Europeiska dataskyddsstyrelsen

Nyheter från Europeiska dataskyddsstyrelsen

20 November 2020

Brussels, 20 November - On November 19th, the EDPB met for its 42nd plenary session. During the plenary, the European Commission presented two new sets of draft Standard Contractual Clauses (SCCs) and the EDPB adopted a statement on the future ePrivacy Regulation.
 
The European Commission presented two draft SCCs: one set of SCCs for contracts between controllers and processors, and another one for data transfers outside the EU. The draft controller-processor SCCs are fully new and have been developed by the Commission in accordance with Art. 28 (7) GDPR and Art. 29 (7) of Regulation 2018/1725. These SCCs will have an EU-wide effect and aim to ensure full harmonisation and legal certainty across the EU when it comes to contracts between controllers and their processors. In addition, the Commission presented another set of SCCs for the transfer of personal data to third countries pursuant to Art. 46 (2) (c) GDPR. These SCCs will replace the existing SCCs for international transfers that were adopted on the basis of Directive 95/46 and needed to be updated to bring them in line with GDPR requirements, as well as with the CJEU’s ‘Schrems II’ ruling, and to better reflect the widespread use of new and more complex processing operations often involving multiple data importers and exporters. The Commission has requested a joint opinion from the EDPB and the EDPS on the implementing acts on both sets of SCCs.
 
EDPB Chair Andrea Jelinek said: “The new SCCs for the transfer of personal data to third countries have been highly anticipated, and it is important to point out that they are not a catch-all solution for data transfers post-Schrems II. While the updated SCCs are an important piece of the puzzle and a very important development, data exporters should still make the puzzle complete. The step-by-step approach of the EDPB recommendations on supplementary measures is necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. Together with the EDPS, the Board will now thoroughly draft a joint opinion on the two sets of draft SCCs as invited by the European Commission.”
 
Recommendations 1/2020 on supplementary measures: During the plenary, the Members of the Board decided to extend the deadline for the public consultation on the Recommendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data from 30 November 2020 until 21 December 2020.

The EDPB adopted a statement on the future ePrivacy Regulation and the future role of supervisory authorities and the EDPB in this context. The EDPB expressed concerns about some new orientations of the discussions in the Council concerning the enforcement of the future ePrivacy Regulation, which could lead to fragmented supervision, procedural complexity and a lack of consistency and legal certainty for individuals and companies. The EDPB underlines that many of the provisions of the future ePrivacy Regulation concern processing of personal data and that many provisions of the GDPR and the ePrivacy Regulation are closely intertwined. Consistent interpretation and enforcement of both sets of rules, when covering personal data protection, would therefore be fulfilled in the most efficient way, if the enforcement of those parts of the ePrivacy Regulation and the GDPR would be entrusted to the same authority.
 
EDPB Chair Andrea Jelinek added: “The oversight of personal data processing activities under the ePrivacy Regulation should  be entrusted  to  the  same  national  authorities that are responsible for the enforcement of the GDPR. This will ensure a high level of data protection, guarantee a level playing field and ensure a harmonised interpretation and enforcement of the personal data processing elements of the ePrivacy Regulation across the EU.”
 
The EDPB also stressed the need to adopt the new Regulation as soon as possible.
 
The EDPB added that this statement is without prejudice to the Board’s previous positions, including its statement of March 2019 and May 2018 and reiterated that the future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for confidentiality and protection of all types of electronic communications.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Bryssel den 11 november — Europeiska dataskyddsstyrelsen antog vid sin 41:a plenarsession rekommendationer om åtgärder som kompletterar överföringsverktygen för att säkerställa överensstämmelse med EU:s skyddsnivå för personuppgifter samt rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder.

Båda dokumenten antogs som en uppföljning av EU-domstolens dom i målet Schrems II.Till följd av avgörandet av den 16 juli är personuppgiftsansvariga som förlitar sig på standardavtalsklausuler skyldiga att från fall till fall, och i förekommande fall i samarbete med mottagaren av uppgifterna i tredjelandet, kontrollera om tredjelandets lagstiftning garanterar en skyddsnivå för de överförda personuppgifterna som i allt väsentligt är likvärdig med den som garanteras i Europeiska ekonomiska samarbetsområdet (EES). Domstolen godtog att exportörer lägger till åtgärder som kompletterar standardavtalsklausulerna för att säkerställa en effektiv efterlevnad av den skyddsnivån om skyddsåtgärderna i standardavtalsklausulerna inte är tillräckliga.

Rekommendationerna syftar till att hjälpa personuppgiftsansvariga och personuppgiftsbiträden som fungerar som uppgiftsutförare med deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder där sådana behövs för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de uppgifter som de överför till tredjeländer. Därigenom eftersträvar Europeiska dataskyddsstyrelsen en enhetlig tillämpning av den allmänna dataskyddsförordningen och domstolens dom i hela EES.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen, sade: ”Europeiska dataskyddsstyrelsen är mycket medveten om konsekvenserna av Schrems II-domen för tusentals företag i EU och det viktiga ansvar som den lägger på uppgiftsexportörer. Europeiska dataskyddsstyrelsen hoppas att dessa rekommendationer kan hjälpa uppgiftsexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs. Vårt mål är att möjliggöra laglig överföring av personuppgifter till tredjeländer och samtidigt garantera att de överförda uppgifterna ges en skyddsnivå som i allt väsentligt motsvarar den som garanteras inom EES. ”

Rekommendationerna innehåller en färdplan för de åtgärder som uppgiftsexportörer måste vidta för att ta reda på om de behöver införa kompletterande åtgärder för att kunna överföra uppgifter utanför EES i enlighet med EU-lagstiftningen och hjälper dem att identifiera vilka sådana åtgärder som skulle kunna vara effektiva. För att hjälpa uppgiftsexportörer innehåller rekommendationerna också en icke uttömmande förteckning över exempel på kompletterande åtgärder och några av de villkor som de skulle kräva för att vara effektiva.

I slutänden ansvarar dock exportörerna för att göra den konkreta bedömningen utifrån överföringen, tredjelandets lagstiftning och det överföringsverktyg som de förlitar sig på. Uppgiftsexportörer måste gå vidare med tillbörlig aktsamhet och noggrant dokumentera sin process, eftersom de kommer att hållas ansvariga för de beslut som de fattar på grundval av detta, i enlighet med principen om ansvarsskyldighet i den allmänna dataskyddsförordningen. Dessutom bör uppgiftsexportörerna veta att det kanske inte är möjligt att genomföra tillräckliga kompletterande åtgärder i varje enskilt fall.

Rekommendationerna om de kompletterande åtgärderna kommer att läggas fram för offentligt samråd. De kommer att börja gälla omedelbart efter det att de har offentliggjorts.

Dessutom antog Europeiska dataskyddsstyrelsen rekommendationer om de europeiska grundläggande garantierna för övervakningsåtgärder. Rekommendationerna om de europeiska grundläggande garantierna kompletterar rekommendationerna om kompletterande åtgärder. Rekommendationerna om europeiska grundläggande garantier ger uppgiftsexportörer underlag för att avgöra om den rättsliga ram som reglerar offentliga myndigheters tillgång till uppgifter för övervakningsändamål i tredjeländer kan betraktas som ett motiverat ingrepp i rätten till integritet och skydd av personuppgifter, och därmed inte inkräktar på de åtaganden i det överföringsverktyg enligt artikel 46 i den allmänna dataskyddsförordningen som uppgiftsutföraren och uppgiftsinföraren förlitar sig på.

Ordföranden tillade: ”Konsekvenserna av Schrems II-domen omfattar alla överföringar till tredjeländer. Därför finns det inga snabba lösningar eller någon universallösning för alla överföringar, eftersom detta skulle ignorera de många olika situationer som exportörer av uppgifter ställs inför. Uppgiftsexportörer kommer att behöva utvärdera sin uppgiftsbehandling och sina överföringar och vidta effektiva åtgärder med beaktande av rättsordningen i de tredjeländer till vilka de överför eller avser att överföra uppgifter. ”

EES-tillsynsmyndigheterna kommer att fortsätta att samordna sina åtgärder i Europeiska dataskyddsstyrelsen för att säkerställa en enhetlig tillämpning av EU: s dataskyddslagstiftning.

Not till redaktörerna:
observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_18

10 November 2020

Brussels, 10 November - During its 41st plenary session, the EDPB adopted by a 2/3 majority of its members its first dispute resolution decision on the basis of Art. 65 GDPR. The binding decision seeks to address the dispute arisen following a draft decision issued by the Irish SA as lead supervisory authority (LSA) regarding Twitter International Company and the subsequent relevant and reasoned objections (RROs) expressed by a number of concerned supervisory authorities (CSAs). 

The Irish SA issued the draft decision following an own-volition inquiry and investigations into Twitter International Company, after the company notified the Irish SA of a personal data breach on 8 January 2019. In May 2020, the Irish SA shared its draft decision with the CSAs in accordance with Art. 60 (3) GDPR. The CSAs then had four weeks to submit their RROs. Among others, the CSAs issued RROs on the infringements of the GDPR identified by the LSA, the role of Twitter International Company as the (sole) data controller, and the quantification of the proposed fine. 

As the LSA rejected the objections and/or considered they were not “relevant and reasoned”, it referred the matter to the EDPB in accordance with Art 60 (4) GDPR, thereby initiating the dispute resolution procedure. 

Following the submission by the LSA, the completeness of the file was assessed, resulting in the formal launch of the Art. 65 procedure on 8 September 2020. In compliance with Article 65 (3) GDPR and in conjunction with Article 11.4 of the EDPB Rules of Procedure, the default adoption timeline of one month was extended by a further month because of the complexity of the subject matter. 

On 9 November 2020, the EDPB adopted its binding decision and will shortly notify it formally to the Irish SA. 

The Irish SA shall adopt its final decision on the basis of the EDPB decision, which will be addressed to the controller, without undue delay and at the latest one month after the EDPB has notified its decision. The LSA and CSAs shall notify the EDPB of the date the final decision was notified to the controller. Following this notification, the EDPB will publish its decision on its website.

For further information see: Art. 65 FAQ

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_17

21 October 2020

Brussels, 21 October - On October 20th, the EDPB met for its 40th plenary session. During the plenary, a wide range of topics was discussed. 

Following public consultation, the EDPB adopted a final version of the Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation enshrined in Art.25 is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This means that controllers have to implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in practice and to protect the rights and freedoms of data subjects. In addition, controllers should be able to demonstrate that the implemented measures are effective. 

The Guidelines also contain guidance on how to effectively implement the data protection principles in Article 5 GDR, listing key design and default elements, as well as practical cases for illustration. They further provide recommendations on how controllers, processors and producers can cooperate to achieve DPbDD.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation.

The EDPB decided to set up a Coordinated Enforcement Framework (CEF). The CEF provides a structure for coordinating recurring annual activities by EDPB Supervisory Authorities (SAs). The objective of the CEF is to facilitate joint actions in a flexible and coordinated manner, ranging from joint awareness raising and information gathering to enforcement sweeps and joint investigations. The purpose of recurring annual coordinated actions is to promote compliance, to empower data subjects to exercise their rights and to raise awareness. 

The EDPB adopted a letter in response to the Europäische Akademie für Informationsfreiheit und Datenschutz concerning the data protection implications of Art.17 of the Copyright Directive, in particular concerning upload filters. In the letter, the EDPB states that any processing of personal data for the purpose of upload filters must be proportionate and necessary and that, as far possible, no personal data should be processed when Art. 17 Copyright Directive is implemented. Where the processing of personal data is necessary, such as for the redress mechanism, such data should only concern data necessary for this specific purpose, while applying all the other principles of the GDPR. The EDPB further highlighted that it is in continuous exchange with the European Commission on this topic and that it has indicated its availability for further collaboration.

You can read the agenda of the EDPB's fortieth plenary here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


EDPB_Press Release_2020_16
 

12 October 2020

Brussels, 12 October - During its 39th plenary session, the EDPB adopted guidelines on the concept of relevant and reasoned objection. The guidelines will contribute to a unified interpretation of the concept, which will help streamline future Art. 65 GDPR procedures. 
 
Within the cooperation mechanism set out by the GDPR, the supervisory authorities (SAs) have a duty to “exchange all relevant information with each other” and cooperate “in an endeavour to reach consensus”. According to Article 60(3) and (4)GDPR, the  lead supervisory authority (LSA) is required to submit a draft decision to the concerned supervisory authorities (CSAs), which may then raise a relevant and reasoned objection within a specific timeframe. Upon receipt of a relevant and reasoned objection, the LSA has two options. If it does not follow the relevant and reasoned objection or is of the opinion that the objection is not reasoned or relevant, it shall submit the matter to the Board within the consistency mechanism (Art. 65 GDPR). If the LSA, on the contrary, follows the objection and issues the revised draft decision, the CSAs may express a relevant and reasoned objection on the revised draft decision within a period of two weeks. 
 
The guidelines aim to establish a common understanding of the notion ‘relevant and reasoned’, including what should be taken into consideration when assessing whether an objection “clearly demonstrates the significance of the risks posed by the draft decision” (Article 4(24) GDPR).

The agenda of the thirty-ninth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_15
 

04 September 2020

Bryssel den 3 september — Styrelsen antog riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i den allmänna dataskyddsförordningen och riktlinjer om riktad marknadsföring till användare av sociala medier. Dessutom inrättade Europeiska dataskyddsstyrelsen en arbetsgrupp för hantering av klagomål till följd av domstolens dom i Schrems II-målet och en arbetsgrupp för de kompletterande åtgärder som uppgiftsexportörer och importörer kan åläggas att vidta för att säkerställa ett adekvat skydd vid överföring av uppgifter mot bakgrund av domstolens dom i Schrems II-målet.

Dataskyddsstyrelsen har antagit riktlinjer om begreppen personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen. Sedan den allmänna dataskyddsförordningen började tillämpas har frågor väckts om i vilken utsträckning dataskyddsförordningen har medfört ändringar av dessa begrepp, särskilt när det gäller begreppet gemensamt personuppgiftsansvar (som fastställs i artikel 26 i den allmänna dataskyddsförordningen och efter flera avgöranden från EU-domstolen) samt de skyldigheter för personuppgiftsbiträden (särskilt artikel 28 i den allmänna dataskyddsförordningen) som fastställs i kapitel IV i dataskyddsförordningen.

I mars 2019 anordnade Europeiska dataskyddsstyrelsen tillsammans med sitt sekretariat ett evenemang för berörda parter som klargjorde att det fanns ett behov av mer praktisk vägledning och gjorde det möjligt för styrelsen att bättre förstå behoven och problemen på området. De nya riktlinjerna består av två huvuddelar: den ena förklarar de olika begreppen, den andra innehåller detaljerad vägledning om de viktigaste konsekvenserna av dessa begrepp för personuppgiftsansvariga, personuppgiftsbiträden och gemensamma personuppgiftsansvariga. Riktlinjerna innehåller ett flödesschema som ger ytterligare praktisk vägledning. Riktlinjerna kommer att bli föremål för offentligt samråd.

Europeiska dataskyddsstyrelsen har antagit riktlinjer för riktad marknadsföring motanvändare av sociala medier. Riktlinjerna syftar till att ge de berörda parterna praktisk vägledning och innehåller olika exempel på olika situationer så att intressenterna snabbt kan identifiera det ”scenario” som ligger närmast den  praxis ifråga om riktad marknadsföring som de avser att tillämpa. Huvudsyftet med riktlinjerna är att klargöra roller och ansvarsområden för  sociala medier och för den berörda personen. I detta syfte fastställs bland annat i riktlinjerna de potentiella riskerna för individens friheter, huvudaktörerna och deras roller, tillämpningen av centrala dataskyddskrav, såsom laglighet och öppenhet och konsekvensbedömning avseende dataskydd, samt centrala inslag i arrangemang mellan leverantörer av sociala medier och de berörda personerna. Riktlinjerna fokuserar dessutom på de olika målinriktningsmekanismerna, behandlingen av särskilda kategorier av uppgifter och skyldigheten för gemensamma personuppgiftsansvariga att införa ett lämpligt arrangemang i enlighet med artikel 26 i dataskyddsförordningen. Plenarförsamlingen kommer att lägga fram riktlinjerna för offentligt samråd.

Styrelsen har inrättat en arbetsgrupp för att undersöka klagomål som lämnats in i efterdyningarna av domstolens dom i målet Schrems II. Totalt 101 identiska klagomål har lämnats in till EES dataskyddsmyndigheter mot flera personuppgiftsansvariga i EES-medlemsstaterna avseende deras användning av Google/Facebook-tjänster som inbegriper överföring av personuppgifter. De klagande, företrädda av den icke-statliga organisationen NOYB, hävdar att Google/Facebook överför personuppgifter till Förenta staterna med stöd av skölden för skydd av privatlivet i EU och USA eller standardavtalsklausuler och att den personuppgiftsansvarige enligt EU-domstolens dom nyligen i mål C-311/18 inte kan säkerställa ett adekvat skydd av klagandenas personuppgifter. Arbetsgruppen kommer att analysera frågan och säkerställa ett nära samarbete mellan EDPB :s medlemmar.

Som en uppföljning av EU-domstolens dom i målet Schrems II och utöver de frågor och svar som antogs den 23 juli har styrelsen inrättat en arbetsgrupp. Denna arbetsgrupp kommer att utarbeta rekommendationer för att bistå personuppgiftsansvariga och personuppgiftsbiträden i deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder för att säkerställa adekvat skydd vid överföring av uppgifter till tredjeländer.

Andrea Jelinek, ordförande för Europeiska dataskyddsstyrelsen säger följande: ”Europeiska dataskyddsstyrelsen är väl medveten om att Schrems II-domen ger personuppgiftsansvariga ett viktigt ansvar. Utöver det uttalande och de  frågor och svar som vi lagt ut kort efter domen kommer vi att utarbeta rekommendationer för att stödja personuppgiftsansvariga och personuppgiftsbiträden när det gäller deras skyldighet att identifiera och genomföra lämpliga kompletterande åtgärder av rättslig, teknisk och organisatorisk karaktär för att uppfylla en väsentligen likvärdig skyddsnivå när personuppgifter överförs till tredjeländer. Domens konsekvenser är dock omfattande och kontexten för överföring av uppgifter till tredjeländer skiljer sig mycket åt. Därför kan det inte finnas en snabb lösning som passar alla. Varje organisation kommer att behöva utvärdera sin egen uppgiftsbehandling och dataöverföring och vidta lämpliga åtgärder. ”

Not till redaktörerna:
Observera att alla dokument som antas under EDPB: s plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formaterande kontroller och kommer att göras tillgängliga på EDPB: s webbplats när dessa har slutförts.

EDPB_Press Release_2020_14

24 July 2020

Europeiska dataskyddsstyrelsen offentliggör dokument med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 (Schrems II)

Med anledning av Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems – har dataskyddsstyrelsen antagit ett dokument med vanliga frågor för att tillhandahålla ett första förtydligande och en preliminär vägledning för berörda parter om användningen av rättsliga instrument för överföring av personuppgifter till tredjeländer, inklusive Förenta staterna. Detta dokument kommer tillsammans med ytterligare vägledning att utarbetas och kompletteras allteftersom dataskyddsstyrelsen fortsätter att granska och bedöma EU-domstolens dom. 

Dokumentet med vanliga frågor om Europeiska unionens domstols dom i mål C-311/18 finns här.

EDPB_Pressmeddelande_uttalande_2020_06

23 July 2020

Bryssel den 23 juli – Mot bakgrund av det kommande slutet på övergångsperioden för brexit har dataskyddsstyrelsen antagit en informationsnot om åtgärder som tillsynsmyndigheterna, organisationer som fått sina bindande företagsbestämmelser godkända och organisationer som väntar på att deras bindande företagsbestämmelser ska godkännas av den brittiska tillsynsmyndigheten behöver vidta för att se till att dessa bindande företagsbestämmelser kan användas som ett giltigt överföringsverktyg efter att övergångsperioden gått ut. Eftersom den brittiska tillsynsmyndigheten inte längre kommer att vara behörig tillsynsmyndighet enligt den allmänna dataskyddsförordningen när övergångsperioden går ut kommer de beslut om godkännande som denna tillsynsmyndighet fattat enligt denna förordning inte längre att ha rättsverkan i EES. Dessutom kan innehållet i de bindande företagsbestämmelserna i fråga behöva ändras innan övergångsperioden går ut eftersom dessa bestämmelser i allmänhet innehåller hänvisningar till den brittiska rättsordningen. Detta gäller också bindande företagsbestämmelser som redan godkänts enligt direktiv 94/46/EG.

De som fått sina bindande företagsbestämmelser godkända och som har den brittiska tillsynsmyndigheten som ansvarig tillsynsmyndighet för de bindande företagsbestämmelserna behöver införa alla organisatoriska arrangemang som krävs för att utse en ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser i EES. Bytet av ansvarig tillsynsmyndighet för bindande företagsbestämmelser måste ske innan övergångsperioden för brexit går ut.

De vars ansökan om godkännande av bindande företagsbestämmelser ännu inte bifallits uppmuntras att införa alla organisatoriska engagemang som krävs för att utse en ny ansvarig tillsynsmyndighet i EES i god tid innan övergångsperioden för brexit går ut. Detta innefattar att kontakta tillsynsmyndigheten i fråga för att lämna alla nödvändiga uppgifter om varför man vill ha denna tillsynsmyndighet som ny ansvarig tillsynsmyndighet för bindande företagsbestämmelser. Den senare kommer därefter att ta över ansökan och formellt inleda ett godkännandeförfarande som ska bli föremål för ett yttrande från dataskyddsstyrelsen. Alla bindande företagsbestämmelser som godkänts av den brittiska tillsynsmyndigheten kommer att kräva att den nya ansvariga tillsynsmyndigheten för bindande företagsbestämmelser i EES utfärdar ett nytt beslut om godkännande innan övergångsperioden går ut, följt av ett yttrande från dataskyddsstyrelsen. Dataskyddsstyrelsen har också antagit en bilaga med en checklista över saker som ska ändras i dokumenten om bindande företagsbestämmelser i samband med brexit.

Denna informationsnot påverkar inte den analys som dataskyddsstyrelsen för närvarande arbetar med och som handlar om vad Europeiska unionens dom i målet DPC mot Facebook Irland och Schrems innebär för bindande företagsbestämmelser som överföringsverktyg.

EDPB_Pressmeddelande_2020_13

20 July 2020

Bryssel den 20 juli – Under sitt 34:e plenarmöte antog Europeiska dataskyddsstyrelsen ett uttalande om EU-domstolens dom i målet Facebook Ireland mot Schrems. Europeiska dataskyddsstyrelsen antog riktlinjer för samspelet mellan det andra betaltjänstdirektivet (PSD2) och den allmänna dataskyddsförordningen samt en svarsskrivelse till Europaparlamentsledamoten Ďuriš Nicholsonová om kontaktspårning, appars interoperabilitet och konsekvensbedömningar avseende dataskydd.

Europeiska dataskyddsstyrelsen antog ett uttalande om Europeiska unionens domstols dom i mål C-311/18 – Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems, som ogiltigförklarar beslut 2016/1250 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna och som slår fast att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeländer är giltigt.

Beträffande skölden för skydd av privatlivet påpekar Europeiska dataskyddsstyrelsen att EU och Förenta staterna bör komma överens om ett heltäckande och effektivt ramverk som garanterar att graden av personuppgiftsskydd i Förenta staterna är väsentligen likvärdig med den som garanteras inom EU, i enlighet med domstolens dom. Europeiska dataskyddsstyrelsen har för avsikt att fortsätta att ha en konstruktiv roll för att säkerställa en dataöverföring av personuppgifter över Atlanten som är till gagn för EES medborgare och organisationer, och står beredd att bistå och vägleda kommissionen i dess arbete med att tillsammans med Förenta staterna bygga upp ett nytt ramverk som på alla punkter uppfyller EU:s dataskyddslagstiftning.

När det gäller standardavtalsklausuler noterar Europeiska dataskyddsstyrelsen att när uppgiftsutförare och uppgiftsinförare överväger att tillämpa standardavtalsklausuler är deras främsta ansvar att säkerställa att dessa klausuler borgar för en skyddsnivå som är väsentligen likvärdig med den som garanteras av den allmänna dataskyddsförordningen mot bakgrund av EU-stadgan om de grundläggande rättigheterna. När en sådan föregående utvärdering genomförs ska uppgiftsutföraren (vid behov med hjälp av uppgiftsinföraren) ta hänsyn till innehållet i standardavtalsklausulerna, de särskilda omständigheterna kring överföringen och den gällande lagstiftningen i uppgiftsinförarens land. Domstolen understryker att uppgiftsutföraren kan behöva överväga att införa ytterligare åtgärder utöver dem som ingår i standardavtalsklausulerna. Europeiska dataskyddsstyrelsen kommer att undersöka vilka dessa ytterligare åtgärder skulle kunna vara.

Europeiska dataskyddsstyrelsen noterar även att de behöriga tillsynsmyndigheterna är skyldiga att avbryta eller förbjuda dataöverföring till ett tredjeland enligt standardavtalsklausuler om dessa klausuler, enligt den behöriga tillsynsmyndigheten och mot bakgrund av omständigheterna kring överföringen, inte följs eller inte kan följas i tredjelandet i fråga, samt om skyddet för de uppgifter som överförs inte kan säkerställas på annat sätt. Detta gäller i synnerhet i fall då den personuppgiftsansvarige eller personuppgiftsbiträdet inte redan själv avbrutit eller avslutat överföringen.

Europeiska dataskyddsstyrelsen påminner om att den har utfärdat riktlinjer om artikel 49 i den allmänna dataskyddsförordningen och om att tillämpningen av sådana undantag måste bedömas från fall till fall.

Europeiska dataskyddsstyrelsen kommer att bedöma domen närmare och tillhandahålla ytterligare klargöranden för intressenter och riktlinjer om användning av instrument för överföring av personuppgifter till tredjeländer med anledning av domen. Som fastställts av EU-domstolen är Europeiska dataskyddsstyrelsen och dess behöriga tillsynsmyndigheter redo att säkerställa överensstämmelsen inom hela EES-området.

Det fullständiga uttalandet finns här: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_sv

Europeiska dataskyddsstyrelsen antog riktlinjer om det andra betaltjänstdirektivet (PSD2). PSD2 utgör en modernisering av den rättsliga ramen för marknaden för betaltjänster. Exempel på viktiga nyheter i PSD2 är en rättslig ram för nya betalningsinitieringstjänster (leverantörer av betalningsinitieringstjänster) och kontoinformationstjänster (leverantörer av kontoinformationstjänster). Användare kan begära att dessa nya betaltjänstleverantörer beviljas tillgång till deras betalkonton. Efter en intressentworkshop i februari 2019 utarbetade Europeiska dataskyddsstyrelsen riktlinjer om hur den allmänna dataskyddsförordningen ska tillämpas på dessa nya betaltjänster.

I riktlinjerna anges att behandling av särskilda kategorier av personuppgifter i detta sammanhang i allmänhet är förbjuden (i enlighet med artikel 9.1 i den allmänna dataskyddsförordningen), utom i fall då den registrerade uttryckligen ger sitt samtycke (artikel 9.2 a i den allmänna dataskyddsförordningen) eller om uppgiftsbehandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i den allmänna dataskyddsförordningen).

I riktlinjerna behandlas också villkoren för att kontoförvaltande betaltjänstleverantörer ska kunna bevilja tillgång till betalkontoinformation till leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster, i synnerhet tillgång till betalkonton på detaljnivå.

I riktlinjerna klargörs att varken artikel 66.3 g eller artikel 67.2 f i PSD2 tillåter någon ytterligare behandling av personuppgifter, såvida inte den registrerade har lämnat sitt samtycke enligt artikel 6.1 a i den allmänna dataskyddsförordningen eller behandlingen föreskrivs genom unionslagstiftning eller nationell lagstiftning. Riktlinjerna kommer att läggas fram för offentligt samråd.

Slutligen antog styrelsen en skrivelse med svar på Europaparlamentsledamoten Ďuriš Nicholsonovás frågor om dataskydd i samband med kampen mot covid-19. I skrivelsen behandlas frågor om kontaktspårningsappars harmonisering och interoperabilitet, kravet på en konsekvensbedömning avseende dataskydd för sådan behandling och hur lång tid denna behandling ska få pågå.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

During its 32nd plenary session, the EDPB adopted a statement on the interoperability of contact tracing apps, as well as a statement on the opening of borders and data protection rights. The Board also adopted two letters to MEP Körner - on encryption and on Article 25 GDPR - and a letter to CEAOB on PCAOB arrangements.

The EDPB adopted a statement on the interoperability of contact tracing applications, building on the EDPB Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The statement offers a more in-depth analysis of key aspects, including transparency, legal basis, controllership, data subject rights, data retention and minimisation, information security and data accuracy in the context of creating an interoperable network of applications, that need to be considered on top of those highlighted in the EDPB Guidelines 04/2020.

The EDPB emphasises that the sharing of data about individuals that have been diagnosed or tested positively with such interoperable applications should only be triggered by a voluntary action of the user. Giving data subjects information and control will increase their trust in the solutions and their potential uptake. The goal of interoperability should not be used as an argument to extend the collection of personal data beyond what is necessary.

Moreover, contact tracing apps need to be part of a comprehensive public health strategy to fight the pandemic, such as testing and subsequent manual contact tracing for the purpose of improving effectiveness of the performed measures.

Ensuring interoperability is not only technically challenging and sometimes impossible without disproportionate trade-offs, but also leads to a potential increased data protection risk. Therefore, controllers need to ensure measures are effective and proportionate and must assess whether a less intrusive alternative can achieve the same purpose.

The EDPB adopted a statement on the processing of personal data in the context of reopening the Schengen borders following the COVID-19 outbreak. The measures allowing a safe reopening of the borders currently envisaged or implemented by Member States include testing for COVID-19, requiring certificates issued by health professionals and the use of a voluntary contact tracing app. Most measures involve processing of personal data.

The EDPB recalls that data protection legislation remains applicable and allows for an efficient response to the pandemic, while at the same time protecting fundamental rights and freedoms. The EDPB stresses that the processing of personal data must be necessary and proportionate, and the level of protection should be consistent throughout the EEA. In the statement, the EDPB urges the Member States to take a common European approach when deciding which processing of personal data is necessary in this context.

The statement also addresses the GDPR principles that Member States need to pay special attention to when processing personal data in the context of reopening the border. These include lawfulness, fairness and transparency, purpose limitation, data minimisation, storage limitation, security of data and data protection by design and by default. Moreover, the decision to allow the entrance into a country should not only be based on the automated individual decision making technologies. In any case, such decisions should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Automated individual decision measures should not apply to children.

Finally, the EDPB highlights the importance of a prior consultation with competent national supervisory authorities when Member States intend to process personal data in this context.

The EDPB adopted a response to a letter from MEP Moritz Körner on the relevance of encryption bans in third countries for assessing the level of data protection when personal data are transferred to countries where these bans exist. According to the EDPB, any ban on encryption or provisions weakening encryption would seriously undermine compliance with GDPR security obligations applicable to controllers and processors, be that in a third country or in the EEA. Security measures are one of the elements the European Commission must take into account when assessing the adequacy of the level of protection in a third country.

A second letter to MEP Körner addresses the topic of laptop camera covers. MEP Körner highlighted that this technology could help comply with the GDPR and suggested new laptops should be equipped with it. In its reply, the Board clarifies that while laptop manufacturers should be encouraged to take into account the right to data protection when developing and designing such products, they are not responsible for the processing carried out with those products and the GDPR does not establish legal obligations for manufacturers, unless they also act as controllers or processors. Controllers must evaluate the risks of each processing and choose the appropriate safeguards to comply with GDPR, including the privacy by design and by default enshrined in Article 25 GDPR.

Finally, the EDPB adopted a letter to the Committee of European Auditor Oversight Bodies (CEAOB). The EDPB received a proposal from the CEAOB, which gathers the national auditor oversight bodies at EU level, to cooperate and receive feedback on negotiations of draft administrative arrangements for the transfer of data to the US Public Company Accounting Oversight Board (PCAOB). The EDPB welcomes this proposal and indicates that it is available to hold an exchange with the CEAOB to clarify any potential questions on data protection requirements related to such arrangements in light of the EDPB Guidelines 2/2020 on Art. 46 (2) (a) and 46 (3) (b) GDPR for transfers of personal data between EEA and non-EEA public authorities. The exchange could also involve the PCAOB if the CEAOB and its members deem it beneficial for their work on these arrangements.

The agenda of the 32nd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_11

10 June 2020

Bryssel den 10 juni – Under sitt 31:a plenarmöte beslutade dataskyddsstyrelsen att inrätta en arbetsgrupp för att samordna potentiella åtgärder och få en mer omfattande överblick över TikToks databehandling och praxis inom EU. Dataskyddsstyrelsen antog också en skrivelse om brottsbekämpande myndigheters användning av Clearview AI. Dessutom antog dataskyddsstyrelsen ett svar till Enisas rådgivande grupp och en skrivelse som svar på ett öppet brev från NOYB.

Dataskyddsstyrelsen tillkännagav sitt beslut om att inrätta en arbetsgrupp för att samordna potentiella åtgärder och få en mer omfattande överblick över TikToks databehandling och praxis inom EU.

Som svar på Europaparlamentsledamoten Körners begäran rörande TikTok uppger dataskyddsstyrelsen att den redan har utfärdat riktlinjer och rekommendationer som bör beaktas av alla personuppgiftsansvariga vars databehandling omfattas av den allmänna dataskyddsförordningen, särskilt när det gäller överföring av personuppgifter till tredjeländer, materiella och formella villkor för offentliga myndigheters tillgång till personuppgifter eller användning av tillämpningsområdet för den allmänna dataskyddsförordningen, särskilt i fråga om behandling av uppgifter om minderåriga. Dataskyddsstyrelsen påminner om att den allmänna dataskyddsförordningen gäller för en personuppgiftsansvarigs behandling av personuppgifter när behandlingen avser erbjudande av varor och tjänster till registrerade i unionen, även om denne inte är etablerad i unionen.

I sitt svar till ledamöter av Europaparlamentet om Clearview AI instämde dataskyddsstyrelsen i betänkligheterna rörande viss utveckling av ansiktsigenkänningstekniken. Dataskyddsstyrelsen påminner om att brottsbekämpande myndigheter enligt dataskyddsdirektivet för brottsbekämpning (EU) nr 2016/680 endast får behandla biometriska uppgifter för att identifiera fysiska personer i enlighet med de strikta villkoren i artiklarna 8 och 10 i direktivet.

Dataskyddsstyrelsen hyser tvivel om huruvida det i unionens eller medlemsstaternas lagstiftning finns en rättslig grund för användning av tjänster av det slag som Clearview AI erbjuder. I dagsläget, och utan att det påverkar framtida eller pågående utredningar, kan det därför inte fastställas om brottsbekämpande myndigheters användning av sådana tjänster är laglig.

Utan att det påverkar ytterligare analys på grundval av ytterligare uppgifter som lämnats anser dataskyddsstyrelsen därför att EU:s brottsbekämpande myndigheters användning av en tjänst som Clearview AI i nuläget troligen inte stämmer överens med EU:s system för dataskydd.

Slutligen hänvisar dataskyddsstyrelsen till sina riktlinjer för behandling av personuppgifter genom videoenheter och tillkännager att den kommer att titta närmare på brottsbekämpande myndigheters användning av ansiktsigenkänningsteknik.

I sitt svar på en skrivelse från Europeiska unionens cybersäkerhetsbyrå (Enisa) med begäran om att dataskyddsstyrelsen ska utse en företrädare till Enisas rådgivande grupp utsåg dataskyddsstyrelsen Gwendal Le Grand, vice generalsekreterare för CNIL, till företrädare. Den rådgivande gruppen hjälper Enisas verkställande direktör att upprätta ett årligt arbetsprogram och säkerställa kommunikation med berörda parter.

Dataskyddsstyrelsen antog ett svar på ett öppet brev från NOYB om samarbetet mellan tillsynsmyndigheterna och förfarandena för enhetlighet. I sin skrivelse påpekar dataskyddsstyrelsen att den hela tiden har arbetat för att förbättra samarbetet mellan tillsynsmyndigheterna och förfarandena för enhetlighet. Dataskyddsstyrelsen är medveten om att det finns saker som behöver förbättras, däribland skillnader i administrativ nationell processlagstiftning och -praxis samt tiden och resurserna som behövs för att lösa gränsöverskridande fall. Dataskyddsstyrelsen upprepar att den engagerar sig för att hitta lösningar inom sitt kompetensområde.

Meddelande till redaktörerna:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarmöten är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

EDPB_Press Release_2020_10

03 June 2020

Bryssel den 3 juni – Under sitt 30:e plenarmöte antog Europeiska dataskyddsstyrelsen ett uttalande om registrerades rättigheter i samband med undantagstillståndet i vissa medlemsstater. Dataskyddsstyrelsen antog också en skrivelse som svar på en skrivelse från Liberties Union for Europe, Access Now och Hungarian Civil Liberties Union (HCLU) om den ungerska regeringens dekret 179/2020 av den 4 maj.

Dataskyddsstyrelsen påminner om att även i dessa speciella tider måste skyddet av personuppgifter upprätthållas vid alla nödåtgärder och bidra till respekten för de övergripande värdena demokrati, rättsstatsprincipen och grundläggande rättigheter som unionen bygger på.

Både i uttalandet och skrivelsen upprepar dataskyddsstyrelsen att den allmänna dataskyddsförordningen fortfarande gäller och gör det möjligt att agera effektivt mot pandemin samtidigt som de grundläggande fri- och rättigheterna skyddas. Dataskyddslagstiftningen möjliggör redan databehandling som krävs för att bidra till kampen mot covid-19-pandemin.

I uttalandet framhävs huvudprinciperna för begränsningarna av registrerades rättigheter i samband med det undantagstillstånd som råder i vissa medlemsstater.

  • Begränsningar som genom sin allmänna, omfattande eller inkräktande karaktär gör att en grundläggande rättighet förlorar sitt grundläggande innehåll kan inte motiveras.
  • Under vissa förhållanden ger artikel 23 i den allmänna dataskyddsförordningen nationella lagstiftare möjlighet att genom en lagstiftningsåtgärd begränsa tillämpningsområdet för den personuppgiftsansvariges eller personuppgiftsbiträdets skyldigheter och registrerades rättigheter, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa viktiga mål av generellt allmänt intresse i unionen eller en medlemsstat, däribland särskilt folkhälsa.
  • Registrerades rättigheter står i centrum för den grundläggande rätten till dataskydd, och när man tolkar och läser artikel 23 i den allmänna dataskyddsförordningen bör man ha i åtanke att dessa rättigheter bör tillämpas som en allmän regel.  Eftersom begränsningar utgör undantag från den allmänna regeln bör de endast tillämpas under begränsade omständigheter.
  • Begränsningarna måste föreskrivas i lag och denna lag bör vara tillräckligt tydlig för att medborgarna ska kunna förstå under vilka förhållanden personuppgiftsansvariga har rätt att använda dem. Dessutom måste begränsningarna vara förutsebara för personer som omfattas av dem. Begränsningar som införs utan tydlig tidsgräns, som gäller retroaktivt eller vars villkor inte definierats närmare uppfyller inte kriteriet om förutsebarhet.
  • Förekomsten av en pandemi eller annan nödsituation är i sig inte ett tillräckligt skäl för att föreskriva någon form av begränsning av registrerades rättigheter. Varje begränsning måste tvärtom tydligt bidra till att säkerställa ett viktigt mål av allmänt intresse för EU eller en medlemsstat.
  • Undantagstillståndet som införts i samband med pandemin är ett rättsligt villkor som kan legitimera begränsningar av registrerades rättigheter, förutsatt att dessa begränsningar endast gäller om det är absolut nödvändigt och proportionerligt för att säkerställa folkhälsomålet. Begränsningarna måste därför vara strikt begränsade i omfattning och tid eftersom registrerades rättigheter kan begränsas men inte förvägras. Dessutom måste de garantier som föreskrivs i artikel 23.2 i den allmänna dataskyddsförordningen tillämpas fullt ut.
  • Begränsningar som antas i samband med ett undantagstillstånd och som upphäver eller skjuter upp tillämpningen av registrerades rättigheter och personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter, utan någon tydlig tidsbegränsning, skulle i praktiken innebära att dessa rättigheter upphävs helt och skulle inte vara förenliga med andemeningen i de grundläggande rättigheterna och friheterna.

Vidare har dataskyddsstyrelsens tillkännagett att den under de närmaste månaderna kommer att utfärda riktlinjer för tillämpningen av artikel 23 i den allmänna dataskyddsförordningen.

Meddelande till redaktörerna:

Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarmöten är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts

20 May 2020

Bryssel den 20 maj – Under sitt 28:e plenarmöte antog Europeiska dataskyddsstyrelsens ett yttrande enligt artikel 64 i den allmänna dataskyddsförordningen om det utkast till standardavtalsklausuler som den slovenska tillsynsmyndigheten överlämnat och beslutade om offentliggörande av ett register som innehåller beslut inom ramen för mekanismen för en enda kontaktpunkt.

Europeiska dataskyddsstyrelsens antog sitt yttrande om de utkast till standardavtalsklausuler för avtal mellan personuppgiftsansvariga och personuppgiftsbiträden som den slovenska tillsynsmyndigheten överlämnat till dataskyddsstyrelsen. Yttrandet syftar till att säkerställa en konsekvent tillämpning av artikel 28 i den allmänna dataskyddsförordningen, enligt vilken personuppgiftsansvariga och personuppgiftsbiträden måste upprätta ett avtal eller en annan rättsakt där parternas respektive skyldigheter fastställs. Enligt artikel 28.6 i den allmänna dataskyddsförordningen kan dessa avtal eller andra rättsakter helt eller delvis baseras på standardavtalsklausuler som antas av en tillsynsmyndighet. I yttrandet ger dataskyddsstyrelsen flera rekommendationer som kan behöva beaktas för att dessa utkast till standardavtalsklausuler ska betraktas som standardavtalsklausuler. Om alla rekommendationer genomförs kommer den slovenska tillsynsmyndigheten att kunna anta detta utkast till avtal som standardavtalsklausuler i enlighet med artikel 28.8 i den allmänna dataskyddsförordningen.

Dataskyddsstyrelsens kommer på sin webbplats att offentliggöra ett register över beslut som fattats av de nationella tillsynsmyndigheterna enligt samarbetsförfarandet inom mekanismen för en enda kontaktpunkt (artikel 60 i den allmänna dataskyddsförordningen).

Enligt den allmänna dataskyddsförordningen är tillsynsmyndigheterna skyldiga att samarbeta i ärenden som inbegriper flera länder för att se till att förordningen tillämpas konsekvent – den så kallade mekanismen för en enda kontaktpunkt. Inom ramen för den enda kontaktpunkten ansvarar den ansvariga tillsynsmyndigheten för att utarbeta utkasten till beslut och samarbetar med de berörda tillsynsmyndigheterna för att nå samförstånd. Fram till slutet av april 2020 hade de ansvariga tillsynsmyndigheterna antagit 103 slutliga beslut inom ramen för mekanismen för en enda kontaktpunkt. Europeiska dataskyddsstyrelsens har för avsikt att offentliggöra sammanfattningar på engelska som dess sekretariat utarbetat. Informationen kommer att offentliggöras efter att den validerats av den ansvariga tillsynsmyndigheten och i enlighet med de villkor som föreskrivs i nationell lagstiftning.

Meddelande till redaktörerna:

Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarmöten är föremål för nödvändiga kontroller av rättsliga aspekter, språk och formatering och kommer att läggas ut på dataskyddsstyrelsens webbplats när dessa kontroller har utförts.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bryssel, den 20 februari – EES-ländernas tillsynsmyndigheter och den Europeiske datatillsynsmannen samlades i Europeiska dataskyddsstyrelsen för sin artonde plenarsession den 18–19 februari. Under plenarsessionen diskuterades ett brett spektrum av ämnen.
 
Europeiska dataskyddsstyrelsen och de enskilda tillsynsmyndigheterna inom EES har bidragit till utvärderingen och översynen av den allmänna dataskyddsförordningen i enlighet med artikel 97 i förordningen. Europeiska dataskyddsstyrelsen anser att tillämpningen av den allmänna dataskyddsförordningen under de första 20 månaderna har varit framgångsrik. Även om behovet av tillräckliga resurser för alla tillsynsmyndigheter fortfarande är ett problem och vissa utmaningar kvarstår, bland annat som resultat av en stor mängd olika nationella förfaranden, är styrelsen övertygad om att samarbetet mellan tillsynsmyndigheterna kommer att leda till en gemensam uppgiftsskyddskultur och en enhetlig praxis. Europeiska dataskyddsstyrelsen håller på att undersöka möjliga lösningar för att komma till rätta med dessa utmaningar och förbättra befintliga samarbetsförfaranden. Kommissionen uppmanas också att kontrollera om de nationella förfarandena påverkar samarbetsförfarandenas effektivitet och anser att lagstiftarna också kan ha en roll att spela när det gäller att säkerställa ytterligare harmonisering. I sin bedömning tar Europeiska dataskyddsstyrelsen också upp frågor som internationella överföringsmekanismer, effekter för små och medelstora företag, tillsynsmyndigheternas resurser och utveckling av ny teknik. Europeiska dataskyddsstyrelsen anser slutligen att det ännu är för tidigt att  se över den allmänna dataskyddsförordningen.

Europeiska dataskyddsstyrelsen antog ett utkast till riktlinjer för att ge ytterligare klargöranden om tillämpningen av artiklarna 46.2 a och 46.3 b i den allmänna dataskyddsförordningen. Dessa artiklar behandlar överföringar av personuppgifter från offentliga myndigheter eller organ inom EES till offentliga organ i tredjeländer eller till internationella organisationer, om dessa överföringar inte omfattas av ett beslut om adekvat skyddsnivå. I riktlinjerna rekommenderas vilka skyddsåtgärder som bör införas i rättsligt bindande instrument (artikel 46.2 a) eller i administrativa överenskommelser (artikel 46.3 b) för att säkerställa att skyddsnivån för fysiska personer enligt den allmänna dataskyddsförordningen uppnås och inte undermineras. Riktlinjerna kommer att läggas fram för offentligt samråd.

Uttalande om vilka effekter företagsfusioner får för integritetsskyddet
Efter tillkännagivandet av Google LLC: s avsikt att förvärva Fitbit antog Europeiska dataskyddsstyrelsen ett uttalande som betonade att en eventuell ytterligare kombination och ackumulering av känsliga personuppgifter om människor i Europa av ett stort teknikföretag skulle kunna medföra en hög risk för den grundläggande rätten till integritets- och dataskydd. Europeiska dataskyddsstyrelsen påminner parterna i den föreslagna sammanslagningen om de skyldigheter de har enligt den allmänna dataskyddsförordningen, i enlighet med principen om ansvarsskyldighet, att på ett öppet sätt göra en fullständig bedömning av vilka krav som ställs i fråga om dataskydd och vilka integritetskonsekvenser  sammanslagningen kan få. Styrelsenuppmanar också parterna att minska de eventuella risker som sammanslagningen kan medföra för rätten till integritets- och dataskydd innan sammanslagningen anmäls till Europeiska kommissionen. Europeiska dataskyddsstyrelsen kommer att se övervilka konsekvenser som denna sammanslagning kan få för skyddet av personuppgifter i Europeiska ekonomiska samarbetsområdet och är beredd att bidra med sina råd om den föreslagna sammanslagningen till kommissionen om så begärs.

Information till redaktörer:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarförsamling omfattas av nödvändiga rättsliga, språkliga och formateringskontroller och kommer att göras tillgängliga på Europeiska dataskyddsstyrelsens webbplats så snart dessa har slutförts.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary