Comitetul European pentru Protecția Datelor

Noutăți CEPD

21 October 2020

Brussels, 21 October - On October 20th, the EDPB met for its 40th plenary session. During the plenary, a wide range of topics was discussed. 

Following public consultation, the EDPB adopted a final version of the Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation enshrined in Art.25 is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This means that controllers have to implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in practice and to protect the rights and freedoms of data subjects. In addition, controllers should be able to demonstrate that the implemented measures are effective. 

The Guidelines also contain guidance on how to effectively implement the data protection principles in Article 5 GDR, listing key design and default elements, as well as practical cases for illustration. They further provide recommendations on how controllers, processors and producers can cooperate to achieve DPbDD.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation.

The EDPB decided to set up a Coordinated Enforcement Framework (CEF). The CEF provides a structure for coordinating recurring annual activities by EDPB Supervisory Authorities (SAs). The objective of the CEF is to facilitate joint actions in a flexible and coordinated manner, ranging from joint awareness raising and information gathering to enforcement sweeps and joint investigations. The purpose of recurring annual coordinated actions is to promote compliance, to empower data subjects to exercise their rights and to raise awareness. 

The EDPB adopted a letter in response to the Europäische Akademie für Informationsfreiheit und Datenschutz concerning the data protection implications of Art.17 of the Copyright Directive, in particular concerning upload filters. In the letter, the EDPB states that any processing of personal data for the purpose of upload filters must be proportionate and necessary and that, as far possible, no personal data should be processed when Art. 17 Copyright Directive is implemented. Where the processing of personal data is necessary, such as for the redress mechanism, such data should only concern data necessary for this specific purpose, while applying all the other principles of the GDPR. The EDPB further highlighted that it is in continuous exchange with the European Commission on this topic and that it has indicated its availability for further collaboration.

You can read the agenda of the EDPB's fortieth plenary here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


EDPB_Press Release_2020_16
 

12 October 2020

Bruxelles, 12 octombrie - La cea de-a 39-a ședință plenară, CEPD a adoptat orientări privind conceptul de obiecție relevantă și motivată. Orientările vor contribui la interpretarea unitară a conceptului, pentru simplificarea viitoarelor proceduri prevăzute la articolul 65 din RGPD.

În cadrul mecanismului de cooperare stabilit prin RGPD, autoritățile de supraveghere au datoria de a‑și „comunic[a] reciproc toate informațiile relevante” și de a coopera „în încercarea de a ajunge la un consens”. În conformitate cu articolul 60 alineatele (3) și (4) din RGPD, autoritatea de supraveghere principală are obligația de a transmite un proiect de decizie autorităților de supraveghere vizate, care pot ridica apoi o obiecție relevantă și motivată într-un anumit interval de timp. La primirea unei obiecții relevante și motivate, autoritatea de supraveghere principală are două opțiuni. Dacă nu dă curs obiecției relevante și motivate sau consideră că obiecția nu este motivată sau relevantă, autoritatea de supraveghere principală transmite chestiunea comitetului în cadrul mecanismului pentru asigurarea coerenței (articolul 65 din RGPD). Dacă, însă, autoritatea de supraveghere principală dă curs obiecției și emite proiectul revizuit de decizie, autoritățile de supraveghere vizate pot exprima o obiecție relevantă și motivată cu privire la proiectul revizuit de decizie în termen de două săptămâni.

Orientările au scopul de a stabili o înțelegere comună a noțiunii de „relevantă și motivată”, inclusiv ce trebuie luat în considerare când se evaluează dacă o obiecție „demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie” [articolul 4 alineatul (24) din RGPD].

Notă pentru redactori:

Vă rugăm să rețineți că toate documentele adoptate în ședința plenară a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD de îndată ce aceste verificări vor fi finalizate.

EDPB_Press Release_2020_15

04 September 2020

Bruxelles, 3 septembrie – Comitetul a adoptat Orientări privind conceptele de operator și persoană împuternicită de operator în cadrul RGPD și Orientări privind abordarea orientată spre utilizatorii platformelor de comunicare socială. În plus, CEPD a creat un grup operativ care să se ocupe de plângerile depuse în urma Hotărârii Schrems II a CJUE și un grup operativ dedicat măsurilor suplimentare pe care exportatorii și importatorii de date pot fi nevoiți să le ia pentru a asigura o protecție adecvată la transferarea datelor, având în vedere Hotărârea Schrems II a CJUE.

Comitetul a adoptat Orientări privind conceptele de operator și persoană împuternicită de operator în cadrul RGPD. Odată cu intrarea în vigoare a RGPD au apărut întrebări cu privire la măsura în care RGPD a adus modificări acestor concepte prezentate în capitolul IV din RGPD, în special în ceea ce privește conceptul de operatori asociați (astfel cum este prevăzut la articolul 26 din RGPD și în mai multe hotărâri ulterioare ale CJUE) și obligațiile persoanelor împuternicite de operator (în special articolul 28 din RGPD).

În martie 2019, împreună cu secretariatul său, CEPD a organizat un eveniment pentru părțile interesate, în cadrul căruia a devenit clar că sunt necesare mai multe îndrumări practice, iar Comitetul a avut ocazia să înțeleagă mai bine care sunt nevoile și îngrijorările din domeniu. Noile orientări au două părți principale: într-una se explică diversele concepte, iar în cealaltă se detaliază principalele consecințe ale acestor concepte pentru operatori, persoanele împuternicite de operatori și operatorii asociați. Orientările conțin și o schemă logică pentru mai multe îndrumări practice. Documentul va fi supus unei consultări publice.

CEPD a adoptat Orientări privind abordarea orientată spre utilizatorii platformelor de comunicare socială. Rolul acestora este de a oferi îndrumări practice părților interesate, conținând diverse exemple de situații variate astfel încât părțile interesate să poată identifica rapid „scenariul” cel mai apropiat de practica de abordare pe care intenționează să o aplice. În principal, orientările sunt menite să clarifice rolurile și responsabilitățile furnizorului de platforme de comunicare socială și ale persoanei vizate. În acest sens, se identifică printre altele riscurile potențiale pentru libertățile persoanei fizice, principalii actori și rolurile lor, aplicarea principalelor cerințe legate de protecția datelor, cum ar fi legalitatea, transparența și evaluarea impactului asupra protecției datelor, precum și principalele elemente ale acordurilor dintre furnizorii de platforme de comunicare socială și persoanele vizate. În plus, orientările se axează pe diversele mecanisme de abordare vizată, pe prelucrarea categoriilor speciale de date și pe obligația operatorilor asociați de a institui un acord corespunzător în conformitate cu articolul 26 din RGPD. Plenul va transmite orientările spre consultare publică.

Comitetul a creat un grup operativ care să analizeze plângerile depuse ca urmare a Hotărârii Schrems II a CJUE. Autoritățile pentru protecția datelor din SEE au primit în total 101 plângeri identice împotriva mai multor operatori din statele membre ale SEE, cu privire la utilizarea de către aceștia a serviciilor Google/Facebook care implică transferul de date cu caracter personal. Mai precis, reclamanții, reprezentați de ONG-ul NOYB, susțin că Google/Facebook transferă date cu caracter personal către SUA în baza Scutului de confidențialitate UE-SUA sau a clauzelor contractuale standard și că, în conformitate cu recenta hotărâre a CJUE în cauza C-311/18, operatorul nu are capacitatea să asigure o protecție adecvată a datelor cu caracter personal ale reclamanților. Grupul operativ va analiza această chestiune și va asigura o strânsă cooperare între membrii comitetului.

Ca urmare a Hotărârii Schrems II a CJUE și pe lângă răspunsurile la întrebări frecvente adoptate la 23 iulie, Comitetul a creat un grup operativ. Acest grup va pregăti recomandări menite să asiste operatorii și persoanele împuternicite de operatori în îndeplinirea obligației de a identifica și pune în aplicare măsuri suplimentare corespunzătoare pentru a asigura o protecție adecvată pentru transferul datelor în țări terțe.

Andrea Jelinek, președinta CEPD: „CEPD este foarte conștient de faptul că Hotărârea Schrems II atribuie operatorilor o responsabilitate importantă. Pe lângă declarația și răspunsurile la întrebări frecvente pe care le-am publicat la scurt timp după hotărâre, vom întocmi recomandări care să vină în sprijinul operatorilor și al persoanelor împuternicite de operatori la îndeplinirea sarcinii de identificare și punere în aplicare a unor măsuri suplimentare corespunzătoare, de natură juridică, tehnică și organizațională, pentru a respecta standardul de echivalență substanțială pentru transferul datelor cu caracter personal în țări terțe. Implicațiile hotărârii sunt însă ample, iar contextele în care au loc transferuri de date în țări terțe sunt foarte diverse. Prin urmare, nu poate exista o rezolvare rapidă care să fie universal valabilă. Fiecare organizație va trebui să-și evalueze propriile operațiuni de prelucrare și de transfer de date și să adopte măsurile corespunzătoare”.

Notă pentru redactori:
Vă rugăm să rețineți că toate documentele adoptate în ședința plenară a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD de îndată ce aceste verificări vor fi finalizate.

EDPB_Press Release_2020_14

24 July 2020

Comitetul european pentru protecția datelor publică un document cu întrebări frecvente cu privire la hotărârea CJUE C-311/18 (Schrems II)

În urma hotărârii pronunțate de Curtea de Justiție a Uniunii Europene în cauza C-311/18 — Data Protection Commissioner împotriva Facebook Ireland Ltd și Maximillian Schrems, CEPD a adoptat un document intitulat „Întrebări frecvente” pentru a oferi o primă clarificare și a da părților interesate orientări preliminare cu privire la utilizarea instrumentelor juridice pentru transferul de date cu caracter personal către țări terțe, inclusiv SUA. Acest document va fi dezvoltat și completat, împreună cu orientări suplimentare, întrucât CEPD continuă să examineze și să evalueze hotărârea Curții. 

Documentul cu întrebări frecvente despre hotărârea CJEU C-311/18 se găsește aici.

EDPB_Comunicat de presă_declarație_2020_06

23 July 2020

Bruxelles, 23 iulie — Având în vedere încheierea în scurt timp a perioadei de tranziție pentru Brexit, CEPD a adoptat o notă de informare în care sunt prezentate acțiunile pe care trebuie să le întreprindă autoritățile de supraveghere, titularii de reguli corporatiste obligatorii aprobate (BCR-uri) și organizațiile care au BCR-uri în așteptare la autoritatea de supraveghere din Regatul Unit pentru a garanta posibilitatea de a utiliza în continuare aceste BCR-uri ca instrument de transfer valabil, după încheierea perioadei de tranziție. Întrucât, la sfârșitul perioadei de tranziție, autoritatea de supraveghere din Regatul Unit nu va mai putea fi considerată autoritate de supraveghere competentă în temeiul RGPD, deciziile de adoptare ale autorității de supraveghere din Regatul Unit în temeiul RGPD nu vor mai avea efecte juridice în SEE. În plus, conținutul BCR-urilor respective ar trebui modificat înainte de încheierea perioadei de tranziție, întrucât aceste BCR-uri conțin, în general, trimiteri la ordinea juridică din Regatul Unit. Aceasta se aplică, de asemenea, BCR-urilor aprobate deja în temeiul Directivei 94/46/CE.

Titularii de BCR-uri a căror autoritate de supraveghere principală pentru BCR-uri este autoritatea de supraveghere din Regatul Unit trebuie să ia toate măsurile organizatorice pentru a identifica o nouă autoritate de supraveghere principală pentru BCR-uri în SEE. Schimbarea autorității de supraveghere principale pentru BCR-uri va trebui efectuată înainte de încheierea perioadei de tranziție pentru Brexit.

Solicitanții de BCR-uri din prezent sunt încurajați să pună în aplicare toate modalitățile organizatorice pentru a identifica o nouă autoritate de supraveghere principală pentru BCR-uri în SEE, cu suficient de mult timp înainte de încheierea perioadei de tranziție pentru Brexit, inclusiv contactarea autorității de supraveghere în cauză pentru a furniza toate informațiile necesare privind motivul pentru care această autoritate de supraveghere este considerată noua autoritate de supraveghere pentru BCR-uri. Aceasta din urmă va prelua cererea și va iniția oficial o procedură de aprobare sub rezerva avizului CEPD. Pentru orice BCR-uri aprobate de autoritatea de supraveghere din Regatul Unit în temeiul RGPD, noua autoritate de supraveghere principală pentru BCR-uri din SEE va trebui să emită o nouă decizie de aprobare înainte de încheierea perioadei de tranziție, pe baza unui aviz din partea CEPD. De asemenea, CEPD a adoptat o anexă care conține o listă de verificare a elementelor care trebuie modificate în documentele privind BCR-urile, în contextul Brexitului.

Această notă de informare nu aduce atingere analizei întreprinse în prezent de CEPD privind consecințele hotărârii CJUE în cauza Data Protection Commissioner împotriva Facebook Ireland și Schrems  pentru regulile corporatiste obligatorii ca instrumente de transfer.

CEPD_Comunicat de presă_2020_13

20 July 2020

Bruxelles, 20 iulie — În cadrul celei de a 34-a ședințe plenare, CEPD a adoptat o declarație cu privire la hotărârea CJUE în cauza Facebook Ireland/Schrems. Comitetul a adoptat Orientări privind interacțiunea dintre a doua Directivă privind serviciile de plată (DSP2) și RGPD, precum și o scrisoare de răspuns adresată deputatei în Parlamentul European Ďuriš Nicholsonová cu privire la depistarea contacților, interoperabilitatea aplicațiilor și evaluările impactului asupra protecției datelor.

CEPD a adoptat o declarație privind hotărârea Curții de Justiție a Uniunii Europene în cauza C-311/18 - Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, care invalidează Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA și consideră validă Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe.

În ceea ce privește Scutul de confidențialitate, CEPD subliniază că UE și SUA ar trebui să realizeze un cadru complet și eficace care să garanteze că nivelul de protecție acordat datelor cu caracter personal în SUA este, în esență, echivalent cu cel garantat în UE, conform hotărârii. CEPD are intenția să joace în continuare un rol constructiv în asigurarea unui transfer transatlantic de date cu caracter personal care să aducă beneficii cetățenilor și organizațiilor din SEE și este pregătit să ofere Comisiei Europene asistență și consiliere pentru a contribui la construirea, împreună cu SUA, a unui nou cadru care să respecte pe deplin legislația UE în materie de protecție a datelor.

În ceea ce privește clauzele contractuale standard, CEPD ia act de responsabilitatea principală a exportatorului și a importatorului, atunci când analizează oportunitatea intrării în clauzele contractuale standard, pentru a se asigura că acestea mențin un nivel de protecție care este în esență echivalent cu cel garantat de RGPD în lumina Cartei UE. Când efectuează această evaluare prealabilă, exportatorul (dacă este necesar, cu sprijinul importatorului) ia în considerare conținutul clauzelor contractuale standard, circumstanțele specifice ale transferului, precum și regimul juridic aplicabil în țara importatorului. Curtea subliniază că exportatorul ar trebui să aibă în vedere instituirea de măsuri suplimentare față de cele incluse în clauzele contractuale tip. CEPD va analiza în continuare în ce ar putea consta aceste măsuri suplimentare.

CEPD ia de asemenea notă de obligațiile autorităților de supraveghere competente de a suspenda sau de a interzice transferul de date către o țară terță în temeiul clauzelor contractuale standard dacă, în opinia autorității de supraveghere competente și având în vedere toate circumstanțele acestui transfer, aceste clauze nu sunt sau nu pot fi respectate în țara terță respectivă, iar protecția datelor transferate nu poate fi asigurată prin alte mijloace, în special în cazul în care operatorul sau o persoană împuternicită de operator nu a suspendat sau nu a încetat deja transferul.

CEPD reamintește că a adoptat orientări privind articolul 49 din RGPD și că aceste derogări trebuie aplicate de la caz la caz.

CEPD va evalua hotărârea în detaliu și va oferi părților interesate clarificări suplimentare și orientări privind utilizarea instrumentelor pentru transferul de date cu caracter personal către țări terțe în temeiul hotărârii. CEPD și autoritățile sale europene de supraveghere sunt de asemenea pregătite, așa cum a declarat CJUE, să asigure coerența în cadrul SEE.

Declarația integrală este disponibilă aici: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

CEPD a adoptat Orientări cu privire la a doua Directivă privind serviciile de plată (DSP2). DSP2 modernizează cadrul juridic pentru piața serviciilor de plată. Un fapt important este că DSP2 introduce un cadru legal pentru noile servicii de inițiere a plății (PISP) și serviciile de informare cu privire la conturi (AISP). Utilizatorii pot solicita ca acești noi prestatori de servicii de plată să aibă acces la conturile lor de plăți. În urma unui atelier de lucru al părților interesate din februarie 2019, Comitetul european pentru protecția datelor a elaborat orientări privind aplicarea RGPD la aceste noi servicii de plată.

Orientările arată că, în acest context, prelucrarea categoriilor speciale de date cu caracter personal este, în general, interzisă [conform articolului 9 alineatul (1) din RGPD], cu excepția cazului în care persoana vizată își dă consimțământul explicit [articolul 9 alineatul (2) litera (a) din RGPD] sau prelucrarea este necesară din motive de interes public semnificativ [articolul 9 alineatul (2) litera (g) din RGPD].

Orientările abordează, de asemenea, condițiile în care PSISP acordă acces la informațiile privind contul de plăți către PSIP și AISP, în special accesul granular la conturile de plăți.

Orientările clarifică faptul că nici articolul 66 alineatul (3) litera (g), nici articolul 67 alineatul (2) litera (f) din DSP2 nu permit prelucrarea ulterioară, cu excepția cazului în care persoana vizată și-a dat consimțământul în temeiul articolului 6 alineatul (1) litera (a) din RGPD sau prelucrarea este prevăzută de dreptul Uniunii sau de dreptul intern al statelor membre. Orientările vor fi supuse unei consultări publice.

În cele din urmă, Comitetul a adoptat o scrisoare de răspuns la întrebările formulate de deputata în Parlamentul European Ďuriš Nicholsonová cu privire la protecția datelor în contextul luptei împotriva COVID-19. Scrisoarea adresează întrebări privind armonizarea și interoperabilitatea aplicațiilor de depistare a contacților, cerința unei evaluări a impactului asupra protecției datelor pentru o astfel de prelucrare și durata pentru care poate fi pusă în aplicare prelucrarea.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

During its 32nd plenary session, the EDPB adopted a statement on the interoperability of contact tracing apps, as well as a statement on the opening of borders and data protection rights. The Board also adopted two letters to MEP Körner - on encryption and on Article 25 GDPR - and a letter to CEAOB on PCAOB arrangements.

The EDPB adopted a statement on the interoperability of contact tracing applications, building on the EDPB Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The statement offers a more in-depth analysis of key aspects, including transparency, legal basis, controllership, data subject rights, data retention and minimisation, information security and data accuracy in the context of creating an interoperable network of applications, that need to be considered on top of those highlighted in the EDPB Guidelines 04/2020.

The EDPB emphasises that the sharing of data about individuals that have been diagnosed or tested positively with such interoperable applications should only be triggered by a voluntary action of the user. Giving data subjects information and control will increase their trust in the solutions and their potential uptake. The goal of interoperability should not be used as an argument to extend the collection of personal data beyond what is necessary.

Moreover, contact tracing apps need to be part of a comprehensive public health strategy to fight the pandemic, such as testing and subsequent manual contact tracing for the purpose of improving effectiveness of the performed measures.

Ensuring interoperability is not only technically challenging and sometimes impossible without disproportionate trade-offs, but also leads to a potential increased data protection risk. Therefore, controllers need to ensure measures are effective and proportionate and must assess whether a less intrusive alternative can achieve the same purpose.

The EDPB adopted a statement on the processing of personal data in the context of reopening the Schengen borders following the COVID-19 outbreak. The measures allowing a safe reopening of the borders currently envisaged or implemented by Member States include testing for COVID-19, requiring certificates issued by health professionals and the use of a voluntary contact tracing app. Most measures involve processing of personal data.

The EDPB recalls that data protection legislation remains applicable and allows for an efficient response to the pandemic, while at the same time protecting fundamental rights and freedoms. The EDPB stresses that the processing of personal data must be necessary and proportionate, and the level of protection should be consistent throughout the EEA. In the statement, the EDPB urges the Member States to take a common European approach when deciding which processing of personal data is necessary in this context.

The statement also addresses the GDPR principles that Member States need to pay special attention to when processing personal data in the context of reopening the border. These include lawfulness, fairness and transparency, purpose limitation, data minimisation, storage limitation, security of data and data protection by design and by default. Moreover, the decision to allow the entrance into a country should not only be based on the automated individual decision making technologies. In any case, such decisions should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Automated individual decision measures should not apply to children.

Finally, the EDPB highlights the importance of a prior consultation with competent national supervisory authorities when Member States intend to process personal data in this context.

The EDPB adopted a response to a letter from MEP Moritz Körner on the relevance of encryption bans in third countries for assessing the level of data protection when personal data are transferred to countries where these bans exist. According to the EDPB, any ban on encryption or provisions weakening encryption would seriously undermine compliance with GDPR security obligations applicable to controllers and processors, be that in a third country or in the EEA. Security measures are one of the elements the European Commission must take into account when assessing the adequacy of the level of protection in a third country.

A second letter to MEP Körner addresses the topic of laptop camera covers. MEP Körner highlighted that this technology could help comply with the GDPR and suggested new laptops should be equipped with it. In its reply, the Board clarifies that while laptop manufacturers should be encouraged to take into account the right to data protection when developing and designing such products, they are not responsible for the processing carried out with those products and the GDPR does not establish legal obligations for manufacturers, unless they also act as controllers or processors. Controllers must evaluate the risks of each processing and choose the appropriate safeguards to comply with GDPR, including the privacy by design and by default enshrined in Article 25 GDPR.

Finally, the EDPB adopted a letter to the Committee of European Auditor Oversight Bodies (CEAOB). The EDPB received a proposal from the CEAOB, which gathers the national auditor oversight bodies at EU level, to cooperate and receive feedback on negotiations of draft administrative arrangements for the transfer of data to the US Public Company Accounting Oversight Board (PCAOB). The EDPB welcomes this proposal and indicates that it is available to hold an exchange with the CEAOB to clarify any potential questions on data protection requirements related to such arrangements in light of the EDPB Guidelines 2/2020 on Art. 46 (2) (a) and 46 (3) (b) GDPR for transfers of personal data between EEA and non-EEA public authorities. The exchange could also involve the PCAOB if the CEAOB and its members deem it beneficial for their work on these arrangements.

The agenda of the 32nd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_11

10 June 2020

Bruxelles, 10 iunie — În cadrul celei de a 31-a ședințe plenare, CEPD a decis să înființeze un grup operativ pentru a coordona eventuale acțiuni și pentru a obține o imagine de ansamblu mai cuprinzătoare a activităților de prelucrare și a practicilor utilizate de aplicația TikTok în întreaga UE și a adoptat un răspuns la o scrisoare în legătură cu utilizarea serviciilor societății Clearview AI de către autoritățile de aplicare a legii. În plus, CEPD a adoptat un răspuns adresat grupului consultativ al ENISA și o scrisoare de răspuns la o scrisoare deschisă din partea NOYB.

CEPD și-a anunțat decizia de a înființa un grup operativ pentru a coordona eventuale acțiuni și pentru a obține o imagine de ansamblu mai cuprinzătoare a activităților de prelucrare și a practicilor utilizate de aplicația TikTok în întreaga UE.

Ca răspuns la solicitarea domnului Körner, deputat în Parlamentul European, cu privire la TikTok, CEPD menționează că a emis deja orientări și recomandări care trebuie luate în considerare de toți operatorii care prelucrează date care intră sub incidența RGPD, în special în ceea ce privește transferul de date cu caracter personal către țări terțe, condițiile de fond și de procedură pentru accesul autorităților publice la date cu caracter personal sau aplicarea domeniului de aplicare teritorial al RGPD, în special în ceea ce privește prelucrarea datelor minorilor. CEPD reamintește că RGPD se aplică prelucrării datelor cu caracter personal de către un operator, chiar dacă acesta nu este stabilit pe teritoriul Uniunii, în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii persoanelor vizate din Uniune.

În răspunsul adresat deputaților în Parlamentul European cu privire la Clearview AI, CEPD și-a exprimat îngrijorarea cu privire la anumite evoluții ale tehnologiilor de recunoaștere facială. CEPD reamintește că, în conformitate cu Directiva (UE) 2016/680 privind protecția datelor în materie de aplicare a legii, autoritățile de aplicare a legii pot prelucra date biometrice pentru identificarea unică a unei persoane fizice numai în conformitate cu condițiile stricte prevăzute la articolele 8 și 10 din directivă.

CEPD are îndoieli cu privire la faptul că o legislație a Uniunii sau a unui stat membru poate oferi temeiul juridic pentru utilizarea unui serviciu precum cel oferit de Clearview AI. Prin urmare, în forma sa actuală și fără a aduce atingere niciunei investigații viitoare sau în curs de desfășurare, legalitatea unei astfel de utilizări de către autoritățile de aplicare a legii din UE nu poate fi stabilită.

Prin urmare, fără a aduce atingere analizei ulterioare pe baza elementelor suplimentare furnizate, CEPD este de părere că utilizarea unui serviciu precum Clearview AI de către autoritățile de aplicare a legii în Uniunea Europeană ar putea, în forma sa actuală, să nu fie în concordanță cu regimul UE de protecție a datelor.

În sfârșit, CEPD face trimitere la orientările sale privind prelucrarea datelor cu caracter personal prin intermediul dispozitivelor video și anunță acțiuni viitoare privind utilizarea tehnologiei de recunoaștere facială de către autoritățile de aplicare a legii.

Ca răspuns la o scrisoare din partea Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA), prin care se solicită CEPD să desemneze un reprezentant în grupul consultativ al ENISA, Comitetul l-a numit ca reprezentant pe dl Gwendal Le Grand, secretar general adjunct al CNIL. Grupul consultativ oferă asistență directorului executiv al ENISA la elaborarea programului de activitate anual și la asigurarea comunicării cu părțile interesate relevante.

CEPD a adoptat un răspuns la o scrisoare deschisă adresată de NOYB cu privire la cooperarea dintre autoritățile de supraveghere și procedurile de asigurare a coerenței. În scrisoarea sa, Comitetul menționează că a lucrat în mod constant la îmbunătățirea cooperării dintre autoritățile de supraveghere și procedurile de asigurare a coerenței. Comitetul este conștient că există aspecte care trebuie ameliorate, cum ar fi diferențele existente în dreptul procedural și practicile administrative la nivel național, precum și în ceea ce privește timpul și resursele necesare pentru soluționarea cazurilor transfrontaliere. Comitetul își reafirmă angajamentul de a găsi soluții, în cazul în care acestea sunt de competența sa.

Notă pentru redactori:
Vă rugăm să rețineți că toate documentele adoptate în ședința plenară a CEPD trec prin verificările juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD imediat după încheierea lor.

EDPB_Press Release_2020_10

03 June 2020

Bruxelles, 3 iunie - La a 30-a ședință plenară, CEPD a adoptat o declarație privind drepturile persoanelor vizate în legătură cu starea de urgență din statele membre. Comitetul a adoptat, de asemenea, o scrisoare ca răspuns la o scrisoare din partea Uniunii libertăților civile pentru Europa, „Access Now” și „Hungarian Civil Liberties Union” (HCLU - Uniunea maghiară pentru libertăți civile) în ceea ce privește Decretul nr. 179/2020 din 4 mai al guvernului maghiar.

CEPD reamintește că, chiar și în această perioadă excepțională, protecția datelor cu caracter personal trebuie menținută în toate măsurile de urgență, contribuind astfel la respectarea valorilor fundamentale ale democrației, statului de drept și drepturilor fundamentale pe care se întemeiază Uniunea.

Atât în declarație, cât și în scrisoare, CEPD reiterează că RGPD se aplică în continuare și permite un răspuns eficient la pandemie, protejând în același timp drepturile și libertățile fundamentale. Legislația privind protecția datelor permite deja operațiunile de prelucrare a datelor necesare pentru a contribui la combaterea pandemiei de COVID-19.

Declarația reamintește principiile de bază referitoare la restricțiile aduse drepturilor persoanelor vizate în legătură cu starea de urgență din statele membre:

  • Restricțiile generale, extinse sau abuzive în măsura în care golesc un drept fundamental de conținutul de bază nu pot fi justificate.
  • În anumite condiții, articolul 23 din RGPD permite legiuitorilor naționali să limiteze, printr-o măsură legislativă, sfera obligațiilor operatorilor și ale persoanelor împuternicite de operatori, precum și drepturile persoanelor vizate, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică pentru a proteja obiectivele importante de interes public general ale Uniunii sau ale unui stat membru, cum ar fi în special sănătatea publică.
  • Drepturile persoanelor vizate se află la baza dreptului fundamental la protecția datelor, iar articolul 23 din RGPD trebuie interpretat și citit ținând seama de faptul că aplicarea lor ar trebui să fie regula generală. Întrucât restricțiile sunt excepții de la regula generală, acestea trebuie aplicate numai în circumstanțe limitate.
  • Restricțiile trebuie prevăzute „prin lege”, iar legea prin care se stabilesc restricții trebuie să fie suficient de clară pentru a permite cetățenilor să înțeleagă condițiile în care operatorii sunt abilitați să recurgă la restricții. În plus, restricțiile trebuie să fie previzibile pentru persoanele vizate. Restricțiile impuse pentru o durată care nu este limitată precis în timp, care se aplică retroactiv sau care sunt supuse unor condiții nedefinite nu îndeplinesc criteriul previzibilității.
  • Existența unei pandemii sau a altei situații de urgență nu constituie în sine un motiv suficient pentru a impune restricții ale drepturilor persoanelor vizate; dimpotrivă, orice restricție trebuie să contribuie în mod clar la protejarea unui obiectiv important de interes public general al UE sau al unui stat membru.
  • Starea de urgență, adoptată în contextul unei pandemii, este o condiție juridică care poate legitima restricții legate de drepturile persoanelor vizate, cu condiția ca aceste restricții să se aplice numai în măsura în care sunt strict necesare și proporționale pentru a proteja obiectivul de sănătate publică. Astfel, restricțiile trebuie să fie strict limitate ca domeniu de aplicare și în timp, deoarece drepturile persoanelor vizate pot fi limitate, dar nu pot fi negate. În plus, garanțiile prevăzute la articolul 23 alineatul (2) din RGPD trebuie aplicate integral.
  • Restricțiile adoptate în contextul unei stări de urgență care suspendă sau amână aplicarea drepturilor persoanelor vizate și obligațiile care revin operatorilor și persoanelor împuternicite de operatori, fără o limitare clară în timp, ar echivala cu suspendarea totală de facto a acestor drepturi și nu ar fi compatibile cu esența drepturilor și libertăților fundamentale.

În plus, CEPD a anunțat că va publica, în lunile următoare, orientări privind punerea în aplicare a articolului 23 din RGPD.

Notă pentru redactori:

Vă rugăm să rețineți că toate documentele adoptate în plenara CEPD trec prin verificările juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD imediat după încheierea lor.

20 May 2020

Bruxelles, 20 mai - La a 28-a ședință plenară, CEPD a adoptat un aviz în temeiul articolului 64 din RGPD referitor la proiectul de clauze contractuale standard înaintat de autoritatea de supraveghere (AS) din Slovenia și a decis publicarea unui registru care să conțină deciziile „ghișeului unic”.

CEPD și-a adoptat avizul referitor la proiectul de clauze contractuale standard (CSS) pentru contracte între operatori și persoane împuternicite de operatori, înaintat Comitetului de autoritatea de supraveghere din Slovenia. Avizul urmărește să asigure aplicarea consecventă a articolului 28 din RGPD, care impune operatorilor și persoanelor împuternicite de operatori obligația de a încheia un contract sau un alt act juridic care să prevadă obligațiile respective ale părților. În conformitate cu articolul 28 alineatul (6) din RGPD, aceste contracte sau alte acte juridice se pot baza, integral sau parțial, pe clauze contractuale standard adoptate de o autoritate de supraveghere. În aviz, Comitetul face mai multe recomandări care trebuie luate în considerare pentru ca aceste proiecte de CCS să fie considerate clauze contractuale standard. Dacă toate recomandările sunt puse în aplicare, AS din Slovenia va fi în măsură să adopte acest proiect de acord sub forma unor clauze contractuale standard în temeiul articolului 28 alineatul (8) din RGPD.

CEPD va publica pe site-ul său un registru care conține deciziile luate de autoritățile naționale de supraveghere în urma procedurii de cooperare prin mecanismul ghișeului unic (articolul 60 din RGPD).

În temeiul RGPD, autoritățile de supraveghere au obligația de a coopera în cazurile cu componentă transfrontalieră pentru a asigura aplicarea consecventă a regulamentului - așa-numitul mecanism al ghișeului unic. În cadrul ghișeului unic, autoritatea de supraveghere principală este responsabilă cu elaborarea proiectelor de decizii și de lucrări împreună cu autoritățile de supraveghere vizate, pentru a ajunge la un consens. Până la sfârșitul lunii aprilie 2020, autoritățile de supraveghere principale au adoptat 103 decizii finale în cadrul mecanismului ghișeului unic. CEPD intenționează să publice rezumate în limba engleză elaborate de secretariatul CEPD. Informațiile vor fi făcute publice după validarea din partea autorității de supraveghere principale în cauză și în conformitate cu condițiile prevăzute de legislația sa națională.

Notă pentru redactori:

Vă rugăm să rețineți că toate documentele adoptate în plenara CEPD trec prin verificările juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD imediat după încheierea lor.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

On February 18th and 19th, the EEA Supervisory Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighteenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB and the individual EEA Supervisory Authorities (SAs) contributed to the evaluation and review of the GDPR as required by Art. 97 GDPR. The EDPB is of the opinion that the application of the GDPR in the first 20 months has been successful. Although the need for sufficient resources for all SAs is still a concern and some challenges remain, resulting, for example, from the patchwork of national procedures, the Board is convinced that the cooperation between SAs will result in a common data protection culture and consistent practice. The EDPB is examining possible solutions to overcome these challenges and to improve existing cooperation procedures. It also calls upon the European Commission to check if national procedures impact the effectiveness of the cooperation procedures and considers that, eventually, legislators may also have a role to play in ensuring further harmonisation. In its assessment, the EDPB also addresses issues such as international transfer tools, impact on SMEs, SA resources and development of new technologies. The EDPB concludes that it is premature to revise the GDPR at this point in time.

The EDPB adopted draft guidelines to provide further clarification regarding the application of Articles 46.2 (a) and 46.3 (b) of the GDPR. These articles address transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, where these transfers are not covered by an adequacy decision. The guidelines recommend which safeguards to implement in legally binding instruments (art. 46.2 (a)) or in administrative arrangements (Art. 46.3 (b)) to ensure that the level of protection of natural persons under the GDPR is met and not undermined. The guidelines will be submitted for public consultation.

Statement on privacy implications of mergers
Following the announcement of Google LLC’s intention to acquire Fitbit, the EDPB adopted a statement highlighting that the possible further combination and accumulation of sensitive personal data regarding people in Europe by a major tech company could entail a high level of risk to privacy and data protection. The EDPB reminds the parties to the proposed merger of their obligations under the GDPR and to conduct a full assessment of the data protection requirements and privacy implications of the merger in a transparent way. The Board urges the parties to mitigate possible risks to the rights to privacy and data protection before notifying the merger to the European Commission. The EDPB will consider any implications for the protection of personal data in the EEA and stands ready to contribute its advice to the EC if so requested.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_02

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

On January 28th and 29th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventeenth plenary session. During the plenary, a wide range of topics was discussed.
 
The EDPB adopted its opinions on the Accreditation Requirements for Codes of Conduct Monitoring Bodies submitted to the Board by the Belgian, Spanish and French supervisory authorities (SAs). These opinions aim to ensure consistency and the correct application of the criteria among EEA SAs.

The EDPB adopted draft Guidelines on Connected Vehicles. As vehicles become increasingly more connected, the amount of data generated about drivers and passengers by these connected vehicles is growing rapidly. The EDPB guidelines focus on the processing of personal data in relation to the non-professional use of connected vehicles by data subjects. More specifically, the guidelines deal with the personal data processed by the vehicle and the data communicated by the vehicle as a connected device. The guidelines will be submitted for public consultation.

The Board adopted the final version of the Guidelines on the processing of Personal Data through Video Devices following public consultation. The guidelines aim to clarify how the GDPR applies to the processing of personal data when using video devices and to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. The guidelines address, among others, the lawfulness of processing, including the processing of special categories of data, the applicability of the household exemption and the disclosure of footage to third parties. Following public consultation, several amendments were made.

The EDPB adopted its opinions on the draft accreditation requirements for Certification Bodies submitted to the Board by the UK and Luxembourg SAs. These are the first opinions on accreditation requirements for Certification Bodies adopted by the Board. They aim to establish a consistent and harmonised approach regarding the requirements which SAs and national accreditation bodies will apply when accrediting certification bodies. 

The EDPB adopted its opinion on the draft decision regarding the Fujikura Automotive Europe Group’s Controller Binding Corporate Rules (BCRs), submitted to the Board by the Spanish Supervisory Authority.

Letter on unfair algorithms
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s request concerning the use of unfair algorithms. The letter provides an analysis of the challenges posed by the use of algorithms, an overview of the relevant GDPR provisions and existing guidelines addressing these issues, and describes the work already undertaken by SAs.

Letter to the Council of Europe on the Cybercrime Convention
Following the Board’s contribution to the consultation process on the negotiation of a second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), several EDPB Members actively participated in the Council of Europe Cybercrime Committee’s (T-CY) Octopus Conference. The Board adopted a follow-up letter to the conference, stressing the need to integrate strong data protection safeguards into the future Additional Protocol to the Convention and to ensure its consistency with Convention 108, as well as with the EU Treaties and Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_01

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary