Европейски комитет за защита на данните

Новини от ЕКЗД

11 July 2019

Brussels, 11 July - On July 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their twelfth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on Video Surveillance
The Board adopted Guidelines on Video Surveillance, which clarify how the GDPR applies to the processing of personal data when using video devices and aim to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. For the latter, the guidelines focus on the rules regarding processing of special categories of data. In addition, the guidelines cover, among others, the lawfulness of processing, the applicability of the household exemption and the disclosure of footage to third parties. The guidelines will be subject to public consultation.

EDPB-EDPS joint reply to the LIBE Committee on the implications of the US CLOUD Act
The EDPB adopted a joint EDPB-EDPS reply to the European Parliament Committee on Civil Liberties, Justice and Home Affairs’ (LIBE) request for a legal assessment regarding the impact of the US CLOUD Act on the EU legal data protection framework and the mandate for negotiating an EU-US agreement on cross-border access to electronic evidence for judicial cooperation in criminal matters. The CLOUD Act allows US law enforcement authorities to require the disclosure of data by service providers in the US, regardless of where the data is stored.

The EDPB and EDPS emphasize that a comprehensive EU-US agreement regarding cross-border access to electronic evidence, containing strong procedural and substantial safeguards for fundamental rights, appears the most appropriate instrument to ensure the necessary level of protection for EU data subjects and legal certainty for businesses.

Art.64 GDPR Opinion on Standard Contractual Clauses for processors under Art.28.8 GDPR by DK SA
The EDPB adopted its opinion on the draft Standard Contractual Clauses (SCCs) for framing the processing by a processor submitted to the Board by the Danish Supervisory Authority (SA). The opinion, which is the first one on this topic, aims to ensure the consistent application of Art 28 GDPR, relating to processors. In it, the Board made several recommendations that need to be taken into account in order for the draft SCCs of the Danish SA to be considered as Standard Contractual Clauses. If all recommendations are implemented, the Danish SA will be able to use this draft agreement as Standard Contractual Clauses pursuant to article 28.8 GDPR.

Art. 64 GDPR Opinion on Accreditation Criteria for monitoring bodies of Codes of Conduct by AT SA
Following submission by the Austrian SA of its draft decision on the Accreditation Criteria for Codes of Conduct monitoring bodies, the Board adopted its opinion. The Board agreed that all codes covering non-public authorities and bodies are required to have accredited monitoring bodies in accordance with the GDPR.

Art. 64 GDPR Opinion on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment
The Board adopted an opinion on the competence of a supervisory authority when the circumstances relating to the main or single establishment change. This can occur when the main establishment is relocated within the EEA, a main establishment is moved to the EEA from a third country, or when there no longer is a main or single establishment in the EEA. In such circumstances, the Board is of the opinion that the competence of the lead supervisory authority (LSA) can switch to another SA. In this case, the cooperation procedure set forth under Art. 60 will continue to apply and the new LSA will be obligated to cooperate with the former LSA and with the other concerned SAs in an endeavour to reach consensus. The switch can take place as long as no final decision has been reached by the competent supervisory authority.

EDPB-EDPS Joint Opinion on the eHDSI
The Board adopted a joint EDPB-EDPS opinion on the personal data protection aspects of the processing of patients’ data in the eHealth Digital Service Infrastructure (eHDSI). It is the first joint opinion by the EDPB and the EDPS adopted in response to a request from the European Commission under Article 42(2) of Regulation 2018/1725 on data protection for EU institutions and bodies. In their opinion, the EDPB and EDPS consider that, in this specific situation, and for the concrete processing of patients’ data within the eHDSI, there is no reason to dissent from the European Commission’s assessment of its role as a processor within the eHDSI. Furthermore, the joint opinion stresses the need to ensure that all the processor duties of the Commission, in this processing operation, as specified in the applicable data protection legislation, are clearly set out in the relevant Implementing Act.  

DPIA List Cyprus
The EDPB adopted an opinion on the Data Protection Impact Assessment (DPIA) list submitted to the Board by Cyprus. DPIA lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals.

Art. 64 GDPR Opinion on Art 35.5 lists FR, ES & CZ (DPIA exemption)
The EDPB adopted its opinion on the Art. 35.5 lists submitted to the Board by the French, Spanish and Czech SAs.

Recommendation on EDPS list pursuant to Art. 39.4 Regulation 2018/1725 (DPIA list)
The Board has adopted a recommendation on the Art. 39.4 list submitted to the Board by the EDPS. The EDPS has to consult the EDPB prior to adoption of these lists insofar as these “refer to processing operations by a controller acting jointly with one or more controllers other than Union institutions and bodies” (Article 39(6) of Regulation (EU) 2018/1725). Similar to GDPR DPIA lists, the EDPS list informs controllers about processing activities which require a DPIA.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Брюксел, 5 юни — на 4 юни, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в  Европейския комитет по защита на данните (ЕКЗД), проведоха единадесетото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.

Насоки относно кодексите за поведение
ЕКЗД прие окончателния вариант на Насоките относно кодексите за поведение. След провеждането на обществена консултация в текста бяха включени допълнителни разяснения. Целта на тези насоки е да се предоставят практически указания и помощ при тълкуването във връзка с прилагането на членове 40 и 41 от Общия регламент относно защитата на данните. Целта на насоките е да се улесни изясняването на процедурите и правилата, свързани с внасянето, одобрението и публикуването на кодекси за поведение, както на национално, така и на европейско равнище. Тези насоки следва да продължат да действат като ясна рамка за всички компетентни надзорни органи, Комитета и Комисията с цел съгласувано оценяване на кодексите за поведение и опростяване на процедурите, използвани в процеса на оценяване..

Приложение към Насоките относно акредитацията
След провеждането на обществена консултация ЕКЗД прие окончателния вариант на приложението към Насоките относно акредитацията. Текстът беше преразгледан, за да се постигне по-голяма яснота. Целта на насоките е да се предостави ръководство за това, как да се тълкуват и прилагат разпоредбите на член 43 от ОРЗД. По-специално, те имат за цел да помогнат на държавите членки, надзорните органи и националните органи по акредитация да създадат съгласувани и хармонизирани основни критерии за акредитация на сертифициращите органи, които издават сертификати в съответствие с Общия регламент относно защитата на данните. Приложението дава насоки относно допълнителните изисквания за акредитация на сертифициращите органи, които трябва да бъдат установени от надзорните органи. Преди да бъдат приети от надзорните органи, тези допълнителни изисквания следва да се представят за одобрение на Европейския комитет по защита на данните съгласно член 64, параграф 1, буква в). *

Приложение към Насоките за сертифициране
ЕКЗД прие окончателния вариант на приложение 2 към Насоките за сертифициране. След обществена консултация в определени раздели бяха добавени някои аспекти, като например, дали критериите включват задължението на администратора/обработващия лични данни да определи длъжностно лице по защита на данните и задължението за водене на документация за дейностите по обработване. Основната цел на тези насоки е да се установят всеобхватни критерии, които да имат значение за всички видове механизми за сертифициране, създавани в съответствие с член 42 и член 43 от ОРЗД. В приложението се определят теми, които надзорните органи по защита на данните и Европейският комитет по защита на данните ще разглеждат и ще взимат предвид при одобряването на критерии за сертифициране за механизъм за сертифициране. Списъкът не е изчерпателен, но представя минималния брой теми, които да бъдат разгледани. *

Бележка към редакторите:

* Като следваща стъпка, преди да могат да бъдат обсъдени конкретни случаи във връзка със сертифицирането и акредитацията на равнището на ЕКЗД, ЕКЗД подготвя процедура за улесняване на последователното и своевременно изготвяне на становища относно проектите на решения на надзорните органи и за одобряване на европейските печати за защита на данните.

Всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД, веднага, щом тези проверки бъдат извършени

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Брюксел, 15 май — На 14 и 15 май органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в на Европейския комитет по защита на данните (ЕКЗД), проведоха десетото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.

Избор на нов заместник-председател
Членовете на Комитета избраха Aleid Wolfsen, председател на нидерландския надзорен орган, за нов заместник-председател, заменящ Willem Debeuckelaere, на когото председателят на ЕКЗД Андреа Йелинек благодари за свършената работа. Заедно със своя колега заместник- председател Венцислав Караджов, г-н Wolfsen ще подкрепя председателя на ЕКЗД в нейната работа за Комитета през следващите години. Д-р Йелинек добави: „Общественият интерес към защитата на данните е рекордно висок. С нетърпение очаквам да работим заедно с Aleid и Венцислав за осъществяване на контакти с по-широк кръг от заинтересованите страни в областта за защита на данните.“

Г-н Wolfsen добави: „През следващите години ние, като Комитет, носим отговорността да предоставяме авторитетни насоки и добри съвети. В качеството ми на заместник-председател, аз ще поема отговорността за съобразяването с всички становища и в крайна сметка за излизането с единна позиция.“

Отговор на въпрос на члена на ЕП, г-жа Sophie In’t Veld относно свързаните превозни средства
ЕКЗД прие текст на писмо в отговор на писмото на члена на ЕП, г-жа Sophie In’t Veld от 17 април 2019 г. във връзка със споделянето на лични данни на водачите на леки автомобили с производителите на леки автомобили и трети страни без изрично, конкретно и информирано съгласие на водача и без подходящо правно основание. В отговора си ЕКЗД подчертава, че членовете на Комитета и колегите им от различни държави през 2017 г. са приели резолюция относно защитата на данните в автоматизирани и свързани превозни средства по време на Международната конференция на органите по защита на личните данни и неприкосновеността (ICDPPC) и че Работната група по член 29 е приела своето Становище 3/2017 относно обработването на лични данни в контекста на съвместните интелигентни транспортни системи (СИТС). Този въпрос ще бъде разгледан също и в рамките на работната програма на ЕКЗД за 2019—2020 г. .

Трети годишен преглед на Щита за личните данни
ЕКЗД определи представители за участие в третия годишен преглед на Щита за личните данни. По време на прегледа, Комитетът ще бъде представляван от Австрия, България, Франция, Германия, Унгария и ЕНОЗД.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Европейски комитет по защита на данните — девето пленарно заседание: Насоки относно обработването на лични данни в контекста на услугите на информационното общество

 
Брюксел, 10 април — На 9 и 10 април, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха деветото си пленарно заседание.
 
По време на пленарното заседание ЕКЗД прие Насоки относно обхвата и прилагането на член 6, параграф 1, буква б)* от ОРЗД в контекста на услугите на информационното общество. В своите насоки, Комитетът прави общи коментари във връзка с принципите за защита на данните и взаимодействието на член 6, параграф 1, буква б) с други правни основания. Наред с това в тях са включени указания относно приложимостта на член 6, параграф 1, буква б) в случай на групиране на отделни услуги и прекратяване на договора.

Бележка към редакторите:
 
Всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

* Член 6, параграф 1, буква б)
„1. Обработването е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:
[...]
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор; “
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Европейски комитет по защита на данните — осмо пленарно заседание: взаимодействие между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и ОРЗД, изявление във връзка с Регламента за неприкосновеността на личния живот и електронните съобщения, списъци на случаите, в които се изисква ОВЗД (Испания и Исландия), изявление във връзка с изборите

Брюксел, 13 март — На 12 и 13 март, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха осмото си пленарно заседание. По време на пленарното заседание бяха обсъдени множество различни въпроси.

Взаимодействие между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и ОРЗД

ЕКЗД прие становище относно взаимодействието между Директивата за неприкосновеността на личния живот в сектора на електронните съобщения и Общия регламент относно защитата на данните (ОРЗД). В становището се дава отговор на въпроса дали фактът, че обработването на лични данни попада в материалното приложно поле и на ОРЗД, и на Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, ограничава компетентността, задачите и правомощията на органите за защита на данните, регламентирани в ОРЗД. ЕКЗД е на мнение, че органите за защита на данните са компетентни да прилагат ОРЗД. Самият факт, че част от обработването попада в приложното поле на Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, не ограничава компетентността на органите за защита на данните.

Нарушаване на ОРЗД може да представлява едновременно и нарушаване на националните правила за неприкосновеността на личния живот в сектора на електронните съобщения. Надзорните органи могат да вземат това под внимание, когато прилагат ОРЗД (т.е. когато правят оценка на спазването на принципите за законосъобразност или добросъвестност).  

Изявление във връзка с бъдещия Регламент за неприкосновеността на личния живот и електронните съобщения
ЕКЗД прие изявление, в което призова законодателите на ЕС да положат по-големи усилия за приемането на Регламента за неприкосновеността на личния живот и електронните съобщения, който е от основно значение за завършването на правната рамка на Съюза  в сферата на  защитата на данните и поверителността на електронните съобщения.

Бъдещият Регламент за неприкосновеността на личния живот и електронните съобщения не трябва, при никакви обстоятелства,  да занижава нивото на защита, предлагано от Директивата за неприкосновеността на личния живот в сектора на електронните съобщения, и той трябва да допълва ОРЗД, като предоставя надеждни гаранции за всички видове електронни съобщения.

Списъци на случаите, в които се изисква ОВЗД 

ЕКЗД прие две становища по  списъците на случаите, в които се изисква оценка на въздействието върху защитата на данните (ОВЗД), изпратени от Испания и Исландия. Тези списъци представляват важен инструмент за съгласуваното прилагане на ОРЗД в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата и свободите на физическите лица. Въпреки че,  администраторът на лични данни по принцип трябва да прецени дали се изисква ОВЗД, преди да започне дейността по обработване, националните надзорни органи съставят и изготвят списък на видовете операции по обработване, подлежащи на оценка на въздействието върху защитата на данните. Тези две становища бяха приети след 28-те становища, приети на предходни пленарни заседания, и ще допринесат допълнително за установяването на общи критерии за списъците на случаите, в които се изисква ОВЗД, в цялото ЕИП.

Изявление във връзка с използването на лични данни в хода на политически кампании

С оглед на предстоящите европейски избори и на други избори, които ще се проведат в държавите от ЕС и извън тях през 2019 г., ЕКЗД прие изявление във връзка с използването на лични данни в хода на изборни кампании. Техниките за обработване на данни за политически цели могат да представляват сериозен риск не само за правото на неприкосновеност на личния живот и защита на данните, но и за целостта на демократичния процес. В изявлението си ЕКЗД изтъква няколко основни аспекта, които трябва да бъдат взети под внимание, когато политическите партии обработват лични данни в хода на предизборни дейности.

Бележка към редакторите:

Моля, отбележете, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Брюксел, 13 февруари - На 12 февруари, органите за защита на данните на държавите от ЕИП и Европейският надзорен орган по защита на данните, участващи в Европейския комитет по защита на данните (ЕКЗД), проведоха седмото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.
 
Работна програма на Европейския комитет по защита на данните за 2019-2020 г.
Комитетът прие своята двугодишна работна програма за периода 2019-2020 г. съгласно член 29 от Правилника на ЕКЗД. Работната програма на ЕКЗД се основава на нуждите, които членовете са определили като приоритетни за физическите лица и заинтересованите страни, както и на дейностите, планирани от законодателя на ЕС.  

Проект за административно споразумение в областта на надзора на финансовите пазари
ЕКЗД прие своето първо становище, въз основа на член 46, параграф 3, буква б) от Общия регламент относно защитата на данните, относно административното споразумение (АС)за предаването на лични данни между финансовите надзорни органи на държавите от ЕИП, включително Европейския орган за ценни книжа и пазари (ЕОЦКП) и техните партньори извън ЕС. Това споразумение ще бъде представено на компетентните надзорни органи за разрешение на национално равнище. Компетентните надзорни органи ще наблюдават АС и практическото му прилагане, за да гарантират, че субектите на данни се ползват на практика от ефективни и приложими права, както и че съществуват подходящи средства за правна защита и за надзор.

Брекзит
ЕКЗД прие информационно съобщение, адресирано до търговските субекти и публичните органи, относно предаването на данни съгласно ОРЗД, в случай че Обединеното кралство напусне ЕС без споразумение.

Потоци от данни от ЕИП към Обединеното кралство
При липсата на споразумение между ЕС и Обединеното кралство от 00.00 ч. централноевропейско време на 30 март 2019 г. Обединеното кралство ще стане трета държава. Вследствие на това предаването на лични данни от ЕИП към Обедненото кралство ще трябва да се основава на един от следните инструменти: стандартни или специфични клаузи за защита на данните, задължителни фирмени правила, кодекси за поведение и механизми за сертифициране, както и на конкретните инструменти за предаване на данни, с които разполагат публичните органи. При липсата на стандартни клаузи за защита на данните или други алтернативни подходящи предпазни мерки могат да се използват дерогации при определени условия.

Потоци от данни от Обединеното кралство към ЕИП
По отношение на предаването на данни от Обединеното кралство към ЕИП според правителството на Обединеното кралство настоящата практика, която позволява личните данни да се движат свободно от Обединеното кралство към ЕИП, ще продължи да се използва, в случай че Обединеното кралство напусне ЕС без споразумение.
    
Насоки относно кодексите за поведение
ЕКЗД прие насоки относно кодексите за поведение. Целта на тези насоки е да се предоставят практически указания и помощ при тълкуването във връзка с прилагането на членове 40 и 41 от Общия регламент относно защитата на данните. Целта на насоките е да се улесни изясняването на процедурите и правилата, свързани с внасянето, одобрението и публикуването на кодекси за поведение, както на национално, така и на европейско равнище. Тези насоки следва да продължат да действат като ясна рамка за всички компетентни надзорни органи, Комитета и Комисията с цел кодексите за поведение да бъдат оценявани по последователен начин, а процедурите, използвани в процеса на оценяване, да бъдат опростени. Насоките ще бъдат предмет на обществена консултация.

Бележка към редакторите:

Моля, отбележете, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Брюксел, 24 януари — На 22 и 23 януари, европейските органи за защита на данните, които членуват в Европейския комитет по защита на данните (ЕКЗД), проведоха шестото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.
 
Щит за личните данни
Членовете на Комитета приеха доклада на ЕКЗД относно втория годишен преглед на Щита за личните данни в отношенията между ЕС и САЩ. ЕКЗД приветства усилията, положени от органите на САЩ и от Комисията за прилагането на Щита за личните данни, по-специално действията, предприети за приспособяване на първоначалния процес на сертифициране, за започване на, упражняван по служебен път, надзор и на действия по правоприлагане, както и усилията за публикуване на множество важни документи (като решения на Съда за наблюдение на чуждите разузнавателни служби) отчасти чрез разсекретяване, назначаването на нов председател и на трима нови членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи и наскоро обявеното назначаване на постоянен омбудсман.

След направените констатации от втория съвместен преглед на Щита за личните данни продължават да съществуват някои опасения относно прилагането му. Към тях спадат притеснения, които вече бяха изразени от РГ по чл.29 — предшественика на ЕКЗД, свързани с липсата на конкретни уверения, че ще бъде сложен край на безразборното събиране на и достъп до лични данни за целите на националната сигурност. Освен това, предвид  предоставената до момента информация, ЕКЗД понастоящем не може да прецени, дали омбудсманът разполага с достатъчно правомощия за корективни мерки, които да бъдат приложени в случай на неспазване на заложените разпоредби. Комитетът също така изтъква, че проверките относно спазването на принципите на Щита за личните данни не са достатъчно добре проведени.

Наред с това ЕКЗД изразява някои допълнителни опасения по отношение на извършването на необходимите проверки с цел спазване на изискванията за последващо предаване на данни,  на обхвата на значението на понятията „данни за човешките ресурси“ и „процес на пресертифициране“, както и относно редица други въпроси, повдигнати след първия съвместен преглед, които  все още не са уредени.

Брекзит
ЕКЗД обсъди възможните последици от Брекзит в областта на защитата на данните. Членовете се съгласиха да си сътрудничат и да обменят информация по отношение на своята подготовка и наличните инструменти за предаване на данни към Обединеното кралство, след като държавата престане да бъде част от ЕС.

Въпросник относно клиничните изпитвания
По искане на Европейската комисия (ГД „Здравеопазване и безопасност на храните“), ЕКЗД прие своето становище за въпросника относно клиничните изпитвания. В становището се обръща внимание по-специално на аспектите, свързани с подходящите правни основания в контекста на клиничните изпитвания, и на повторното използване на данни от клинични изпитвания за научни цели. Становището ще бъде изпратено на Европейската комисия.

Списъци на случаите, в които се изисква ОВЗД
ЕКЗД прие становища по списъците, изпратените от Лихтенщайн и Норвегия, на случаите, в които се изисква оценка на въздействието върху защитата на данните (ОВЗД). Тези списъци представляват важен инструмент за съгласуваното прилагане на Общия регламент относно защитата на данните (ОРЗД) в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата и свободите на физическите лица. Въпреки че администраторът на лични данни по принцип трябва да прецени дали се изисква ОВЗД, преди да започне дейността по обработване, националните надзорни органи съставят и изготвят списък на видовете операции по обработване, при които се извършва оценка на въздействието върху защитата на данните. Тези две становища бяха приети след приемането на 22 становища по време на пленарното заседание през септември и четири становища по време на пленарното заседание през декември. Те ще допринесат допълнително за установяването на общи критерии в цялото ЕИП по отношение на списъците на случаите, в които се изисква ОВЗД,.

Насоки относно сертифицирането
След провеждането на обществена консултация, ЕКЗД прие окончателната версия на насоките относно сертифицирането. Освен това, Комитетът прие и ново приложение. По време на първото пленарно заседание на ЕКЗД през май бе приет проект на насоките. Основната цел на тези насоки е да се установят всеобхватни критерии, които да се прилагат за всички видове механизми за сертифициране, създавани в съответствие с член 42 и член 43 от ОРЗД. Поради тази причина,  в насоките основанието за сертифициране се  разглежда като инструмент за отчетност, предоставят се обяснения за основните понятия от разпоредбите на член 42 и член 43, пояснява се какъв е обхватът на сертификационния режим и целта на сертифицирането. Насоките ще помогнат на държавите членки, надзорните органи и националните органи по акредитация (НОА) при прегледа и одобряването на критериите за сертифициране в съответствие с член 42 и член 43 от ОРЗД. Приложението ще бъде предмет на обществена консултация.

Отговор, предназначен за австралийския надзорен орган по отношение на уведомленията за нарушение на сигурността на данните
През октомври 2018 г. председателят на ЕКЗД получи писмено искане от Службата на комисаря по информацията на Австралия относно публикуването на уведомленията за нарушение на сигурността на данните от страна на надзорните органи. ЕКЗД приветства желанието на комисаря на Австралия за съвместна работа с Комитета по отношение на този въпрос и подчертава значението на международното сътрудничество. В своя отговор, ЕКЗД предоставя допълнителни подробности за това, дали и как надзорните органи се занимават с публикуването на информация относно уведомленията за нарушение на сигурността на данните.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary