Euroopa Andmekaitsenõukogu

Euroopa Andmekaitsenõukogu uudised

20 November 2020

Brüssel, 20. november - 19. novembril kohtus Euroopa Andmekaitsenõukogu täiskogu 42. istungjärgul. Täiskogu istungil esitles Euroopa Komisjon uut lepingu tüüptingimuste ja standardsete andmekaitseklauslite projekti ning Euroopa Andmekaitsenõukogu võttis vastu avalduse tulevase e-privaatsuse määruse kohta.

Euroopa Komisjon esitas lepingu tüüptingimuste ja standardsete andmekaitseklauslite eelnõud: lepingu tüüptingimused on vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute jaoks ning standardsed andmekaitseklauslid on andmete edastamiseks väljapoole ELi. Vastutava töötleja ja volitatud töötleja lepingu tüüptingimuste kavandid on täiesti uued ning komisjon on need välja töötanud kooskõlas isikuandmete kaitse üldmääruse artikli 28 lõikega 7 ja määruse 2018/1725 artikli 29 lõikega 7. Kõnealustel tüüptingimustel on kogu ELi hõlmav mõju ning nende eesmärk on tagada täielik ühtlustamine ja õiguskindlus kogu ELis seoses vastutavate töötlejate ja nende volitatud töötlejate vaheliste lepingutega. Lisaks esitas komisjon isikuandmete kaitse üldmääruse artikli 46 lõike 2 punkti c kohaselt standardsete andmekaitseklauslite kogumi isikuandmete edastamiseks kolmandatele riikidele. Need standardsed andmekaitseklauslid asendavad olemasolevad rahvusvahelise andmeedastuse andmekaitseklausleid, mis võeti vastu direktiivi 95/46 alusel ja mida tuli ajakohastada, et viia need kooskõlla isikuandmete kaitse üldmääruse nõuetega ja Euroopa Liidu Kohtu otsusega „Schrems II“ ning paremini kajastada uute ja keerukamate andmetöötlustoimingute laialdast kasutamist, mis sageli hõlmavad mitmeid andmeimportijaid ja -eksportijaid. Komisjon on palunud Euroopa Andmekaitsenõukogult ja Euroopa Andmekaitseinspektorilt ühist arvamust lepingu tüüptingimuste ja standardsete andmekaitseklauslite kogumit käsitlevate rakendusaktide kohta.

Euroopa Andmekaitsenõukogu esimees Andrea Jelinek ütles: „Uued isikuandmete kolmandatele riikidele edastamise standardsed andmekaitseklauslid  on väga oodatud ning oluline on märkida, et need ei ole koondlahendus andmete edastamiseks pärast Schrems II konverentsi. Kuigi ajakohastatud andmekaitseklauslid on pusle oluline osa ja väga oluline areng, peaksid andmeeksportijad siiski muutma pusle täielikuks. Euroopa Andmekaitsenõukogu soovitustes täiendavate meetmete kohta esitatud sammsammuline lähenemisviis on vajalik, et viia edastatavate andmete kaitse tase vastavusse ELi olulise samaväärsuse standardiga. Nüüd koostab andmekaitsenõukogu koos Euroopa Andmekaitseinspektoriga põhjaliku ühisarvamuse lepingu tüüptingimuste ja standardsete andmekaitseklauslite eelnõude komplekti kohta vastavalt Euroopa Komisjoni üleskutsele.“

Soovitused 1/2020 täiendavate meetmete kohta: Täiskogu istungjärgul otsustasid andmekaitsenõukogu liikmed pikendada 30. novembrist 2020 kuni 21. detsembrini 2020 isikuandmete kaitse ELi tasemega kooskõla tagamise meetmeid käsitlevate soovituste avaliku arutelu tähtaega.

Euroopa Andmekaitsenõukogu võttis vastu avalduse tulevase e-privaatsuse määruse ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu tulevase rolli kohta selles kontekstis. Euroopa Andmekaitsenõukogu väljendas muret nõukogu arutelude mõne uue suuna pärast seoses tulevase e-privaatsuse määruse jõustamisega, mis võib kaasa tuua killustatud järelevalve, menetluste keerukuse ning järjepidevuse ja õiguskindluse puudumise üksikisikute ja äriühingute jaoks. Euroopa Andmekaitsenõukogu rõhutab, et paljud tulevase e-privaatsuse määruse sätted käsitlevad isikuandmete töötlemist ning paljud isikuandmete kaitse üldmääruse ja e-privaatsuse määruse sätted on omavahel tihedalt seotud. Isikuandmete kaitset hõlmavate eeskirjade ühetaoline tõlgendamine ja jõustamine oleks seega kõige tõhusam, kui e-privaatsuse määruse ja isikuandmete kaitse üldmääruse nende osade jõustamine usaldataks samale asutusele.

Euroopa Andmekaitsenõukogu eesistuja Andrea Jelinek lisas: „E-privaatsuse määruse kohaste isikuandmete töötlemise toimingute järelevalve tuleks teha ülesandeks samadele riiklikele asutustele, kes vastutavad isikuandmete kaitse üldmääruse jõustamise eest. Sellega tagatakse andmekaitse kõrge tase, võrdsed tingimused ning e-privaatsuse määruse isikuandmete töötlemise elementide ühetaoline tõlgendamine ja jõustamine kogu ELis.“

Euroopa Andmekaitsenõukogu rõhutas ka vajadust võtta uus määrus vastu võimalikult kiiresti.

Euroopa Andmekaitsenõukogu lisas, et see avaldus ei piira andmekaitsenõukogu varasemaid seisukohti, sealhulgas tema 2019. aasta märtsi ja 2018. aasta mai avaldust, ning kordas, et tulevane e-privaatsuse määrus ei tohiks mingil juhul alandada kehtiva e-privaatsuse direktiiviga pakutava kaitse taset ning peaks täiendama isikuandmete kaitse üldmäärust, pakkudes täiendavaid tugevaid tagatisi igat liiki elektroonilise side konfidentsiaalsuse ja kaitse tagamiseks.

Märkus toimetajatele:
Palun pange tähele, et kõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid peavad läbima vajalikud õiguslikud, keelelised ja vorminduslikud kontrollid ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Brüssel, 11. november – Euroopa Andmekaitsenõukogu võttis täiskogu 41. istungjärgul vastu soovitused meetmete kohta, mis täiendavad andmete edastamise vahendeid, et tagada vastavus ELi isikuandmete kaitse tasemele, ning soovitused Euroopa oluliste tagatiste järelevalvemeetmete  kohta.

Mõlemad dokumendid võeti vastu Euroopa Liidu Kohtu otsuse Schrems II järelmeetmena. Vastavalt 16. juulil tehtud otsusele peavad standardsetele andmekaitseklauslitele tuginevad vastutavad töötlejad igal üksikjuhul eraldi ja vajaduse korral koostöös kolmanda riigi andmete vastuvõtjaga kontrollima, kas kolmanda riigi õigus tagab edastatavate isikuandmete kaitse taseme, mis on sisuliselt samaväärne Euroopa Majanduspiirkonnas (EMP) tagatud tasemega. Euroopa Liidu Kohus lubas andmeeksportijatel lisada standardsetesse andmekaitseklauslitesse täiendavaid meetmeid, et tagada kaitsetaseme tõhus järgimine, kui standardsetes andmekaitseklauslites sisalduvad kaitsemeetmed ei ole piisavad.

Soovituste eesmärk on aidata andmete eksportijatena tegutsevatel vastutavatel töötlejatel ja volitatud töötlejatel kindlaks teha ja rakendada asjakohased täiendavad meetmed, kui need on vajalikud kolmandatesse riikidesse edastatavate andmete põhimõtteliselt samaväärse kaitse tagamiseks. . Seda tehes taotleb Euroopa Andmekaitsenõukogu isikuandmete kaitse üldmääruse ja Euroopa Kohtu otsuse järjepidevat kohaldamist kogu EMPs.

Euroopa Andmekaitsenõukogu esimees Andrea Jelinek ütles: „Euroopa Andmekaitsenõukogu on väga teadlik Schremsi II kohtuotsuse mõjust tuhandetele ELi ettevõtjatele ja olulisest vastutusest, mille ta omistab andmeeksportijatele. Euroopa Andmekaitsenõukogu loodab, et need soovitused aitavad andmeeksportijatel kindlaks teha ja rakendada tõhusaid täiendavaid meetmeid seal, kus neid on vaja. Meie eesmärk on võimaldada isikuandmete seaduslikku edastamist kolmandatesse riikidesse, tagades samas edastatud andmete kaitse taseme, mis on sisuliselt samaväärne EMPs tagatud tasemega.“

Soovitused sisaldavad tegevuskava sammude kohta, mida andmeeksportijad peavad astuma, et teha kindlaks, kas nad peavad võtma täiendavaid meetmeid, et oleks võimalik edastada andmeid väljaspool EMPd kooskõlas ELi õigusega, ning aidata neil kindlaks teha need meetmed, mis võiksid olla tõhusad. Andmeeksportijate abistamiseks sisaldavad soovitused ka mitteammendavat loetelu täiendavate meetmete näidetest ja mõnedest tingimustest, mida need peavad tõhusaks.

Andmeeksportijad vastutavad siiski konkreetse hindamise eest andmete edastamise, kolmanda riigi õiguse ja edastamisvahendi kontekstis, millele nad toetuvad. Andmeeksportijad peavad täitma hoolsuskohustust ja dokumenteerima põhjalikult oma protsessi, kuna nad vastutavad selle alusel tehtavate otsuste eest kooskõlas isikuandmete kaitse üldmääruse vastutuse põhimõttega. Lisaks peaksid andmeeksportijad teadma, et igal juhul ei pruugi olla võimalik rakendada piisavaid täiendavaid meetmeid.

Soovitused täiendavate meetmete kohta esitatakse avalikuks aruteluks. Neid kohaldatakse kohe pärast nende avaldamist.

Lisaks võttis Euroopa Andmekaitsenõukogu vastu soovitused Euroopa oluliste tagatiste järelevalvemeetmete kohta. Soovitused Euroopa oluliste tagatiste kohta täiendavad soovitusi täiendavate meetmete kohta. Euroopa oluliste tagatiste soovitused annavad andmeeksportijatele elemendid, mille alusel teha kindlaks, kas õigusraamistikku, mis reguleerib avaliku sektori asutuste juurdepääsu andmetele järelevalve eesmärgil kolmandates riikides, võib pidada õigustatud sekkumiseks eraelu puutumatuse ja isikuandmete kaitse õigusesse ning seega ei ole see vastuolus isikuandmete kaitse üldmääruse artiklis 46 sätestatud edastamisvahendiga, millele andmeeksportija ja -importija tuginevad.

Andmekaitsenõukogu juht  lisas: „Schrems II kohtuotsuse mõju laieneb kõikidele kolmandatesse riikidesse tehtavatele andmete edastamistele. Seetõttu ei ole kõigi andmeedastuste jaoks kiireid lahendusi ega kõigile ühtmoodi sobivat lahendust, kuna sellega eirataks andmeeksportijate olukordade suurt mitmekesisust. Andmeeksportijad peavad hindama oma andmetöötlustoiminguid ja andmeedastust ning võtma tõhusaid meetmeid, pidades silmas nende kolmandate riikide õiguskorda, kuhu nad andmeid edastavad või kavatsevad neid edastada.“

EMP andmekaitse järelevalveasutused jätkavad oma tegevuse koordineerimist Euroopa Andmekaitsenõukogus, et tagada ELi andmekaitsealaste õigusaktide ühtne kohaldamine.

Märkus toimetajatele:
Pange
tähele, etkõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid läbivad vajaliku õigusliku, keelelise ja vorminduskontrolli ning tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_18

10 November 2020

Brüssel, 10. november – Euroopa Andmekaitsenõukogu võttis täiskogu 41. istungjärgul liikmete 2/3 häälteenamusega vastu oma esimese vaidluste lahendamise otsuse, tuginedes isikuandmete kaitse üldmääruse artiklile 65. Siduva otsuse eesmärk on lahendada vaidlus, mis tekkis pärast seda, kui Iirimaa järelevalveasutus kui juhtiv järelevalveasutus esitas Twitteri rahvusvahelise äriühingu kohta otsuse eelnõu ning mituasjaomast järelevalveasutust esitasid seejärel asjakohased ja põhjendatud vastuväited.

Iirimaa järelevalveasutus esitas otsuse eelnõu pärast Twitteri rahvusvahelise äriühinguga seotud omal algatusel järelepärimist ja uurimist pärast seda, kui äriühing teatas 8. jaanuaril 2019 Iirimaa SA-le isikuandmetega seotud rikkumisest. 2020. aasta mais jagas Iirimaa järelevalveasutus kaasatud järelevalveasutustele oma otsuse eelnõud kooskõlas isikuandmete kaitse üldmääruse artikli 60 lõikega 3. Kaasatud järelevalveasutustel oli seejärel neli nädalat aega, et esitada oma asjakohased ja põhjendatud vastuväited. Muu hulgas andsid kaasatud järelevalveasutused välja asjakohased ja põhjendatud vastuväited seoses isikuandmete kaitse üldmääruse rikkumistega, mille juhtiv järelevalveasutus tuvastas, Twitteri rahvusvahelise äriühingu (ainu) vastutava andmetöötleja rolliga ja kavandatud trahvi suuruse kindlaksmääramisega.

Kuna juhitv järelevalveasutus lükkas vastuväited tagasi ja/või leidis, et need ei ole „asjakohased ja põhjendatud“, edastas ta küsimuse kooskõlas isikuandmete kaitse üldmääruse artikli 60 lõikega 4 Euroopa Andmekaitsenõukogule, algatades sellega vaidluste lahendamise menetluse.

Pärast seda, kui juhtiv järelevalveasutus oli toimiku esitanud, hinnati selle täielikkust, mille tulemusena algatati 8. septembril 2020 ametlikult artikli 65 kohane menetlus. Kooskõlas isikuandmete kaitse üldmääruse artikli 65 lõikega 3 ja koostoimes Euroopa Andmekaitsenõukogu kodukorra artikli 11 lõikega 4 pikendati ühe kuu pikkust vastuvõtmise vaikimisi tähtaega veel ühe kuu võrra teema keerukuse tõttu.

9. novembril 2020 võttis Euroopa Andmekaitsenõukogu vastu siduva otsuse ja teavitab sellest peatselt ametlikult Iirimaa järelevalveasutust.

Iirimaa järelevalveasutusvõtab oma lõpliku otsuse vastu Euroopa Andmekaitsenõukogu otsuse alusel, mis adresseeritakse vastutavale töötlejale põhjendamatu viivituseta ja hiljemalt üks kuu pärast seda, kui Euroopa Andmekaitsenõukogu on oma otsusest teatanud. Juhtiv järelevalveasutus ja kaasatud järelevalveasutused teatavad Euroopa Andmekaitsenõukogule kuupäeva, mil vastutavat töötlejat lõplikust otsusest teavitati. Pärast teate saamist avaldab Euroopa Andmekaitsenõukogu oma otsuse oma veebisaidil.

Lisatud: KKK art 65

EDPB_Press Release_2020_17

21 October 2020

Brüssel, 21. oktoober – 20. oktoobril toimus Euroopa Andmekaitsenõukogu täiskogu 40. istungjärk.Täiskogu istungil arutati paljusid erinevaid teemasid.

Pärast avalikku konsultatsiooni võttis Euroopa Andmekaitsenõukogu vastu lõimitud ja vaikimisi andmekaitse suuniste lõpliku versiooni. Suunistes keskendutakse isikuandmete kaitse üldmääruse artiklis 25 sätestatud lõimitud andmekaitse ja vaikimisi andmekaitse (DPbDD) kohustusele. Artiklis 25 sätestatud põhikohustus on andmekaitse põhimõtete ning andmesubjektide lõimitud ja vaikimisi õiguste ja vabaduste tõhus rakendamine. See tähendab, et vastutavad töötlejad peavad rakendama asjakohaseid tehnilisi ja organisatsioonilisi meetmeid ning vajalikke kaitsemeetmeid, mille eesmärk on tagada andmekaitse põhimõtete tegelik järgimine ning kaitsta andmesubjektide õigusi ja vabadusi. Lisaks peaksid vastutavad töötlejad suutma tõendada, et rakendatud meetmed on tõhusad.

Suunised sisaldavad ka juhendeid selle kohta, kuidas tõhusalt rakendada üldmääruse artiklis 5 sätestatud andmekaitsepõhimõtteid, loetledes ülesehituse põhielemendid ja vaikeelemendid ning praktilised näited näitlikustamiseks. Lisaks antakse soovitusi selle kohta, kuidas vastutavad töötlejad, volitatud töötlejad ja tootjad saavad teha koostööd DPbDD saavutamiseks.

Lõplikud suunised sisaldavad ajakohastatud sõnastust ja täiendavaid õiguslikke põhjendusi, et võtta arvesse avaliku konsultatsiooni käigus saadud märkusi ja tagasisidet.

Euroopa Andmekaitsenõukogu otsustas luua koordineeritud jõustamisraamistiku. Euroopa ühendamise rahastu loob struktuuri Euroopa Andmekaitsenõukogu järelevalveasutuste korduvate iga-aastaste tegevuste koordineerimiseks. Euroopa ühendamise rahastu eesmärk on hõlbustada ühismeetmeid paindlikul ja koordineeritud viisil, alates ühisest teadlikkuse tõstmisest ja teabe kogumisest kuni jõustamisalaste lauskontrollide ja ühiste uurimisteni. Korduvate iga-aastaste koordineeritud meetmete eesmärk on edendada nõuetele vastavust, anda andmesubjektidele volitused oma õiguste kasutamiseks ja suurendada teadlikkust.

Euroopa Andmekaitsenõukogu võttis vastu Europäische Akademie für Informationsfreiheit und Datenschutz’ile vastuskirja autoriõigusedirektiivi artikli 17 mõju kohta andmekaitsele, eelkõige seoses üleslaadimisfiltritega. Kirjas märgib Euroopa Andmekaitsenõukogu, et igasugune isikuandmete töötlemine üleslaadimise filtrite eesmärgil peab olema proportsionaalne ja vajalik ning et autoriõiguse direktiivi artikli 17 rakendamisel ei tohiks isikuandmeid võimaluse korral töödelda. Kui isikuandmete töötlemine on vajalik, näiteks õiguskaitsemehhanismi jaoks, peaksid sellised andmed hõlmama üksnes sel konkreetsel eesmärgil vajalikke andmeid, kohaldades samal ajal kõiki muid isikuandmete kaitse üldmääruse põhimõtteid. Lisaks rõhutas Euroopa Andmekaitsenõukogu, et ta suhtleb selles küsimuses pidevalt Euroopa Komisjoniga ning on teatanud oma valmisolekust edasiseks koostööks.

Märkus toimetajatele:
Pange tähele, etkõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid läbivad vajaliku õigusliku, keelelise ja vorminduskontrolli ning tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_16

12 October 2020

Brüssel, 12. oktoober – Euroopa Andmekaitsenõukogu võttis täiskogu 39. istungjärgul vastu suunise asjakohase ja põhjendatud vastuväite mõiste kohta. Suunis aitab kaasa kontseptsiooni ühtsele tõlgendamisele, mis aitab tulevikus ühtlustada isikuandmete kaitse üldmääruse artikli 65 kohaseid menetlusi.

Isikuandmete kaitse üldmääruses sätestatud koostöömehhanismiraames on järelevalveasutustel kohustus „vahetada omavahel kogu asjakohast teavet“ ja teha koostööd „püüdluses saavutada konsensus“. Vastavalt isikuandmete kaitse üldmääruse artikli 60 lõigetele 3 ja 4 peab juhtiv järelevalveasutus esitama otsuse eelnõu asjaomastele järelevalveasutustele, kes võivad seejärel esitada konkreetse aja jooksul asjakohase ja põhjendatud vastuväite. Pärast asjakohase ja põhjendatud vastuväite saamist on juhtival järelevalveasutusel kaks võimalust. Kui ta ei järgi asjakohast ja põhjendatud vastuväidet või on arvamusel, et vastuväide ei ole põhjendatud või asjakohane, esitab ta küsimuse järjepidevuse mehhanismi raames andmekaitsenõukogule (isikuandmete kaitse üldmääruse artikkel 65). Kui juhtiv järelevalveasutus vastupidi vastuväitega nõustub ja esitab muudetud otsuse eelnõu, võivad kaasatud järelevalveasutused kahe nädala jooksul esitada muudetud otsuse eelnõu kohta asjakohase ja põhjendatud vastuväite.

Suunise eesmärk on luua ühine arusaam mõistest „asjakohane ja põhjendatud“, sealhulgas sellest, mida tuleks arvesse võtta, kui hinnatakse, kas vastuväide „näidab selgelt otsuse eelnõust tulenevate riskide olulisust“ (isikuandmete kaitse üldmääruse artikli 4 lõige 24).

Märkus toimetajatele:

Pange tähele, etkõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid läbivad vajaliku õigusliku, keelelise ja vorminduskontrolli ning tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_15

04 September 2020

Brüssel, 3. september – Andmekaitsenõukogu võttis vastu suunised vastutava töötleja ja volitatud töötleja mõistete kohta isikuandmete kaitse üldmääruses ning suunised sotsiaalmeedia kasutajate suunamise kohta. Lisaks moodustas Euroopa Andmekaitsenõukogu töörühma, mis tegeleb Euroopa Liidu Kohtu otsusega kohtuasjas Schrems II laekunud kaebustega ning töörühma, mis tegeleb täiendavate meetmetega, mida andmeeksportijatelt ja -importijatelt võib nõuda, et tagada andmete edastamisel piisav kaitse vastavalt Euroopa Liidu Kohtu otsusele kohtuasjas Schrems II.

Andmekaitsenõukogu võttis vastu suunised isikuandmete kaitse üldmääruses toodud vastutava töötleja ja volitatud töötleja mõistete kohta. Alates isikuandmete kaitse üldmääruse jõustumisest on tõstatatud küsimusi selle kohta, mil määral on üldmäärusega neid mõisteid muudetud, eelkõige seoses kaasvastutuse mõistega (nagu on sätestatud üldmääruse artiklis 26 ja pärast mitut Euroopa Liidu Kohtu otsust) ning üldmääruse IV peatükis sätestatud töötlejate kohustustega (eelkõige üldmääruse artikkel 28).

2019. aasta märtsis korraldas Euroopa Andmekaitsenõukogu koos oma sekretariaadiga sidusrühmade ürituse, kus selgitati vajadust praktilisemate suuniste järele ning võimaldati andmekaitsenõukogul paremini mõista valdkonna vajadusi ja muresid. Uued suunised koosnevad kahest peamisest osast: üks neist selgitab erinevaid mõisteid; teine hõlmab üksikasjalikke suuniseid nende mõistete peamiste tagajärgede kohta vastutavatele töötlejatele, volitatud töötlejatele ja kaasvastutavatele töötlejatele. Suunised sisaldavad vooskeemi, et anda täiendavaid praktilisi juhiseid. Suuniste üle toimub avalik arutelu.

Euroopa Andmekaitsenõukogu võttis vastu suunised sotsiaalmeedia kasutajate suunamise kohta. Suuniste eesmärk on anda sidusrühmadele praktilisi juhiseid ja need sisaldavad mitmesuguseid näiteid erinevatest olukordadest, et sidusrühmad saaksid kiiresti kindlaks teha stsenaariumi, mis on kõige lähemal suunamistavale, mida nad kavatsevad kasutada. Suuniste peamine eesmärk on selgitada sotsiaalmeediateenuse osutaja ja sihtrühmaks oleva isiku rolli ja vastutust. Sel eesmärgil määratakse suunistes muu hulgas kindlaks võimalikud ohud üksikisikute vabadustele, peamistele osalejatele ja nende rollidele, peamiste andmekaitsenõuete (nagu seaduslikkus ja läbipaistvus ning andmekaitsealane mõjuhinnang) kohaldamisele ning sotsiaalmeedia pakkujate ja sihtrühma kuuluvate isikute vaheliste kokkulepete põhielementidele. Lisaks keskenduvad suunised erinevatele suunamismehhanismidele, andmete eriliikide töötlemisele ja kaasvastutavate töötlejate kohustusele kehtestada asjakohane kord vastavalt isikuandmete kaitse üldmääruse artiklile 26. Täiskogu esitab suunised avalikuks konsulteerimiseks.

Apellatsiooninõukogu on loonud töörühma, et uurida Euroopa Liidu Kohtu Schrems II kohtuotsuse järel esitatud kaebusi. EMP andmekaitseasutustele on esitatud kokku 101 identset kaebust mitme EMP liikmesriigi vastutava töötleja vastu seoses Google’i/Facebooki teenuste kasutamisega, mis hõlmab isikuandmete edastamist. Konkreetselt väidavad kaebuse esitajad, keda esindab valitsusväline organisatsioon NOYB, et Google/Facebook edastab isikuandmeid USA-le, tuginedes ELi-USA andmekaitseraamistikule Privacy Shield või lepingu tüüptingimustele, ning et Euroopa Liidu Kohtu hiljutise otsuse kohaselt kohtuasjas C-311/18 ei suuda vastutav töötleja tagada kaebuse esitajate isikuandmete piisavat kaitset. Töörühm analüüsib küsimust ja tagab andmekaitsenõukogu liikmete tiheda koostöö.

Euroopa Liidu Kohtu otsuse Schrems II järelmeetmena ja lisaks 23. juulil vastu võetud korduma kippuvatele küsimustele on juhatus loonud rakkerühma. Töörühm koostab soovitused, et aidata vastutavatel töötlejatel ja volitatud töötlejatel teha kindlaks ja rakendada asjakohaseid täiendavaid meetmeid, et tagada piisav kaitse andmete edastamisel kolmandatesse riikidesse.

Euroopa Andmekaitsenõukogu eesistuja Andrea Jelinek:„Euroopa Andmekaitsenõukogu on teadlik sellest, et Schremsi II kohtuotsusega antakse vastutavatele töötlejatele oluline vastutus. Lisaks avaldusele ja korduma kippuvatele küsimustele, mille me varsti pärast kohtuotsust esitame, valmistame ette soovitused, et toetada vastutavaid töötlejaid ja volitatud töötlejaid seoses nende kohustusega määrata kindlaks ja rakendada asjakohaseid õiguslikke, tehnilisi ja organisatsioonilisi lisameetmeid, et tagada isikuandmete edastamisel kolmandatesse riikidesse vastavus olulisele samaväärsuse standardile. Kohtuotsusel on siiski ulatuslik mõju ning kolmandatele riikidele andmete edastamise kontekst on väga erinev. Seetõttu ei saa olla ühte kõigile sobivat kiiret lahendust. Iga organisatsioon peab hindama oma andmetöötlustoiminguid ja andmeedastust ning võtma asjakohaseid meetmeid.“

Märkus toimetajatele: pange
tähele, etkõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid läbivad vajaliku õigusliku, keelelise ja vorminduskontrolli ning tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_14

24 July 2020

European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II)

Following the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, the EDPB has adopted a ‘Frequently Asked Questions’ document to provide initial clarification and give preliminary guidance to stakeholders on the use of legal instruments for the transfer of personal data to third countries, including the U.S. This document will be developed and complemented, along with further guidance, as the EDPB continues to examine and assess the judgment of the Court. 

The FAQ document on the CJEU judgement C-311/18 can be found here.

EDPB_Press Release_statement_2020_06

23 July 2020

Brüssel, 23. juuli – Brexiti üleminekuperioodi peatse lõppemise tõttu võttis Euroopa Andmekaitsenõukogu vastu teabelehe, milles kirjeldatakse meetmeid, mis tuleb võtta järelevalveasutustel, heakskiidetud siduvate kontsernisiseste eeskirjade omanikel ja organisatsioonidel, kelle siduvad kontsernisisesed eeskirjad on menetlemisel Ühendkuningriigi järelevalveasutuses, tagamaks, et neid kontsernisiseseid eeskirju saab kasutada kehtiva edastusvahendina ka pärast üleminekuperioodi lõppu. Kuna Ühendkuningriigi järelevalveasutus ei kvalifitseeru enam isikuandmete kaitse üldmääruse alusel pädeva järelevalveasutusena, ei ole Ühendkuningriigi järelevalveasutuse tehtud heakskiitvad otsused enam EMPs õiguslikult kehtivad. Peale selle võib asjaomaseid siduvaid kontsernisiseseid eeskirju olla vaja muuta enne üleminekuperioodi lõppu, sest need sisaldavad üldjuhul viidet Ühendkuningriigi õiguskorrale. Seda kohaldatakse ka direktiivi 94/46/EÜ alusel juba heakskiidetud siduvatele kontsernisisestele eeskirjadele.

Siduvate kontsernisiseste eeskirjade omanikud, kelle juhtiv järelevalveasutus on Ühendkuningriigi järelevalveasutus, peavad kehtestama organisatsioonilised korrad, et määrata uus siduvate kontsernisiseste eeskirjade juhtiv järelevalveasutus EMPs. Siduvate kontsernisiseste eeskirjade juhtiva järelevalveasutuse muutmine peab toimuma enne Brexiti üleminekuperioodi lõppu.

Praegusel hetkel siduvate kontsernisiseste eeskirjade taotlejatel soovitatakse kehtestada kõik organisatsioonilised korrad, et määrata uus siduvate kontsernisiseste eeskirjade järelevalveasutus EMPs varakult enne Brexiti üleminekuperioodi lõppu, sealhulgas võtta ühendust asjaomase järelevalveasutusega, et anda kogu vajalik teave, miks seda järelevalveasutust kaalutletakse uue juhtiva järelevalveasutusena. Uus siduvate kontsernisiseste eeskirjade juhtiv järelevalveasutus võtab heakskiitmise menetluse üle ja algatab ametlikult Euroopa Andmekaitsenõukogu arvamuse alusel heakskiitmise menetluse. Kõik Ühendkuningriigi järelevalveasutuse heakskiidetud siduvad kontsernisisesed eeskirjad vajavad uue EMPs asuva siduvate kontsernisiseste eeskirjade juhtiva järelevalveasutuse heakskiitvat otsust enne üleminekuperioodi lõppu, vastavalt Euroopa Andmekaitsenõukogu arvamusele. Euroopa Andmekaitsenõukogu võttis vastu ka lisa, milles on kontroll-loetelu elemendid, mida tuleb muuta siduvates kontsernisisestes eeskirjades seoses Brexitiga.

Käesolev kirjalik teave ei mõjuta praegu Euroopa Andmekaitsenõukogu tehtavat analüüsi Euroopa Liidu Kohtu otsuse tagajärgede kohta kohtuasjas Data Protection Commissioner vs. Facebook Ireland ja Schrems siduvate kontsernisiseste eeskirjade kui edastamisvahendite kohta.

EDPB_pressiteade_2020_13

20 July 2020

Brüssel, 20. juuli – Euroopa Andmekaitsenõukogu võttis täiskogu 34. istungil vastu avalduse Euroopa Liidu Kohtu otsuse kohta kohtuasjas Facebook Ireland vs. Schrems. Andmekaitsenõukogu võttis vastu suunised teise makseteenuste direktiivi (PSD2) ja isikuandmete kaitse üldmääruse koostoime kohta ning vastuskirja Euroopa Parlamendi liikmele Ďuriš Nicholsonovále kontaktide jälgimise, rakenduste koostalitlusvõime ja andmekaitse mõjuhinnangute kohta.

Euroopa Andmekaitsenõukogu võttis vastu avalduse Euroopa Liidu Kohtu otsuse kohta kohtuasjas C-311/18 – Data Protection Commissioner vs. Facebook Ireland ja Maximillian Schrems, millega tunnistatakse kehtetuks otsus 2016/1250 ELi–USA andmekaitseraamistikuga Privacy Shield pakutava kaitse piisavuse kohta ning peetakse kehtivaks komisjoni otsust 2010/87 kolmandates riikides asuvatele andmete töötlejatele standardsete andmekaitseklauslite alusel isikuandmete edastamist.

Seoses andmekaitseraamistikuga Privacy Shield juhib Euroopa Andmekaitsenõukogu tähelepanu, et kooskõlas kohtuotsusega peaksid EL ja USA saavutama täieliku ja tõhusa raamistiku, millega tagatakse, et USAs isikuandmetele tagatud kaitse tase on sisuliselt samaväärne ELis tagatud tasemega. Euroopa Andmekaitsenõukogu kavatseb jätkuvalt täita konstruktiivset rolli isikuandmete Atlandi-ülese edastamise tagamisel, millest saavad kasu EMP kodanikud ja organisatsioonid, ning on valmis andma Euroopa Komisjonile abi ja suuniseid, et aidata tal koos USAga luua uus raamistik, mis vastab täielikult ELi andmekaitse õigusaktidele.

Seoses standardsete andmekaitseklauslitega võtab Euroopa Andmekaitsenõukogu teadmiseks eksportija ja importija esmavastutuse, kui nad kaalutlevad standardsete andmekaitseklauslite kasutamist, et tagada kaitsetaseme säilitamist, mis on sisuliselt samaväärne isikuandmete kaitse üldmäärusega tagatud tasemega ELi harta kontekstis. Sellisel eelhindamisel arvestab eksportija (vajaduse korral importija abiga) standardsete andmekaitseklauslite sisu, edastamise konkreetseid asjaolusid ning importija riigis kohaldatavat õiguskorda. Kohus rõhutab, et eksportijal võib olla vaja kaalutleda täiendavate meetmete kehtestamist lisaks andmekaitseklauslitele. Euroopa Andmekaitsenõukogu uurib lähemalt, millest need täiendavad meetmed võivad koosneda.

Euroopa Andmekaitsenõukogu võtab samuti teadmiseks pädevate järelevalveasutuste kohustused peatada või keelata standardsete andmekaitseklauslite kohane andmete edastamine kolmandale riigile, kui pädeva järelevalveasutuse arvates ja kõiki edastamise asjaolusid arvestades ei ole need tingimused selles kolmandas riigis täidetud või neid ei ole võimalik täita ning edastatud andmete kaitset ei ole võimalik tagada muude vahenditega, eelkõige kui vastutav töötleja või volitatud töötleja ei ole juba ise andmete edastamist peatanud või lõpetanud.

Euroopa Andmekaitsenõukogu tuletab meelde, et ta andis välja suunised isikuandmete kaitse üldmääruse artikli 49 kohta ning selliseid erandeid tuleb kohaldada igal üksikjuhul eraldi

Euroopa Andmekaitsenõukogu hindab otsust üksikasjalikumalt ning annab sidusrühmadele täiendavaid selgitusi ja suuniseid, kuidas kasutada vahendeid isikuandmete edastamiseks kolmandatesse riikidesse vastavalt kohtuotsusele. Nagu Euroopa Liidu Kohus märkis, on Euroopa Andmekaitsenõukogu ja tema Euroopa järelevalveasutused valmis tagama järjepidevuse kogu EMPs.

Avalduse täistekst on siin: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_et

Euroopa Andmekaitsenõukogu võttis vastu suunised teise makseteenuste direktiivi kohta (PSD2). Teine makseteenuste direktiiv nüüdisajastab makseteenuste turu õigusraamistiku. On tähtis, et teine makseteenuste direktiiv loob õigusraamistiku uutele maksete alustamise teenustele ja kontoteabe teenustele. Kasutajad saavad nõuda, et nendele uute makseteenuste osutajatele antakse juurdepääs nende maksekontodele. Pärast sidusrühmade seminari veebruaris 2019 koostas Euroopa Andmekaitsenõukogu nendele uutele makseteenustele isikuandmete kaitse üldmääruse kohaldamise suunised.

Suunistes märgitakse, et selles kontekstis on isikuandmete eriliikide töötlemine üldiselt keelatud (kooskõlas isikuandmete kaitse üldmääruse artikli 9 lõikega 1), v.a kui andmesubjekt annab selgesõnalise nõusoleku (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt a) või töötlemine on vajalik olulise avaliku huviga seotud põhjustel (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g).

Suunistes käsitletakse ka tingimusi, millega kontoteenuste makseteenuste osutajad annavad maksete alustamise teenustele ja kontoteabe teenustele juurdepääsu kontoteabele, eelkõige granulaarse juurdepääsu maksekontodele.

Suunistes selgitatakse, et teise makseteenuste direktiivi artikli 66 lõike 3 punkt g ega artikli 67 lõike 2 punkt f ei luba mis tahes edasist töötlemist, v.a kui andmesubjekt on andnud isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a kohase nõusoleku või kui töötlemist sätestab liidu või liikmesriigi õigus. Suunised esitatakse avalikule arutelule.

Andmekaitsenõukogu võttis vastu ka vastuskirja Euroopa Parlamendi liikme Ďuriš Nicholsonová küsimustele andmekaitse kohta COVID-19 tõrje kontekstis. Kiri käsitleb kontaktide jälgimise rakenduste ühtlustamist ja koostalitlusvõimet, sellise töötluse andmekaitse mõjuhinnangu nõuet ja töötluse võimalikku kestust.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

Brüssel, 17. juuni – Euroopa Andmekaitsenõukogu võttis oma 32. täiskogu istungjärgul vastu avalduse kontaktide jälgimise rakenduste koostalitlusvõime kohta ning avalduse piiride avamise ja andmekaitseõiguste kohta. Juhatus võttis vastu ka kaks kirja Euroopa Parlamendi liikmele Körnerile krüpteerimise ja isikuandmete kaitse üldmääruse artikli 25 kohta ning kirja CEAOB-le PCAOBi kokkulepete kohta.

Euroopa Andmekaitsenõukogu võttis vastu avalduse kontaktide jälgimise rakenduste koostalitlusvõime kohta, tuginedes Euroopa Andmekaitsenõukogu suunistele 04/2020 asukohaandmete ja kontaktide jälgimise vahendite kasutamise kohta COVID-19 puhangu kontekstis. Avalduses analüüsitakse põhjalikumalt peamisi aspekte, sealhulgas läbipaistvust, õiguslikku alust, kontrolli, andmesubjekti õigusi, andmete säilitamist ja minimeerimist, infoturvet ja andmete täpsust koostalitlusvõimelise rakenduste võrgustiku loomise kontekstis, mida tuleb lisaks Euroopa Andmekaitsenõukogu suunistes 04/2020 rõhutatud aspektidele arvesse võtta.

Euroopa Andmekaitsenõukogu rõhutab, et selliste koostalitlevate rakendustega diagnoositud või katsetatud üksikisikuid käsitlevate andmete jagamise peaks käivitama üksnes kasutaja vabatahtlik tegevus. Andmesubjektidele teabe ja kontrolli andmine suurendab nende usaldust lahenduste ja nende võimaliku kasutuselevõtu vastu. Koostalitlusvõime eesmärki ei tohiks kasutada argumendina isikuandmete kogumise laiendamiseks vajalikust kaugemale.

Lisaks peavad kontaktide jälgimise rakendused olema osa terviklikust rahvatervise strateegiast pandeemia vastu võitlemiseks, nagu testimine ja sellele järgnev kontaktide käsitsi jälgimine, et parandada võetud meetmete tõhusust.

Koostalitlusvõime tagamine ei ole mitte ainult tehniliselt keeruline ja mõnikord võimatu ilma ebaproportsionaalsete kompromissideta, vaid toob kaasa ka võimaliku suurema andmekaitseriski. Seetõttu peavad vastutavad töötlejad tagama meetmete tõhususe ja proportsionaalsuse ning hindama, kas sama eesmärki on võimalik saavutada vähem sekkuva alternatiiviga.

Euroopa Andmekaitsenõukogu võttis vastu avalduse isikuandmete töötlemise kohta seoses Schengeni piiride taasavamisega pärast COVID-19 puhangut. Meetmed, mis võimaldavad praegu liikmesriikides kavandatud või rakendatud piiride ohutut taasavamist, hõlmavad COVID-19 testimist, tervishoiutöötajate väljastatud sertifikaatide nõudmist ja kontaktide jälgimise vabatahtliku rakenduse kasutamist. Enamik meetmeid hõlmab isikuandmete töötlemist.

Euroopa Andmekaitsenõukogu tuletab meelde, et andmekaitsealased õigusaktid on jätkuvalt kohaldatavad ja võimaldavad tõhusalt reageerida pandeemiale, kaitstes samal ajal põhiõigusi ja -vabadusi. Euroopa Andmekaitsenõukogu rõhutab, et isikuandmete töötlemine peab olema vajalik ja proportsionaalne ning kaitse tase peaks olema järjepidev kogu EMPs. Oma avalduses kutsub Euroopa Andmekaitsenõukogu liikmesriike tungivalt üles kasutama ühist Euroopa lähenemisviisi, kui nad otsustavad, milline isikuandmete töötlemine on selles kontekstis vajalik.

Avalduses käsitletakse ka isikuandmete kaitse üldmääruse põhimõtteid, millele liikmesriigid peavad pöörama erilist tähelepanu isikuandmete töötlemisel seoses piirikontrolli taasavamisega. Need hõlmavad seaduslikkust, õiglust ja läbipaistvust, eesmärgi piiritlemist, võimalikult väheste andmete kogumist, andmete säilitamise piiramist, andmete turvalisust ning lõimitud ja vaikimisi andmekaitset. Lisaks ei tohiks riiki sisenemise lubamise otsus põhineda üksnes automatiseeritud individuaalsetel otsustustehnoloogiatel. Igal juhul tuleks selliste otsuste suhtes kohaldada sobivaid kaitsemeetmeid, mis peaksid hõlmama konkreetset teavet andmesubjektile ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, saada selgitust pärast sellist hindamist tehtud otsuse kohta ja õigust otsus vaidlustada. Automatiseeritud üksikotsuseid ei tohiks kohaldada laste suhtes.

Euroopa Andmekaitsenõukogu rõhutab, kui oluline on eelnevalt konsulteerida pädevate riiklike järelevalveasutustega, kui liikmesriigid kavatsevad selles kontekstis isikuandmeid töödelda.

Euroopa Andmekaitsenõukogu võttis vastu vastuse Euroopa Parlamendi liikme Moritz Körneri kirjale, milles käsitletakse kolmandates riikides kehtestatud krüpteerimiskeeldude tähtsust andmekaitse taseme hindamisel isikuandmete edastamisel riikidesse, kus need keelud kehtivad. Euroopa Andmekaitsenõukogu sõnul kahjustaks krüpteerimise keelustamine või krüpteerimist nõrgestavad sätted tõsiselt isikuandmete kaitse üldmääruse kohaste turvakohustuste täitmist, mida kohaldatakse vastutavate töötlejate ja volitatud töötlejate suhtes, olenemata sellest, kas nad asuvad kolmandas riigis või EMPs. Turvameetmed on üks elementidest, mida Euroopa Komisjon peab arvesse võtma, kui ta hindab kaitsetaseme piisavust kolmandas riigis.

Teine kiri Euroopa Parlamendi liikmele Körnerile käsitleb sülearvutite kaante teemat. Euroopa Parlamendi liige Körner rõhutas, et see tehnoloogia võib aidata järgida isikuandmete kaitse üldmäärust ning tegi ettepaneku, et sellega tuleks varustada uued sülearvutid. Oma vastuses selgitab andmekaitsenõukogu, et kuigi sülearvutite tootjaid tuleks julgustada võtma selliste toodete väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele, ei vastuta nad nende toodete töötlemise eest ning isikuandmete kaitse üldmäärusega ei kehtestata tootjatele õiguslikke kohustusi, välja arvatud juhul, kui nad tegutsevad ka vastutavate töötlejate või volitatud töötlejatena. Vastutavad töötlejad peavad hindama iga töötlemisega seotud riske ja valima isikuandmete kaitse üldmääruse järgimiseks asjakohased kaitsemeetmed, sealhulgas isikuandmete kaitse üldmääruse artiklis 25 sätestatud lõimitud eraelukaitse ja vaikimisi eraelukaitse.

Lisaks võttis Euroopa Andmekaitsenõukogu vastu kirja Euroopa audiitorite järelevalveasutuste komiteele (CEAOB). Euroopa Andmekaitsenõukogu sai ettepaneku CEAOB-lt, mis koondab riiklikke audiitorite järelevalveasutusi ELi tasandil, et teha koostööd ja saada tagasisidet USA avaliku sektori raamatupidamise järelevalve nõukogule (PCAOB) andmete edastamise halduskorra eelnõu üle peetavate läbirääkimiste kohta. Euroopa Andmekaitsenõukogu tervitab seda ettepanekut ja märgib, et on olemas võimalus vahetada teavet CEAOBga, et selgitada kõiki võimalikke küsimusi sellise korraga seotud andmekaitsenõuete kohta, võttes arvesse Euroopa Andmekaitsenõukogu suuniseid 2/2020 isikuandmete kaitse üldmääruse artikli 46 lõike 2 punkti a ja artikli 46 lõike 3 punkti b kohta isikuandmete edastamisel EMP ja EMP-väliste riikide ametiasutuste vahel. Vahetusse võiks kaasata ka PCAOB, kui CEAOB ja selle liikmed peavad seda nende töö jaoks kasulikuks.

Märkus toimetajatele:
Juhime Teie tähelepanu sellele, et kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

10 June 2020

Brüssel, 10. juuni – 31. täiskogul otsustas Euroopa Andmekaitsenõukogu moodustada töörühma, et koordineerida võimalikke meetmeid ja saada terviklikum ülevaade TikToki töötlemisest ja tavadest kogu ELis, ning võttis vastu kirja seoses teenuse Clearview AI kasutamisega õiguskaitseasutuste poolt. Lisaks võttis Euroopa Andmekaitsenõukogu vastu vastuse ENISA nõuanderühmale ja kirja vastuseks NOYBi avalikule kirjale.

Euroopa Andmekaitsenõukogu teatas oma otsusest moodustada töörühm, et koordineerida võimalikke meetmeid ja saada terviklikum ülevaade TikToki töötlemisest ja tavadest kogu ELis.

Vastuseks Euroopa Parlamendi liikme Körneri taotlusele seoses TikTokiga märgib Euroopa Andmekaitsenõukogu, et ta on juba välja andnud suunised ja soovitused, mida peaksid arvestama kõik vastutavad töötlejad, kelle andmetöötluse suhtes kohaldatakse isikuandmete kaitse üldmäärust, eelkõige seoses isikuandmete edastamisega kolmandatesse riikidesse, sisuliste ja menetluslike tingimustega riigiasutuste juurdepääsuks isikuandmetele või isikuandmete kaitse üldmääruse territoriaalse kohaldamisala kohaldamisega, eelkõige seoses alaealiste isikute andmete töötlemisega. Euroopa Andmekaitsenõukogu tuletab meelde, et isikuandmete kaitse üldmäärust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, isegi kui tema asukoht ei ole Euroopa Liidus, kuid töötlemistoimingud on seotud kaupade või teenuste pakkumisega Euroopa Liidu andmesubjektidele.

Vastuses Euroopa Parlamendi liikmetele seoses teenusega Clearview AI jagas Euroopa andmekaitsenõukogu aspekte, mida pidas probleemseks seoses näotuvastustehnoloogiate teatud arengutega. Euroopa Andmekaitsenõukogu tuletab meelde, et õiguskaitsedirektiivi (EL) 2016/680 kohaselt võivad õiguskaitseasutused töödelda biomeetrilisi andmeid füüsilise isiku kordumatu tuvastamise eesmärgil üksnes kooskõlas direktiivi artiklites 8 ja 10 sätestatud rangete tingimustega.

Euroopa Andmekaitsenõukogu kahtleb, kas üheski Euroopa Liidu või liikmesriigi õigusaktis on sätestatud õiguslik alus sellise teenuse kasutamiseks, nagu on Clearview AI pakutav teenus. Seetõttu ei ole praeguse seisuga ja ilma, et see piiraks mis tahes tulevast või toimuvat uurimist, võimalik tagada, et selline kasutamine ELi õiguskaitseasutuste poolt on õiguspärane.

Ilma et see piiraks esitatud lisaelementidel põhinevat täiendavat analüüsi, on Euroopa Andmekaitsenõukogu seetõttu arvamusel, et sellise teenuse nagu Clearview AI kasutamine Euroopa Liidu õiguskaitseasutuste poolt ei oleks selle praegusel kujul tõenäoliselt kooskõlas ELi andmekaitsekorraga.

Euroopa Andmekaitsenõukogu viitab ka oma suunistele, mis käsitlevad isikuandmete töötlemist videoseadmete abil, ning teatab tulevasest tegevusest, mida õiguskaitseasutused teevad näotuvastustehnoloogia kasutamisel.

Vastuseks Euroopa Liidu Küberturvalisuse Ameti (ENISA) kirjale, milles taotleti, et Euroopa Andmekaitsenõukogu nimetaks esindaja ENISA nõuanderühma, nimetas andmekaitsenõukogu esindajaks CNILi asepeasekretäri Gwendal Le Grandi. Nõuanderühm abistab ENISA tegevdirektorit aasta tööprogrammi koostamisel ja asjaomaste sidusrühmadega suhtlemise tagamisel.

Euroopa Andmekaitsenõukogu võttis vastu vastuse NOYBi avalikule kirjale, mis käsitles järelevalveasutuste koostööd ja järjepidevusmenetlusi. Oma kirjas märgib andmekaitsenõukogu, et on pidevalt tegelenud järelevalveasutuste koostöö ja järjepidevusmenetluste täiustamisega. Andmekaitsenõukogu on teadlik, et esineb täiustamist vajavaid probleeme, näiteks riiklike haldusmenetlusõiguste ja tavade erinevused ning piiriüleste juhtumite lahendamiseks vajaminev aeg ja ressursid. Andmekaitsenõukogu kordab taas, et kohustub leidma lahendused, kui need on tema pädevuses.

Märkus toimetajatele.
NB! Kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastuvõetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need avaldatakse pärast valmimist Euroopa Andmekaitsenõukogu veebilehel.

EDPB_Press Release_2020_10

03 June 2020

Brüssel, 3. juuni – Euroopa Andmekaitsenõukogu võttis täiskogu 30. istungil vastu avalduse andmesubjektide õiguste kohta seoses eriolukorraga liikmesriikides. Andmekaitsenõukogu võttis vastu ka kirja vastuseks kirjale, mille saatsid Euroopa Kodanikuvabaduste Liit, Access Now ja Ungari kodanikuvabaduste liit (HCLU) seoses Ungari valitsuse 4. mai dekreediga 179/2020.

Euroopa Andmekaitsenõukogu tuletab meelde, et isegi praegusel erandlikul ajal tuleb tagada isikuandmete kaitse kõigi erakorraliste meetmete võtmisel, aidates sellega kaasa demokraatia, õigusriigi ja põhiõiguste üldiste väärtuste austamisele, millele liit on rajatud.

Avalduses ja kirjas kordab Euroopa Andmekaitsenõukogu, et isikuandmete kaitse üldmäärus on jätkuvalt kohaldatav ja võimaldab tõhusalt reageerida pandeemiale, kaitstes samal ajal põhiõigusi ja -vabadusi. Andmekaitse õigusaktid juba võimaldavad andmetöötlustoiminguid, mis on vajalikud COVID-19 pandeemia vastasele võitlusele kaasaaitamiseks.

Avalduses tuletatakse meelde peamisi põhimõtteid, mis on seotud andmesubjektide õiguste piiramisega seoses erakorralise seisukorraga liikmesriikides:

  • Piirangud, mis on üldised, ulatuslikud või nii sekkuvad, et tühistavad põhiõiguse põhisisu, ei ole põhjendatud.
  • Teatud tingimustel võimaldab isikuandmete kaitse üldmääruse artikkel 23 riikide seadusandjatel piirata seadusandliku meetmega vastutavate töötlejate ja volitatud töötlejate kohustuste ulatust ning andmesubjektide õigusi, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et kaitsta liidu või liikmesriigi üldist avalikku huvi pakkuvaid olulisi eesmärke, eelkõige rahvatervist.
  • Andmesubjekti õigused on andmekaitse põhiõiguse keskmes ning isikuandmete kaitse üldmääruse artiklit 23 tuleks tõlgendada ja lugeda, pidades silmas, et nende kohaldamine peaks olema üldreegel. Kuna piirangud on erandid üldreeglist, tuleks neid kohaldada ainult piiratud oludes.
  • Piirangud tuleb sätestada seadusega ning piiranguid kehtestav seadus peaks olema piisavalt selge, et võimaldada kodanikel mõista, mis tingimustel on vastutavatel töötlejatel õigus neid kasutada. Lisaks peavad piirangud olema isikutele, kelle suhtes neid kohaldatakse, prognoositavad. Ajaliselt piiramata ajaks kehtestatud piirangud, mida kohaldatakse tagasiulatuvalt või mille suhtes kohaldatakse määratlemata tingimusi, ei vasta eelduspärasuse kriteeriumile.
  • Pandeemia tekkimine või mis tahes muu eriolukord üksi ei ole piisavad põhjused andmesubjektide õiguste mis tahes piiramiseks; pigem peab mis tahes piirang selgelt aitama kaasa ELi või liikmesriigi üldise avaliku huvi olulise eesmärgi kaitsmisele.
  • Pandeemia kontekstis kehtestatud eriolukord on õiguslik tingimus, mis võib muuta õiguspäraseks andmesubjekti õiguste piirangud, kui neid piiranguid kohaldatakse üksnes nii palju, kui on rangelt vajalik ja proportsionaalne rahvatervise eesmärgi tagamiseks. Seega peab piirangute ulatus ja kestus olema rangelt piiratud, sest andmesubjekti õigusi võib piirata, kuid neid ei tohi keelata. Lisaks tuleb täielikult kohaldada isikuandmete kaitse üldmääruse artikli 23 lõikes 2 sätestatud tagatisi.
  • Eriolukorra ajal vastu võetud piirangud, millega peatatakse või lükatakse edasi andmesubjekti õiguste ning vastutavate töötlejate ja volitatud töötlejate kohustuste kohaldamine ilma selge ajalise piiranguta, võrduksid nende õiguste de facto täieliku peatamisega ega oleks kooskõlas põhiõiguste ja -vabaduste olemusega.

Lisaks teatas Euroopa Andmekaitsenõukogu, et annab lähikuudel välja isikuandmete kaitse üldmääruse artikli 23 rakendamise suunised.

Märkus toimetajatele.

Juhime tähelepanu, et kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastuvõetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need avaldatakse pärast valmimist Euroopa Andmekaitsenõukogu veebisaidil.

20 May 2020

Brüssel, 20. mai – Euroopa Andmekaitsenõukogu 28. täiskogu istungil võttis andmekaitsenõukogu vastu isikuandmete kaitse üldmääruse artikli 64 kohase arvamuse Sloveenia järelevalveasutuse esitatud lepingu tüüptingimuste eelnõu kohta ning otsustas avaldada registri, mis sisaldab ühtse kontaktpunkti otsuseid.

Euroopa Andmekaitsenõukogu võttis vastu arvamuse Sloveenia järelevalveasutuse poolt andmekaitsenõukogule esitatud vastutavate töötlejate ja volitatud töötlejate lepingute tüüptingimuste eelnõu kohta. Arvamuse eesmärk on tagada isikuandmete kaitse üldmääruse artikli 28 järjepidev kohaldamine, millega kehtestatakse vastutavatele töötlejatele ja volitatud töötlejatele kohustus sõlmida leping või muu õigusakt, milles on sätestatud poolte vastavad kohustused. Isikuandmete kaitse üldmääruse artikli 28 lõike 6 kohaselt võivad need lepingud või muud õigusaktid täielikult või osaliselt põhineda järelevalveasutuse poolt vastuvõetud lepingu tüüptingimustel. Kriisilahendusnõukogu esitab arvamuses mitu soovitust, mida tuleb arvesse võtta, et lepingu tüüptingimuste eelnõud saaks käsitada lepingu tüüptingimustena. Kui kõik soovitused on rakendatud, saab Sloveenia järelevalveasutus võtta käesoleva lepingu eelnõu vastu lepingu tüüptingimustena vastavalt isikuandmete kaitse üldmääruse artikli 28 lõikele 8.

Euroopa Andmekaitsenõukogu avaldab oma veebisaidil registri, mis sisaldab riiklike järelevalveasutuste otsuseid, mis on tehtud kooskõlas ühtse kontaktpunkti koostöömenetlusega (isikuandmete kaitse üldmääruse artikkel 60).

Isikuandmete kaitse üldmääruse kohaselt on järelevalveasutustel kohustus teha koostööd piiriülestes juhtumites, et tagada määruse järjepidev kohaldamine (ühtse kontaktpunkti mehhanism). Ühtse kontaktpunkti mehhanismi raames vastutab otsuste eelnõude koostamise eest juhtiv järelevalveasutus, kes teeb konsensuse saavutamiseks koostööd asjaomaste järelevalveasutustega. 2020. aasta aprilliks olid juhtivad järelevalveasutused võtnud vastu 103 lõplikku ühtse kontaktpunkti menetluse kohast otsust. Euroopa Andmekaitsenõukogu kavatseb avaldada ingliskeelsed kokkuvõtted, mille on koostanud andmekaitsenõukogu sekretariaat. Teave avalikustatakse pärast asjaomase juhtiva järelevalveasutuse kinnitust ja kooskõlas riiklikes õigusaktides sätestatud tingimustega.

Märkus toimetajatele.

Juhime tähelepanu sellele, et kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastuvõetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

On February 18th and 19th, the EEA Supervisory Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighteenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB and the individual EEA Supervisory Authorities (SAs) contributed to the evaluation and review of the GDPR as required by Art. 97 GDPR. The EDPB is of the opinion that the application of the GDPR in the first 20 months has been successful. Although the need for sufficient resources for all SAs is still a concern and some challenges remain, resulting, for example, from the patchwork of national procedures, the Board is convinced that the cooperation between SAs will result in a common data protection culture and consistent practice. The EDPB is examining possible solutions to overcome these challenges and to improve existing cooperation procedures. It also calls upon the European Commission to check if national procedures impact the effectiveness of the cooperation procedures and considers that, eventually, legislators may also have a role to play in ensuring further harmonisation. In its assessment, the EDPB also addresses issues such as international transfer tools, impact on SMEs, SA resources and development of new technologies. The EDPB concludes that it is premature to revise the GDPR at this point in time.

The EDPB adopted draft guidelines to provide further clarification regarding the application of Articles 46.2 (a) and 46.3 (b) of the GDPR. These articles address transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, where these transfers are not covered by an adequacy decision. The guidelines recommend which safeguards to implement in legally binding instruments (art. 46.2 (a)) or in administrative arrangements (Art. 46.3 (b)) to ensure that the level of protection of natural persons under the GDPR is met and not undermined. The guidelines will be submitted for public consultation.

Statement on privacy implications of mergers
Following the announcement of Google LLC’s intention to acquire Fitbit, the EDPB adopted a statement highlighting that the possible further combination and accumulation of sensitive personal data regarding people in Europe by a major tech company could entail a high level of risk to privacy and data protection. The EDPB reminds the parties to the proposed merger of their obligations under the GDPR and to conduct a full assessment of the data protection requirements and privacy implications of the merger in a transparent way. The Board urges the parties to mitigate possible risks to the rights to privacy and data protection before notifying the merger to the European Commission. The EDPB will consider any implications for the protection of personal data in the EEA and stands ready to contribute its advice to the EC if so requested.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_02

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary