Evropski odbor za varstvo podatkov

Novice EOVP

2020

21 October 2020

Brussels, 21 October - On October 20th, the EDPB met for its 40th plenary session. During the plenary, a wide range of topics was discussed. 

Following public consultation, the EDPB adopted a final version of the Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation enshrined in Art.25 is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This means that controllers have to implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in practice and to protect the rights and freedoms of data subjects. In addition, controllers should be able to demonstrate that the implemented measures are effective. 

The Guidelines also contain guidance on how to effectively implement the data protection principles in Article 5 GDR, listing key design and default elements, as well as practical cases for illustration. They further provide recommendations on how controllers, processors and producers can cooperate to achieve DPbDD.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation.

The EDPB decided to set up a Coordinated Enforcement Framework (CEF). The CEF provides a structure for coordinating recurring annual activities by EDPB Supervisory Authorities (SAs). The objective of the CEF is to facilitate joint actions in a flexible and coordinated manner, ranging from joint awareness raising and information gathering to enforcement sweeps and joint investigations. The purpose of recurring annual coordinated actions is to promote compliance, to empower data subjects to exercise their rights and to raise awareness. 

The EDPB adopted a letter in response to the Europäische Akademie für Informationsfreiheit und Datenschutz concerning the data protection implications of Art.17 of the Copyright Directive, in particular concerning upload filters. In the letter, the EDPB states that any processing of personal data for the purpose of upload filters must be proportionate and necessary and that, as far possible, no personal data should be processed when Art. 17 Copyright Directive is implemented. Where the processing of personal data is necessary, such as for the redress mechanism, such data should only concern data necessary for this specific purpose, while applying all the other principles of the GDPR. The EDPB further highlighted that it is in continuous exchange with the European Commission on this topic and that it has indicated its availability for further collaboration.

You can read the agenda of the EDPB's fortieth plenary here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.


EDPB_Press Release_2020_16
 

12 October 2020

Bruselj, 12. oktobra - Evropski odbor za varstvo podatkov je na 39. plenarnem zasedanju sprejel Smernice o konceptu ustreznega in utemeljenega ugovora. Smernice bodo prispevale k enotni razlagi koncepta, kar bo pripomoglo k poenostavitvi prihodnjih postopkov iz člena 65 Splošne uredbe o varstvu podatkov.

V okviru mehanizma sodelovanja, določenega v Splošni uredbi o varstvu podatkov, so nadzorni organi dolžni „izmenjevati vse ustrezne informacije med seboj“ in „si prizadevati za soglasje“. V skladu s členom 60(3) in (4) Splošne uredbe o varstvu podatkov mora vodilni nadzorni organ predložiti osnutek odločitve zadevnim nadzornim organom, ki lahko nato v določenem roku vložijo ustrezen in utemeljen ugovor. Vodilni nadzorni organ ima po prejemu ustreznega in utemeljenega ugovora dve možnosti. Če ne upošteva ustreznega in utemeljenega ugovora ali če meni, da ugovor ni utemeljen ali relevanten, zadevo predloži odboru v okviru mehanizma za skladnost (člen 65 Splošne uredbe o varstvu podatkov). Če vodilni nadzorni organ nasprotno sledi ugovoru in izda revidirani osnutek odločitve, lahko zadevni nadzorni organi v roku dveh tednov izrazijo ustrezen in utemeljen ugovor na revidirani osnutek odločitve.

Cilj smernic je vzpostaviti enotno razumevanje pojma „ustrezno in utemeljeno“, vključno s tem, kaj bi bilo treba upoštevati pri ocenjevanju, ali ugovor „jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve“ (člen 4(24) Splošne uredbe o varstvu podatkov).

Opomba urednikom:

Opozoriti je treba, da se za vse dokumente, sprejete na plenarnem zasedanju Evropskega odbora za varstvo podatkov, opravijo potrebni pravni, jezikovni in oblikovni pregledi ter da bodo ti dokumenti, ko bodo dokončani, na voljo na spletnem mestu EOVP.

EDPB_Press Release_2020_15

04 September 2020

Bruselj, 3. september - Odbor je sprejel Smernice o konceptih upravljavca in obdelovalca v Splošni uredbi o varstvu podatkov in Smernice o ciljnem usmerjanju uporabnikov družbenih medijev. Poleg tega je Evropski odbor za varstvo podatkov ustanovil delovno skupino za pritožbe na podlagi sodbe Sodišča Evropske unije v zadevi Schrems II in delovno skupino, namenjeno dopolnilnim ukrepom, ki se lahko zahtevajo s strani izvoznikov in uvoznikov podatkov, da se zagotovi ustrezno varstvo pri prenosu podatkov glede na sodbo Sodišča Evropske unije v zadevi Schrems II.

Odbor je sprejel Smernice o konceptih upravljavca in obdelovalca v Splošni uredbi o varstvu podatkov. Od začetka uporabe Splošne uredbe o varstvu podatkov so se pojavila vprašanja, v kolikšni meri je Splošna uredba o varstvu podatkov spremenila pojme, zlasti pojme skupnega upravljanja (kot je določeno v členu 26  Splošne uredbe o varstvu podatkov in v več sodbah Sodišča), ter obveznosti obdelovalcev (zlasti člen 28 Splošne uredbe o varstvu podatkov) iz poglavja IV Splošne uredbe o varstvu podatkov.

Evropski odbor za varstvo podatkov je marca 2019 skupaj s svojim sekretariatom organiziral dogodek za deležnike, na katerem je bilo jasno, da so potrebne bolj praktične smernice, odboru pa je bilo omogočeno boljše razumevanje potreb in pomislekov na tem področju. Nove smernice so sestavljene iz dveh glavnih delov: prvega, ki pojasnjuje različne koncepte ter drugega, ki vključuje podrobne smernice o glavnih posledicah teh konceptov za upravljavce, obdelovalce in skupne upravljavce. Smernice vključujejo diagram poteka, ki zagotavlja nadaljnje praktične smernice. Smernice bodo predmet javnega posvetovanja.

Evropski odbor za varstvo podatkov je sprejel Smernice o ciljnem usmerjanju uporabnikov družbenih medijev. Cilj smernic je zagotoviti praktične smernice za zainteresirane strani in zajeti različne primere raznih situacij, tako da lahko zainteresirane strani hitro opredelijo „scenarij“, ki je najbližji ciljni praksi, ki jo nameravajo uporabiti. Glavni cilj smernic je pojasniti vloge in odgovornosti ponudnika družbenih medijev in ciljnega posameznika. V ta namen so v smernicah med drugim opredeljena morebitna tveganja za svoboščine posameznikov, glavni akterji in njihove vloge, uporaba ključnih zahtev glede varstva podatkov, kot so zakonitost in preglednost ter ocena učinka v zvezi z varstvom podatkov, kakor tudi ključni elementi dogovorov med ponudniki družbenih medijev in ciljnimi posamezniki. Poleg tega se smernice osredotočajo na različne mehanizme usmerjanja, obdelavo posebnih vrst podatkov in obveznost skupnih upravljavcev, da vzpostavijo ustrezen dogovor v skladu s členom 26 Splošne uredbe o varstvu podatkov. Plenarna skupščina bo smernice predložila v javno posvetovanje.

Odbor je ustanovil delovno skupino za preučitev pritožb, vloženih po sodbi Sodišča Evropske unije v zadevi Schrems II. Pri organih za varstvo podatkov EGP je bilo skupaj vloženih 101 identičnih pritožb zoper več upravljavcev v državah članicah EGP v zvezi z njihovo uporabo storitev Google/Facebook, ki vključujejo prenos osebnih podatkov. Natančneje, pritožniki, ki jih zastopa nevladna organizacija NOYB, trdijo, da Google/Facebook osebne podatke prenaša v ZDA na podlagi zasebnostnega ščita EU-ZDA ali standardnih pogodbenih klavzul in da v skladu z nedavno sodbo Sodišča Evropske unije v zadevi C-311/18 upravljavec ne more zagotoviti ustreznega varstva osebnih podatkov pritožnikov. Delovna skupina bo zadevo analizirala in zagotovila tesno sodelovanje med člani odbora.

Odbor je na podlagi sodbe Sodišča v zadevi Schrems II in poleg pogosto zastavljenih vprašanj, sprejetih 23. julija, ustanovil delovno skupino. Ta delovna skupina bo pripravila priporočila za pomoč upravljavcem in obdelovalcem pri njihovi nalogi, da določijo in izvedejo ustrezne dopolnilne ukrepe za zagotovitev ustreznega varstva pri prenosu podatkov v tretje države.

Andrea Jelinek, predsednica Evropskega odbora za varstvo podatkov, je izjavila: „Evropski odbor za varstvo podatkov se dobro zaveda, da sodba v zadevi Schrems II upravljavcem nalaga pomembno odgovornost. Poleg izjave in pogosto zastavljenih vprašanj, ki smo jih objavili kmalu po sodbi, bomo pripravili priporočila za podporo upravljavcem in obdelovalcem v zvezi z njihovo dolžnostjo pri določanju in izvajanju ustreznih dopolnilnih ukrepov pravne, tehnične in organizacijske narave za izpolnjevanje bistvenih standardov enakovrednosti pri prenosu osebnih podatkov v tretje države. Kljub temu so posledice sodbe obsežne, okviri prenosa podatkov v tretje države pa zelo raznoliki, zato ni mogoče najti enotne rešitve oz. hitre rešitve za vse primere. Vsaka organizacija bo morala oceniti svoje postopke obdelave podatkov in prenose ter sprejeti ustrezne ukrepe.“

Opomba urednikom:
opozoriti je treba, da se za vse dokumente, sprejete na plenarnem zasedanju Evropskega odbora za varstvo podatkov, opravijo potrebni pravni, jezikovni in oblikovni pregledi ter da bodo ti dokumenti, ko bodo pregledi dokončani, na voljo na spletnem mestu EOVP.

EDPB_Press Release_2020_14

24 July 2020

Evropski odbor za varstvo podatkov (EDPB) objavlja dokument s pogosto zastavljenimi vprašanji v zvezi s sodbo Sodišča Evropske unije v zadevi C-311/18 (Schrems II)

EDPB je na podlagi sodbe Sodišča Evropske unije v zadevi C-311/18 (Data Protection Commissioner proti Facebook Ireland Ltd in Maximillianu Schremsu) sprejel dokument s pogosto zastavljenimi vprašanji, da bi zavezancem podal osnovna pojasnila in predhodne usmeritve glede uporabe pravnih instrumentov za prenos osebnih podatkov v tretje države, vključno z ZDA. EDPB bo nadaljeval s preučevanjem in ocenjevanjem sodbe Sodišča, zato se bo ta dokument, skupaj z dodatnimi navodili, v prihodnosti še spreminjal in dopolnjeval.

Dokument s pogosto zastavljenimi vprašanji v zvezi s sodbo Sodišča Evropske unije v zadevi C-311/18 je na voljo tukaj.

EDPB_Press Release_statement_2020_06

23 July 2020

Bruselj, 23. julij – Zaradi bližajočega se konca prehodnega obdobja brexita je odbor EDPB (v nadaljevanju: odbor) sprejel informativno gradivo, v katerem so opisani ukrepi, ki jih morajo sprejeti nadzorni organi, imetniki odobrenih zavezujočih poslovnih pravil in organizacije, ki so zavezujoča pravila predložila v obravnavo in sprejem pri nadzornem organu Združenega kraljestva, da bi zagotovili nadaljnjo uporabo teh zavezujočih poslovnih pravil kot veljavnega orodja za prenos podatkov po koncu prehodnega obdobja. Ker se v skladu s Splošno uredbo o varstvu podatkov nadzorni organ Združenega kraljestva po koncu prehodnega obdobja ne bo več štel za pristojni nadzorni organ, sklepi o odobritvi, ki jih nadzorni organ Združenega kraljestva sprejme na podlagi Splošne uredbe o varstvu podatkov, v EGP ne bodo več imeli pravnega učinka. Poleg tega bo morda treba spremeniti vsebino zadevnih zavezujočih poslovnih pravil pred koncem prehodnega obdobja, saj ta zavezujoča poslovna pravila na splošno vsebujejo sklicevanja na pravni red Združenega kraljestva. To velja tudi za zavezujoča poslovna pravila, ki so že odobrena v skladu z Direktivo 94/46/ES.

Imetniki zavezujočih poslovnih pravil, ki imajo za svoj vodilni nadzorni organ za zavezujoča poslovna pravila nadzorni organ Združenega kraljestva, morajo uvesti ustrezno organizacijsko ureditev, da določijo nov vodilni nadzorni organ za zavezujoča poslovna pravila v EGP. Sprememba vodilnega nadzornega organa za zavezujoča poslovna pravila mora biti opravljena pred koncem prehodnega obdobja brexita.

Trenutni vlagatelji zavezujočih poslovnih pravil morajo vzpostaviti ustrezno organizacijsko ureditev, da določijo nov vodilni nadzorni organ za zavezujoča poslovna pravila v EGP dovolj zgodaj pred iztekom prehodnega obdobja brexita, vključno z vzpostavitvijo stika z zadevnim nadzornim organom, da se zagotovijo vse potrebne informacije o tem, zakaj je ta nadzorni organ novi vodilni nadzorni organ za zavezujoča poslovna pravila. Ta organ bo nato prevzel vlogo in uradno začel postopek odobritve ob upoštevanju mnenja odbora. Za vsaka zavezujoča poslovna pravila, ki jih je v skladu s Splošno uredbo o varstvu podatkov odobril nadzorni organ Združenega kraljestva, bo moral novi vodilni nadzorni organ za zavezujoča poslovna pravila v EGP izdati nov sklep o odobritvi pred koncem prehodnega obdobja, in sicer na podlagi mnenja odbora. Odbor je sprejel tudi prilogo, ki vsebuje seznam elementov, ki jih je treba v zvezi z brexitom spremeniti v dokumentih zavezujočih poslovnih pravil.

To informativno gradivo ne posega v analizo, ki jo trenutno izvaja odbor  o posledicah sodbe Sodišča Evropske unije v zadevi Data Protection Coordinator proti Facebook Ireland in Schrems za zavezujoča poslovna pravila kot orodja za prenos.

EDPB_Press Release_2020_13

20 July 2020

Bruselj, 20. julij – Odbor EOVP je na svojem 34. plenarnem zasedanju sprejel izjavo o sodbi Sodišča Evropske unije v zadevi Facebook Ireland proti Schrems. Odbor je sprejel smernice o medsebojnem vplivanju revidirane direktive o plačilnih storitvah (PSD2) in splošne uredbe o varstvu podatkov ter z dopisom odgovoril poslanki Evropskega parlamenta Ďuriš Nicholsonová glede iskanja stikov, interoperabilnosti aplikacij in ocene varstva podatkov.

Odbor EOVP je sprejel izjavo o sodbi Sodišča Evropske unije v zadevi C-311/18 (Data Protection Commissioner proti Facebook Ireland in Maximillian Schrems), ki razveljavlja Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA, in za veljavnega šteje Sklep Komisije 2010/87 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah.

Odbor v zvezi z zasebnostnim ščitom poudarja, da bi v skladu s sodbo morale EU in ZDA vzpostaviti celovit in učinkovit okvir, ki zagotavlja, da je raven varstva osebnih podatkov v ZDA v bistvu enakovredna tisti, ki je zagotovljena v EU. Odbor namerava še naprej konstruktivno prispevati k zagotavljanju varnosti čezatlantskega prenosa osebnih podatkov, ki koristi državljanom in organizacijam v EGP, ter je Evropski komisiji pripravljen zagotoviti pomoč in smernice za oblikovanje novega okvira, ki bo v celoti skladen z zakonodajo EU o varstvu podatkov.

Kar zadeva standardne pogodbene klavzule, je odbor seznanjen s primarno odgovornostjo izvoznika in uvoznika pri odločanju o pristopu k tem klavzulam, da zagotovi njihovo vzdrževanje ravni varstva, ki je v bistvu enakovredna tisti, ki jo zagotavlja splošna uredba o varstvu podatkov ob upoštevanju Listine EU. Pri tovrstni predhodni oceni izvoznik (po potrebi s pomočjo uvoznika) upošteva vsebino standardnih pogodbenih klavzul, posebne okoliščine prenosa in pravno ureditev, ki se uporablja v državi uvoznika. Sodišče poudarja, da mora morda izvoznik poleg ukrepov, vključenih v standardnih pogodbenih klavzulah, razmisliti še o dodatnih ukrepih. Odbor bo podrobneje proučil, kateri bi lahko bili ti dodatni ukrepi.

Odbor je seznanjen tudi z dolžnostmi pristojnih nadzornih organov, da začasno ustavijo ali prepovejo prenos podatkov v tretjo državo v skladu s standardnimi pogodbenimi klavzulami, če po mnenju pristojnega nadzornega organa in ob upoštevanju vseh okoliščin navedenega prenosa te klavzule niso ali ne morejo biti izpolnjene v navedeni tretji državi, varstva prenesenih podatkov pa ni mogoče zagotoviti z drugimi sredstvi, zlasti kadar upravljavec ali obdelovalec podatkov ni že sam začasno ali dokončno ustavil prenosa podatkov.

Odbor želi opozoriti na to, da je sprejel smernice v zvezi s členom 49 splošne uredbe o varstvu podatkov in da je treba tovrstna odstopanja uporabljati za vsak primer posebej.

Odbor bo podrobneje ocenil sodbo ter deležnikom zagotovil dodatna pojasnila in smernice glede uporabe instrumentov za prenos osebnih podatkov v tretje države v skladu s sodbo. Odbor in njegovi evropski nadzorni organi so poleg tega pripravljeni, kot je navedlo Sodišče Evropske unije, zagotoviti doslednost na celotnem območju EGP.

Izjava je v celoti na voljo na tej povezavi: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

Odbor EOVP je sprejel smernice o revidirani direktivi o plačilnih storitvah (PSD2). Direktiva PSD2 posodablja pravni okvir za trg plačilnih storitev. Pomembno je, da navedena direktiva uvaja pravni okvir za nove storitve odreditve plačil (PISP) in storitve zagotavljanja informacij o računih (AISP). Uporabniki lahko zahtevajo, da je novim ponudnikom storitev zagotovljen dostop do njihovih plačilnih računov. Po delavnici za deležnike, ki je potekala februarja 2019, je odbor EOVP pripravil smernice o uporabi splošne uredbe o varstvu podatkov pri novih plačilnih storitvah.

V njih je poudarjeno, da je v tem okviru na splošno prepovedana obdelava posebnih kategorij osebnih podatkov (v skladu s členom 9(1) splošne uredbe o varstvu podatkov), razen kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev (člen 9(2)(a) splošne uredbe o varstvu podatkov) ali je obdelava potrebna iz razlogov bistvenega javnega interesa (člen 9(2)(g) splošne uredbe o varstvu podatkov).

Smernice obravnavajo tudi okoliščine, v katerih ponudniki plačilnih storitev, ki vodijo račun, zagotovijo dostop do informacij o plačilnem računu ponudnikom storitev odreditve plačil in ponudnikom storitev zagotavljanja informacij o računih, zlasti dostop do podrobnih informacij o plačilnih računih.

V smernicah je pojasnjeno, da niti člen 66(3)(g) niti člen 67(2)(f) direktive PSD2 ne dovoljujeta kakršne koli nadaljnje obdelave, razen če posameznik, na katerega se nanašajo osebni podatki, da privolitev v skladu s členom 6(1)(a) splošne uredbe o varstvu podatkov ali je obdelava v skladu s pravom Unije ali države članice. Smernice bodo predložene v javno posvetovanje.

Na koncu je odbor pripravil dopis z odgovori na vprašanja poslanke Evropskega parlamenta Ďuriš Nicholsonová glede varstva podatkov v okviru boja proti covidu-19. V dopisu so obravnavana vprašanja o usklajevanju in interoperabilnosti aplikacij za sledenje stikom, zahtevi po oceni varstva podatkov za tovrstno obdelavo in trajanju, ko bi potekala obdelava.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

Bruselj, 17. junija – Evropski odbor za varstvo podatkov je na 32. plenarnem zasedanju sprejel Izjavo o interoperabilnosti aplikacij za sledenje stikom ter Izjavo o odprtju meja in pravicah glede varstva osebnih podatkov. Odbor je sprejel tudi dva pisma naslovljena na poslanca Evropskega parlamenta Körnerja - glede šifriranja in glede člena 25 Splošne uredbe o varstvu podatkov - ter pismo naslovljeno na CEAOB glede sporazumov s PCAOB.

Evropski odbor za varstvo podatkov je sprejel Izjavo o interoperabilnosti aplikacij za sledenje stikom, ki temelji na Smernicah Evropskega odbora za varstvo podatkov št. 04/2020 o uporabi podatkov o lokaciji in orodjih za sledenje stikom v okviru izbruha COVID-19. Izjava ponuja bolj poglobljeno analizo ključnih vidikov, vključno s preglednostjo, pravnimi podlagami, upravljavstvom, pravicami posameznikov, na katere se nanašajo osebni podatki, hrambo podatkov, načelom najmanjšega obsega podatkov, informacijsko varnostjo in točnostjo podatkov v okviru vzpostavitve interoperabilnega omrežja aplikacij, ki jih je treba upoštevati poleg tistih, ki so že izpostavljeni v Smernicah Evropskega odbora za varstvo podatkov št. 04/2020.

Evropski odbor za varstvo podatkov poudarja, da bi se morala izmenjava podatkov o posameznikih, ki so bili diagnosticirani ali so prejeli pozitiven rezultat, v okviru interoperabilnih aplikacij sprožiti le na podlagi prostovoljnega ukrepanja uporabnika. Zagotavljanje informacij in nadzora posameznikom, na katere se nanašajo osebni podatki, bo povečalo njihovo zaupanje v rešitve in njihovo morebitno sprejemanje. Cilj interoperabilnosti se ne bi smel uporabljati kot argument za zbiranje večje količine osebnih podatkov kot bi to bilo potrebno.

Poleg tega morajo biti aplikacije za sledenje stikom del celovite strategije javnega zdravja za boj proti pandemiji, kot je testiranje in naknadno ročno sledenje stikom z namenom, da se izboljša učinkovitost izvedenih ukrepov.

Zagotavljanje interoperabilnosti ni le tehnično zahtevno in včasih nemogoče brez nesorazmernih kompromisov, ampak vodi tudi k morebitnemu povečanemu tveganju za varstvo podatkov. Zato morajo upravljavci zagotoviti, da so ukrepi učinkoviti in sorazmerni, ter oceniti, ali lahko z manj vsiljivimi načini dosežejo isti namen.

Evropski odbor za varstvo podatkov je sprejel izjavo o obdelavi osebnih podatkov v okviru ponovnega odprtja schengenskih meja po izbruhu COVID-19. Ukrepi za varno ponovno odprtje meja, ki jih države članice trenutno predvidevajo ali izvajajo, vključujejo testiranje na COVID-19,  zahteve za izdajo potrdil s strani zdravstvenega osebja in prostovoljno uporabo aplikacije za sledenje stikom. Večina ukrepov vključuje obdelavo osebnih podatkov.

Evropski odbor za varstvo podatkov opozarja, da se zakonodaja o varstvu podatkov še naprej uporablja in omogoča učinkovit odziv na pandemijo, hkrati pa varuje temeljne pravice in svoboščine. Evropski odbor za varstvo podatkov poudarja, da mora biti obdelava osebnih podatkov potrebna in sorazmerna, raven varstva pa mora biti dosledna v celotnem EGP. V izjavi Evropski odbor za varstvo podatkov poziva države članice, naj pri odločanju o tem, katera obdelava osebnih podatkov je potrebna v tem kontekstu, delujejo v okviru skupnega evropskega pristopa.

Izjava obravnava tudi načela Splošne uredbe o varstvu podatkov, ki jim morajo države članice v okviru ponovnega odprtja meja nameniti posebno pozornost v zvezi z obdelavo podatkov. Ta vključujejo zakonitost, poštenost in preglednost, omejitev namena, najmanjši obseg podatkov, omejitev shranjevanja, varnost podatkov ter vgrajeno in privzeto varstvo podatkov. Poleg tega odločitev, da se dovoli vstop v državo, ne bi smela temeljiti le na tehnologijah z avtomatiziranim sprejemanjem individualnih odločitev. V vsakem primeru bi morali za take odločitve veljati ustrezni zaščitni ukrepi, ki bi morali vključevati posebne informacije za posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja upravljavca, do izražanja lastnega stališča, do pridobitve obrazložitve navedene odločitve in pravice do izpodbijanja odločitve. Ukrepi z avtomatiziranim sprejemanjem posameznih odločitev se ne bi smeli uporabljati za otroke.

V kolikor nameravajo države članice obdelovati osebne podatke v navedenem kontekstu, Evropski odbor za varstvo podatkov poudarja pomen predhodnega posvetovanja s pristojnimi nacionalnimi nadzornimi organi.

Evropski odbor za varstvo podatkov je sprejel odgovor na pismo poslanca Evropskega parlamenta Moritz Körnerja o pomembnosti prepovedi šifriranja v tretjih državah pri ocenjevanju ravni varstva osebnih podatkov v zvezi s prenosi podatkov v države, kjer te prepovedi obstajajo. Po mnenju Evropskega odbora za varstvo podatkov bi kakršna koli prepoved šifriranja ali določbe, ki slabijo šifriranje, resno ogrozile izpolnjevanje obveznosti v zvezi z varnostjo iz Splošne uredbe o varstvu podatkov, ki se uporabljajo za upravljavce in obdelovalce, bodisi v tretji državi bodisi v EGP. Varnostni ukrepi so eden od elementov, ki jih mora Evropska komisija upoštevati pri ocenjevanju ustreznosti ravni varstva v tretji državi.

Drugi dopis, naslovljen na poslanca Evropskega parlamenta Körner, obravnava temo pokrival kamer na prenosnih računalnikih. Evropski poslanec Körner je poudaril, da bi ta tehnologija lahko prispevala k skladnosti s Splošno uredbo o varstvu podatkov, in predlagal, naj bodo novi prenosni računalniki opremljeni z njo. Odbor v svojem odgovoru pojasnjuje, da bi bilo sicer treba proizvajalce prenosnih računalnikov spodbujati, naj pri razvoju in oblikovanju takih izdelkov upoštevajo pravico do varstva podatkov, vendar niso odgovorni za obdelavo, ki se izvaja s temi izdelki, in da Splošna uredba o varstvu podatkov ne določa pravnih obveznosti za proizvajalce, razen če delujejo tudi kot upravljavci ali obdelovalci. Upravljavci morajo oceniti tveganja vsake obdelave in izbrati ustrezne zaščitne ukrepe za skladnost s Splošno uredbo o varstvu podatkov, vključno z vgrajenim in privzetim varstvom podatkov, kot je določeno v členu 25 Splošne uredbe o varstvu podatkov.

Nazadnje je Evropski odbor za varstvo podatkov sprejel pismo, ki ga je naslovil na Odbor evropskih organov za nadzor revizorjev (CEAOB). Evropski odbor za varstvo podatkov je prejel predlog CEAOB, ki združuje nacionalne nadzorne organe revizorjev na ravni EU, za sodelovanje in prejemanje povratnih informacij v zvezi s pogajanji o osnutkih upravnih dogovorov za prenos podatkov Odboru za nadzor računovodstva v javnih družbah ZDA (PCAOB). Evropski odbor za varstvo podatkov pozdravlja ta predlog in navaja, da je na voljo za izmenjavo s CEAOB, da se pojasnijo morebitna vprašanja o zahtevah glede varstva podatkov v zvezi s takšnimi dogovori glede na Smernice Evropskega odbora za varstvo podatkov 2/2020 o členu 46 (2) (a) in 46 (3) (b) Splošne uredbe o varstvu podatkov za prenose osebnih podatkov med javnimi organi v EGP in zunaj EGP. Ta izmenjava informacij bi lahko vključevala tudi PCAOB, če bi CEAOB in njegovi člani menili, da je to koristno za njihovo delo v zvezi z navedenim.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in jezikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

10 June 2020

Bruselj, 10. junij – Odbor EDPB (v nadaljevanju: odbor) je na svojem 31. plenarnem zasedanju potrdil vzpostavitev delovne skupine za usklajevanje morebitnih ukrepov in pridobitev celovitejšega pregleda nad postopki in praksami omrežja TikTok po EU ter pripravil dopis v zvezi z uporabo storitev podjetja Clearview AI v organih kazenskega pregona. Poleg tega je pripravil odgovor svetovalni skupini agencije ENISA in dopis v odgovor na odprto pismo organizacije NOYB.

Odbor je napovedal svojo odločitev, da ustanovi delovno skupino za usklajevanje morebitnih ukrepov in pridobitev celovitejšega pregleda nad postopki in praksami družbenega omrežja TikTok po EU.

Kot odgovor na prošnjo poslanca Moritza Körnerja v zvezi z družbenim omrežjem TikTok je navedel, da je že izdal smernice in priporočila, ki bi jih morali upoštevati vsi upravljavci podatkov, ki obdelujejo podatke, za katere se uporablja Splošna uredba o varstvu podatkov, zlasti kar zadeva prenos osebnih podatkov v tretje države, vsebinske in postopkovne zahteve za dostop organov javnega sektorja do osebnih podatkov ali uporabo ozemeljske veljavnosti Splošne uredbe o varstvu podatkov, zlasti pri obdelavi podatkov mladoletnikov. Odbor opozarja, da se Splošna uredba o varstvu podatkov uporablja za obdelavo osebnih podatkov, ki jo izvaja upravljavec, tudi če ta nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji.

Odbor je v svojem odgovoru poslancem Evropskega parlamenta v zvezi s podjetjem Clearview AI izrazil pomisleke glede razvoja nekaterih dogodkov na področju tehnologij za prepoznavanje obrazov. Opozarja namreč, da lahko organi kazenskega pregona v skladu z Direktivo (EU) 2016/680, ki se nanaša na preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, obdelujejo biometrične podatke za namene edinstvene identifikacije fizične osebe samo v skladu s strogimi pogoji iz členov 8 in 10 navedene direktive.

Odbor dvomi, da katera koli zakonodaja Unije ali države članice zagotavlja pravno podlago za uporabo storitve, kot je storitev podjetja Clearview AI. Zato v sedanji obliki in brez poseganja v kakršno koli prihodnjo ali nedokončano preiskavo ni mogoče ugotoviti zakonitosti tovrstne uporabe v organih kazenskega pregona EU.

Brez poseganja v nadaljnjo analizo na podlagi dodatnih elementov odbor zato meni, da uporaba storitve, kot je storitev podjetja Clearview AI v organih kazenskega pregona v Evropski uniji, v sedanji obliki verjetno ni skladna z ureditvijo varstva podatkov v EU.

Nazadnje se odbor sklicuje na svoje Smernice o obdelavi osebnih podatkov prek videonaprav in napoveduje, da bo v prihodnosti obravnaval tudi vprašanje v zvezi z uporabo tehnologije za prepoznavanje obrazov v organih kazenskega pregona.

Kot odgovor na dopis Agencije Evropske unije za kibernetsko varnost (ENISA), v katerem ta poziva, naj odbor imenuje predstavnika v svetovalno skupino agencije ENISA, je odbor za predstavnika imenoval Gwendala Le Granda, namestnika generalnega sekretarja organa CNIL. Svetovalna skupina pomaga izvršnemu direktorju agencije ENISA pri pripravi letnega delovnega programa in komuniciranju z ustreznimi deležniki.

Odbor je pripravil odgovor na odprto pismo organizacije NOYB v zvezi s sodelovanjem med nadzornimi organi in postopki za skladnost. V svojem dopisu navaja, da si stalno prizadeva krepiti sodelovanje med nadzornimi organi in postopki za skladnost. Zaveda se namreč, da so potrebne izboljšave na določenih področjih, kot so razlike v nacionalnih upravnih postopkovnih zakonih in praksah, vključno s porabljenim časom in sredstvi, potrebnimi za reševanje čezmejnih primerov. Odbor ponovno poudarja, da je zavezan iskanju rešitev, kadar so te v njegovi pristojnosti.

Opomba za urednike:
Opozarjamo, da je treba vse dokumente, sprejete na plenarnem zasedanju odbora, ustrezno pravno, jezikovno in oblikovno pregledati ter bodo na voljo na spletišču odbora, ko bodo ti pregledi dokončani.

EDPB_Press Release_2020_10

03 June 2020

Bruselj, 3. junija – Evropski odbor za varstvo podatkov je na 30. plenarnem zasedanju sprejel Izjavo o pravicah posameznikov, na katere se nanašajo osebni podatki, v zvezi z izrednimi razmerami v državah članicah. Odbor je sprejel tudi dopis v odgovor na dopis Zveze za državljanske svoboščine v Evropi, organizacije Access Now in Madžarske zveze za državljanske svoboščine (HCLU) v zvezi z odlokom madžarske vlade št. 179/2020 z dne 4. maja.

Evropski odbor za varstvo podatkov opozarja, da se mora tudi v teh izjemnih časih varovati osebne podatke v vseh kriznih ukrepih, s čimer se prispeva k spoštovanju temeljnih vrednot demokracije, pravne države in temeljnih pravic, na katerih temelji Unija.

Evropski odbor za varstvo podatkov v izjavi in dopisu ponavlja, da se Splošna uredba o varstvu podatkov še naprej uporablja in omogoča učinkovit odziv na pandemijo, hkrati pa varuje temeljne pravice in svoboščine. Zakonodaja o varstvu podatkov že omogoča dejavnosti obdelave podatkov, ki so potrebne za boj proti pandemiji covida-19.

V izjavi se opozarja na glavna načela, povezana z omejitvami pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z izrednimi razmerami v državah članicah:

  • Omejitve, ki so splošne, obsežne ali vsiljive do te mere, da izničijo osnovno vsebino temeljne pravice, niso utemeljene.
  • Člen 23 Splošne uredbe o varstvu podatkov pod določenimi pogoji nacionalnim zakonodajalcem omogoča, da z zakonodajnim ukrepom omejijo obseg obveznosti upravljavcev in obdelovalcev ter pravic posameznikov, na katere se nanašajo osebni podatki, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zaščito pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti na področju javnega zdravja.
  • Pravice posameznikov, na katere se nanašajo osebni podatki, so v središču temeljne pravice do varstva podatkov, člen 23 Splošne uredbe o varstvu podatkov pa bi bilo treba razlagati in brati ob upoštevanju, da bi morala biti njihova uveljavitev splošno pravilo. Ker so omejitve izjeme od splošnega pravila, jih je treba uporabljati le v omejenih okoliščinah.
  • Omejitve morajo biti določene „z zakonom“, zakon o uvedbi omejitev pa mora biti dovolj jasen, da državljani razumejo pogoje, v katerih so upravljavci pooblaščeni, da jih uporabljajo. Poleg tega morajo biti omejitve predvidljive za osebe, na katere se nanašajo. Omejitve, ki veljajo za čas, ki ni natančno omejen, in se uporabljajo za nazaj ali za katere veljajo neopredeljeni pogoji, ne izpolnjujejo merila predvidljivosti.
  • Zgolj pandemija ali kakršne koli druge izredne razmere same po sebi niso zadosten razlog za kakršno koli omejevanje pravic posameznikov, na katere se nanašajo osebni podatki; namesto tega mora vsaka omejitev jasno prispevati k zaščiti pomembnega cilja v splošnem javnem interesu EU ali države članice.
  • Izredno stanje, ki je bilo razglašeno med pandemijo, je pravni pogoj, ki lahko upraviči omejitve pravic posameznikov, na katere se nanašajo osebni podatki, če se te omejitve uporabljajo le, kadar je to nujno potrebno in sorazmerno za zaščito cilja javnega zdravja. Zato morajo biti omejitve po obsegu in časovno strogo omejene, saj je mogoče pravice posameznikov, na katere se nanašajo osebni podatki, omejiti, ne pa tudi zanikati. Poleg tega se morajo v celoti uporabiti jamstva, določena v členu 23(2) Splošne uredbe o varstvu podatkov.
  • Omejitve, sprejete v okviru izrednega stanja, ki začasno razveljavijo ali odložijo uporabo pravic posameznikov, na katere se nanašajo osebni podatki, in obveznosti upravljavcev in obdelovalcev podatkov brez kakršne koli časovne omejitve, bi pomenile dejansko popolno ukinitev teh pravic in ne bi bile združljive z bistvom temeljnih pravic in svoboščin.

Evropski odbor za varstvo podatkov je poleg tega napovedal, da bo v prihodnjih mesecih objavil Smernice za izvajanje člena 23 splošne uredbe o varstvu podatkov.

Opomba za urednike:

Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

20 May 2020

Bruselj, 20. maja – Evropski odbor za varstvo podatkov je na 28. plenarnem zasedanju Evropskega odbora za varstvo podatkov sprejel mnenje v skladu s členom 64 Splošne uredbe o varstvu podatkov o osnutku standardnih pogodbenih določil, ki ga je predložil slovenski nadzorni organ, in se odločil za objavo registra, ki vsebuje odločitve glede mehanizma vse na enem mestu.

Evropski odbor za varstvo podatkov je sprejel mnenje o osnutku standardnih pogodbenih določil za pogodbe med upravljavcem in obdelovalcem, ki jih je odboru predložil slovenski nadzorni organ. Namen mnenja je zagotoviti dosledno uporabo člena 28 Splošne uredbe o varstvu podatkov, ki upravljavcem in obdelovalcem nalaga obveznost, da sklenejo pogodbo ali drug pravni akt, ki določa ustrezne obveznosti pogodbenic. V skladu s členom 28(6) Splošne uredbe o varstvu podatkov lahko te pogodbe ali drugi pravni akti v celoti ali delno temeljijo na standardnih pogodbenih določilih, ki jih je sprejel nadzorni organ. Odbor v mnenju navaja več priporočil, ki jih je treba upoštevati, da bi se lahko ti osnutki standardnih pogodbenih določil šteli za standardna pogodbena določila. Če bodo vsa priporočila izvedena, bo lahko Republika Slovenija ta osnutek sporazuma sprejela kot standardna pogodbena določila v skladu s členom 28(8) Splošne uredbe o varstvu podatkov.

Evropski odbor za varstvo podatkov bo na svoji spletni strani objavil register, ki vsebuje odločitve, ki jih sprejmejo nacionalni nadzorni organi po postopku sodelovanja vse na enem mestu (člen 60 Splošne uredbe o varstvu podatkov).

V skladu s Splošno uredbo o varstvu podatkov morajo nadzorni organi sodelovati pri zadevah s čezmejno razsežnostjo, da se zagotovi dosledna uporaba uredbe – t. i. mehanizem vse na enem mestu. V skladu z mehanizmom vse na enem mestu je vodilni nadzorni organ pristojen za pripravo osnutkov odločitev in sodeluje z zadevnimi nadzornimi organi, da doseže soglasje. Vodilni nadzorni organi so do konca aprila 2020 sprejeli 103 končne odločitve kot rezultat mehanizma vse na enem mestu. Evropski odbor za varstvo podatkov bo objavil povzetke v angleščini, ki jih bo pripravil sekretariat Evropskega odbora za varstvo podatkov. Informacije bodo javnosti na voljo po potrditvi zadevnega vodilnega nadzornega organa in v skladu s pogoji, določenimi v  nacionalni zakonodaji države vodilnega nadzornega organa.

Opomba za urednike:

Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bruselj, 20. februarja – Dne 18. in 19. februarja so se organi za varstvo podatkov v EGP in Evropski nadzornik za varstvo podatkov, zbrani v Evropskem odboru za varstvo podatkov (v nadaljevanju odbor), sestali na osemnajstem plenarnem zasedanju. Na plenarnem zasedanju je potekala razprava o številnih temah.
 
Odbor in posamezni nadzorni organi EGP so prispevali k oceni in pregledu Splošne uredbe o varstvu podatkov, kot to zahteva člen 97 Splošne uredbe o varstvu podatkov. Evropski odbor za varstvo podatkov meni, da je bila uporaba Splošne uredbe o varstvu podatkov v prvih 20 mesecih uspešna. Čeprav potreba po zadostnih sredstvih za vse nadzorne organe še vedno predstavlja težavo in še vedno ostajajo nekateri izzivi, ki izvirajo na primer iz raznolikih nacionalnih postopkov, je odbor prepričan, da bo sodelovanje med nadzornimi organi ustvarilo skupno kulturo varstva osebnih podatkov in dosledno prakso. Odbor preučuje možne rešitve za premagovanje teh izzivov in izboljšanje obstoječih postopkov sodelovanja. Poleg tega poziva Evropsko komisijo, naj preveri, ali nacionalni postopki vplivajo na učinkovitost postopkov sodelovanja, in hkrati meni, da bi lahko sčasoma tudi zakonodajalci sodelovali pri nadaljnji harmonizaciji. Odbor v svoji oceni obravnava tudi vprašanja, kot so mednarodna orodja za prenos, vpliv na majhna in srednje velika podjetja, viri nadzornih organov in razvoj novih tehnologij. Odbor ugotavlja, da je zaenkrat prezgodaj za revizijo Splošne uredbe o varstvu podatkov.

Odbor je sprejel osnutek smernic z nadaljnjimi pojasnili glede uporabe členov 46(2)(a) in 46(3)(b) Splošne uredbe o varstvu podatkov. Ti členi se nanašajo na prenos osebnih podatkov s strani javnih organov ali teles iz EGP k javnim organom v tretjih državah ali v mednarodne organizacije, kadar ti prenosi niso zajeti v sklepu o ustreznosti. Smernice pojasnjujejo, katere zaščitne ukrepe je treba uporabiti v pravno zavezujočih instrumentih (člen 46(2)(a)) ali v upravnih dogovorih (člen 46(3)(b)), da se zagotovi s Splošno uredbo o varstvu podatkov skladno raven varstva fizičnih oseb in da ta ni ogrožena. Smernice bodo predložene v javno posvetovanje.

Izjava o posledicah združitve za zasebnost
Odbor je po najavi namere podjetja Google LLC, da bo prevzel Fitbit, sprejel izjavo, v kateri je poudaril, da bi lahko morebitno nadaljnjo kombiniranje in kopičenje občutljivih osebnih podatkov o ljudeh v Evropi s strani velike tehnološke družbe pomenila visoko stopnjo tveganja za temeljne pravice do zasebnosti in varstva podatkov. Odbor strani predlagane združitve opozarja na obveznosti iz Splošne uredbe o varstvu podatkov, ki jih imajo v skladu z načelom odgovornosti, in da na pregleden način izvedejo celovito oceno zahtev glede varstva podatkov in posledic združitve na zasebnost. Poleg tega odbor strani poziva, naj, preden o združitvi obvestijo Evropsko komisijo, zmanjšajo morebitna tveganja združitve, ki bi jih ta imela na pravico do zasebnosti in pravico do varstva podatkov. Odbor bo preučil posledice, ki jih ima ta združitev na varstvo osebnih podatkov v EGP, in je pripravljen svetovati Evropski komisiji o predlagani združitvi, če bo ta tako zahtevala.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bruselj, 30. januar – Dne 28. in 29. januarja so se organi za varstvo podatkov v EGP in Evropski nadzornik za varstvo podatkov, zbrani v Evropskem odboru za varstvo podatkov (v nadaljevanju odbor), sestali na sedemnajstem plenarnem zasedanju. Na plenarnem zasedanju je potekala razprava o številnih temah.
 
Odbor je sprejel mnenja o akreditacijskih zahtevah za organe za spremljanje kodeksov ravnanja, ki so jih odboru predložili belgijski, španski in francoski nadzorni organi. Namen teh mnenj je zagotoviti usklajeno in pravilno uporabo meril s  strani nadzornih organov v EGP.

Odbor je sprejel osnutek Smernic o povezanih vozilih. Ker vozila postajajo vse bolj povezana, količina podatkov, ki se ustvari o voznikih in potnikih v teh povezanih vozilih, hitro narašča. Smernice odbora se osredotočajo na obdelavo osebnih podatkov v zvezi z nepoklicno uporabo povezanih vozil s strani posameznikov, na katere se nanašajo osebni podatki. Natančneje, smernice obravnavajo osebne podatke, ki jih obdeluje vozilo, in podatke, ki jih vozilo posreduje kot povezani pripomoček. Smernice bodo predložene v javno posvetovanje.

Odbor je po javnem posvetovanju sprejel končno verzijo Smernic o obdelavi osebnih podatkov z video napravami. Namen smernic je pojasniti, kako se Splošna uredba o varstvu podatkov uporablja za obdelavo osebnih podatkov pri uporabi video naprav, in zagotoviti dosledno uporabo Splošne uredbe o varstvu podatkov v zvezi s tem. Smernice zajemajo tako tradicionalen videonadzor kot pametne video naprave. Smernice med drugim obravnavajo zakonitost obdelave, vključno z obdelavo posebnih vrst osebnih podatkov, uporabo izjeme domače dejavnosti in razkritje posnetkov tretjim osebam. Po javnem posvetovanju je bilo sprejetih več sprememb.

Odbor je sprejel mnenji o osnutkih akreditacijskih zahtev za organe za certificiranje, ki sta ju odboru predložila nadzorna organa Združenega kraljestva in Luksemburga. To sta prvi mnenji o akreditacijskih zahtevah za organe za certificiranje, ki ju je sprejel odbor. Namen teh mnenj je vzpostaviti dosleden in usklajen pristop glede zahtev, ki jih bodo nadzorni organi in nacionalni akreditacijski organi uporabljali pri akreditaciji organov za certificiranje.

Odbor je sprejel mnenje o osnutku sklepa glede zavezujočih poslovnih pravil skupine Fujikura Automotive Europe, ki ga je odboru predložil španski nadzorni organ.

Pismo o nepoštenih algoritmih
Odbor je sprejel pismo v odgovor na prošnjo poslanke Evropskega parlamenta Sophie in’t Veld o uporabi nepoštenih algoritmov. Pismo vsebuje analizo izzivov, ki jih predstavlja uporaba algoritmov, pregled ustreznih določb Splošne uredbe o varstvu podatkov in obstoječih smernic, ki obravnavajo ta vprašanja, ter opisuje delo, ki so ga že opravili nadzorni organi.

Pismo Svetu Evrope o Konvenciji o kibernetski kriminaliteti
Potem ko je odbor prispeval k postopku posvetovanja v zvezi s pogajanji o drugem dodatnem protokolu h Konvenciji Sveta Evrope o kibernetski kriminaliteti (Budimpeštanska konvencija), je več članov odbora dejavno sodelovalo na konferenci Octopus v okviru Sveta Evrope za kibernetsko kriminaliteto. Odbor je po konferenci sprejel pismo, v katerem je poudaril, da je treba v navedeni dodatni protokol h konvenciji vključiti stroge zaščitne ukrepe za varstvo podatkov in zagotoviti njegovo skladnost s Konvencijo št. 108 ter s Pogodbama EU in Listino o temeljnih pravicah.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary