Evropský sbor pro ochranu osobních údajů

Zprávy EDPB

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brussels, 15 May - On May 14th and 15th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their tenth plenary session. During the plenary a wide range of topics were discussed.

Election of a new Deputy Chair

The Members of the Board elected Aleid Wolfsen, Chairman of the Dutch Supervisory Authority, as new Deputy Chair, replacing Willem Debeuckelaere, whom EDPB Chair Andrea Jelinek thanked for his work. Along with fellow Deputy Chair Ventsislav Karadjov, Mr. Wolfsen will support the EDPB Chair in her work for the Board over the coming years. Dr. Jelinek added: “Public interest in data protection is at an all-time high. I look forward to working with Aleid and Ventsislav to engage with the wider community of data protection stakeholders.”

Mr. Wolfsen added: “In the years to come, it is our responsibility as Board to deliver authoritative guidance and sound advice. I will make it my responsibility as Deputy Chair that we take on board all opinions, and ultimately speak with one voice.”

Response to MEP Sophie In’t Veld regarding connected vehicles

The EDPB adopted a letter in response to MEP Sophie In’t Veld’s letter of 17 April 2019 regarding the sharing of car drivers’ personal data with the car producer and third parties, without explicit consent, specific and informed consent of the driver, and without adequate legal basis. In its response the EDPB highlights that the Members of the Board and their international colleagues adopted an ICDPPC resolution on Data Protection in Automated and Connected Vehicles in 2017 and that the WP29 adopted its Opinion 3/2017 on the processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS). The issue will also be dealt with according to the EDPB 2019-2020 work program.

Third Annual Privacy Shield Review

The EDPB designated representatives for the third annual review of the Privacy Shield.  Austria, Bulgaria, France, Germany, Hungary and the EDPS will represent the Board during the review.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Evropský sbor pro ochranu osobních údajů – deváté plenární zasedání: Pokyny pro zpracování osobních údajů v souvislosti se službami informační společnosti

Brusel 10. dubna – Ve dnech 9. a 10. dubna se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém devátém plenárním zasedání.
 
V jeho průběhu přijal EDPB pokyny týkající se rozsahu působnosti a uplatňování čl. 6 odst. 1 písm. b)* obecného nařízení o ochraně osobních údajů (GDPR) v souvislosti se službami informační společnosti. Sbor v těchto pokynech uvádí obecné připomínky týkající se zásad ochrany údajů a vzájemného působení čl. 6 odst. 1 písm. b) ve vztahu k jiným právním základům. Kromě toho tento dokument obsahuje i instrukce ohledně použitelnosti čl. 6 odst. 1 písm. b) v případě spojování samostatných služeb a ukončení smlouvy.

Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EDPB, jakmile budou tyto kontroly dokončeny.

* Čl. 6 odst. 1 písm. b)
„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
...
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;“.
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Evropský sbor pro ochranu osobních údajů – osmé plenární zasedání: vztah mezi směrnicí o soukromí a elektronických komunikacích a GDPR, prohlášení o nařízení o soukromí a elektronických komunikacích, seznamy posouzení vlivu na ochranu osobních údajů ve Španělsku a na Islandu, prohlášení o volbách

Brusel 13. března – Dne 12. a 13. března se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém osmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Vztah mezi směrnicí o soukromí a elektronických komunikacích a nařízením GDPR
Evropský sbor pro ochranu osobních údajů přijal stanovisko ke vztahu mezi směrnicí o soukromí a elektronických komunikacích a obecným nařízením o ochraně osobních údajů (GDPR). Stanovisko má odpovědět na otázku, zda skutečnost, že zpracování osobních údajů vyvolává věcnou působnost jak GDPR, tak směrnice o soukromí a elektronických komunikacích, omezuje příslušnost, úkoly a pravomoci úřadů pro ochranu údajů podle GDPR. Sbor je toho názoru, že úřady pro ochranu údajů jsou příslušné k prosazování GDPR. Pouhá skutečnost, že určitý díl zpracování osobních údajů spadá do působnosti směrnice o soukromí a elektronických komunikacích, příslušnost úřadů pro ochranu osobních údajů podle GDPR neomezuje.

Porušení GDPR může představovat i porušení vnitrostátních pravidel o ochraně soukromí a elektronických komunikacích. Dozorové úřady mohou tuto skutečnost při uplatňování GDPR zohlednit (např. při posuzování souladu se zásadami zákonnosti nebo korektnosti).  

Prohlášení o budoucím nařízení o soukromí a elektronických komunikacích
Evropský sbor pro ochranu osobních údajů přijal prohlášení, v němž vyzývá normotvůrce Unie, aby vystupňovali úsilí o přijetí nařízení o soukromí a elektronických komunikacích, které má zásadní význam pro dokončení rámce EU pro ochranu údajů a důvěrnost elektronických komunikací.

Budoucí nařízení o soukromí a elektronických komunikacích by v žádném případě nemělo snižovat míru ochrany, kterou nabízí stávající směrnice o soukromí a elektronických komunikacích, a mělo by doplňovat GDPR tím, že poskytne další silné záruky pro všechny druhy elektronických komunikací.
 
Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal dvě stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, jež předložily Španělsko a Island. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Tato dvě stanoviska, která následují po 28 stanoviscích přijatých na předchozích plenárních zasedáních, dále přispějí ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Prohlášení o používání osobních údajů v politických kampaních
S ohledem na nadcházející volby do Evropského parlamentu a další volby, které se v roce 2019 konají v EU i jinde na světě, vydal přijal sbor prohlášení o používání osobních údajů během volebních kampaní. Techniky zpracování dat pro politické účely mohou představovat závažná rizika nejen z hlediska práva na soukromí a ochrany údajů, ale i z hlediska integrity demokratického procesu. Ve svém prohlášení sbor upozorňuje na řadu klíčových bodů, které je třeba vzít v úvahu, když politické strany zpracovávají osobní údaje v rámci volebních činností.
 
Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brusel 13. února – Dne 12. února se orgány pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém sedmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Pracovní program Evropského sboru pro ochranu osobních údajů na období 2019–2020
EDPB přijal svůj dvouletý pracovní program na období 2019–2020 v souladu s článkem 29 jednacího řádu EDPB. Pracovní program EDPB vychází z potřeb, které členové označili za prioritní pro fyzické osoby, zúčastněné strany a rovněž plánované činnosti normotvůrce EU.

Návrh správního ujednání v oblasti dohledu nad finančními trhy
EDPB přijal svoje první stanovisko k správnímu ujednání (na základě čl. 46 odst. 3 písm. b) obecného nařízení o ochraně osobních údajů) o převádění osobních údajů mezi orgány finančního dohledu v EHP, včetně Evropského orgánu pro cenné papíry a trhy (ESMA), a jejich protějšky ze zemí mimo EU. Toto ujednání bude předloženo příslušným dozorovým úřadům k autorizaci na vnitrostátní úrovni. Příslušné dozorové úřady budou monitorovat toto správní ujednání a jeho uplatňování v praxi, aby se zajistila existence účinných a vymahatelných práv subjektu údajů a vhodných prostředků právní ochrany a dohledu v praxi.

Brexit
EDPB přijal informační sdělení určené komerčním subjektům a orgánům veřejné moci o předávání údajů podle obecného nařízení o ochraně osobních údajů v případě brexitu bez dohody.

Pohyb údajů z EHP do Spojeného království
V případě neexistence dohody mezi EU a Spojeným královstvím (brexitu bez dohody) bude Spojené království od 30. března 2019 00:00 hodin SEČ třetí zemí. V důsledku toho se bude muset předávání osobních údajů z EHP Spojenému království zakládat na jednom z těchto nástrojů: standardních nebo ad hoc doložkách o ochraně údajů, závazných podnikových pravidlech, kodexech chování a mechanismech pro vydávání osvědčení a specifických nástrojích pro předávání, které mají orgány veřejné moci k dispozici. V případě neexistence standardních doložek o ochraně údajů nebo jiných alternativních vhodných záruk lze při splnění určitých podmínek použít výjimky.

Pohyb údajů ze Spojeného království do EHP
Pokud jde o předávání údajů ze Spojeného království do EHP, bude podle vlády Spojeného království v případě brexitu bez dohody pokračovat stávající praxe, která umožňuje volný pohyb osobních údajů ze Spojeného království do EHP.
    
Pokyny ke kodexům chování
EDPB přijal pokyny ke kodexům chování. Cílem těchto pokynů je poskytnout praktické rady a pomoc s výkladem, pokud jde o použití článků 40 a 41 obecného nařízení o ochraně osobních údajů. Pokyny by měly pomoci vyjasnit postupy a pravidla pro předkládání, schvalování a zveřejňování kodexů chování na úrovni členských států a na úrovni evropské. Tyto pokyny by dále měly sloužit jako jasný rámec pro všechny příslušné dozorové úřady, sbor a Komisi k zajištění jednotného hodnocení kodexů chování a zjednodušení postupů spojených s procesem posouzení. Tyto pokyny budou předloženy k veřejné konzultaci.

 

Poznámka pro redaktory:

Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brusel 24. ledna – Ve dnech 22. a 23. ledna se evropské orgány pro ochranu osobních údajů setkaly v rámci Evropského sboru pro ochranu osobních údajů na svém šestém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Štít na ochranu soukromí
Členové Evropského sboru pro ochranu osobních údajů přijali zprávu sboru o druhém meziročním přezkumu štítu EU-USA na ochranu soukromí. Sbor vítá úsilí orgánů USA a Komise o zavedení štítu na ochranu údajů, zejména pokud jde o opatření přijatá ke změně původního postupu vydávání osvědčení, zahájení postupů dohledu z moci úřední a prosazování předpisů. Dále vítá úsilí o zveřejnění řady důležitých dokumentů, a to částečně odtajněním (např. rozhodnutí Soudu pro uplatňování zákona FISA), jmenování nového předsedy a tří nových členů Výboru pro dohled nad ochranou soukromí a občanských svobod a nedávno ohlášené jmenování stálého veřejného ochránce práv.

Ze závěrů druhého společného přezkumu vyplývá, že k zavádění štítu na ochranu soukromí stále přetrvávají některé výhrady. Tyto výhrady, které vyjádřil již předchůdce sboru, pracovní skupina zřízená podle článku 29, se týkají absence konkrétních záruk, že je vyloučeno neselektivní shromažďování osobních údajů a přístup k nim pro účely národní bezpečnosti. Na základě dosud poskytnutých informací dále sbor konstatuje, že veřejný ochránce práv nyní nemá odpovídající pravomoci k nápravě nesouladu. Sbor navíc upozorňuje, že kontroly dodržování zásad štítu na ochranu soukromí nejsou dostatečně přísné.

Sbor má také další výhrady, pokud jde o kontroly nezbytné ke splnění požadavků na další předávání údajů, významový rozsah pojmu údaje o lidských zdrojích, postup opětovného vydávání osvědčení a seznam otázek, jež byly vzneseny po prvním společném přezkumu a stále nejsou dořešeny.

Brexit
Evropský sbor pro ochranu osobních údajů jednal o možných důsledcích brexitu v oblasti ochrany údajů. Členové se dohodli na spolupráci a výměně informací o přípravě a nástrojích, které budou k dispozici pro předávání osobních údajů do Spojeného království po jeho odchodu z EU.

Otázky a odpovědi týkající se klinických hodnocení
Na žádost Evropské komise (Generální ředitelství pro zdraví a bezpečnost potravin) přijal Evropský sbor pro ochranu osobních údajů stanovisko k otázkám a odpovědím týkajícím se klinických hodnocení. Stanovisko se zabývá především aspekty vhodného právního základu pro klinická hodnocení a druhotným využíváním údajů z klinických hodnocení pro vědecké účely. Stanovisko bude nyní zasláno Evropské komisi.

Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, předloženým Lichtenštejnskem a Norskem. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Uvedená dvě stanoviska navazují na 22 stanovisek přijatých na zářijovém plenárním zasedání a na čtyři stanoviska přijatá na prosincovém plenárním zasedání a budou využita ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Pokyny k vydávání osvědčení
Evropský sbor pro ochranu osobních údajů schválil po veřejné konzultaci konečnou verzi pokynů k vydávání osvědčení. Sbor dále přijal novou přílohu. Návrh pokynů byl přijat již na prvním květnovém plenárním zasedání sboru. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 GDPR. Pokyny se zabývají vydáváním osvědčení jakožto nástrojem pro zajištění odpovědnosti a vysvětlují klíčové pojmy ustanovení o vydávání osvědčení v článcích 42 a 43, rozsah toho, co může být osvědčováno, a účel vydávání osvědčení. Pokyny pomohou členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům při přezkoumávání a schvalování kritérií pro vydávání osvědčení podle článků 42 a 43 GDPR. Příloha pokynů bude předložena k veřejné konzultaci.

Odpověď australskému dozorovému úřadu týkající se oznamování případů porušení zabezpečení údajů
V říjnu 2018 obdržel předseda Evropského sboru pro ochranu osobních údajů písemnou žádost Úřadu australské komisařky pro informace, která se týkala toho, jak dozorové úřady zveřejňují oznámení o případech porušení zabezpečení údajů. Sbor vítá zájem australské komisařky o spolupráci v této otázce a zdůrazňuje význam mezinárodní spolupráce. Ve své odpovědi podrobněji informuje, zda a jak se dozorové úřady zabývají zveřejňováním informací týkajících se oznámení o porušení zabezpečení údajů.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary