Comité Européen de la Protection des Données

EDPB News

20 November 2020

Brussels, 20 November - On November 19th, the EDPB met for its 42nd plenary session. During the plenary, the European Commission presented two new sets of draft Standard Contractual Clauses (SCCs) and the EDPB adopted a statement on the future ePrivacy Regulation.
 
The European Commission presented two draft SCCs: one set of SCCs for contracts between controllers and processors, and another one for data transfers outside the EU. The draft controller-processor SCCs are fully new and have been developed by the Commission in accordance with Art. 28 (7) GDPR and Art. 29 (7) of Regulation 2018/1725. These SCCs will have an EU-wide effect and aim to ensure full harmonisation and legal certainty across the EU when it comes to contracts between controllers and their processors. In addition, the Commission presented another set of SCCs for the transfer of personal data to third countries pursuant to Art. 46 (2) (c) GDPR. These SCCs will replace the existing SCCs for international transfers that were adopted on the basis of Directive 95/46 and needed to be updated to bring them in line with GDPR requirements, as well as with the CJEU’s ‘Schrems II’ ruling, and to better reflect the widespread use of new and more complex processing operations often involving multiple data importers and exporters. The Commission has requested a joint opinion from the EDPB and the EDPS on the implementing acts on both sets of SCCs.
 
EDPB Chair Andrea Jelinek said: “The new SCCs for the transfer of personal data to third countries have been highly anticipated, and it is important to point out that they are not a catch-all solution for data transfers post-Schrems II. While the updated SCCs are an important piece of the puzzle and a very important development, data exporters should still make the puzzle complete. The step-by-step approach of the EDPB recommendations on supplementary measures is necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. Together with the EDPS, the Board will now thoroughly draft a joint opinion on the two sets of draft SCCs as invited by the European Commission.”
 
Recommendations 1/2020 on supplementary measures: During the plenary, the Members of the Board decided to extend the deadline for the public consultation on the Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data from 30 November 2020 until 21 December 2020.

The EDPB adopted a statement on the future ePrivacy Regulation and the future role of supervisory authorities and the EDPB in this context. The EDPB expressed concerns about some new orientations of the discussions in the Council concerning the enforcement of the future ePrivacy Regulation, which could lead to fragmented supervision, procedural complexity and a lack of consistency and legal certainty for individuals and companies. The EDPB underlines that many of the provisions of the future ePrivacy Regulation concern processing of personal data and that many provisions of the GDPR and the ePrivacy Regulation are closely intertwined. Consistent interpretation and enforcement of both sets of rules, when covering personal data protection, would therefore be fulfilled in the most efficient way, if the enforcement of those parts of the ePrivacy Regulation and the GDPR would be entrusted to the same authority.
 
EDPB Chair Andrea Jelinek added: “The oversight of personal data processing activities under the ePrivacy Regulation should  be entrusted  to  the  same  national  authorities that are responsible for the enforcement of the GDPR. This will ensure a high level of data protection, guarantee a level playing field and ensure a harmonised interpretation and enforcement of the personal data processing elements of the ePrivacy Regulation across the EU.”
 
The EDPB also stressed the need to adopt the new Regulation as soon as possible.
 
The EDPB added that this statement is without prejudice to the Board’s previous positions, including its statement of March 2019 and May 2018 and reiterated that the future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for confidentiality and protection of all types of electronic communications.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Brussels, 11 November - During its 41st plenary session, the EDPB adopted recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, as well as recommendations on the European Essential Guarantees for surveillance measures. 

Both documents were adopted as a follow-up to the CJEU’s ‘Schrems II’ ruling. As a result of the ruling on July 16th, controllers  relying on Standard Contractual Clauses (SCCs) are required to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data in the third country, if the law of the third country ensures a level of protection of the personal data transferred that is essentially equivalent to that guaranteed in the European Economic Area (EEA). The CJEU allowed exporters to add measures that are supplementary to the SCCs to ensure effective compliance with that level of protection where the safeguards contained in SCCs are not sufficient.   

The recommendations aim to assist controllers and processors acting as data exporters with their duty to identify and implement appropriate supplementary measures where they are needed to ensure an essentially equivalent level of protection to the data they transfer to third countries. In doing so, the EDPB seeks a consistent application of the GDPR and the Court’s ruling across the EEA. 

EDPB Chair, Andrea Jelinek said: “The EDPB is acutely aware of the impact of the Schrems II ruling on thousands of EU businesses and the important responsibility it places on data exporters. The EDPB hopes that these recommendations can help data exporters with identifying and implementing effective supplementary measures where they are needed. Our goal is to enable lawful transfers of personal data to third countries while guaranteeing that the data transferred is afforded a level of protection essentially equivalent to that guaranteed within the EEA.”  

The recommendations contain a roadmap of the steps data exporters must take to find out if they need to put in place supplementary measures to be able to transfer data outside the EEA in accordance with EU law, and help them identify those that could be effective. To assist data exporters, the recommendations also contain a non-exhaustive list of examples of supplementary measures and some of the conditions they would require to be effective. 

However, in the end data exporters are responsible for making the concrete assessment in the context of the transfer, the third country law and the transfer tool they are relying on. Data exporters must proceed with due diligence and document their process thoroughly, as they will be held accountable to the decisions they take on that basis, in line with the GDPR principle of accountability. Moreover, data exporters should know that it may not be possible to implement sufficient supplementary measures in every case.

The recommendations on the supplementary measures will be submitted to public consultation. They will be applicable immediately following their publication. 

In addition, the EDPB adopted recommendations on the European Essential Guarantees for surveillance measures. The recommendations on the European Essential Guarantees are complementary to the recommendations on supplementary measures. The European Essential Guarantees recommendations provide data exporters with elements to determine if the legal framework governing public authorities’ access to data for surveillance purposes in third countries can be regarded as a justifiable interference with the rights to privacy and the protection of personal data, and therefore as not impinging on the commitments of the Article 46 GDPR transfer tool the data exporter and importer rely on.

The Chair added: “The implications of the Schrems II judgment extend to all transfers to third countries. Therefore, there are no quick fixes, nor a one-size-fits-all solution for all transfers, as this would be ignoring the wide diversity of situations data exporters face. Data exporters will need to evaluate their data processing operations and transfers and take effective measures bearing in mind the legal order of the third countries to which they transfer or intend to transfer data.”

The EEA data protection supervisory authorities will continue coordinating their actions in the EDPB to ensure consistency in the application of EU data protection law. 

The agenda of the forty-first plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_18

10 November 2020

Brussels, 10 November - During its 41st plenary session, the EDPB adopted by a 2/3 majority of its members its first dispute resolution decision on the basis of Art. 65 GDPR. The binding decision seeks to address the dispute arisen following a draft decision issued by the Irish SA as lead supervisory authority (LSA) regarding Twitter International Company and the subsequent relevant and reasoned objections (RROs) expressed by a number of concerned supervisory authorities (CSAs). 

The Irish SA issued the draft decision following an own-volition inquiry and investigations into Twitter International Company, after the company notified the Irish SA of a personal data breach on 8 January 2019. In May 2020, the Irish SA shared its draft decision with the CSAs in accordance with Art. 60 (3) GDPR. The CSAs then had four weeks to submit their RROs. Among others, the CSAs issued RROs on the infringements of the GDPR identified by the LSA, the role of Twitter International Company as the (sole) data controller, and the quantification of the proposed fine. 

As the LSA rejected the objections and/or considered they were not “relevant and reasoned”, it referred the matter to the EDPB in accordance with Art 60 (4) GDPR, thereby initiating the dispute resolution procedure. 

Following the submission by the LSA, the completeness of the file was assessed, resulting in the formal launch of the Art. 65 procedure on 8 September 2020. In compliance with Article 65 (3) GDPR and in conjunction with Article 11.4 of the EDPB Rules of Procedure, the default adoption timeline of one month was extended by a further month because of the complexity of the subject matter. 

On 9 November 2020, the EDPB adopted its binding decision and will shortly notify it formally to the Irish SA. 

The Irish SA shall adopt its final decision on the basis of the EDPB decision, which will be addressed to the controller, without undue delay and at the latest one month after the EDPB has notified its decision. The LSA and CSAs shall notify the EDPB of the date the final decision was notified to the controller. Following this notification, the EDPB will publish its decision on its website.

For further information see: Art. 65 FAQ

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_17

21 October 2020

Bruxelles, le 21 octobre - Le 20 octobre, le comité européen de la protection des données s’est réuni pour sa 40e séance plénière. Au cours de celle-ci, un large éventail de sujets ont été abordés.

À la suite d’une consultation publique, le comité a adopté une version finale des Lignes directrices sur la protection des données dès la conception et par défaut. Ces lignes directrices sont essentiellement axées sur l’obligation de protection des données dès la conception et par défaut, telle qu’exposée à l’article 25 du RGPD. L’obligation essentielle consacrée par l’article 25 est la mise en œuvre effective des principes de protection des données et des droits et libertés des personnes concernées dès la conception et par défaut. Cela signifie que les responsables du traitement doivent mettre en œuvre des mesures techniques et organisationnelles appropriées ainsi que les garanties nécessaires, conçues pour instaurer les principes de protection des données en pratique et protéger les droits et libertés des personnes concernées. En outre, les responsables du traitement devraient être en mesure de démontrer que les mesures mises en œuvre sont efficaces.

Les lignes directrices contiennent également des orientations sur la manière de mettre en œuvre de façon effective les principes relatifs à la protection des données énoncés à l’article 5 du RGPD; elles énumèrent les éléments clés pour la protection dès la conception et par défaut et présentent des cas concrets à titre d’illustration. Elles formulent en outre des recommandations sur la manière dont les responsables du traitement, les sous-traitants et les producteurs peuvent coopérer pour parvenir à la protection des données dès la conception et par défaut.

Les lignes directrices finales intègrent une formulation actualisée et un raisonnement juridique supplémentaire afin de répondre aux observations et aux commentaires reçus au cours de la consultation publique.

Le comité européen de la protection des données a décidé de mettre en place un cadre d’application coordonné (CEF). Le CEF fournit une structure pour coordonner les activités annuelles récurrentes des autorités de surveillance du comité. L’objectif du CEF est de faciliter les actions conjointes de manière souple et coordonnée, allant de la sensibilisation conjointe et de la collecte d’informations à des opérations de grande envergure en matière d’application de la législation et à des enquêtes conjointes. Les actions annuelles coordonnées récurrentes ont pour objectif de promouvoir le respect des règles, de donner aux personnes concernées les moyens d’exercer leurs droits et d’accroître la sensibilisation.

Le comité européen de la protection des données a adopté une lettre en réponse à l’Europäische Akademie für Informationsfreiheit und Datenschutz concernant les incidences en matière de protection des données de l’article 17 de la directive sur le droit d’auteur, en particulier en ce qui concerne les filtres de téléchargement. Dans cette lettre, le comité indique que tout traitement de données à caractère personnel aux fins du téléchargement de filtres doit être proportionné et nécessaire et que, dans la mesure du possible, aucune donnée à caractère personnel ne devrait être traitée lors de la mise en œuvre de l’article 17 de la directive sur le droit d’auteur. Lorsque le traitement de données à caractère personnel est nécessaire, par exemple pour le mécanisme de recours, ces données devraient être limitées à celles nécessaires à cette finalité spécifique, tout en appliquant tous les autres principes du RGPD. Le comité européen de la protection des données a également souligné qu’il était en contact permanent avec la Commission européenne sur ce sujet et qu’il avait indiqué être disponible pour une collaboration plus poussée.

Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité une fois ces vérifications effectuées.

EDPB_Press Release_2020_16

12 October 2020

Bruxelles, le 12 octobre - Au cours de sa 39e séance plénière, le comité européen de la protection des données a adopté des lignes directrices concernant la notion d’objection pertinente et motivée. Ces lignes directrices contribueront à une interprétation unifiée de la notion, ce qui permettra de rationaliser les futures procédures au titre de l’article 65 du RGPD.

Dans le cadre du mécanisme de coopération établi par le RGPD, les autorités de contrôle ont le devoir d’«échange[r] toute information utile» et de coopérer «en s’efforçant de parvenir à un consensus». Conformément à l’article 60, paragraphes 3 et 4, du RGPD, l’autorité de contrôle chef de file est tenue de soumettre un projet de décision aux autorités de contrôle concernées, lesquelles peuvent alors soulever une objection pertinente et motivée dans un délai spécifique. Deux options s’offrent à l’autorité de contrôle chef de file lorsqu’elle reçoit une objection pertinente et motivée. Si elle ne suit pas l’objection pertinente et motivée ou estime que l’objection n’est pas motivée ou pertinente, elle saisit le comité de la question dans le cadre du mécanisme de contrôle de la cohérence (article 65 du RGPD). Lorsqu’au contraire, l’autorité de contrôle chef de file entend suivre l’objection et soumet un projet de décision révisé, les autorités de contrôle concernées peuvent exprimer une objection pertinente et motivée sur le projet de décision révisé dans un délai de deux semaines.

Ces lignes directrices visent à établir une compréhension commune de la notion d’«objection pertinente et motivée», notamment les éléments devant être pris en considération pour évaluer si une objection «démontre clairement l’importance des risques que présente le projet de décision» (article 4, paragraphe 24, du RGPD).

Note aux éditeurs:

Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_2020_15

04 September 2020

Bruxelles, le 3 septembre - Le comité a adopté des lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD et des lignes directrices concernant le ciblage des utilisateurs des médias sociaux. En outre, le comité européen de la protection des données a créé un groupe de travail chargé des plaintes à la suite de l’arrêt Schrems II de la CJUE et un groupe de travail consacré aux mesures supplémentaires que les exportateurs et importateurs de données peuvent être tenus de prendre pour garantir une protection adéquate lors du transfert de données à la lumière de l’arrêt Schrems II de la CJUE.

Le comité a adopté des lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD. Depuis l’entrée en vigueur du RGPD, des questions ont été soulevées quant à la mesure dans laquelle le RGPD a apporté des modifications à ces notions, notamment en ce qui concerne la notion de responsabilité conjointe du traitement (telle que définie à l’article 26 du RGPD et à la suite de plusieurs arrêts de la CJUE), ainsi que les obligations des sous-traitants (en particulier l’article 28 du RGPD) énoncées au chapitre IV du RGPD.

En mars 2019, le comité et son secrétariat ont organisé un événement réunissant les parties prenantes, qui a mis en évidence la nécessité d’orientations plus pratiques et a permis au comité de mieux comprendre les besoins et les préoccupations dans ce domaine. Les nouvelles lignes directrices se composent de deux parties principales: l’une expliquant les différentes notions; l’autre comprenant des orientations détaillées sur les principales conséquences de ces notions pour les responsables du traitement, les sous-traitants et les responsables conjoints du traitement. Les lignes directrices comprennent un organigramme visant à fournir des orientations pratiques supplémentaires. Ces lignes directrices feront l’objet d’une consultation publique.

Le comité a adopté des lignes directrices sur le ciblage des utilisateurs des médias sociaux. Les lignes directrices visent à fournir des orientations pratiques aux parties prenantes et contiennent divers exemples de situations différentes permettant à celles-ci d’identifier rapidement le «scénario» le plus proche de la pratique de ciblage qu’elles entendent déployer. Le principal objectif des lignes directrices est de clarifier les rôles et les responsabilités du fournisseur de médias sociaux et de la personne ciblée. À cette fin, les lignes directrices, entre autres, recensent les risques potentiels pour les libertés individuelles, les principaux acteurs et leurs rôles, l’application des principales exigences en matière de protection des données, telles que la licéité et la transparence et l’analyse d’impact relative à la protection des données (AIPD), ainsi que des éléments clés des accords entre les fournisseurs de médias sociaux et les personnes ciblées. En outre, les lignes directrices se concentrent sur les différents mécanismes de ciblage, le traitement de catégories particulières de données et l’obligation pour les responsables conjoints du traitement de conclure un accord approprié conformément à l’article 26 du RGPD. La plénière soumettra les lignes directrices en vue d’une consultation publique.

Le comité a créé un groupe de travail chargé d’examiner les plaintes déposées à la suite de l’arrêt Schrems II de la CJUE. Au total, 101 plaintes identiques ont été déposées auprès des autorités de l’EEE chargées de la protection des données contre plusieurs responsables du traitement dans les États membres de l’EEE concernant leur utilisation des services de Google/Facebook qui impliquent le transfert de données à caractère personnel. Plus précisément, les plaignants, représentés par l’ONG NOYB, affirment que Google/Facebook transfèrent des données à caractère personnel aux États-Unis en se fondant sur le bouclier de protection des données UE-États-Unis ou des clauses contractuelles types et que, selon le récent arrêt de la CJUE dans l’affaire C-311/18, le responsable du traitement n’est pas en mesure de garantir une protection adéquate des données à caractère personnel des plaignants. Le groupe de travail analysera la question et assurera une coopération étroite entre les membres du comité.

Dans le prolongement de l’arrêt Schrems II de la CJUE et en complément de la FAQ adoptée le 23 juillet, le comité a créé un groupe de travail. Ce groupe de travail élaborera des recommandations pour aider les responsables du traitement et les sous-traitants dans leur tâche consistant à déterminer et à mettre en œuvre des mesures supplémentaires appropriées pour garantir une protection adéquate lors du transfert de données vers des pays tiers.

Selon Andrea Jelinek, présidente du comité européen de la protection des données: «Le comité est bien conscient que l’arrêt Schrems II confère aux responsables du traitement une responsabilité importante. Outre la déclaration et la FAQ que nous avons présentées peu après l’arrêt, nous élaborerons des recommandations visant à aider les responsables du traitement et les sous-traitants à déterminer et à mettre en œuvre des mesures supplémentaires appropriées de nature juridique, technique et organisationnelle afin de satisfaire aux normes essentielles d’équivalence lors du transfert de données à caractère personnel vers des pays tiers. Toutefois, les implications de l’arrêt sont nombreuses et les contextes des transferts de données vers des pays tiers sont très variés. Par conséquent, il ne peut y avoir de solution universelle et rapide. Chaque organisation devra évaluer ses propres opérations de traitement et transferts de données et prendre les mesures appropriées.»

Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_2020_14

24 July 2020

Le comité européen de la protection des données (EDPB) publie un document FAQ sur l’arrêt de la Cour de justice de l’Union européenne C-311/18 (Schrems II)

À la suite de l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, l’EDPB a adopté un document intitulé «Foire aux questions» destiné à fournir des éclaircissements préalables ainsi que des orientations préliminaires aux parties prenantes sur l’utilisation d’instruments juridiques pour le transfert de données à caractère personnel vers des pays tiers, y compris les États-Unis. Ce document sera élaboré et complété, en même temps que des orientations supplémentaires seront formulées, pendant que l’EDPB continue d’examiner et d’évaluer l’arrêt de la Cour. 

Le document FAQ sur l’arrêt de la CJUE dans l’affaire C-311/18 est disponible ici.

EDPB_communiqué de presse_déclaration_2020_06

23 July 2020

Bruxelles, le 23 juillet - Compte tenu de la fin prochaine de la période de transition du Brexit, le comité européen de la protection des données a adopté une note d’information soulignant les mesures que doivent prendre les autorités de contrôle, les détenteurs de règles d’entreprise contraignantes (BCR) approuvées et les organisations dont les BCR sont en cours d’examen par l’autorité de contrôle du Royaume-Uni, de façon à garantir que ces BCR puissent servir d’instruments de transfert valides, à l’issue de la période de transition. Dans la mesure où l’autorité de contrôle du Royaume-Uni ne pourra plus prétendre au statut d’autorité de contrôle compétente en vertu du RGPD à la fin de la période de transition, les décisions d’approbation de l’autorité de contrôle du Royaume-Uni adoptées en vertu du RGPD ne produiront plus d’effets juridiques dans l’EEE. En outre, il est possible que le contenu des BCR concernées doive être modifié avant la fin de la période de transition, étant donné que celles-ci contiennent généralement des références à l’ordre juridique du Royaume-Uni. Tel est aussi le cas des BCR déjà approuvées en vertu de la directive 94/46/CE.

Les détenteurs de BCR dont l’autorité de contrôle chef de file BCR est l’autorité de contrôle du Royaume-Uni doivent prendre toutes les dispositions organisationnelles nécessaires pour identifier une nouvelle autorité de contrôle chef de file BCR dans l’EEE. Le changement d’autorité de contrôle chef de file BCR devra intervenir avant la fin de la période de transition du Brexit.

Les demandeurs de BCR actuels sont invités à prendre toutes les dispositions organisationnelles nécessaires afin d’identifier une nouvelle autorité de contrôle chef de file BCR dans l’EEE, bien avant la fin de la période de transition du Brexit, y compris en contactant l’autorité de contrôle en question afin de lui fournir toutes les informations nécessaires expliquant les raisons pour lesquelles ladite autorité est considérée comme étant la nouvelle autorité de contrôle chef de file BCR. Cette dernière reprendra alors l’examen de la demande et ouvrira officiellement une procédure d’approbation soumise à l’avis du comité européen de la protection des données. Toutes les BCR approuvées par l’autorité de contrôle chef de file du Royaume-Uni en vertu du RGPD devront faire l’objet d’une nouvelle décision d’approbation émise par la nouvelle autorité de contrôle chef de file BCR de l’EEE avant la fin de la période de transition, à la suite d’un avis du comité européen de la protection des données. Le comité européen de la protection des données a aussi adopté une annexe contenant une liste de contrôle des éléments à modifier dans les documents liés aux BCR dans le contexte du Brexit.

La présente note d’information est sans préjudice de l’analyse actuellement réalisée par le comité européen de la protection des données concernant les conséquences de l’arrêt DPC contre Facebook Ireland et Schrems de la CJUE sur les BCR en tant qu’instruments de transfert.

EDPB_Communiqué de presse_2020_13

20 July 2020

Bruxelles, le 20 juillet — Lors de sa 34e session plénière, le comité européen de la protection des données a adopté une déclaration sur l’arrêt de la CJUE dans l’affaire Facebook Ireland/Schrems. Le comité européen de la protection des données a adopté des lignes directrices sur l’interaction entre la deuxième directive sur les services de paiement (DSP2) et le RGPD, ainsi qu’une lettre de réponse adressée à Mme Ďuriš Nicholsonová, députée au Parlement européen, sur le suivi des contacts, l’interopérabilité des applications et les AIPD.

Le comité européen de la protection des données a adopté une déclaration sur l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-311/18 — Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, qui annule la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis et considère comme valide la décision 2010/87 de la Commission relative aux clauses contractuelles types (CTT) pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Pour ce qui est du bouclier de protection des données, le comité européen de la protection des données souligne que, conformément à cet arrêt, l’UE et les États-Unis devraient parvenir à la mise en place d’un cadre complet et efficace garantissant que le niveau de protection accordé aux données à caractère personnel aux États-Unis est substantiellement équivalent à celui garanti au sein de l’UE. Le comité européen de la protection des données entend continuer de jouer un rôle constructif en vue de garantir un transfert transatlantique de données à caractère personnel qui bénéficie aux citoyens et aux organisations de l’EEE et il est disposé à fournir à la Commission européenne une assistance et des orientations pour l’aider à construire, de concert avec les États-Unis, un nouveau cadre qui respectera pleinement le droit de l’UE en matière de protection des données.

En ce qui concerne les clauses contractuelles types, le comité européen de la protection des données prend acte de la responsabilité première de l’exportateur et de l’importateur, au moment de décider de souscrire ou non à ces clauses, afin de garantir que celles-ci garantissent un niveau de protection substantiellement équivalent à celui garanti par le RGPD lu à la lumière de la Charte de l’UE. Lorsqu’il effectue cette évaluation préalable, l’exportateur (si nécessaire, avec l’aide de l’importateur) prend en considération le contenu desdites clauses, les circonstances spécifiques du transfert et le régime juridique applicable dans le pays de l’importateur. La Cour souligne que l’exportateur peut être amené à envisager de mettre en place des mesures qui viendront s’ajouter à celles prévues dans les CCT. Le comité européen de la protection des données examinera de manière plus approfondie en quoi ces mesures supplémentaires pourraient consister.

Le comité européen de la protection des données prend également acte de l’obligation pour les autorités de contrôle compétentes de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses contractuelles types, lorsque l’autorité de contrôle compétente estime, à la lumière de toutes les circonstances de ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées ne peut pas être assurée par d’autres moyens, en particulier lorsque le responsable du traitement ou le sous-traitant n’ont pas déjà eux-mêmes suspendu le transfert ou mis un terme à celui-ci.

Le comité européen de la protection des données rappelle qu’il a adopté des lignes directrices relatives à l’article 49 du RGPD et que de telles dérogations doivent s’appliquer au cas par cas.

Le comité européen de la protection des données examinera l’arrêt de manière plus approfondie et apportera des clarifications supplémentaires à l’intention des parties intéressées; il formulera également des orientations sur l’utilisation des instruments en vue du transfert de données à caractère personnel vers des pays tiers conformément à cet arrêt. Le comité européen de la protection des données et ses autorités de contrôle européennes sont également disposés à garantir la cohérence dans l’ensemble de l’EEE, comme l’a indiqué la CJUE.

L’intégralité de la déclaration est disponible ici: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Le comité européen de la protection des données a adopté des lignes directrices concernant la deuxième directive sur les services de paiement (DSP2). La DSP2 modernise le cadre juridique applicable au marché des services de paiement. Fait important, la DSP2 introduit un cadre juridique pour les nouveaux prestataires de services d’initiation de paiement (PSIP) et prestataires de services d’information sur les comptes (PSIC). Les utilisateurs peuvent demander que ces nouveaux prestataires de services de paiement soient autorisés à accéder à leurs comptes de paiement. Faisant suite à un atelier regroupant les acteurs du secteur en février 2019, le comité européen de la protection des données a élaboré des lignes directrices relatives à l’application du RGPD aux nouveaux prestataires de services de paiement.

Ces lignes directrices relèvent que, dans ce contexte, le traitement portant sur des catégories particulières de données à caractère personnel est, de manière générale, interdit (conformément à l’article 9, paragraphe 1, du RGPD), sauf si la personne concernée a donné son consentement explicite [article 9, paragraphe 2, point a), du RGPD] ou si le traitement est nécessaire pour des motifs d’intérêt public important [article 9, paragraphe 2, point g), du RGPD].

Les lignes directrices abordent également les conditions dans lesquelles les prestataires de services de paiement gestionnaires du compte (PSPGC) permettent aux PSIP et aux PSIC d’accéder aux informations sur les comptes de paiement, notamment en ce qui concerne l’accès aux données granulaires contenues dans les comptes de paiement.

Les lignes directrices précisent que l’article 66, paragraphe 3, point g), et l’article 67, paragraphe 2, point f), de la DSP2 ne permettent aucun traitement supplémentaire, sauf si la personne concernée a consenti au traitement conformément à l’article 6, paragraphe 1, point a), du RGPD ou si le traitement est régi par le droit de l’UE ou le droit d’un État membre. Ces lignes directrices feront l’objet d’une consultation publique.

Enfin, le comité européen de la protection des données a adopté une lettre en réponse aux questions de Mme Ďuriš Nicholsonová, députée au Parlement européen, concernant la protection des données dans le cadre de la lutte contre la COVID-19. La lettre traite des questions relatives à l’harmonisation et à l’interopérabilité des applications de suivi des contacts, à la nécessité de procéder à une AIPD pour le traitement des données dans ce contexte et à la période pendant laquelle un tel traitement peut être réalisé.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

Bruxelles, le 17 juin – Lors de sa 32e séance plénière, le comité européen de la protection des données (ci-après «le comité» ou l’«EDPB») a adopté une déclaration sur l’interopérabilité des applications de traçage de contacts, ainsi qu’une déclaration sur l’ouverture des frontières et les droits en matière de protection des données. L’EDPB a également adopté deux lettres adressées au député européen Körner – sur le cryptage et sur l’article 25 du RGPD – et une lettre destinée au CEAOB concernant les accords PCAOB.

L’EDPB a adopté une déclaration sur l’interopérabilité des applications de traçage des contacts, fondée sur les lignes directrices 04/2020 du comité relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19. La déclaration contient une analyse plus approfondie des aspects essentiels, notamment la transparence, la base juridique, le statut de responsable du traitement, les droits des personnes concernées, la conservation et la minimisation des données, la sécurité de l’information et l’exactitude des données dans le cadre de la création d’un réseau interopérable d’applications, qui doivent être pris en compte en sus de ceux mis en évidence dans les lignes directrices 04/2020 de l’EDPB.

Le comité souligne que le partage de données sur des personnes qui ont été diagnostiquées ou testées positives au moyen de ces applications interopérables ne devrait être déclenché que par une action volontaire de l’utilisateur. Donner aux personnes concernées des informations et un contrôle sur leurs données renforcera leur confiance dans les solutions proposées et leur acceptation potentielle. L’objectif d’interopérabilité ne devrait pas servir de prétexte pour étendre la collecte de données à caractère personnel au-delà de ce qui est nécessaire.

De plus, les applications de traçage de contacts doivent s’inscrire dans une stratégie globale de santé publique visant à lutter contre la pandémie, comme le dépistage et le traçage manuel ultérieur des contacts afin d’améliorer l’efficacité des mesures prises.

Assurer l’interopérabilité des applications est non seulement difficile sur le plan technique, et parfois impossible sans compromis disproportionnés, mais cela entraîne également un risque potentiel accru pour la protection des données. Les responsables du traitement doivent donc veiller à ce que les mesures soient efficaces et proportionnées et ils doivent déterminer si une solution moins intrusive permet d’atteindre le même but.

L’EDPB a adopté une déclaration sur le traitement des données à caractère personnel dans le cadre de la réouverture des frontières Schengen à la suite de la pandémie de COVID-19. Les mesures autorisant une réouverture en toute sécurité des frontières qui sont actuellement envisagées ou mises en œuvre par les États membres incluent le dépistage de la COVID-19, le fait d’exiger des certificats délivrés par des professionnels de la santé et l’utilisation d’une application de traçage volontaire des contacts. La plupart des mesures impliquent le traitement de données à caractère personnel.

L’EDPB rappelle que la législation en matière de protection des données reste d’application et permet de réagir efficacement à la pandémie, tout en protégeant les droits et libertés fondamentaux. Le comité souligne que le traitement des données à caractère personnel doit être nécessaire et proportionné et que le niveau de protection doit être équivalent dans l’ensemble de l’EEE. Dans sa déclaration, l’EDPB invite instamment les États membres à adopter une approche européenne commune pour décider quel traitement de données à caractère personnel est nécessaire dans ce contexte.

La déclaration énonce également les principes du RGPD auxquels les États membres doivent accorder une attention particulière lors du traitement de données à caractère personnel dans le cadre de la réouverture des frontières. Il s’agit notamment de la licéité, de l’équité et de la transparence du traitement, de la limitation de la finalité, de la minimisation des données, de la limitation de la durée de conservation, de la sécurité des données, ainsi que de la protection des données dès la conception et par défaut. En outre, la décision d’autoriser l’entrée sur le territoire d’un pays ne devrait pas reposer uniquement sur des technologies automatisées de prise de décisions individuelles. En tout état de cause, de telles décisions devraient être assorties de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Les mesures automatisées de prise de décisions individuelles ne devraient pas s’appliquer aux enfants.

Enfin, l’EDPB souligne l’importance d’une consultation préalable des autorités nationales de contrôle compétentes lorsque les États membres envisagent de traiter des données à caractère personnel dans ce contexte.

L’EDPB a adopté une réponse à une lettre du député européen Moritz Körner sur la pertinence des interdictions de cryptage dans les pays tiers pour évaluer le niveau de la protection des données lorsque des données à caractère personnel sont transférées vers des pays où de telles interdictions existent. De l’avis du comité, toute interdiction du cryptage ou toute disposition visant à affaiblir le cryptage porterait gravement atteinte au respect des obligations de sécurité énoncées dans le RGPD à l’égard des responsables du traitement et des sous-traitants, que ce soit dans un pays tiers ou au sein de l’EEE. Les mesures de sécurité sont l’un des éléments dont la Commission européenne doit tenir compte lorsqu’elle évalue le caractère adéquat du niveau de protection dans un pays tiers.

Une seconde lettre destinée au député européen Körner concerne les caches des caméras d’ordinateur portable. Le député européen Körner a indiqué que cette technologie pourrait contribuer à la mise en conformité avec le RGPD et a suggéré que les nouveaux ordinateurs portables en soient équipés. Dans sa réponse, l’EDPB précise que, bien qu’il convienne d’inciter les fabricants d’ordinateurs portables à tenir compte du droit à la protection des données lorsqu’ils développent et conçoivent ces produits, ils ne sont pas responsables du traitement effectué avec ces produits et le RGPD n’impose aucune obligation légale aux fabricants, à moins qu’ils n’agissent en qualité de responsables du traitement ou de sous-traitants. Les responsables du traitement doivent évaluer les risques liés à chaque traitement et choisir les garanties appropriées pour se conformer au RGPD, notamment la protection des données dès la conception et la protection des données par défaut, visées à l’article 25 du RGPD.

Enfin, le comité européen de la protection des données a adopté une lettre destinée au comité des organes européens de supervision de l’audit (CEAOB). L’EDPB a reçu une proposition du CEAOB, qui regroupe les organes nationaux du supervision de l’audit au niveau de l’UE, en vue de coopérer et de recevoir des informations sur les négociations relatives au projet de dispositions administratives pour le transfert de données à la Commission de surveillance de la comptabilité des sociétés cotées en bourse (PCAOB) des États-Unis. L’EDPB se réjouit de cette proposition et indique qu’il est prêt à avoir un échange de vues avec le CEAOB afin de clarifier toute question sur les exigences en matière de protection des données concernant ces modalités à la lumière des lignes directrices 2/2020 de l’EDPB sur l’article 46, paragraphe 2, point a), et l’article 46, paragraphe 3, point b), du RGPD pour les transferts de données à caractère personnel entre les autorités publiques de l’EEE et de pays tiers. L’échange de vues pourrait également inclure le PCAOB, si le CEAOB et ses membres le jugent utile pour leurs travaux sur ces dispositions.

Note aux éditeurs:

Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

10 June 2020

Bruxelles, le 10 juin - Lors de sa 31e séance plénière, le comité européen de la protection des données a décidé d’établir un groupe de travail chargé de coordonner les actions potentielles et d’obtenir une vue d’ensemble plus complète des modalités de traitement et des pratiques de TikTok dans l’ensemble de l’UE, et a adopté une lettre concernant l’utilisation de Clearview AI par les services répressifs. En outre, le comité a adopté une réponse au groupe consultatif de l’ENISA et une lettre en réponse à une lettre ouverte de NOYB.

Le comité a annoncé sa décision de mettre en place un groupe de travail chargé de coordonner les actions potentielles et d’obtenir une vue d’ensemble plus complète des modalités de traitement et des pratiques de TikTok dans l’ensemble de l’UE.

En réponse à la demande du député au PE Körner concernant TikTok, le comité indique qu’il a déjà publié des lignes directrices et des recommandations qui devraient être prises en compte par tous les responsables du traitement des données dont les activités de traitement sont soumises au RGPD, notamment en ce qui concerne le transfert de données à caractère personnel vers des pays tiers, les conditions de fond et de procédure pour l’accès aux données à caractère personnel par les autorités publiques ou la mise en œuvre du champ d’application territorial du RGPD, en particulier en ce qui concerne le traitement des données relatives aux mineurs. Le comité rappelle que le RGPD s’applique au traitement de données à caractère personnel par un responsable du traitement, même s’il n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’Union.

Dans sa réponse aux députés du PE en ce qui concerne Clearview AI, le comité a fait part de ses préoccupations concernant certaines évolutions dans le domaine des technologies de reconnaissance faciale. Le comité rappelle qu’en vertu de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif, les services répressifs peuvent traiter des données biométriques aux fins d’identifier une personne physique de manière unique, conformément aux conditions strictes des articles 8 et 10 de la directive.

Le comité doute que la législation de l’Union ou des États membres fournisse une base juridique pour l’utilisation d’un service tel que celui proposé par Clearview AI. Par conséquent, en l’état et sans préjudice de toute enquête future ou en cours, la licéité d’une telle utilisation par les services répressifs de l’UE ne peut être établie.

Sans préjudice d’une analyse plus approfondie sur la base d’éléments supplémentaires fournis, le comité est d’avis que l’utilisation d’un service comme Clearview AI par les services répressifs de l’Union européenne ne serait probablement, en l’état, pas compatible avec le régime de protection des données de l’UE.

Enfin, le comité renvoie à ses lignes directrices sur le traitement des données à caractère personnel par des dispositifs vidéo et annonce les travaux à venir sur l’utilisation de la technologie de reconnaissance faciale par les services répressifs.

En réponse à une lettre de l’Agence de l’Union européenne pour la cybersécurité (ENISA) demandant au comité de désigner un représentant au sein du groupe consultatif de l’ENISA, le comité a nommé Gwendal Le Grand, secrétaire général adjoint de la CNIL, en qualité de représentant. Le groupe consultatif assiste le directeur exécutif de l’ENISA en élaborant un programme de travail annuel et en assurant la communication avec les parties prenantes concernées.

Le comité a adopté une réponse à une lettre ouverte de NOYB concernant la coopération entre les autorités de surveillance et les procédures de cohérence. Dans sa lettre, le comité indique qu’il travaille constamment à l’amélioration de la coopération entre les autorités de surveillance et des procédures de cohérence. Le comité est conscient que certains aspects nécessitent des améliorations, tels que les différences entre les législations et pratiques nationales en matière de procédure administrative, ainsi que le temps et les ressources nécessaires pour résoudre les affaires transfrontières. Le comité réaffirme son engagement à trouver des solutions, lorsque celles-ci relèvent de sa compétence.

Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_2020_10

03 June 2020

Bruxelles, le 3 juin — Lors de sa 30e séance plénière, le CEPD a adopté une déclaration sur les droits des personnes concernées en rapport avec l’état d’urgence dans les États membres. Le comité a également adopté une lettre en réponse à une lettre de l’Union des libertés civiles pour l’Europe, Access Now et l’Union hongroise des libertés civiles (HCLU) concernant le décret nº 179/2020 du 4 mai du gouvernement hongrois.

Le comité européen de la protection des données rappelle que, même en cette période exceptionnelle, la protection des données à caractère personnel doit être préservée dans toutes les mesures d’urgence, afin de contribuer ainsi au respect des valeurs fondamentales que sont la démocratie, l’état de droit et les droits fondamentaux sur lesquels l’Union est fondée.

Dans la déclaration et dans la lettre, le comité européen de la protection des données rappelle que le RGPD reste d’application et permet une réaction efficace à la pandémie, tout en protégeant les droits et libertés fondamentaux. La législation relative à la protection des données permet déjà les opérations de traitement de données nécessaires pour contribuer à la lutte contre la pandémie de COVID-19.

La déclaration rappelle les grands principes applicables aux limitations imposées aux droits des personnes concernées dans le cadre de l’état d’urgence dans les États membres:

  • les limitations qui sont de portée générale, extensive ou intrusive dans la mesure où elles vident un droit fondamental de son contenu essentiel ne se justifient pas.
  • Dans des conditions spécifiques, l’article 23 du RGPD autorise les législateurs nationaux à limiter, au moyen d’une mesure législative, la portée des obligations des responsables du traitement et des sous-traitants et les droits des personnes concernées lorsqu’une telle restriction respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour préserver des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment en matière de santé publique.
  • Les droits des personnes concernées sont au cœur du droit fondamental à la protection des données et il convient d’interpréter l’article 23 du RGPD et de le lire en tenant compte du fait que leur application devrait constituer la règle générale. Étant donné que les limitations constituent des exceptions à la règle générale, elles ne devraient être appliquées que dans des circonstances circonscrites.
  • Les limitations doivent être prévues «par la loi», et la législation établissant les limitations devrait être suffisamment claire pour permettre aux citoyens de comprendre les conditions dans lesquelles les responsables du traitement sont habilités à y recourir. En outre, les limitations doivent être prévisibles par les personnes qui y sont soumises. Les limitations imposées pour une durée qui n’est pas précisément limitée dans le temps et qui s’appliquent rétroactivement ou qui sont soumises à des conditions non définies ne satisfont pas au critère de prévisibilité.
  • La simple existence d’une pandémie ou toute autre situation d’urgence isolée ne constitue pas une raison suffisante pour imposer une quelconque restriction des droits des personnes concernées; au contraire, toute restriction doit clairement contribuer à la préservation d’un objectif important d’intérêt public général de l’UE ou d’un État membre.
  • L’état d’urgence, adopté dans un contexte de pandémie, est une condition juridique susceptible de légitimer des limitations aux droits des personnes concernées, à condition que ces limitations ne s’appliquent que dans la mesure où elles sont strictement nécessaires et proportionnées afin de préserver l'objectif de santé publique. Par conséquent, les limitations doivent être strictement limitées dans leur portée et dans le temps, étant donné que les droits des personnes concernées peuvent être restreints mais non niés. Par ailleurs, les garanties prévues à l’article 23, paragraphe 2, du RGPD, doivent pleinement s’appliquer.
  • Des limitations adoptées dans le contexte d’un état d’urgence suspendant ou ajournant l’application des droits des personnes concernées ainsi que les obligations incombant aux responsables du traitement des données et des sous-traitants, sans limitation temporelle claire, équivaudraient à une suspension totale de fait et ne seraient pas compatibles avec l’essence des libertés et droits fondamentaux.

En outre, le comité européen de la protection des données publiera des directives sur la mise en œuvre de l'article 23 du RGPD au cours des mois à venir.

Note aux éditeurs:

Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

20 May 2020

Bruxelles, le 20 mai - Lors de sa 28e session plénière, le comité européen de la protection des données a adopté un avis au titre de l’article 64 du RGPD sur le projet de clauses contractuelles types présenté par l’autorité de contrôle slovène et a décidé de publier un registre contenant des décisions dans le cadre du «guichet unique».

Le comité européen de la protection des données a rendu son avis sur le projet de clauses contractuelles types pour les contrats entre responsables du traitement et sous-traitants soumis au comité par l’autorité de contrôle slovène. Cet avis vise à garantir l’application cohérente de l’article 28 du RGPD, qui oblige les responsables du traitement et les sous-traitants à conclure un contrat ou un autre acte juridique précisant les obligations respectives des parties. Conformément à l’article 28, paragraphe 6, du RGPD, ces contrats ou autres actes juridiques peuvent être fondés, en tout ou en partie, sur des clauses contractuelles types adoptées par une autorité de surveillance. Dans son avis, le comité formule plusieurs recommandations qui doivent être prises en compte pour que ce projet de clauses contractuelles types soit considéré comme des clauses contractuelles types définitives. Si toutes les recommandations sont mises en œuvre, l’autorité de sécurité slovène pourra adopter ce projet d’accord en tant que clauses contractuelles types conformément à l’article 28, paragraphe 8, du RGPD.

Le comité européen de la protection des données publiera sur son site web un registre contenant les décisions prises par les autorités de contrôle nationales à la suite de la procédure de coopération dans le cadre du guichet unique (article 60 du RGPD).

En vertu du RGPD, les autorités de contrôle ont le devoir de coopérer dans les affaires présentant un caractère transfrontalier afin de garantir une application cohérente du règlement — ce que l’on appelle le «mécanisme de guichet unique». Dans le cadre du guichet unique, l’autorité de contrôle chef de file est chargée de préparer les projets de décisions et collabore avec les autorités de surveillance concernées afin de parvenir à un consensus. Jusqu’à la fin avril 2020, les autorités de contrôle chefs de file ont adopté 103 décisions finales dans le cadre du guichet unique. Le comité européen de la protection des données a l’intention de publier des résumés en anglais, rédigés par son secrétariat. Les informations seront rendues publiques après validation par l’autorité de contrôle chef de file concernée et conformément aux conditions prévues par sa législation nationale.

Note aux éditeurs:

Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

On February 18th and 19th, the EEA Supervisory Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighteenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB and the individual EEA Supervisory Authorities (SAs) contributed to the evaluation and review of the GDPR as required by Art. 97 GDPR. The EDPB is of the opinion that the application of the GDPR in the first 20 months has been successful. Although the need for sufficient resources for all SAs is still a concern and some challenges remain, resulting, for example, from the patchwork of national procedures, the Board is convinced that the cooperation between SAs will result in a common data protection culture and consistent practice. The EDPB is examining possible solutions to overcome these challenges and to improve existing cooperation procedures. It also calls upon the European Commission to check if national procedures impact the effectiveness of the cooperation procedures and considers that, eventually, legislators may also have a role to play in ensuring further harmonisation. In its assessment, the EDPB also addresses issues such as international transfer tools, impact on SMEs, SA resources and development of new technologies. The EDPB concludes that it is premature to revise the GDPR at this point in time.

The EDPB adopted draft guidelines to provide further clarification regarding the application of Articles 46.2 (a) and 46.3 (b) of the GDPR. These articles address transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, where these transfers are not covered by an adequacy decision. The guidelines recommend which safeguards to implement in legally binding instruments (art. 46.2 (a)) or in administrative arrangements (Art. 46.3 (b)) to ensure that the level of protection of natural persons under the GDPR is met and not undermined. The guidelines will be submitted for public consultation.

Statement on privacy implications of mergers
Following the announcement of Google LLC’s intention to acquire Fitbit, the EDPB adopted a statement highlighting that the possible further combination and accumulation of sensitive personal data regarding people in Europe by a major tech company could entail a high level of risk to privacy and data protection. The EDPB reminds the parties to the proposed merger of their obligations under the GDPR and to conduct a full assessment of the data protection requirements and privacy implications of the merger in a transparent way. The Board urges the parties to mitigate possible risks to the rights to privacy and data protection before notifying the merger to the European Commission. The EDPB will consider any implications for the protection of personal data in the EEA and stands ready to contribute its advice to the EC if so requested.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_02

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary