Comité Europe de Protección de Datos

EDPB News

2020

21 October 2020

Brussels, 21 October - On October 20th, the EDPB met for its 40th plenary session. During the plenary, a wide range of topics was discussed. 

Following public consultation, the EDPB adopted a final version of the Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation enshrined in Art.25 is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This means that controllers have to implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in practice and to protect the rights and freedoms of data subjects. In addition, controllers should be able to demonstrate that the implemented measures are effective. 

The Guidelines also contain guidance on how to effectively implement the data protection principles in Article 5 GDR, listing key design and default elements, as well as practical cases for illustration. They further provide recommendations on how controllers, processors and producers can cooperate to achieve DPbDD.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation.

The EDPB decided to set up a Coordinated Enforcement Framework (CEF). The CEF provides a structure for coordinating recurring annual activities by EDPB Supervisory Authorities (SAs). The objective of the CEF is to facilitate joint actions in a flexible and coordinated manner, ranging from joint awareness raising and information gathering to enforcement sweeps and joint investigations. The purpose of recurring annual coordinated actions is to promote compliance, to empower data subjects to exercise their rights and to raise awareness. 

The EDPB adopted a letter in response to the Europäische Akademie für Informationsfreiheit und Datenschutz concerning the data protection implications of Art.17 of the Copyright Directive, in particular concerning upload filters. In the letter, the EDPB states that any processing of personal data for the purpose of upload filters must be proportionate and necessary and that, as far possible, no personal data should be processed when Art. 17 Copyright Directive is implemented. Where the processing of personal data is necessary, such as for the redress mechanism, such data should only concern data necessary for this specific purpose, while applying all the other principles of the GDPR. The EDPB further highlighted that it is in continuous exchange with the European Commission on this topic and that it has indicated its availability for further collaboration.

You can read the agenda of the EDPB's fortieth plenary here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


EDPB_Press Release_2020_16
 

12 October 2020

Brussels, 12 October - During its 39th plenary session, the EDPB adopted guidelines on the concept of relevant and reasoned objection. The guidelines will contribute to a unified interpretation of the concept, which will help streamline future Art. 65 GDPR procedures. 
 
Within the cooperation mechanism set out by the GDPR, the supervisory authorities (SAs) have a duty to “exchange all relevant information with each other” and cooperate “in an endeavour to reach consensus”. According to Article 60(3) and (4)GDPR, the  lead supervisory authority (LSA) is required to submit a draft decision to the concerned supervisory authorities (CSAs), which may then raise a relevant and reasoned objection within a specific timeframe. Upon receipt of a relevant and reasoned objection, the LSA has two options. If it does not follow the relevant and reasoned objection or is of the opinion that the objection is not reasoned or relevant, it shall submit the matter to the Board within the consistency mechanism (Art. 65 GDPR). If the LSA, on the contrary, follows the objection and issues the revised draft decision, the CSAs may express a relevant and reasoned objection on the revised draft decision within a period of two weeks. 
 
The guidelines aim to establish a common understanding of the notion ‘relevant and reasoned’, including what should be taken into consideration when assessing whether an objection “clearly demonstrates the significance of the risks posed by the draft decision” (Article 4(24) GDPR).

The agenda of the thirty-ninth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_15
 

04 September 2020

The Board adopted Guidelines on the concepts of controller and processor in the GDPR and Guidelines on the targeting of social media users. In addition, the EDPB created a taskforce on complaints following the CJEU Schrems II judgement and a taskforce devoted to the supplementary measures that data exporters and importers can be required to take to ensure adequate protection when transferring data in light of the CJEU Schrems II judgement.

The Board adopted Guidelines on the concepts of controller and processor in the GDPR. Since the entry into application of the GDPR, questions have been raised as to what extent the GDPR brought changes to these concepts, particularly regarding the  concept of joint controllership (as laid down in Article 26 GDPR and following several CJEU rulings), as well as the obligations for processors (in particular Article 28 GDPR) laid down in Chapter IV of the GDPR. 

In March 2019, the EDPB together with its Secretariat organised a stakeholder event, which made clear that there was a need for more practical guidance and allowed the Board to better understand the needs and concerns in the field. The new Guidelines consist of two main parts: one explaining the different concepts; the other including detailed guidance on the main consequences of these concepts for controllers, processors and joint controllers. The Guidelines include a flow chart to provide further practical guidance. The Guidelines will be subject to public consultation. 

The EDPB adopted Guidelines on the targeting of social media users. The Guidelines aim to provide practical guidance to stakeholders and contain various examples of different situations so that stakeholders can quickly identify the ‘scenario’ that is closest to the targeting practice they intend to deploy. The main aim of the Guidelines is to clarify the roles and responsibilities of the social media provider and the targeted individual. To this purpose, the Guidelines, among others, identify the potential risks for the freedoms of individual, the main actors and their roles, the application of key data protection requirements, such as lawfulness and transparency and DPIA, as well as key elements of arrangements between social media providers and the targeted individuals. In addition, the Guidelines focus on the different targeting mechanisms, the processing of special categories of data and the obligation for joint controllers to put in place an appropriate arrangement pursuant to Article 26 GDPR. The Plenary will submit the Guidelines for public consultation.

The Board has created a taskforce to look into complaints filed in the aftermath of the CJEU Schrems II judgement. A total of 101 identical complaints have been lodged with EEA Data Protection Authorities against several controllers in the EEA member states regarding their use of Google / Facebook services which involve the transfer of personal data. Specifically the complainants, represented by the NGO NOYB, claim that Google/Facebook transfer personal data to the U.S. relying on the EU-U.S. Privacy Shield or Standard Contractual Clauses and that according to the recent CJEU judgment in case C-311/18 the controller is unable to ensure an adequate protection of the complainants' personal data. The taskforce will analyse the matter and ensure a close cooperation among the members of the Board. 

As a follow-up to the CJEU’s Schrems II ruling and in addition to the FAQ adopted on 23 July, the Board has created a taskforce. This taskforce will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.

Andrea Jelinek, Chair of the EDPB: “The EDPB is well aware that the Schrems II ruling gives controllers an important responsibility. In addition to the statement and the FAQ we put out shortly following the judgment, we will prepare recommendations to support controllers and processors regarding their duty in identifying and implementing appropriate supplementary measures of a legal, technical and organizational nature to meet the essential equivalence standard when transferring personal data to third countries. However, the implications of the judgment are wide-ranging, and the contexts of data transfers to third countries very diverse. Therefore, there cannot be a one-size-fits-all, quick fix solution. Each organisation will need to evaluate its own data processing operations and transfers and take appropriate measures.”

The agenda to the thirthy-seventh plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_14

24 July 2020

El Comité Europeo de Protección de Datos publica un documento de preguntas frecuentes sobre la sentencia del TJUE C-311/18 (Schrems II)

Tras la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 - Data Protection Commissioner contra Facebook Ireland Ltd y Maximillian Schrems, el CEPD ha adoptado un documento de «preguntas frecuentes» con el fin de aportar una aclaración inicial y ofrecer orientación preliminar a las partes interesadas sobre el uso de instrumentos jurídicos para la transferencia de datos personales a terceros países, incluidos los Estados Unidos de América. Este documento se desarrollará y complementará, junto con orientaciones adicionales, ya que el CEPD sigue examinando y evaluando la sentencia del Tribunal. 

El documento de preguntas frecuentes sobre la sentencia del TJUE C-311/18 puede consultarse aquí.

EDPB_Comunicado de prensa_declaración_2020_06

23 July 2020

Bruselas, 23 de julio - A la luz del próximo final del periodo de transición del Brexit, el CEPD ha adoptado una nota informativa en la que se describen las medidas que deben adoptar las autoridades de control, los titulares de normas corporativas vinculantes aprobadas y las organizaciones que disponen de normas corporativas vinculantes pendientes con la autoridad de control del Reino Unido para garantizar que dichas normas corporativas vinculantes puedan seguir utilizándose como herramienta de transferencia válida, una vez finalizado el periodo de transición. Teniendo en cuenta que la autoridad de control del Reino Unido dejará de ser competente en el marco del RGPD un vez finalizado el periodo de transición, las decisiones de aprobación de la autoridad de control del Reino Unido adoptadas en el marco del RGPD dejarán de tener efectos jurídicos en el EEE. Por otra parte, puede ser necesario modificar el contenido de las normas corporativas vinculantes en cuestión antes de que finalice el periodo de transición, ya que estos programas contienen por lo general referencias al ordenamiento jurídico del Reino Unido. Esto también se aplica a las normas corporativas vinculantes ya aprobadas en virtud de la Directiva 94/46/CE.

Los titulares de normas corporativas vinculantes para quienes la autoridad de control del Reino Unido sea su autoridad control principal deben establecer todos los mecanismos organizativos necesarios para identificar a una nueva autoridad de control principal para las normas corporativas vinculantes en el EEE. El cambio de autoridad de control principal para las normas corporativas vinculantes tendrá que producirse antes del final del periodo de transición del Brexit.

Se anima a los actuales solicitantes de normas corporativas vinculantes a establecer todos los mecanismos organizativos necesarios para identificar a una nueva autoridad de control principal en relación con las normas corporativas vinculantes en el EEE con suficiente antelación antes del final del periodo de transición del Brexit, lo que incluye ponerse en contacto con la autoridad de control en cuestión para facilitar toda la información necesaria sobre por qué se considera que esa autoridad de control es la nueva autoridad de control principal para las normas corporativas vinculantes. Esta última se hará cargo de la solicitud e iniciará formalmente un procedimiento de aprobación sujeto a un dictamen del CEPD. Tras un dictamen del CEPD, la nueva autoridad de control principal para las normas corporativas vinculantes en el EEE deberá emitir, antes del final del periodo de transición, una nueva decisión de aprobación en relación con las normas corporativas vinculantes aprobadas por la autoridad de control del Reino Unido en virtud del RGPD. El CEPD también ha adoptado un anexo que contiene una lista de comprobación de los elementos que deben modificarse en los documentos de las normas corporativas vinculantes en el contexto del Brexit.

Esta nota informativa se emite sin perjuicio del análisis que está llevando a cabo el CEPD sobre las consecuencias de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) relativa al asunto DPC contra Facebook Ireland y Schrems para las nomas corporativas vinculantes como herramientas de transferencia.

CEPD_Comunicado de prensa_2020_13

20 July 2020

Bruselas, 20 de julio - Durante su 34.ª sesión plenaria, el CEPD adoptó una declaración sobre la sentencia del TJUE en el asunto Facebook Ireland contra Schrems. El Comité adoptó las directrices sobre la interacción entre la segunda Directiva sobre servicios de pago (DSP II) y el RGPD, y aprobó una carta de respuesta al diputado al Parlamento Europeo Ďuriš Nicholsonová sobre el rastreo de contactos, la interoperabilidad de las aplicaciones y las EIPD.

El CEPD adoptó una declaración sobre la sentencia del Tribunal de Justicia de la Unión Europea en el Asunto C-311/18 - Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems, que anula la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. y considera válida la Decisión 2010/87 de la Comisión relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.

Por lo que se refiere al Escudo de privacidad, el CEPD señala que la UE y los EE. UU. deben lograr un marco completo y efectivo que garantice que el nivel de protección concedido a los datos personales en los EE. UU. sea sustancialmente equivalente al garantizado en la UE, en línea con la sentencia. El Comité Europeo de Protección de Datos tiene intención de seguir desempeñando un papel constructivo a la hora de garantizar una transferencia transatlántica de datos personales que beneficie a los ciudadanos y a las organizaciones del EEE y está dispuesto a facilitar a la Comisión Europea asistencia y orientación para ayudarle a construir, junto con los Estados Unidos, un nuevo marco plenamente conforme con la legislación de la UE en materia de protección de datos.

Por lo que respecta a las Cláusulas Contractuales Tipo, el CEPD toma nota de la responsabilidad principal del exportador y del importador, a la hora de considerar la conveniencia de formalizar cláusulas contractuales tipo, para garantizar que se mantiene un nivel de protección esencialmente equivalente al garantizado por el RGPD a la luz de la Carta de la UE. Al realizar dicha evaluación previa, el exportador (en su caso, con la ayuda del importador) tendrá en cuenta el contenido de las cláusulas contractuales tipo, las circunstancias específicas de la transferencia, así como el régimen jurídico aplicable en el país del importador. El Tribunal subraya que el exportador podría tener que considerar la adopción de medidas adicionales a las incluidas en las cláusulas contractuales tipo. El Comité Europeo de Protección de Datos estudiará más a fondo en qué podrían consistir estas medidas adicionales.

El Comité Europeo de Protección de Datos toma nota asimismo de las obligaciones de las autoridades de control competentes de suspender o prohibir la transferencia de datos a un tercer país de conformidad con las cláusulas contractuales tipo si, a juicio de la autoridad de control competente y a la luz de todas las circunstancias de dicha transferencia, las cláusulas no se cumplen o no pueden cumplirse en ese tercer país, y la protección de los datos transferidos no puede garantizarse por otros medios, en particular cuando el responsable o el encargado del tratamiento no hayan ya suspendido o puesto fin a la transferencia.

El CEPD recuerda que ha emitido directrices sobre el artículo 49 del RGPD y que estas excepciones han de aplicarse caso por caso.

El CEPD evaluará la sentencia con más detalle y aportará más aclaraciones a las partes interesadas, así como orientaciones sobre el uso de instrumentos para la transferencia de datos personales a terceros países de conformidad con la sentencia. Como señala el TJUE, el Comité Europeo de Protección de Datos y sus autoridades de control europeas están preparados asimismo para garantizar la coherencia en el conjunto del EEE.

La declaración completa puede consultarse aquí: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

El CEPD ha adoptado directrices sobre la segunda Directiva de servicios de pago (DSP II). La DSP II moderniza el marco jurídico del mercado de servicios de pago. Cabe destacar que la DSP II introduce un marco jurídico para los nuevos servicios de iniciación de pagos y los servicios de información sobre cuentas. Los usuarios pueden solicitar que estos nuevos proveedores de servicios de pago tengan acceso a sus cuentas de pago. Tras un taller con las partes interesadas celebrado en febrero de 2019, el CEPD elaboró las directrices sobre la aplicación del RGPD a estos nuevos servicios de pago.

Las directrices señalan que, en este contexto, el tratamiento de categorías especiales de datos personales está prohibido con carácter general (de conformidad con lo dispuesto en el artículo 9, apartado 1, del RGPD), excepto cuando el interesado dé su consentimiento explícito (artículo 9, apartado 2, letra a), del RGPD) o cuando el tratamiento sea necesario por razones de interés público esencial (artículo 9, apartado 2, letra g), del RGPD).

Las Directrices también abordan las condiciones en las que los proveedores de servicios de pago gestores de cuenta conceden acceso a información de cuentas de pago a servicios de iniciación de pagos y servicios de información sobre cuentas.

Las directrices aclaran que ni el artículo 66, apartado 3, letra g), ni el artículo 67, apartado 2, letra f), de la DSP II permiten ningún otro tratamiento, a menos que el interesado haya dado su consentimiento con arreglo a lo dispuesto en el artículo 6, apartado 1, letra a), del RGPD o el tratamiento lo establezca la legislación de la Unión o la legislación de los Estados miembros. Las Directrices se someterán a consulta pública.

Por último, el Comité aprobó una carta en respuesta a las preguntas del diputado al Parlamento Europeo Ďuriš Nicholsonová sobre la protección de datos en el contexto de la lucha contra la COVID-19. La carta aborda cuestiones relativas a la armonización y la interoperabilidad de las aplicaciones de rastreo de contactos, el requisito de realizar una EIPD en relación con dicho tratamiento y la duración del tratamiento.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

During its 32nd plenary session, the EDPB adopted a statement on the interoperability of contact tracing apps, as well as a statement on the opening of borders and data protection rights. The Board also adopted two letters to MEP Körner - on encryption and on Article 25 GDPR - and a letter to CEAOB on PCAOB arrangements.

The EDPB adopted a statement on the interoperability of contact tracing applications, building on the EDPB Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The statement offers a more in-depth analysis of key aspects, including transparency, legal basis, controllership, data subject rights, data retention and minimisation, information security and data accuracy in the context of creating an interoperable network of applications, that need to be considered on top of those highlighted in the EDPB Guidelines 04/2020.

The EDPB emphasises that the sharing of data about individuals that have been diagnosed or tested positively with such interoperable applications should only be triggered by a voluntary action of the user. Giving data subjects information and control will increase their trust in the solutions and their potential uptake. The goal of interoperability should not be used as an argument to extend the collection of personal data beyond what is necessary.

Moreover, contact tracing apps need to be part of a comprehensive public health strategy to fight the pandemic, such as testing and subsequent manual contact tracing for the purpose of improving effectiveness of the performed measures.

Ensuring interoperability is not only technically challenging and sometimes impossible without disproportionate trade-offs, but also leads to a potential increased data protection risk. Therefore, controllers need to ensure measures are effective and proportionate and must assess whether a less intrusive alternative can achieve the same purpose.

The EDPB adopted a statement on the processing of personal data in the context of reopening the Schengen borders following the COVID-19 outbreak. The measures allowing a safe reopening of the borders currently envisaged or implemented by Member States include testing for COVID-19, requiring certificates issued by health professionals and the use of a voluntary contact tracing app. Most measures involve processing of personal data.

The EDPB recalls that data protection legislation remains applicable and allows for an efficient response to the pandemic, while at the same time protecting fundamental rights and freedoms. The EDPB stresses that the processing of personal data must be necessary and proportionate, and the level of protection should be consistent throughout the EEA. In the statement, the EDPB urges the Member States to take a common European approach when deciding which processing of personal data is necessary in this context.

The statement also addresses the GDPR principles that Member States need to pay special attention to when processing personal data in the context of reopening the border. These include lawfulness, fairness and transparency, purpose limitation, data minimisation, storage limitation, security of data and data protection by design and by default. Moreover, the decision to allow the entrance into a country should not only be based on the automated individual decision making technologies. In any case, such decisions should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Automated individual decision measures should not apply to children.

Finally, the EDPB highlights the importance of a prior consultation with competent national supervisory authorities when Member States intend to process personal data in this context.

The EDPB adopted a response to a letter from MEP Moritz Körner on the relevance of encryption bans in third countries for assessing the level of data protection when personal data are transferred to countries where these bans exist. According to the EDPB, any ban on encryption or provisions weakening encryption would seriously undermine compliance with GDPR security obligations applicable to controllers and processors, be that in a third country or in the EEA. Security measures are one of the elements the European Commission must take into account when assessing the adequacy of the level of protection in a third country.

A second letter to MEP Körner addresses the topic of laptop camera covers. MEP Körner highlighted that this technology could help comply with the GDPR and suggested new laptops should be equipped with it. In its reply, the Board clarifies that while laptop manufacturers should be encouraged to take into account the right to data protection when developing and designing such products, they are not responsible for the processing carried out with those products and the GDPR does not establish legal obligations for manufacturers, unless they also act as controllers or processors. Controllers must evaluate the risks of each processing and choose the appropriate safeguards to comply with GDPR, including the privacy by design and by default enshrined in Article 25 GDPR.

Finally, the EDPB adopted a letter to the Committee of European Auditor Oversight Bodies (CEAOB). The EDPB received a proposal from the CEAOB, which gathers the national auditor oversight bodies at EU level, to cooperate and receive feedback on negotiations of draft administrative arrangements for the transfer of data to the US Public Company Accounting Oversight Board (PCAOB). The EDPB welcomes this proposal and indicates that it is available to hold an exchange with the CEAOB to clarify any potential questions on data protection requirements related to such arrangements in light of the EDPB Guidelines 2/2020 on Art. 46 (2) (a) and 46 (3) (b) GDPR for transfers of personal data between EEA and non-EEA public authorities. The exchange could also involve the PCAOB if the CEAOB and its members deem it beneficial for their work on these arrangements.

The agenda of the 32nd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_11

10 June 2020

Bruselas, 10 de junio - En su 31.ª sesión plenaria, el CEPD decidió constituir un grupo de trabajo para coordinar las posibles actuaciones y adquirir una visión general más completa del tratamiento y las prácticas de TikTok en el conjunto de la UE, y aprobó una carta relativa al uso de Clearview AI por parte de las fuerzas y cuerpos de seguridad. Por otra parte, el CEPD adoptó una respuesta al grupo consultivo de la ENISA y una carta en respuesta a una carta abierta de NOYB.

El CEPD anunció su decisión de constituir un grupo de trabajo para coordinar las posibles actuaciones y adquirir una visión general más completa del tratamiento y las prácticas de TikTok en el conjunto de la UE.

En respuesta a la solicitud del diputado al Parlamento Europeo Körner relativa a TikTok, el CEPD indica que ya ha emitido directrices y recomendaciones que deben tener en cuenta todos los responsables del tratamiento de datos cuyo tratamiento esté sujeto al RGPD, en particular en lo que respecta a la transferencia de datos personales a terceros países, las condiciones sustantivas y de procedimiento para el acceso a los datos personales por parte de las autoridades públicas o la aplicación del ámbito territorial del RGPD, en particular en lo que respecta al tratamiento de datos de menores. El CEPD recuerda que el RGPD se aplica al tratamiento de datos personales por parte de un responsable del tratamiento, aunque este no esté establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de productos o servicios a personas interesadas en la Unión.

En su respuesta a las preguntas sobre Clearview AI, el CEPD compartió su preocupación en relación con determinados avances en las tecnologías de reconocimiento facial. El CEPD recuerda que, con arreglo a lo dispuesto en la Directiva (UE) 2016/680 relativa a la aplicación de las leyes, las fuerzas y cuerpos de seguridad pueden tratar datos biométricos con el fin de identificar de manera unívoca a una persona física únicamente de conformidad con las estrictas condiciones establecidas en los artículos 8 y 10 de la Directiva.

El CEPD alberga dudas respecto a si la legislación de la Unión o de los Estados miembros proporciona un fundamento jurídico para utilizar un servicio como el ofrecido por Clearview AI. Por lo tanto, en su estado actual, y sin perjuicio de cualquier investigación futura o pendiente, no puede determinarse la licitud de dicho uso por parte de las fuerzas y cuerpos de seguridad de la UE.

Sin perjuicio de un análisis ulterior sobre la base de los elementos adicionales aportados, el CEPD considera, por lo tanto, que el uso de un servicio como Clearview AI por parte de las fuerzas y cuerpos de seguridad en la Unión Europea probablemente no sería, en su estado actual, conforme con el régimen de protección de datos de la UE.

Por último, el CEPD se remite a sus directrices sobre el tratamiento de datos personales utilizando dispositivos de vídeo y anuncia un próximo trabajo sobre el uso de la tecnología de reconocimiento facial por parte de las fuerzas y cuerpos de seguridad.

En respuesta a una carta de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en la que se solicitaba al CEPD que designara a un representante para el grupo consultivo de la ENISA, el Comité ha designado como representante a Gwendal Le Grand, secretario general adjunto de la CNIL. El grupo consultivo presta asistencia al director ejecutivo de la ENISA en la elaboración de un programa de trabajo anual y en la garantía de la comunicación con las partes interesadas pertinentes.

El CEPD adoptó una respuesta a una carta abierta de NOYB relativa a la cooperación entre las autoridades de control y los procedimientos de coherencia. En su carta, el Comité indica que ha estado trabajando constantemente en la mejora de la cooperación entre las autoridades de control y los procedimientos de coherencia. El Comité es consciente de que existen cuestiones que exigen mejoras, como las diferencias en las leyes y las prácticas de procedimiento administrativo nacional, y el tiempo y los recursos necesarios para resolver los casos transfronterizos. El Comité reitera su compromiso de buscar soluciones, cuando estas sean de su competencia.

Nota para los editores:
Téngase en cuenta que todos los documentos aprobados durante la sesión plenaria del CEPD se someten a las comprobaciones jurídicas, lingüísticas y de formato necesarias y se publicarán en el sitio web del CEPD una vez se hayan realizado dichas comprobaciones.

EDPB_Press Release_2020_10

03 June 2020

Bruselas, 3 de junio - En su 30.ª sesión plenaria, el CEPD adoptó una declaración sobre los derechos de la personas interesadas en relación con el estado de alarma en los Estados miembros. El Comité también adoptó una carta en respuesta al escrito de la Unión por las Libertades Civiles en Europa, Access Now y la Unión Húngara por las Libertades Civiles (HCLU) en relación con el Decreto del Gobierno húngaro 179/2020, de 4 de mayo.

El CEPD recuerda que, incluso en estos momentos excepcionales, la protección de los datos personales debe respetarse en todas las medidas de emergencia, contribuyendo así a la salvaguarda de los valores universales de democracia, Estado de Derecho y derechos fundamentales en los que se basa la Unión.

Tanto en la declaración como en la carta, el CEPD reitera que el RGPD sigue siendo aplicable y permite responder con eficacia a la pandemia, al tiempo que protege los derechos y las libertades fundamentales. La legislación en materia de protección de datos ya permite las operaciones de tratamiento de datos necesarias para contribuir a la lucha contra la pandemia de COVID-19.

La declaración recuerda los principios fundamentales relativos a las restricciones de los derechos de las personas interesadas en relación con el estado de alarma en los Estados miembros:

  • Las restricciones que sean generales, amplias o intrusivas en la medida en que despojan un derecho fundamental de su contenido básico no pueden justificarse.
  • En determinadas condiciones, el artículo 23 del RGPD permite a los legisladores nacionales limitar mediante una medida legislativa el alcance de las obligaciones de los responsables y encargados del tratamiento y los derechos de los interesados cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar objetivos importantes de interés público general de la Unión o de un Estado miembro, como, por ejemplo, la salud pública.
  • Los derechos de los interesados constituyen el núcleo del derecho fundamental a la protección de datos y el artículo 23 del RGPD debe interpretarse y leerse teniendo en cuenta que la aplicación de dichos derechos debe ser la norma general. Dado que las restricciones son excepciones a la norma general, solo tendrán cabida en circunstancias limitadas.
  • Las restricciones deberán establecerse «por ley», y la ley por la que se establezcan deberá ser lo suficientemente clara como para permitir a la ciudadanía comprender las condiciones en que los responsables del tratamiento pueden invocarlas. Además, las restricciones deberán ser previsibles para las personas sujetas a ellas. Las restricciones impuestas durante un período no limitado en el tiempo, que se aplican con carácter retroactivo o están sujetas a condiciones imprecisas, no cumplen el criterio de previsibilidad.
  • La mera existencia de una pandemia o de cualquier otra situación de emergencia no es, por sí misma, razón suficiente para justificar cualquier tipo de restricción aplicable a los derechos de las personas interesadas; al contrario, toda restricción deberá contribuir claramente a salvaguardar un objetivo importante de interés público general de la UE o de un Estado miembro.
  • El estado de alarma, adoptado en un contexto de pandemia, es una condición jurídica que puede legitimar las restricciones de los derechos de las personas interesadas, siempre que estas restricciones solo se apliquen en la medida en que sean estrictamente necesarias y proporcionadas con el fin salvaguardar el objetivo de salud pública. Así pues, las restricciones deberán estar estrictamente limitadas en cuanto a su alcance y en el tiempo, ya que los derechos de los interesados pueden limitarse pero no negarse. Además, deberán aplicarse plenamente las garantías previstas en el artículo 23, apartado 2, del RGPD.
  • Las restricciones adoptadas en el contexto de un estado de alarma que suspendan o retrasen la aplicación de los derechos de las personas interesadas y las obligaciones que incumben a los responsables y encargados del tratamiento de datos, sin limitaciones temporales claras, equivaldrían a una suspensión general de facto de esos derechos y no serían compatibles con la esencia de los derechos y libertades fundamentales.

Además, el CEPD anunció que publicará en los próximos meses directrices sobre la aplicación del artículo 23 del RGPD.

Nota para los editores:

Nótese que todos los documentos aprobados durante la sesión plenaria del CEPD se someten a las comprobaciones jurídicas, lingüísticas y de formato necesarias y se publicarán en el sitio web del CEPD una vez se hayan realizado dichas comprobaciones.

20 May 2020

Bruselas, 20 de mayo — Durante su 28.ª sesión plenaria, el CEPD adoptó un dictamen en virtud del artículo 64 del RGPD sobre el proyecto de cláusulas contractuales tipo presentado por la autoridad de control eslovena y decidió publicar un registro que contiene decisiones siguiendo el mecanismo de «ventanilla única».

El CEPD adoptó su dictamen sobre el proyecto de cláusulas contractuales tipo para contratos entre responsables y encargados presentadas al Comité por la autoridad de control eslovena. El dictamen tiene por objeto garantizar la aplicación coherente del artículo 28 del RGPD, que impone a los responsables y encargados del tratamiento la obligación de celebrar un contrato u otro acto jurídico que establezca las obligaciones respectivas de las partes. De conformidad con lo dispuesto en el artículo 28, apartado 6, del RGPD, estos contratos u otros actos jurídicos podrán basarse, total o parcialmente, en cláusulas contractuales tipo adoptadas por una autoridad de control. En el dictamen, el Comité formula varias recomendaciones que deberán tenerse en cuenta para que este proyecto de cláusulas contractuales tipo pueda pasar a considerarse un documento definitivo. Si se aplican todas las recomendaciones, la autoridad de control eslovena podrá adoptar este proyecto de acuerdo como cláusulas contractuales tipo con arreglo a lo dispuesto en el artículo 28, apartado 8, del RGPD.

En virtud del procedimiento de cooperación de ventanilla única (artículo 60 del RGPD), el CEPD publicará en su sitio web un registro con las decisiones tomadas por las autoridades nacionales de control.

En virtud del RGPD, las autoridades de control tienen el deber de cooperar en casos con un componente transfronterizo para garantizar una aplicación coherente del Reglamento, el denominado «mecanismo de ventanilla única». En el marco de dicho mecanismo, la autoridad de control principal se encargará de preparar los proyectos de decisiones y trabajará con las autoridades de control interesadas para llegar a un consenso. Hasta finales de abril de 2020, las autoridades de control principales han adoptado 103 decisiones finales de «ventanilla única». El CEPD tiene previsto publicar resúmenes en inglés, preparados por su Secretaría. La información se hará pública tras la validación de la autoridad de control principal en cuestión de conformidad con las condiciones establecidas en su legislación nacional.

Nota para los editores:

Nótese que todos los documentos aprobados durante la sesión plenaria del CEPD se someten a las comprobaciones jurídicas, lingüísticas y de formato necesarias y se publicarán en el sitio web del CEPD una vez se hayan realizado dichas comprobaciones.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bruselas, 20 de febrero — El 18 de febrero y el 19 de febrero, las autoridades de control del EEE y el Supervisor Europeo de Protección de Datos, reunidos en el Consejo Europeo de Protección de Datos,  celebraron su 18.ª sesión plenaria.Durante el pleno se debatió una amplia gama de temas.
 
El CEPD y las autoridades de supervisión individuales del EEE han contribuido a la evaluación y revisión del Reglamento general de protección de datos, tal como se exige en el artículo 97 del RGPD. El CEPD opina que la aplicación del Reglamento  General de Protección de Datos en los primeros 20 meses ha tenido éxito.Sin embargo, la necesidad de recursos suficientes para todas las  Autoridades de Supervisión (AS) sigue siendo preocupante y siguen existiendo algunos retos, debido, por ejemplo, al mosaico de procedimientos nacionales, el Comité está convencido de que la cooperación entre las  AS tendrá como resultado una cultura de protección de datos y una aplicación consistente.El CEPD está estudiando posibles soluciones para superar estos retos y mejorar los procedimientos de cooperación existentes.Asimismo, pide a la Comisión Europea que compruebe si los procedimientos nacionales repercuten en la eficacia de los procedimientos de cooperación y considera que los legisladores también pueden desempeñar un papel a la hora de garantizar una mayor armonización.En su análisis, el CEPD también aborda cuestiones como los instrumentos de transferencia internacionales, el impacto en las pymes, los recursos de  las ASy el desarrollo de nuevas tecnologías.El CEPD concluye que es prematuro  revisar el RGPD  en este momento.

El CEPD adoptó un proyecto de directrices para aclarar la aplicación del artículo 46.2, letra a), y del artículo 46.3, letra b), del RGPD. Estos artículos se refieren a las transferencias de datos personales desde autoridades u organismos públicos del EEE a organismos públicos de terceros países o a organizaciones internacionales, cuando estas transferencias no estén cubiertas por una decisión de adecuación.Las directrices recomiendan las salvaguardias que deben aplicarse en instrumentos jurídicamente vinculantes (artículo 46.2, letra a)) o en acuerdos administrativos (artículo 46.3, letra b) para garantizar que el nivel de protección de las personas físicas conforme al Reglamento General de Protección de Datos se cumpla y no se vea menoscabado.Las directrices se someterán a consulta pública.

Declaración sobre las implicaciones en materia de privacidad de las fusiones
Tras el anuncio de la intención de Google LLC de adquirir Fitbit, el CEPD adoptó una declaración en la que destacaba que la posible combinación y acumulación de datos personales sensibles relativos a personas en Europa por parte de una empresa de tecnología importante podría implicar un alto nivel de riesgo para los derechos fundamentales a la intimidad y la protección de datos.El  Comité Europeo de Protección de Datos recuerda a las partes  la propuesta de concentración, de conformidad con el principio de responsabilidad, las obligaciones que les incumben en virtud del RGPD para llevar a cabo una evaluación completa de los requisitos en materia de protección de datos y de las consecuencias para la  privacidadde la fusión de forma transparente.El Comité también insta a las partes a mitigar los posibles riesgos de la fusión con los derechos a la intimidad y a la protección de datos antes de notificar la fusión a la Comisión Europea.El CEPD tendrá en cuenta las implicaciones que esta fusión puede tener para la protección de los datos personales en el Espacio Económico Europeo y está dispuesta a prestar su asesoramiento sobre la fusión propuesta a la Comisión si así se lo solicita.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del Consejo Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bruselas, 30 de enero — El 28 de enero y el 29 de enero, las autoridades de protección de datos del EEE y el Supervisor Europeo de Protección de Datos, reunidos en el Comité Europeo de Protección de Datos, se reunieron para su decimoséptima sesión plenaria. Durante el pleno se debatió una amplia gama de temas.
 
El Comité Europeo de Protección de Datos adoptó sus dictámenes sobre los requisitos de acreditación de los organismos de supervisión de códigos de conducta presentados a la Junta al Comité por las autoridades de supervisión belgas, españolas y francesas. El objetivo de estos dictámenes es garantizar la coherencia y la correcta aplicación de los criterios entre las autoridades de control del EEE.

El Comité Europeo de Protección de Datos adoptó un proyecto de directrices sobre vehículos conectados. A medida que los vehículos están cada vez más conectados, la cantidad de datos generados sobre los conductores y pasajeros por estos vehículos conectados está creciendo rápidamente. Las directrices del CEPD se centran en el tratamiento de datos personales en relación con el uso no profesional de vehículos conectados por los interesados. Más concretamente, las directrices abordan los datos personales tratados por el vehículo y los datos comunicados por el vehículo como un dispositivo conectado. Las directrices se someterán a consulta pública.

El Comité adoptó la versión definitiva de las Directrices sobre el tratamiento de datos personales a través de dispositivos de vídeo tras una consulta pública. Las directrices tienen por objeto aclarar cómo se aplica el Reglamento general de protección de datos al tratamiento de datos personales al utilizar aparatos de vídeo y garantizar la aplicación coherente del Reglamento general de protección de datos a este respecto. Las directrices abarcan tanto los dispositivos de vídeo tradicionales como los aparatos de vídeo inteligentes. Las directrices abordan, entre otras cosas, la legalidad del tratamiento, incluido el tratamiento de datos de categorías especiales, la aplicabilidad de la exención doméstica y la divulgación de las grabaciones a terceros. Tras la consulta pública, se introdujeron varias modificaciones.

El Consejo Europeo de Protección de Datos adoptó sus dictámenes sobre los proyectos de requisitos de acreditación de los organismos de certificación que las autoridades y del Reino Unido y Luxemburgo someten al Comité. Se trata de los primeros dictámenes sobre requisitos de acreditación de los organismos de certificación adoptados por el Comité. Su objetivo es establecer un enfoque coherente y armonizado en relación con los requisitos que las Autoridades y los organismos nacionales de acreditación aplicarán en la acreditación de organismos de certificación.

El Comité Europeo de Protección de Datos adoptó su dictamen sobre el proyecto de Decisión relativa a las normas corporativas vinculantes (BCR) del Grupo Fujikura Automotive Europe presentadas por la AEPD al Comité.

Carta sobre algoritmos injustos
El CEPD adoptó una carta en respuesta a la solicitud de la diputada Sophie in ʼt Veld sobre el uso de algoritmos injustos. La carta proporciona un análisis de los retos que plantea el uso de algoritmos, una visión general de las disposiciones del RGPD pertinentes y las directrices existentes para abordar estas cuestiones, y describe el trabajo ya realizado por las Autoridades de supervisión.

Carta al Consejo de Europa sobre el Convenio sobre la Ciberdelincuencia
Tras la contribución del Comité al proceso de consulta sobre la negociación de un segundo protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (Convenio de Budapest), varios miembros del Comité Europeo de Protección de Datos participaron activamente en la Conferencia Octopus del Consejo de Europa (T-CY). El Comité adoptó una carta de seguimiento de la conferencia, subrayando la necesidad de integrar sólidas salvaguardias de protección de datos en el futuro Protocolo adicional del Convenio y garantizar su coherencia con el Convenio 108, así como con los Tratados y la Carta de los Derechos Fundamentales de la UE.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del Consejo Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary