Европейски комитет за защита на данните

Новини от ЕКЗД

03 February 2021

EDPB adopts Recommendations on Art. 36 LED – Adequacy referential, Opinion on the H3C/PCAOB Administrative Arrangement, Statement on new draft provisions on a protocol to Cybercrime Convention, Response to EC questionnaire on processing personal data for scientific research & discussion on Whatsapp privacy polic.

During its 45th plenary session, the EDPB adopted a wide range of documents. In addition, the Board discussed Whatsapp’s updated privacy policy. 

The EDPB adopted Recommendations on the adequacy referential under the Law Enforcement Directive (LED). The EDPB ensures the consistent application of EU data protection law in the EU, including of the Law Enforcement Directive (LED), which deals with the processing of personal data for law enforcement purposes. The aim of the Recommendations is to provide a list of elements to be examined when assessing the adequacy of a third country under the LED. The document recalls the concept and procedural aspects of adequacy according to the LED and the case law of the CJEU, and lays down the EU standards for data protection for police and judicial cooperation in criminal matters.

The EDPB adopted an opinion on the draft Administrative Arrangement (AA) for transfers of personal data between the Haut Conseil du Commissariat aux Comptes (H3C) and the Public Company Accounting Oversight Board (PCAOB). This AA will be submitted to the French SA for authorisation at national level. The French SA will monitor the application of the AA in practice and, if necessary, suspend any transfer performed by the H3C, if the AA ceases to provide data subjects with an essentially equivalent level of protection.

The EDPB adopted a Statement on the draft provisions on a protocol to the Cybercrime Convention. This statement complements the EDPB contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention) and follows the publication of the new draft provisions. 
In this statement, the EDPB recalls that the provisions currently being discussed are likely to affect the conditions for access to personal data in the EU for law enforcement purposes and calls for a careful scrutiny of the ongoing negotiation by the relevant EU and national institutions. In addition, the EDPB stresses the need to guarantee full consistency with the EU acquis in the field of personal data protection. 

The EDPB adopted its response to the European Commission questionnaire on processing personal data for scientific research, focusing on health related research. The answers provided by the EDPB form a preliminary position on this topic and aim to provide clarity as to the application of the GDPR in the domain of scientific health research. The EDPB is currently developing guidelines on processing personal data for scientific research purposes that will elaborate on these issues. 

Finally, the Members of the Board had an exchange of views on WhatsApp's recent Privacy Policy update. The EDPB will continue to facilitate this exchange of information between authorities, in order to ensure a consistent application of data protection law across the EU in accordance with its mandate.

The agenda of the forty-fifth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_1

28 January 2021


On the occasion of the 15th annual Data Protection Day, the Members of the EDPB bring you a joint message. Today is an opportunity to reflect on the efforts we make day after day to empower individuals, encourage business to be compliant and to enable trust.  From all of us at the EDPB, we wish you a very happy Data Protection Day.

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.


The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02


15 January 2021

Брюксел, 15 януари - ЕКЗД и ЕНОЗД приеха съвместни становища относно два набора  стандартни договорни клаузи (СДК). Едно становище относно договорни клаузи за договори между администратори и обработващи лични данни и още едно за договорни клаузи за предаването на лични данни на трети държави.

Стандартните договорни клаузи относно администраторите и обработващите лични данни ще се прилага на територията на целия ЕС, като целта им е осигуряването на правна сигурност, когато става въпрос за договори между администратори и обработващи лични данни.

Андреа Йелинек, председател на ЕКЗД, заяви: „ЕНОЗД и ЕКЗД приветстват приемането на стандартните договорни клаузи относно администраторите и обработващите лични данни като единен и мощен инструмент за отчетност на ниво ЕС, който ще улесни спазването на разпоредбите, както на Общия регламент за защита на данните (ОРЗД), така и на Регламент (ЕС) 2018/1725. Наред с другото ЕКЗД и ЕНОЗД желаят да предоставят на заинтересованите страни достатъчно яснота относно ситуациите, при които те могат да разчитат на тези договорни клаузи, както и да подчертаят, че случаите, при които е налице предаване на лични данни извън ЕС, не следва да бъдат изключвани.“

Бяха поискани няколко изменения с цел внасянето на по-голяма яснота в текста и гарантирането на практическата му полезност в ежедневната работа на администраторите и на обработващите лични данни. Измененията се отнасят до взаимодействието между двата документа, т. нар. „клауза за присъединяване“, която позволява на други юридически лица да се присъединят към стандартните договорни клаузи, както и до други аспекти, свързани със задълженията на обработващите лични данни. Освен това ЕКЗД и ЕНОЗД предлагат с приложенията към договорните клаузи да се внесе яснота във възможно най-голяма степен относно ролите и отговорностите на всяка от страните по отношение на всички дейности по обработване на данни, тъй като наличието на каквато и да е двусмисленост би затруднила администраторите или обработващите лични данни да изпълняват задълженията си, произтичащи от принципа на отчетност.

Войчех Виевиоровски, ЕНОЗД, заяви: „Убедени сме, че тези стандартни договорни клаузи могат да улеснят спазването от страна на администраторите и на обработващите лични данни на техните задължения, както по силата на ОРЗД, така и съгласно правната рамка на институциите и органите на ЕС. Освен това се надяваме, че тези клаузи ще осигурят допълнително хармонизиране и правна сигурност за физическите лица и техните лични данни. Това е посоката, с която ние се стремим да постигнем възможно най-голяма степен на ефективност на тези документи в бъдеще.“

Проектът на стандартни договорни клаузи относно предаването на лични данни на трети държави по силата на член 4, параграф 2, буква в) от ОРЗД, които ще заменят съществуващите договорни клаузи за международно предаване на лични данни, приети въз основа на Директива 95/46, се нуждаешe от актуализация, за да отговаря на изискванията на ОРЗД, като беше взето предвид решението на Съда на ЕС по делото Schrems, за да отрази по-добре широкото използване на нови и по-сложни операции по обработване на данни, в които често участват няколко вносители и износители на данни. Новите договорни клаузи включват по-конкретни гаранции в случай, че законите на държавата, която ще получи информацията оказват влияние върху спазването на клаузите, по-специално, когато са налице обвързващи искания от страна на публичните органи за разкриване на лични данни.

Войчех Виевиоровски, ЕНОЗД, заяви: „Отчитайки практическият ни опит, направихме тези коментари с цел подобряване на стандартните договорни клаузи, за да гарантираме напълно, че личните данни на гражданите на ЕС получават по същество равностойно ниво на защита при предаване на трети държави. Убедени сме, че тези предложения и изменения са от решаващо значение за практическото постигането на тези цели.“

Като цяло, ЕКЗД и ЕНОЗД считат, че проекта на стандартни договорни клаузи осигурява по-високо равнище на защита за субектите на данни. По-специално, ЕКЗД и ЕНОЗД приветстват специфичните разпоредби, насочени към преодоляване на основните проблеми, установени в решението по делото Schrems II. Въпреки това ЕКЗД и ЕНОЗД са на мнение, че няколко разпоредби биха могли да бъдат подобрени или пояснени, като например обхвата на договорните клаузи; някои права на трети страни бенефициенти;  някои задължения по отношение на последващи предавания на данни; аспекти на оценката на законодателството на трети държави по отношение на достъпа на публичните органи до публични данни; и уведомяването на надзорните органи.

Председателят на ЕКЗД Андреа Йелинек добави: „Условията, при които могат да се използват стандартните договорни клаузи, трябва да бъдат ясни за организациите, а субектите на данни следва да разполагат с ефективни права и средства за правна защита. Освен това, договорните клаузи включват ясно разпределение на ролите и на режима за отговорност между страните. По отношение на необходимостта в някои случаи от допълнителни временни мерки с цел гарантиране, че на субектите на данни се предоставя ниво на защита, което по същество е равностойно на гарантираното в рамките на ЕС, новите договорни клаузи ще трябва да се използват заедно с препоръките на ЕКЗД относно допълнителните мерки.“

ЕКЗД и ЕНОЗД приканват Комисията да се позове на окончателната версия на препоръките на ЕКЗД относно допълнителните мерки, при условие, че тя бъде приета преди решението на Комисията относно стандартните договорни клаузи. Този документ беше представен за обществена консултация до 21 декември 2020 г. и все още подлежи на евентуални допълнителни изменения въз основа на резултатите от нея.


Бележка за редакторите:  
Нужно е да се има предвид, че всички документи, приети по време на пленарното заседание на ЕКЗД, подлежат на необходимите правни, езикови и свързани с форматирането проверки и ще бъдат публикувани на уебсайта на ЕКЗД веднага след тяхното извършване.


EDPB_Press Release_statement_2021_01