Eiropas Datu aizsardzības kolēģija

Eiropas Datu aizsardzības kolēģijas jaunumi

20 November 2020

Briselē, 20. novembrī. Eiropas Datu aizsardzības kolēģija 19. novembrī tikās savā 42. plenārsesijā. Tās laikā Eiropas Komisija iepazīstināja ar diviem jauniem līguma standartklauzulu (SCC) projektiem, un EDAK pieņēma paziņojumu par gaidāmo E-privātuma regulu.

Eiropas Komisija iepazīstināja ar diviem jauniem SCC projektiem: viena SCC ir paredzēta līgumiem starp pārziņiem un apstrādātājiem, bet otra – datu nosūtīšanai ārpus ES. Pārziņa - apstrādātāja SCC projekts ir pilnīgi jauns, un Komisija šīs SCC ir izstrādājusi saskaņā ar VDAR 28. panta 7. punktu un Regulas (ES) Nr. 2018/1725 29. panta 7. punktu. Šīm SCC būs ES mēroga ietekme, un to mērķis būs nodrošināt pilnīgu saskaņu un juridisko noteiktību visā ES attiecībā uz līgumiem starp pārziņiem un apstrādātājiem. Turklāt Komisija iepazīstināja ar vēl vienām SCC personas datu nosūtīšanai uz trešām valstīm saskaņā ar VDAR 46. panta 2. punkta c) apakšpunktu. Šīs SCC aizstās esošās SCC attiecībā uz starptautisku pārsūtīšanu, kuras tika pieņemtas, pamatojoties uz Direktīvu 95/46, un kuras bija jāatjaunina, lai tās atbilstu VDAR prasībām, kā arī ES Tiesas spriedumam “Schrems II”, un lai labāk atspoguļotu plaši izmantotas jaunas un sarežģītākas apstrādes darbības, kurās bieži ir iesaistīti vairāki datu saņēmēji un nosūtītāji. Komisija ir lūgusi EDAK un EDAU sniegt kopīgu atzinumu par īstenošanas aktiem attiecībā uz abām SCC.

EDAK priekšsēdētāja Andrea Jelinek sacīja: “Jaunās SCC attiecībā uz personas datu nosūtīšanu uz trešām valstīm ir ļoti gaidītas, un ir svarīgi norādīt, ka tās nav visaptverošs risinājums attiecībā uz datu pārsūtīšanu pēc “Schrems II”. Lai gan atjauninātās SCC ir svarīgs elements un ļoti nozīmīgs pavērsiens, datu nosūtītājiem joprojām būs ļoti daudz darāmā. Pakāpeniska pieeja EDAK ieteikumiem attiecībā uz papildu pasākumiem ir nepieciešama, lai nosūtīto datu aizsardzības līmenis atbilstu ES standartam par būtisku ekvivalenci. Kolēģija kopā ar EDAU tagad rūpīgi izstrādās kopīgu atzinumu par abiem SCC projektiem atbilstoši Eiropas Komisijas aicinājumam.”

Ieteikumi 1/2020 par papildu pasākumiem: Plenārsesijas laikā Kolēģijas locekļi nolēma pagarināt termiņu sabiedriskai apspriešanai no 2020. gada 30. novembra līdz 2020. gada 21. decembrim Ieteikumiem attiecībā uz pasākumiem, kas papildina pārsūtīšanas rīkus, lai nodrošinātu atbilstību ES līmenim personas datu aizsardzības jomā.

EDAK pieņēma paziņojumu par gaidāmo E-privātuma regulu un uzraudzības iestāžu un EDAK turpmāko lomu šajā kontekstā. EDAK pauda bažas par dažām jaunām ievirzēm Padomes diskusijās par gaidāmās E-privātuma regulas ieviešanu, kas varētu novest pie sadrumstalotas uzraudzības, procedūru sarežģītības un konsekvences un juridiskās noteiktības trūkuma privātpersonām un uzņēmumiem. EDAK uzsver, ka daudzi jaunās E-privātuma regulas noteikumi attiecas uz personas datu apstrādi un ka daudzi VDAR un E-privātuma regulas noteikumi ir cieši saistīti. Ja E-privātuma regulas un VDAR minēto daļu ieviešana tiktu uzticēta vienai un tai pašai iestādei, tad visefektīvākajā veidā tiktu nodrošināta abu noteikumu kopumu konsekventa interpretācija un ieviešana attiecībā uz personas datu aizsardzību.

EDAK priekšsēdētāja Andrea Jelinek piebilda: “Personas datu apstrādes darbību uzraudzība saskaņā ar E-privātuma regulu būtu jāuztic tām pašām valsts iestādēm, kas ir atbildīgas par VDAR ieviešanu. Tas nodrošinās augstu datu aizsardzības līmeni, garantēs līdzvērtīgus konkurences apstākļus un nodrošinās E-privātuma regulas personas datu apstrādes elementu saskaņotu interpretāciju un ieviešanu visā ES.”

EDAK arī uzsvēra, ka jaunā regula ir jāpieņem pēc iespējas ātrāk.

EDAK piebilda, ka šis paziņojums neskar Kolēģijas iepriekšējās nostājas, tostarp tās 2019. gada marta un 2018. gada maija paziņojumu, un atkārtoti uzsvēra, ka gaidāmajai E-privātuma regulai nekādā gadījumā nevajadzētu pazemināt aizsardzības līmeni, ko nodrošina pašreizējā E-privātuma direktīva, un tai būtu jāpapildina VDAR, sniedzot papildu stingras garantijas attiecībā uz visu veidu elektronisko sakaru konfidencialitāti un aizsardzību.

Piezīme redaktoriem:
Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Briselē, 11. novembrī. Eiropas Datu aizsardzības kolēģija 41. plenārsesijā pieņēma ieteikumus par pasākumiem, kas papildina pārsūtīšanas instrumentus, lai nodrošinātu personas datu aizsardzības jomas atbilstību ES līmenim, kā arī ieteikumus par Eiropas pamatprasībām attiecībā uz uzraudzības pasākumiem.

Abi dokumenti tika pieņemti pēc EST sprieduma Schrems II. Saskaņā ar 16. jūlija nolēmumu pārziņiem, kas paļaujas uz līguma standartklauzulām (SCC), katrā gadījumā atsevišķi un attiecīgā gadījumā sadarbībā ar datu saņēmēju trešā valstī ir jāpārbauda, vai trešās valsts tiesību akti nodrošina nosūtīto personas datu aizsardzības līmeni, kas būtībā ir līdzvērtīgs Eiropas Ekonomikas zonā (EEZ) garantētajam aizsardzības līmenim. EST atļāva nosūtītājiem pievienot pasākumus, kas papildina SCC, lai nodrošinātu efektīvu atbilstību šim aizsardzības līmenim, ja SCC ietvertie aizsardzības pasākumi nav pietiekami.

Ieteikumu mērķis ir palīdzēt pārziņiem un apstrādātājiem, kas darbojas kā datu nosūtītāji, noteikt un īstenot atbilstīgus papildu pasākumus, ja tie ir vajadzīgi, lai nodrošinātu būtībā līdzvērtīgu aizsardzības līmeni datiem, ko tie nosūta uz trešām valstīm. Tādējādi EDAK cenšas konsekventi piemērot VDAR un Tiesas nolēmumu visā EEZ.

EDAK priekšsēdētāja Andrea Jelinek sacīja: “EDAK ir ļoti labi informēta par sprieduma Schrems II ietekmi uz tūkstošiem ES uzņēmumu un par svarīgo atbildību, kas tiek uzlikta datu nosūtītājiem. EDAK cer, ka šie ieteikumi var palīdzēt datu nosūtītājiem apzināt un īstenot efektīvus papildu pasākumus, ja tie ir vajadzīgi. Mūsu mērķis ir ļaut likumīgi pārsūtīt personas datus uz trešām valstīm, vienlaikus garantējot, ka nosūtītajiem datiem tiek nodrošināts aizsardzības līmenis, kas būtībā ir līdzvērtīgs EEZ garantētajam aizsardzības līmenim.”

Ieteikumos ir iekļauts ceļvedis par pasākumiem, kas datu nosūtītājiem jāveic, lai noskaidrotu, vai viņiem ir jāievieš papildu pasākumi, lai varētu nosūtīt datus ārpus EEZ saskaņā ar ES tiesību aktiem, un lai palīdzētu viņiem noteikt, kuri pasākumi varētu būt efektīvi. Lai palīdzētu datu nosūtītājiem, ieteikumos ir arī neizsmeļošs uzskaitījums ar papildu pasākumu piemēriem un dažiem nosacījumiem, kas tiem būtu vajadzīgi, lai tie būtu efektīvi.

Tomēr galu galā datu nosūtītāji ir atbildīgi par konkrēta novērtējuma veikšanu saistībā ar pārsūtīšanu, trešās valsts tiesību aktiem un pārsūtīšanas rīku, uz kuru tie paļaujas. Datu nosūtītājiem ir jārīkojas ar pienācīgu rūpību un rūpīgi jādokumentē viss process, jo saskaņā ar VDAR pārskatatbildības principu tie būs atbildīgi par lēmumiem, ko tie pieņem uz šī pamata. Turklāt datu nosūtītājiem būtu jāzina, ka visos gadījumos var nebūt iespējams īstenot pietiekamus papildu pasākumus.

Ieteikumi par papildu pasākumiem tiks iesniegti sabiedriskai apspriešanai. Tie būs piemērojami tūlīt pēc to publicēšanas.

Turklāt EDAK pieņēma ieteikumus par Eiropas pamatprasībām attiecībā uz uzraudzības pasākumiem. Ieteikumi par Eiropas pamatprasībām papildina ieteikumus par papildu pasākumiem. Ieteikumos par Eiropas pamatprasībām datu nosūtītājiem ir sniegti elementi, lai noteiktu, vai tiesisko regulējumu, kas reglamentē valsts iestāžu piekļuvi datiem uzraudzības nolūkos trešās valstīs, var uzskatīt par pamatotu iejaukšanos tiesībās uz privātumu un personas datu aizsardzībā un tādējādi par tādu, kas neskar VDAR 46. panta nosūtīšanas rīka saistības, uz kurām datu nosūtītājs un saņēmējs paļaujas.

Priekšsēdētāja piebilda: “Sprieduma Schrems II sekas attiecas uz visām datu pārsūtīšanām uz trešām valstīm. Tāpēc nav ne ātru risinājumu, ne universāla risinājuma attiecībā uz visām pārsūtīšanām, jo tādējādi netiktu ņemtas vērā ļoti dažādas situācijas, ar kurām saskaras datu nosūtītāji. Datu nosūtītājiem būs jāizvērtē savas datu apstrādes un nosūtīšanas darbības un jāveic efektīvi pasākumi, ņemot vērā to trešo valstu tiesisko kārtību, uz kurām tie nosūta vai plāno nosūtīt datus.”

EEZ datu aizsardzības uzraudzības iestādes turpinās koordinēt savas darbības EDAK, lai nodrošinātu konsekvenci ES datu aizsardzības tiesību aktu piemērošanā.

Piezīme redaktoriem:
Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_18

10 November 2020

Briselē, 10. novembrī. Eiropas Datu aizsardzības kolēģija 41. plenārsesijā ar 2/3 locekļu balsu vairākumu pieņēma savu pirmo lēmumu par strīdu izšķiršanu, pamatojoties uz VDAR 65. pantu. Saistošā lēmuma mērķis ir risināt strīdu, kas radies pēc Īrijas uzraudzības iestādes kā vadošās uzraudzības iestādes (LSA) lēmuma projekta attiecībā uz Twitter International Company, un būtiskiem un motivētiem iebildumiem, ko pēc tam paudušas vairākas iesaistītās uzraudzības iestādes (CSA).

Pēc tam, kad Twitter International Company 2019. gada 8. janvārī bija paziņojusi Īrijas uzraudzības iestādei par personas datu aizsardzības pārkāpumu, Īrijas uzraudzības iestāde pēc savas iniciatīvas veica izmeklēšanu un izpēti minētajā uzņēmumā un izdeva lēmuma projektu. Īrijas uzraudzības iestāde 2020. gada maijā iesniedza savu lēmuma projektu citām iesaistītajām uzraudzības iestādēm saskaņā ar VDAR 60. panta 3. punktu. Pēc tam citām iesaistītajām uzraudzības iestādēm bija četras nedēļas laika, lai iesniegtu savus būtiskos un motivētos iebildumus. Cita starpā iesaistītās uzraudzības iestādes izteica būtiskus un motivētus iebildumus par vadošās uzraudzības iestādes konstatētajiem VDAR pārkāpumiem, Twitter International Company kā (vienīgā) datu pārziņa lomu un ierosinātā naudas soda apmēra noteikšanu.

Tā kā vadošā uzraudzības iestāde noraidīja iebildumus un/vai uzskatīja, ka tie nav “būtiski un motivēti”, tā nodeva jautājumu izskatīšanai EDAK saskaņā ar VDAR 60. panta 4. punktu, tādējādi uzsākot strīdu izšķiršanas procedūru.

Pēc tam, kad vadošā uzraudzības iestāde bija iesniegusi attiecīgos dokumentus, tika izvērtēts, vai dokumentācija ir pilnīga, kā rezultātā 2020. gada 8. septembrī tika oficiāli uzsākta 65. panta procedūra. Saskaņā ar VDAR 65. panta 3. punktu un saistībā ar EDAK reglamenta 11. panta 4. punktu standarta pieņemšanas termiņš – viens mēnesis – tika pagarināts par vēl vienu mēnesi, ņemot vērā jautājuma sarežģītību.

EDAK 2020. gada 9. novembrī pieņēma saistošu lēmumu un drīzumā par to oficiāli paziņos Īrijas uzraudzības iestādei.

Īrijas uzraudzības iestāde pieņem galīgo lēmumu, pamatojoties uz EDAK lēmumu, kas tiks adresēts pārzinim, bez nepamatotas kavēšanās un ne vēlāk kā vienu mēnesi pēc tam, kad EDAK ir paziņojusi savu lēmumu. Vadošās uzraudzības iestāde un iesaistītās uzraudzības iestādes paziņo EDAK datumu, kurā galīgais lēmums tika paziņots pārzinim. Pēc šā paziņojuma saņemšanas EDAK publicēs savu lēmumu savā tīmekļa vietnē.

Pielikumā: 65. pants – Bieži uzdotie jautājumi

EDPB_Press Release_2020_17

21 October 2020

Briselē, 21. oktobrī — 20. oktobrī notika Eiropas Datu aizsardzības kolēģijas 40. plenārsesija. Plenārsesijā tika apspriests plašs tematu loks.

Pēc sabiedriskās apspriešanās EDAK pieņēma pamatnostādņu par integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma galīgo redakciju. Pamatnostādnēs galvenā uzmanība ir pievērsta pienākumam nodrošināt integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, kā noteikts VDAR 25. pantā. Galvenais pienākums, kas noteikts 25. pantā, ir efektīva datu aizsardzības principu un datu subjektu tiesību un brīvību īstenošana integrēti un pēc noklusējuma. Tas nozīmē, ka pārziņiem ir jāīsteno atbilstīgi tehniski un organizatoriski pasākumi un nepieciešamie aizsardzības pasākumi, kas izstrādāti, lai praksē pārliecinātos par datu aizsardzības principu ievērošanu un aizsargātu datu subjektu tiesības un brīvības. Turklāt pārziņiem būtu jāspēj pierādīt, ka īstenotie pasākumi ir efektīvi.

Pamatnostādnēs ietverti arī norādījumi par to, kā efektīvi īstenot VDAR 5. pantā minētos datu aizsardzības principus, uzskaitot galvenos integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma elementus, kā arī ir ietverti praktiski piemēri. Tās arī sniedz ieteikumus par to, kā pārziņi, apstrādātāji un ražotāji var sadarboties, lai īstenotu integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

Pamatnostādņu galīgajā redakcijā ir iekļauts atjaunināts formulējums un papildu juridiskā argumentācija, lai atbildētu uz sabiedriskās apspriešanas laikā saņemtajiem komentāriem un atsauksmēm.

EDAK nolēma izveidot koordinētu izpildes sistēmu (CEF). CEF nodrošina struktūru, lai koordinētu EDAK uzraudzības iestāžu (SA) periodiskās ikgadējās darbības. CEF mērķis ir atvieglot kopīgas darbības elastīgā un koordinētā veidā, sākot no kopējas informētības palielināšanas un informācijas apkopošanas līdz vērienīgām pārbaudēm un kopējām izmeklēšanām. Kārtējo ikgadējo koordinēto darbību mērķis ir veicināt atbilstību, dot datu subjektiem iespēju īstenot savas tiesības un palielināt informētību.

EDAK, atbildot Europäische Akademie für Informationsfreiheit und Datenschutz, pieņēma vēstuli par Autortiesību direktīvas 17. panta ietekmi uz datu aizsardzību, jo īpaši attiecībā uz augšupielādes filtriem. Vēstulē EDAK norāda, ka jebkādai personas datu apstrādei augšupielādes filtru vajadzībām jābūt samērīgai un nepieciešamai un ka, īstenojot Autortiesību direktīvas 17. pantu, personas dati pēc iespējas nebūtu jāapstrādā. Ja personas datu apstrāde ir nepieciešama, piemēram, kompensāciju mehānisma vajadzībām, šādiem datiem būtu jāattiecas tikai uz datiem, kas nepieciešami šim konkrētajam nolūkam, vienlaikus piemērojot visus pārējos VDAR principus. EDAK arī uzsvēra, ka tā pastāvīgi apmainās ar informāciju ar Eiropas Komisiju par šo jautājumu un ka tā ir norādījusi, ka ir gatava turpmākai sadarbībai.

Piezīme redaktoriem:
Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_16

12 October 2020

Briselē, 12. oktobrī. Eiropas Datu aizsardzības kolēģija 39. plenārsesijā pieņēma pamatnostādnes par būtiska un motivēta iebilduma jēdzienu. Pamatnostādnes veicinās vienotu jēdziena interpretāciju, kas turpmāk palīdzēs racionalizēt VDAR 65. pantā minētās procedūras.

VDAR paredzētā sadarbības mehānisma ietvaros uzraudzības iestādēm (UI) ir pienākums “savstarpēji apmainīties ar visu būtisko informāciju” un sadarboties “nolūkā panākt konsensu”. Saskaņā ar VDAR 60. panta 3. un 4. punktu vadošajai uzraudzības iestādei (LSA) ir jāiesniedz lēmuma projekts citām attiecīgajām uzraudzības iestādēm (CSA), kuras pēc tam noteiktā termiņā var izteikt būtisku un motivētu iebildumu. Saņemot būtisku un motivētu iebildumu, LSA ir divas iespējas. Ja tā neņem vērā būtisko un motivēto iebildumu vai uzskata, ka iebildums nav motivēts vai būtisks, tā iesniedz jautājumu kolēģijai, izmantojot konsekvences mehānismu (VDAR 65. pants). Ja LSA, gluži pretēji, ņem vērā iebildumu un izdod pārskatīto lēmuma projektu, CSA divu nedēļu laikā var izteikt būtisku un motivētu iebildumu par pārskatīto lēmuma projektu.

Pamatnostādņu mērķis ir izveidot vienotu izpratni par jēdzienu “būtisks un motivēts”, tostarp par to, kas būtu jāņem vērā, izvērtējot, vai iebildums “skaidri parāda to risku nozīmīgumu, ko lēmuma projekts rada” (VDAR 4. panta 24. punkts).

Piezīme redaktoriem:

Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_15

04 September 2020

Brisele, 3. septembris. Kolēģija pieņēma pamatnostādnes par pārziņa un apstrādātāja jēdzieniem VDAR un pamatnostādnes attiecībā uz sociālo plašsaziņas līdzekļu lietotājiem. Turklāt EDAK izveidoja darba grupu sūdzību izskatīšanai pēc Eiropas Savienības Tiesas sprieduma lietā Schrems II un darba grupu, kas nodarbojas ar papildu pasākumiem, kuri datu nosūtītājiem un saņēmējiem var būt jāveic, lai nodrošinātu pienācīgu aizsardzību, pārsūtot datus, ņemot vērā Eiropas Savienības Tiesas spriedumu lietā Schrems II.

Kolēģija pieņēma pamatnostādnes par pārziņa un apstrādātāja jēdzieniem VDAR. Kopš VDAR piemērošanas sākuma ir radušies jautājumi par to, kādā mērā ar VDAR ir ieviestas izmaiņas šajos jēdzienos, jo īpaši attiecībā uz kopīgo pārziņu jēdzienu (kā noteikts VDAR 26. pantā un turpmākos vairākos Eiropas Savienības Tiesas nolēmumos), kā arī apstrādātāju pienākumos (jo īpaši ar VDAR 28. pantu), kas noteikti VDAR IV nodaļā.

EDAK kopā ar tās sekretariātu 2019. gada martā organizēja ieinteresēto personu pasākumu, kurā kļuva skaidrs, ka ir vajadzīgi praktiskāki norādījumi, un tas ļāva Kolēģijai labāk izprast vajadzības un bažas šajā jomā. Jaunajām pamatnostādnēm ir divas galvenās daļas: vispirms izskaidrot dažādos jēdzienus, pēc tam sniegt sīki izstrādātus norādījumus par šo jēdzienu galvenajām sekām pārziņiem, apstrādātājiem un kopīgiem pārziņiem. Pamatnostādnēs ir iekļauta shēma, lai sniegtu turpmākus praktiskus norādījumus. Par pamatnostādnēm notiks sabiedriskā apspriešana.

EDAK pieņēma pamatnostādnes attiecībā uz sociālo plašsaziņas līdzekļu lietotājiem. Pamatnostādņu mērķis ir sniegt praktiskus norādījumus ieinteresētajām personām un ietvert daudzus dažādu situāciju piemērus, lai ieinteresētās personas varētu ātri noteikt “scenāriju”, kas ir vistuvākais attiecībā uz praksi, kuru tās plāno izmantot. Pamatnostādņu galvenais mērķis ir precizēt sociālo plašsaziņas līdzekļu uzturētāja un attiecīgā lietotāja uzdevumus un pienākumus. Šajā nolūkā pamatnostādnēs cita starpā ir noteikti iespējamie riski attiecībā uz indivīda brīvībām, galvenajiem dalībniekiem un to lomām, galveno datu aizsardzības prasību piemērošanu, piemēram, likumību un pārredzamību un NIDA, kā arī galvenajiem elementiem procedūrās starp sociālo mediju pakalpojumu sniedzējiem un attiecīgajiem lietotājiem. Turklāt pamatnostādnēs galvenā uzmanība ir pievērsta dažādiem piesaistes mehānismiem, īpašu kategoriju datu apstrādei un kopīgo pārziņu pienākumam izveidot atbilstošu kārtību saskaņā ar VDAR 26. pantu. Pamatnostādnes tiks iesniegtas sabiedriskai apspriešanai.

Kolēģija ir izveidojusi darba grupu, lai izskatītu sūdzības, kas iesniegtas pēc Eiropas Savienības Tiesas sprieduma Schrems II lietā. EEZ datu aizsardzības iestādēm kopumā ir iesniegtas 101 identiskas sūdzības par vairākiem datu pārziņiem EEZ dalībvalstīs saistībā ar Google/Facebook pakalpojumu izmantošanu, kas ietver personas datu nosūtīšanu. Sūdzības iesniedzēji, kurus pārstāv NGO NOYB, jo īpaši apgalvo, ka Google/Facebook pārsūta personas datus ASV, pamatojoties uz ES un ASV privātuma vairoga vai līguma standartklauzulām, un ka saskaņā ar neseno Eiropas Savienības Tiesas spriedumu lietā C-311/18 pārzinis nespēj nodrošināt sūdzības iesniedzēju personas datu pienācīgu aizsardzību. Darba grupa analizēs šo jautājumu un nodrošinās ciešu sadarbību starp Kolēģijas locekļiem.

Kā turpinājumu Eiropas Savienības Tiesas spriedumam Schrems II lietā un papildus 23. jūlijā pieņemtajam dokumentam “Bieži uzdotie jautājumi“ Kolēģija ir izveidojusi darba grupu. Šī darba grupa sagatavos ieteikumus, lai palīdzētu pārziņiem un apstrādātājiem noteikt un īstenot atbilstīgus papildu pasākumus, lai nodrošinātu pienācīgu aizsardzību, nosūtot datus uz trešām valstīm.

EDAK priekšsēdētāja Andrea Jelineka norādīja: “EDAK labi apzinās, ka Schrems II nolēmums uzliek pārziņiem svarīgu atbildību. Papildus paziņojumam un bieži uzdotajiem jautājumiem, ko mēs sagatavojām neilgi pēc sprieduma pasludināšanas, mēs sagatavosim ieteikumus, lai atbalstītu pārziņus un apstrādātājus attiecībā uz viņu pienākumu identificēt un īstenot atbilstīgus juridiska, tehniska un organizatoriska rakstura papildu pasākumus, lai, pārsūtot personas datus uz trešām valstīm, nodrošinātu atbilstību būtiskajam ekvivalences standartam. Tomēr sprieduma ietekme ir plaša, un datu pārsūtīšanas uz trešām valstīm konteksts ir ļoti atšķirīgs. Tāpēc nevar būt vienveidīgs, ātrs risinājums. Katrai organizācijai būs jāizvērtē savas datu apstrādes darbības un pārsūtīšana un jāveic atbilstīgi pasākumi.”

Piezīme redaktoriem:
Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_14

24 July 2020

Eiropas Datu aizsardzības kolēģija publicē dokumentu ar atbildēm uz biežāk uzdotajiem jautājumiem (BUJ) par EST spriedumu lietā C-311/18 (Schrems II)

Pēc Eiropas Savienības Tiesas sprieduma lietā C-311/18 – Data Protection Commissioner pret Facebook Ireland Ltd un Maximillian Schrems – EDAK ir pieņēmusi dokumentu “Biežāk uzdotie jautājumi”, lai sniegtu sākotnēju skaidrojumu un sniegtu iepriekšējus norādījumus ieinteresētajām personām par juridisko instrumentu izmantošanu personas datu nosūtīšanai uz trešām valstīm, tostarp uz ASV. Šis dokuments tiks precizēts un papildināts ar turpmākiem norādījumiem, jo EDAK turpina izskatīt un izvērtēt Tiesas spriedumu. 

BUJ dokuments par EST spriedumu lietā C-311/18 ir atrodams šeit.

EDAK_Paziņojums presei_paziņojums_2020_06

23 July 2020

Briselē, 23. jūlijā. Ņemot vērā gaidāmo Brexit pārejas perioda beigas, EDAK ir pieņēmusi informatīvu piezīmi, kurā izklāstītas darbības, kas jāveic uzraudzības iestādēm (UI), apstiprināto saistošo uzņēmuma noteikumu (SUN) turētājiem un organizācijām, kam Apvienotās Karalistes UI vēl nav pieņēmušas SUN, lai nodrošinātu, ka šos SUN pēc pārejas perioda beigām joprojām var izmantot kā derīgu nodošanas instrumentu. Tā kā Apvienotās Karalistes uzraudzības iestāde pārejas perioda beigās vairs nebūs uzskatāma par kompetentu uzraudzības iestādi saskaņā ar VDAR, Apvienotās Karalistes uzraudzības iestādes apstiprinājuma lēmumiem, kas pieņemti saskaņā ar VDAR, vairs nebūs juridiska spēka EEZ. Turklāt attiecīgo SUN saturs var būt jāgroza pirms pārejas perioda beigām, jo šajos SUN parasti ir atsauces uz Apvienotās Karalistes tiesisko regulējumu. Tas attiecas arī uz SUN, kas jau ir apstiprināti saskaņā ar Direktīvu 94/46/EK.

SUN turētājiem, kuru SUN vadošā UI ir Apvienotās Karalistes UI, ir jāievieš visi organizatoriskie pasākumi, lai EEZ identificētu jaunu SUN vadošo UI. SUN vadošās UI maiņai būs jānotiek pirms Brexit pārejas perioda beigām.

Pašreizējie SUN pieteikumu iesniedzēji tiek aicināti ieviest visus organizatoriskos pasākumus, lai savlaicīgi pirms Brexit pārejas perioda beigām EEZ identificētu jaunu SUN vadošo UI, tostarp sazināties ar attiecīgo uzraudzības iestādi, lai sniegtu visu nepieciešamo informāciju par to, kāpēc šī uzraudzības iestāde tiek uzskatīta par jauno SUN vadošo UI. Pēc tam tā pārņems pieteikumu un pēc EDAK atzinuma saņemšanas oficiāli uzsāks apstiprināšanas procedūru. Jebkuriem SUN, ko Apvienotās Karalistes UI apstiprinājusi saskaņā ar VDAR, būs nepieciešams, lai jaunā EEZ SUN vadošā UI izdotu jaunu apstiprinājuma lēmumu pirms pārejas perioda beigām, ņemot vērā EDAK atzinumu. EDAK arī pieņēma pielikumu, kurā ietverts to elementu kontrolsaraksts, kas jāgroza SUN dokumentos saistībā ar Brexit.

Šī informatīvā piezīme neattiecas uz analīzi, ko pašlaik veic EDAK par EST sprieduma par Data Protection Commissioner pret Facebook Ireland un Schrems ietekmi uz SUN kā nodošanas instrumentiem.

EDAK_Paziņojums presei_2020_13

20 July 2020

Briselē, 20. jūlijā EDAK tās 34. plenārsēdē pieņēma paziņojumu par EST nolēmumu lietā Facebook Ireland pret Schrems. Kolēģija pieņēma pamatnostādnes par mijiedarbību starp otro maksājumu pakalpojumu direktīvu (MPD2) un VDAR, kā arī atbildi uz EP deputātes Ďuriš Nicholsonová vēstuli par kontaktu izsekošanu, lietotņu savietojamību un NIDA.

EDAK pieņēma paziņojumu par spriedumu Eiropas Savienības Tiesas lietā C-311/18 Datu aizsardzības komisārs pret Facebook Ireland un Maximillian Schrems, ar kuru tiek pasludināts par spēkā neesošu Lēmums 2016/1250 par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, un pasludina par spēkā esošu Komisijas Lēmumu 2010/87 par līguma standartklauzulām (LSK) attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem.

Attiecībā uz privātuma vairogu EDAK norāda, ka ES un ASV ir jāpanāk pilnīgs un efektīvs regulējums, ar ko garantē, ka personas datu aizsardzības līmenis ASV ir būtībā līdzvērtīgs tam, ko garantē ES saskaņā ar spriedumu. EDAK plāno arī turpmāk konstruktīvi piedalīties personas datu transatlantiskās nosūtīšanas nodrošināšanā, kas nāks par labu EEZ iedzīvotājiem un organizācijām, un ir gatava sniegt Eiropas Komisijai palīdzību un norādījumus, lai kopā ar ASV palīdzētu tai izveidot jaunu sistēmu, kas pilnībā atbilst ES datu aizsardzības tiesību aktiem.

Attiecībā uz līguma standartklauzulām EDAK atzīmē nosūtītāja un saņēmēja galveno atbildību, izvērtējot, vai noslēgt LSK, lai nodrošinātu, ka ar tām tiek uzturēts aizsardzības līmenis, kas pēc būtības ir ekvivalents līmenim, ko garantē ar VDAR ES Hartas kontekstā. Veicot šādu iepriekšēju novērtējumu, eksportētājs (vajadzības gadījumā ar importētāja palīdzību) ņem vērā LSK saturu, nosūtīšanas īpašos apstākļus, kā arī importētāja valstī piemērojamo tiesisko regulējumu. Tiesa uzsver, ka nosūtītājam vajadzētu izvērtēt pasākumu ieviešanas iespēju papildus tiem pasākumiem, kas iekļauti LSK. EDAK turpinās vēl pētīt, no kā varētu sastāvēt šie papildu pasākumi.

EDAK arī ņem vērā kompetento uzraudzības iestāžu (UI) pienākumus apturēt vai aizliegt datu nosūtīšanu uz trešo valsti saskaņā ar LSK, ja, saskaņā ar kompetentās UI viedokli un ņemot vērā visus šīs nosūtīšanas apstākļus, šīs klauzulas šajā trešā valstī netiek vai nevar tikt ievērotas un nosūtīto datu aizsardzību nevar nodrošināt ar citiem līdzekļiem, jo īpaši, ja pārzinis vai apstrādātājs pats nav apturējis vai izbeidzis nosūtīšanu.

EDAK atgādina, ka tā ir pieņēmusi pamatnostādnes par VDAR 49. pantu un ka šādas atkāpes ir jāpiemēro katrā gadījumā atsevišķi.

EDAK sīkāk izvērtēs spriedumu un sniegs papildu skaidrojumu ieinteresētajām personām un norādījumus par instrumentu izmantošanu personas datu nosūtīšanai uz trešām valstīm saskaņā ar spriedumu. Kā norādījusi Eiropas Savienības Tiesa, EDAK un tās Eiropas uzraudzības iestādes ir gatavas nodrošināt konsekvenci visā EEZ.

Viss dokuments ir pieejams šeit: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

EDAK ir pieņēmusi pamatnostādnes par otro maksājumu pakalpojumu direktīvu (MPD2). Ar MPD2 tiek modernizēts maksājumu pakalpojumu tirgus tiesiskais regulējums. Svarīgi, ka ar MPD2 tiek ieviests jauns tiesiskais regulējums maksājumu iniciēšanas pakalpojumiem (MIP) un konta informācijas pakalpojumiem (KIP). Lietotāji var pieprasīt, ka šo jauno maksājumu pakalpojumu sniedzējiem tiek piešķirta piekļuve viņu maksājumu kontiem. Pēc ieinteresēto personu darbsemināra 2019. gada februārī EDAK izstrādāja pamatnostādnes par VDAR piemērošanu šiem jaunajiem maksājumu pakalpojumiem.

Pamatnostādnēs norādīts, ka šajā kontekstā īpašu kategoriju personas datu apstrāde ir visumā aizliegta (atbilstoši VDAR 9. panta 1. apakšpunktam), izņemot gadījumu, kad datu subjekts ir devis nepārprotamu piekrišanu (VDAR 9. panta 2. punkta a) apakšpunkts) vai apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ (VDAR 9. panta 2. punkta g) apakšpunkts).

Pamatnostādnēs ir arī aplūkoti nosacījumi, kādos kontu apkalpojošo maksājumu pakalpojumu sniedzēji piešķir MIP un KIP piekļuvi maksājumu kontu informācijai, jo īpaši detalizētu piekļuvi maksājumu kontiem.

Pamatnostādnēs paskaidrots, ka ne MPD2 66. panta 3. punkta g) apakšpunkts, ne 67. panta 2. punkta f) apakšpunkts neļauj veikt turpmāku apstrādi, ja vien datu subjekts nav devis piekrišanu atbilstoši VDAR 6. panta 1. punkta a) apakšpunktam vai uz apstrādi neattiecas Savienības vai dalībvalsts tiesību akti. Par pamatnostādnēm notiks sabiedriskā apspriešana.

Visbeidzot kolēģija pieņēma atbildes vēstuli EP deputātei Ďuriš Nicholsonová uz viņas jautājumiem par datu aizsardzību cīņas pret Covid-19 kontekstā. Vēstulē aplūkoti jautājumi par kontaktu izsekošanas lietotņu harmonizāciju un savietojamību, NIDA prasībām šādai apstrādei un periodu, kādā apstrāde jāievieš.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

Briselē, 17. jūnijā. Eiropas Datu aizsardzības kolēģija 32. plenārsesijā pieņēma paziņojumu par kontaktu izsekošanas lietotņu sadarbspēju, kā arī paziņojumu par robežu atvēršanu un datu aizsardzības tiesībām. Kolēģija arī pieņēma divas vēstules EP deputātam Körner – par šifrēšanu un par VDAR 25. pantu, kā arī vēstuli CEAOB par PCAOB pasākumiem.

EDAK pieņēma paziņojumu par kontaktu izsekošanas lietojumprogrammu sadarbspēju, pamatojoties uz EDAK pamatnostādnēm 04/2020 par atrašanās vietas datu un kontaktu izsekošanas rīku izmantošanu saistībā ar COVID-19 uzliesmojumu. Paziņojumā ir sniegta pamatīgāka analīze par galvenajiem aspektiem, tostarp pārredzamību, juridisko pamatu, kontroli, datu subjektu tiesībām, datu saglabāšanu un minimizēšanu, informācijas drošību un datu precizitāti saistībā ar sadarbspējīga lietojumprogrammu tīkla izveidi, kas jāapsver papildus tiem, kuri uzsvērti EDAK pamatnostādnēs 04/2020.

EDAK uzsver, ka datu apmaiņa par indivīdiem, kas ir diagnosticēti vai pārbaudīti pozitīvi ar šādām sadarbspējīgām lietotnēm, būtu jāuzsāk tikai ar lietotāja brīvprātīgu rīcību. Sniedzot datu subjektiem informāciju un kontroli, palielināsies viņu uzticība risinājumiem un to potenciālajai izmantošanai. Sadarbspējas mērķi nevajadzētu izmantot kā argumentu, lai paplašinātu personas datu vākšanu, pārsniedzot to, kas ir nepieciešams.

Turklāt kontaktu izsekošanas lietotnēm ir jābūt daļai no visaptverošas sabiedrības veselības stratēģijas pandēmijas apkarošanai, piemēram, testēšanai un turpmākai manuālai kontaktu izsekošanai, lai uzlabotu veikto pasākumu efektivitāti.

Sadarbspējas nodrošināšana ir ne tikai tehniski sarežģīta un dažkārt neiespējama bez nesamērīgiem kompromisiem, bet arī rada potenciālu paaugstinātu datu aizsardzības risku. Tāpēc pārziņiem ir jānodrošina, ka pasākumi ir efektīvi un samērīgi, un jānovērtē, vai to pašu mērķi var sasniegt ar mazāk ierobežojošu alternatīvu.

EDAK pieņēma paziņojumu par personas datu apstrādi saistībā ar Šengenas robežu atkal atvēršanu pēc COVID-19 uzliesmojuma. Dalībvalstu pašlaik paredzētie vai īstenotie pasākumi, kas ļauj droši atkal atvērt robežas, ietver COVID-19 testēšanu, kuras veikšanai nepieciešami veselības aprūpes speciālistu izsniegti sertifikāti un brīvprātīgas kontaktu izsekošanas lietotnes izmantošana. Lielākā daļa pasākumu ir saistīti ar personas datu apstrādi.

EDAK atgādina, ka datu aizsardzības tiesību akti joprojām ir piemērojami un ļauj efektīvi reaģēt uz pandēmiju, vienlaikus aizsargājot pamattiesības un pamatbrīvības. EDAK uzsver, ka personas datu apstrādei jābūt nepieciešamai un samērīgai un aizsardzības līmenim jābūt konsekventam visā EEZ. Paziņojumā EDAK mudina dalībvalstis pieņemt kopēju Eiropas pieeju, lemjot par to, kura personas datu apstrāde ir nepieciešama šajā kontekstā.

Paziņojumā aplūkoti arī VDAR principi, kuriem dalībvalstīm jāpievērš īpaša uzmanība, apstrādājot personas datus saistībā ar robežas atkal atvēršanu. Tie ietver likumību, taisnīgumu un pārredzamību, mērķa ierobežojumus, datu minimizēšanu, uzglabāšanas ierobežojumus, datu drošību un integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma. Turklāt lēmumam atļaut ieceļot valstī nevajadzētu būt balstītam tikai uz automatizētajām individuālajām lēmumu pieņemšanas tehnoloģijām. Jebkurā gadījumā uz šādiem lēmumiem būtu jāattiecina atbilstošas garantijas, kurās būtu jāietver konkrēta informācija datu subjektam un tiesības panākt cilvēka iejaukšanos, paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šāda novērtējuma, un apstrīdēt lēmumu. Automatizēti individuālo lēmumu pieņemšanas pasākumi nebūtu jāattiecina uz bērniem.

Visbeidzot, EDAK uzsver, cik svarīga ir iepriekšēja apspriešanās ar kompetentajām valsts uzraudzības iestādēm, ja dalībvalstis šajā sakarā plāno apstrādāt personas datus.

EDAK pieņēma atbildi uz EP deputāta Moritz Körner vēstuli par šifrēšanas aizliegumu nozīmi trešās valstīs, lai novērtētu datu aizsardzības līmeni, kad personas dati tiek nosūtīti uz valstīm, kurās šie aizliegumi pastāv. EDAK uzskata, ka jebkurš šifrēšanas aizliegums vai noteikumi, kas vājina šifrēšanu, nopietni apdraudētu atbilstību VDAR drošības pienākumiem, kas piemērojami pārziņiem un apstrādātājiem, neatkarīgi no tā, vai tie ir trešā valstī vai EEZ. Drošības pasākumi ir viens no elementiem, kas Eiropas Komisijai jāņem vērā, novērtējot aizsardzības līmeņa pietiekamību trešā valstī.

Otra vēstule EP deputātam Körner attiecas uz klēpjdatora kameru apvalku tematu. EP deputāts Körner uzsvēra, ka šī tehnoloģija varētu palīdzēt ievērot VDAR, un ierosināja ar to aprīkot jaunus klēpjdatorus. Savā atbildē kolēģija precizē, ka, lai gan klēpjdatoru ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, izstrādājot un attīstot šādus produktus, tie nav atbildīgi par apstrādi, kas veikta ar minētajiem produktiem, un VDAR nenosaka juridiskus pienākumus ražotājiem, ja vien tie nerīkojas arī kā pārziņi vai apstrādātāji. Pārziņiem jānovērtē katras apstrādes riski un jāizvēlas atbilstoši aizsardzības pasākumi, lai nodrošinātu atbilstību VDAR, tostarp integrētajai privātuma aizsardzībai un privātuma aizsardzībai pēc noklusējuma, kas paredzēta VDAR 25. pantā.

Visbeidzot, EDAK pieņēma vēstuli Eiropas  Revīzijas pārraudzības struktūru komitejai (CEAOB). EDAK saņēma priekšlikumu no CEAOB, kas apvieno valstu revidentu pārraudzības struktūras ES līmenī, lai sadarbotos un saņemtu atsauksmes par sarunām attiecībā uz administratīvo pasākumu projektu datu nodošanai ASV Atklātu akciju sabiedrību grāmatvedības uzraudzības padomei (PCAOB). EDAK atzinīgi vērtē šo priekšlikumu un norāda, ka ir iespējams veikt informācijas apmaiņu ar CEAOB, lai precizētu visus iespējamos jautājumus par datu aizsardzības prasībām saistībā ar šādiem pasākumiem, ņemot vērā EDAK pamatnostādnes 2/2020 par VDAR 46. panta 2. punkta a) apakšpunktu un 46. panta 3. punkta b) apakšpunktu attiecībā uz personas datu nosūtīšanu starp EEZ un ārpus EEZ esošām publiskām iestādēm. Viedokļu apmaiņā varētu iesaistīt arī PCAOB, ja CEAOB un tās locekļi to uzskatītu par lietderīgu darbam pie šiem pasākumiem.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

10 June 2020

Brisele, 10. jūnijs. Eiropas Datu aizsardzības kolēģijas 31. plenārsēdē tika nolemts izveidot darba grupu, lai koordinētu iespējamās darbības un iegūtu vispusīgāku pārskatu par TikTok veikto apstrādi un praksi visā ES, un pieņēma vēstuli par to, kā tiesībaizsardzības iestādes izmanto Clearview AI. Turklāt EDAK pieņēma atbildi ENISA Padomdevēju grupai un vēstuli, atbildot uz NOYB atklāto vēstuli.

EDAK paziņoja par savu lēmumu izveidot darba grupu, lai koordinētu iespējamās darbības un iegūtu visaptverošāku pārskatu par TikTok veikto apstrādi un praksi visā ES.

Atbildot uz EP deputāta Körner pieprasījumu attiecībā uz TikTok, EDAK norāda, ka tā jau ir izdevusi pamatnostādnes un ieteikumus, kas ir jāņem vērā visiem datu pārziņiem, uz kuru veikto datu apstrādi attiecas VDAR, jo īpaši attiecībā uz persondatu nosūtīšanu uz trešām valstīm, materiālajiem un procesuālajiem nosacījumiem attiecībā uz valsts iestāžu piekļuvi personas datiem vai VDAR teritoriālās darbības jomas piemērošanu, jo īpaši attiecībā uz nepilngadīgo datu apstrādi. EDAK atgādina, ka VDAR attiecas uz persondatu apstrādi, ko veic pārzinis, pat ja tas neatrodas Savienībā, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu datu subjektiem Savienībā.

Atbildot Eiropas Parlamenta deputātiem par Clearview AI, EDAK pauda bažas par dažām izmaiņām sejas atpazīšanas tehnoloģijās. EDAK atgādina, ka saskaņā ar Tiesībaizsardzības direktīvu (ES) 2016/680 tiesībaizsardzības iestādes var apstrādāt biometriskos datus nolūkā veikt fiziskas personas unikālu identifikāciju tikai saskaņā ar direktīvas 8. un 10. panta stingrajiem nosacījumiem.

EDAK šaubās, vai kāds no Savienības vai dalībvalsts tiesību aktiem nodrošina juridisko pamatu tāda pakalpojuma izmantošanai, kādu piedāvā Clearview AI. Tāpēc pašreizējā redakcijā un neskarot jebkādu turpmāku vai jau notiekošu izmeklēšanu nav iespējams pārliecināties par ES tiesībaizsardzības iestāžu veiktās pakalpojuma izmantošanas likumību.

Tāpēc, neskarot turpmāku analīzi, kuras pamatā ir sniegtie papildu elementi, EDAK uzskata, ka tāda pakalpojuma kā Clearview AI izmantošana, ko veic tiesībaizsardzības iestādes Eiropas Savienībā, pašreizējā redakcijā, visticamāk, neatbilstu ES datu aizsardzības režīmam.

Visbeidzot, EDAK atsaucas uz savām pamatnostādnēm par persondatu apstrādi, izmantojot videoierīces, un paziņo par gaidāmo darbu saistībā ar sejas atpazīšanas tehnoloģiju izmantošanu tiesībaizsardzības iestādēs.

Atbildot uz Eiropas Savienības Kiberdrošības aģentūras (ENISA) vēstuli ar lūgumu EDAK iecelt pārstāvi ENISA padomdevēju grupā, kolēģija par pārstāvi iecēla CNIL ģenerālsekretāra vietnieku Gwendal Le Grand. Padomdevēja grupa palīdz ENISA izpilddirektoram izstrādāt gada darba programmu un nodrošināt saziņu ar attiecīgajām ieinteresētajām personām.

EDAK pieņēma atbildi uz NOYB atklāto vēstuli par uzraudzības iestāžu sadarbību un konsekvences procedūrām. Savā vēstulē kolēģija norāda, ka tā pastāvīgi strādā, lai uzlabotu sadarbību starp uzraudzības iestādēm un konsekvences procedūrām. Kolēģija apzinās, ka ir jautājumi, kas jāuzlabo, piemēram, atšķirības valstu administratīvajos procesuālajos tiesību aktos un praksē, kā arī laiks un resursi, kas vajadzīgi, lai atrisinātu pārrobežu lietas. Kolēģija atkārtoti uzsver, ka tā ir apņēmusies rast risinājumus, ja tie ir tās kompetencē.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_10

03 June 2020

Briselē, 3. jūnijā. Eiropas Datu aizsardzības kolēģija 30. plenārsesijā pieņēma paziņojumu par datu subjektu tiesībām saistībā ar ārkārtas stāvokli dalībvalstīs. Kolēģija arī pieņēma vēstuli, atbildot uz Pilsoņu brīvību savienības Eiropai, Access Now un Ungārijas Pilsoņu brīvību savienības (HCLU) vēstuli par Ungārijas valdības 2020. gada 4. maija Dekrētu Nr. 179/2020.

EDAK atgādina, ka pat šajos ārkārtējos laikos personas datu aizsardzība ir jānodrošina visos ārkārtas pasākumos, tādējādi veicinot tādu vispārējo vērtību ievērošanu kā demokrātija, tiesiskums un pamattiesības, kas ir Eiropas Savienības pamatā.

Gan paziņojumā, gan vēstulē EDAK atkārtoti uzsver, ka VDAR joprojām ir piemērojama un ļauj efektīvi reaģēt uz pandēmiju, vienlaikus aizsargājot pamattiesības un pamatbrīvības. Datu aizsardzības tiesību akti jau ļauj veikt datu apstrādes darbības, kas vajadzīgas, lai veicinātu cīņu pret Covid-19 pandēmiju.

Paziņojumā atgādināti pamatprincipi attiecībā uz datu subjektu tiesību ierobežojumiem saistībā ar ārkārtas stāvokli dalībvalstīs:

  • Ierobežojumi, kas ir vispārīgi, plaši vai uzmācīgi tiktāl, ciktāl ar tiem tiek pārkāptas pamattiesības uz to pamatsastāvu, nav attaisnojami.
  • Īpašos apstākļos VDAR 23. pants ļauj valstu likumdevējiem ar leģislatīvu pasākumu ierobežot pārziņu un apstrādātāju pienākumu darbības jomu un datu subjektu tiesības, ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un ja tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs pasākums, lai aizsargātu svarīgus Eiropas Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, piemēram, sabiedrības veselību.
  • Datu subjektu tiesības ir pamattiesību uz datu aizsardzību pamatā, un VDAR 23. pants ir jāinterpretē un jālasa, paturot prātā, ka to piemērošanai jābūt vispārējam noteikumam. Tā kā ierobežojumi ir vispārējā noteikuma izņēmumi, tie ir jāpiemēro tikai ierobežotos apstākļos.
  • Ierobežojumi ir jāparedz “tiesību aktos”, un tiesību aktiem, ar kuriem nosaka ierobežojumus, ir jābūt pietiekami skaidriem, lai iedzīvotāji varētu saprast nosacījumus, kādos pārziņi ir tiesīgi tos izmantot. Turklāt ierobežojumiem jābūt paredzamiem personām, uz kurām tie attiecas. Ierobežojumi, kuri noteikti uz nenoteiktu laiku, kuri ir piemērojami ar atpakaļejošu spēku vai uz kuriem attiecas nenoteikti nosacījumi, neatbilst paredzamības kritērijam.
  • Tikai pandēmijas vai citas ārkārtas situācijas esamība vien nav pietiekams iemesls, lai paredzētu jebkāda veida ierobežojumus datu subjektu tiesībām. Gluži pretēji, jebkuram ierobežojumam ir noteikti jāveicina svarīga ES vai kādas dalībvalsts vispārējo sabiedrības interešu mērķa aizsardzība.
  • Ārkārtas stāvoklis, kas pieņemts pandēmijas kontekstā, ir juridisks nosacījums, kas var leģitimizēt datu subjektu tiesību ierobežojumus, ja šos ierobežojumus piemēro tikai tiktāl, ciktāl tas ir absolūti nepieciešami un samērīgi, lai aizsargātu sabiedrības veselības aizsardzības mērķi. Tādējādi ierobežojumiem ir jābūt stingri ierobežotiem darbības jomas un laika ziņā, jo var ierobežot datu subjektu tiesības, bet nevar tās liegt. Turklāt pilnībā jāpiemēro VDAR 23. panta 2. punktā paredzētās garantijas.
  • Ierobežojumi, kas pieņemti saistībā ar ārkārtas stāvokli, apturot vai atliekot datu subjektu tiesību piemērošanu, un datu pārziņu un apstrādātāju pienākumi bez skaidriem laika ierobežojumiem būtu pielīdzināmi šo tiesību faktiskai pilnīgai apturēšanai un nebūtu saderīgi ar pamattiesību un pamatbrīvību būtību.

Turklāt EDAK paziņoja, ka turpmākajos mēnešos tā izdos pamatnostādnes par VDAR 23. panta īstenošanu.

30. plenārsesijas darba kārtība ir pieejama šeit.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

20 May 2020

Briselē, 20. maijā. EDAK 28. plenārsesijā pieņēma VDAR 64. panta atzinumu par Slovēnijas uzraudzības iestādes (SA) iesniegto līguma standartklauzulu projektu un nolēma publicēt reģistru, kurā iekļauti “vienas pieturas aģentūras” lēmumi.

EDAK pieņēma atzinumu par līguma standartklauzulu (SCC) projektu attiecībā uz pārziņa-apstrādātāja līgumiem, ko Slovēnijas uzraudzības iestāde iesniedza kolēģijai. Atzinuma mērķis ir nodrošināt VDAR 28. panta konsekventu piemērošanu, kas pārziņiem un apstrādātājiem uzliek pienākumu slēgt līgumu vai pieņemt citu tiesību aktu, kurā noteikti pušu attiecīgie pienākumi. Saskaņā ar VDAR 28. panta 6. punktu šos līgumus vai citus tiesību aktus var pilnībā vai daļēji balstīt uz līguma standartklauzulām, ko pieņēmusi uzraudzības iestāde. Atzinumā kolēģija sniedz vairākus ieteikumus, kas jāņem vērā, lai šos SCC projektus varētu uzskatīt par līguma standartklauzulām. Ja visi ieteikumi tiks īstenoti, Slovēnijas SA varēs pieņemt šo nolīguma projektu kā līguma standartklauzulas saskaņā ar VDAR 28. panta 8. punktu.

EDAK savā tīmekļa vietnē publicēs reģistru, kurā būs iekļauti valstu uzraudzības iestāžu lēmumi, kas pieņemti pēc vienas pieturas aģentūras sadarbības procedūras (VDAR 60. pants).

Saskaņā ar VDAR uzraudzības iestādēm ir pienākums sadarboties lietās, kurās ir pārrobežu elements, lai nodrošinātu regulas konsekventu piemērošanu — tā saukto vienas pieturas aģentūras (OSS) mehānismu. Saskaņā ar OSS galvenā uzraudzības iestāde (LSA) ir atbildīga par lēmumu projektu sagatavošanu un sadarbojas ar attiecīgajām uzraudzības iestādēm, lai panāktu vienprātību. Līdz 2020. gada aprīļa beigām LSA ir pieņēmušas 103 galīgos OSS lēmumus. EDAK plāno publicēt kopsavilkumus angļu valodā, ko sagatavojis EDAK sekretariāts. Informācija tiks publiskota pēc apstiprinājuma saņemšanas no attiecīgās LSA un saskaņā ar attiecīgās valsts tiesību aktos paredzētajiem nosacījumiem.

Piezīme redaktoriem

Lūdzam ņemt vērā, ka visiem EDAK plenārsesijā pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Briselē, 20. februārī – 18. un 19. februārī norisinājās Eiropas Datu aizsardzības kolēģijas (turpmāk – EDAK)  astoņpadsmitā plenārsesija, kurā tikās EEZ uzraudzības iestādes un Eiropas Datu aizsardzības uzraudzītājs. Plenārsesijas laikā tika apspriest plašs tematu loks.

EDAK un atsevišķas EEZ uzraudzības iestādes piedalījās VDAR novērtēšanā un pārskatīšanā, kā noteikts VDAR 97. pantā. EDAK uzskata, ka VDAR piemērošana pirmajos 20 mēnešos ir bijusi sekmīga. Lai gan nepieciešamnība pēc pietiekamiem resursiem joprojām rada bažas visām uzraudzības iestādēm un joprojām pastāv izaicinājumi, ko rada, piemēram, valstu procedūru sadrumstalotība, Kolēģija ir pārliecināta, ka uzraudzības iestāžu sadarbība radīs kopīgu datu aizsardzības kultūru un konsekventu praksi. EDAK izskata iespējamos risinājumus šo problēmu pārvarēšanai un esošo sadarbības procedūru uzlabošanai. Tā arī aicina Eiropas Komisiju pārbaudīt, vai valstu procedūras ietekmē sadarbības procedūru efektivitāti, un uzskata, ka  arī likumdevējam var būt nozīme turpmākas saskaņošanas nodrošināšanā. Savā novērtējumā EDAK pievēršas arī tādiem jautājumiem kā starptautiskie nodošanas līdzekļi, ietekme uz maziem un vidējiem uzņēmējiem, Uzraudzības iestāžu resursi un jaunu tehnoloģiju izstrāde. EDAK secina, ka šobrīd pārskatīt VDAR ir pāragri.

EDAK pieņēma vadlīniju projektu, lai sniegtu detalizētāku skaidrojumu par VDAR 46. panta 2. punkta a) apakšpunkta un 46. panta 3. punkta b) apakšpunkta piemērošanu. Šie panti attiecas uz personas datu nosūtīšanu no EEZ valsts iestādēm vai struktūrām publiskām struktūrām trešajās valstīs vai starptautiskām organizācijām, ja uz šādu nosūtīšanu neattiecas lēmums par aizsardzības līmeņa pietiekamību (adekvātuma lēmums). Vadlīnijas noteic ieteikumus, kādus aizsardzības pasākumus ieviest juridiski saistošos instrumentos (46. panta 2. punkta a) apakšpunkts) vai administratīvos pasākumos (46. panta 3. punkta b) apakšpunkts), lai nodrošinātu, ka tiek sasniegts un netiek apdraudēts Vispārīgajā datu aizsardzības regulā noteiktais fizisku personu aizsardzības līmenis. Vadlīnijas tiks iesniegtas publiskajai apspriešanai.

Ziņojums par apvienošanās ietekmi uz privātumu
Pēc paziņojuma par Google LLC nodomu iegādāties Fitbit, EDAK pieņēma ziņojumu, kurā uzsvēra, ka iespējama turpmāka sensitīvu personas datu par cilvēkiem Eiropā apvienošana un uzkrāšana, ko veic liels tehnoloģiju uzņēmums, kas varētu radīt augstu risku pamattiesībām uz privātumu un datu aizsardzību. EDAK saskaņā ar pārskatatbildības principu pie ierosinātās apvienošanās atgādina pusēm par to pienākumiem saskaņā ar VDAR - pārredzamā veidā veikt pilnīgu novērtējumu par datu aizsardzības prasībām un apvienošanās ietekmi uz privātumu. Kolēģija arī aicināja puses mazināt iespējamos apvienošanās riskus attiecībā uz tiesībām uz privātumu un datu aizsardzību, pirms par apvienošanos tiek paziņots Eiropas Komisijai. EDAK apsvērs, kā šī apvienošanās varētu ietekmēt personas datu aizsardzību Eiropas Ekonomikas zonā, un ir gatava turpmāk pēc pieprasījuma sniegt Komisijai ieteikumus par ierosināto apvienošanos.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visiem Eiropas Datu aizsardzības kolēģijas plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary