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 23 του ΓΚΠΔ.

Η ημερήσια διάταξη της 30ης συνόδου ολομέλειας είναι διαθέσιμη εδώ

Σημείωση προς τους συντάκτες:

Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον διαδικτυακό τόπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

20 May 2020

Βρυξέλλες, 20 Μαΐου - Κατά τη διάρκεια της 28ης συνόδου της ολομέλειάς του, το ΕΣΠΔ εξέδωσε την κατ’ άρθρο 64 του ΓΚΠΔ γνώμη του επί του σχεδίου τυποποιημένων συμβατικών ρητρών που υποβλήθηκε από την εποπτική αρχή της Σλοβενίας και αποφάσισε τη δημοσίευση ενός μητρώου που περιέχει τις αποφάσεις οι οποίες εκδίδονται στο πλαίσιο του «μηχανισμού μίας στάσης».

Το ΕΣΠΔ εξέδωσε τη γνώμη του επί του σχεδίου τυποποιημένων συμβατικών ρητρών για τις συμβάσεις μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, το οποίο υποβλήθηκε στο ΕΣΠΔ από την εποπτική αρχή της Σλοβενίας. Η γνώμη αποσκοπεί να διασφαλίσει τη συνεκτική εφαρμογή του άρθρου 28 του ΓΚΠΔ, το οποίο επιβάλλει υποχρέωση σύναψης σύμβασης ή άλλης νομικής πράξης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η οποία καθορίζει τις σχετικές υποχρεώσεις των συμβαλλομένων μερών. Σύμφωνα με το άρθρο 28 παράγραφος 6 του ΓΚΠΔ, η εν λόγω σύμβαση ή άλλη νομική πράξη μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που θεσπίζονται από εποπτική αρχή. Στη γνώμη του το Συμβούλιο διατυπώνει αρκετές συστάσεις που πρέπει να ληφθούν υπόψη προκειμένου το σχέδιο τυποποιημένων συμβατικών ρητρών να επικυρωθεί ως τυποποιημένες συμβατικές ρήτρες. Εφόσον το σύνολο των συστάσεων τύχει εφαρμογής, η εποπτική αρχή της Σλοβενίας θα δύναται να θεσπίσει το εν λόγω σχέδιο σύμβασης ως τυποποιημένες συμβατικές ρήτρες κατά την έννοια του άρθρου 28 παράγραφος 8 του ΓΚΠΔ.

Το ΕΣΠΔ θα δημοσιεύσει στον διαδικτυακό του τόπο μητρώο με τις αποφάσεις που έχουν εκδοθεί από τις εθνικές εποπτικές αρχές στο πλαίσιο της διαδικασίας συνεργασίας του «μηχανισμού μίας στάσης» (άρθρο 60 ΓΚΠΔ).

Δυνάμει του ΓΚΠΔ, οι εποπτικές αρχές υπέχουν υποχρέωση συνεργασίας σε υποθέσεις με διασυνοριακές πτυχές προκειμένου να διασφαλίσουν τη συνεκτική εφαρμογή του κανονισμού - πρόκειται για τον λεγόμενο «μηχανισμό μίας στάσης». Βάσει του μηχανισμού μίας στάσης, η επικεφαλής εποπτική αρχή ευθύνεται για την προετοιμασία των σχεδίων αποφάσεων και συνεργάζεται με τις ενδιαφερόμενες εποπτικές αρχές για την επίτευξη συναίνεσης. Έως τα τέλη Απριλίου 2020, οι επικεφαλής εποπτικές αρχές εξέδωσαν 103 τελικές αποφάσεις στο πλαίσιο του μηχανισμού μίας στάσης. Το ΕΣΠΔ προτίθεται να δημοσιεύσει περιλήψεις των εν λόγω αποφάσεων στην αγγλική γλώσσα, τις οποίες προετοίμασε η Γραμματεία του ΕΣΠΔ. Οι σχετικές πληροφορίες θα δημοσιοποιηθούν κατόπιν της επικύρωσής τους από την εκάστοτε επικεφαλής εποπτική αρχή και σύμφωνα με τους όρους που προβλέπονται στην εθνική της νομοθεσία.

Σημείωση προς τους συντάκτες: 

Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον διαδικτυακό τόπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

On February 18th and 19th, the EEA Supervisory Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighteenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB and the individual EEA Supervisory Authorities (SAs) contributed to the evaluation and review of the GDPR as required by Art. 97 GDPR. The EDPB is of the opinion that the application of the GDPR in the first 20 months has been successful. Although the need for sufficient resources for all SAs is still a concern and some challenges remain, resulting, for example, from the patchwork of national procedures, the Board is convinced that the cooperation between SAs will result in a common data protection culture and consistent practice. The EDPB is examining possible solutions to overcome these challenges and to improve existing cooperation procedures. It also calls upon the European Commission to check if national procedures impact the effectiveness of the cooperation procedures and considers that, eventually, legislators may also have a role to play in ensuring further harmonisation. In its assessment, the EDPB also addresses issues such as international transfer tools, impact on SMEs, SA resources and development of new technologies. The EDPB concludes that it is premature to revise the GDPR at this point in time.

The EDPB adopted draft guidelines to provide further clarification regarding the application of Articles 46.2 (a) and 46.3 (b) of the GDPR. These articles address transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, where these transfers are not covered by an adequacy decision. The guidelines recommend which safeguards to implement in legally binding instruments (art. 46.2 (a)) or in administrative arrangements (Art. 46.3 (b)) to ensure that the level of protection of natural persons under the GDPR is met and not undermined. The guidelines will be submitted for public consultation.

Statement on privacy implications of mergers
Following the announcement of Google LLC’s intention to acquire Fitbit, the EDPB adopted a statement highlighting that the possible further combination and accumulation of sensitive personal data regarding people in Europe by a major tech company could entail a high level of risk to privacy and data protection. The EDPB reminds the parties to the proposed merger of their obligations under the GDPR and to conduct a full assessment of the data protection requirements and privacy implications of the merger in a transparent way. The Board urges the parties to mitigate possible risks to the rights to privacy and data protection before notifying the merger to the European Commission. The EDPB will consider any implications for the protection of personal data in the EEA and stands ready to contribute its advice to the EC if so requested.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_02

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary