Evropský sbor pro ochranu osobních údajů

Zprávy EDPB

11 July 2019

Brussels, 11 July - On July 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their twelfth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on Video Surveillance
The Board adopted Guidelines on Video Surveillance, which clarify how the GDPR applies to the processing of personal data when using video devices and aim to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. For the latter, the guidelines focus on the rules regarding processing of special categories of data. In addition, the guidelines cover, among others, the lawfulness of processing, the applicability of the household exemption and the disclosure of footage to third parties. The guidelines will be subject to public consultation.

EDPB-EDPS joint reply to the LIBE Committee on the implications of the US CLOUD Act
The EDPB adopted a joint EDPB-EDPS reply to the European Parliament Committee on Civil Liberties, Justice and Home Affairs’ (LIBE) request for a legal assessment regarding the impact of the US CLOUD Act on the EU legal data protection framework and the mandate for negotiating an EU-US agreement on cross-border access to electronic evidence for judicial cooperation in criminal matters. The CLOUD Act allows US law enforcement authorities to require the disclosure of data by service providers in the US, regardless of where the data is stored.

The EDPB and EDPS emphasize that a comprehensive EU-US agreement regarding cross-border access to electronic evidence, containing strong procedural and substantial safeguards for fundamental rights, appears the most appropriate instrument to ensure the necessary level of protection for EU data subjects and legal certainty for businesses.

Art.64 GDPR Opinion on Standard Contractual Clauses for processors under Art.28.8 GDPR by DK SA
The EDPB adopted its opinion on the draft Standard Contractual Clauses (SCCs) for framing the processing by a processor submitted to the Board by the Danish Supervisory Authority (SA). The opinion, which is the first one on this topic, aims to ensure the consistent application of Art 28 GDPR, relating to processors. In it, the Board made several recommendations that need to be taken into account in order for the draft SCCs of the Danish SA to be considered as Standard Contractual Clauses. If all recommendations are implemented, the Danish SA will be able to use this draft agreement as Standard Contractual Clauses pursuant to article 28.8 GDPR.

Art. 64 GDPR Opinion on Accreditation Criteria for monitoring bodies of Codes of Conduct by AT SA
Following submission by the Austrian SA of its draft decision on the Accreditation Criteria for Codes of Conduct monitoring bodies, the Board adopted its opinion. The Board agreed that all codes covering non-public authorities and bodies are required to have accredited monitoring bodies in accordance with the GDPR.

Art. 64 GDPR Opinion on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment
The Board adopted an opinion on the competence of a supervisory authority when the circumstances relating to the main or single establishment change. This can occur when the main establishment is relocated within the EEA, a main establishment is moved to the EEA from a third country, or when there no longer is a main or single establishment in the EEA. In such circumstances, the Board is of the opinion that the competence of the lead supervisory authority (LSA) can switch to another SA. In this case, the cooperation procedure set forth under Art. 60 will continue to apply and the new LSA will be obligated to cooperate with the former LSA and with the other concerned SAs in an endeavour to reach consensus. The switch can take place as long as no final decision has been reached by the competent supervisory authority.

EDPB-EDPS Joint Opinion on the eHDSI
The Board adopted a joint EDPB-EDPS opinion on the personal data protection aspects of the processing of patients’ data in the eHealth Digital Service Infrastructure (eHDSI). It is the first joint opinion by the EDPB and the EDPS adopted in response to a request from the European Commission under Article 42(2) of Regulation 2018/1725 on data protection for EU institutions and bodies. In their opinion, the EDPB and EDPS consider that, in this specific situation, and for the concrete processing of patients’ data within the eHDSI, there is no reason to dissent from the European Commission’s assessment of its role as a processor within the eHDSI. Furthermore, the joint opinion stresses the need to ensure that all the processor duties of the Commission, in this processing operation, as specified in the applicable data protection legislation, are clearly set out in the relevant Implementing Act.  

DPIA List Cyprus
The EDPB adopted an opinion on the Data Protection Impact Assessment (DPIA) list submitted to the Board by Cyprus. DPIA lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals.

Art. 64 GDPR Opinion on Art 35.5 lists FR, ES & CZ (DPIA exemption)
The EDPB adopted its opinion on the Art. 35.5 lists submitted to the Board by the French, Spanish and Czech SAs.

Recommendation on EDPS list pursuant to Art. 39.4 Regulation 2018/1725 (DPIA list)
The Board has adopted a recommendation on the Art. 39.4 list submitted to the Board by the EDPS. The EDPS has to consult the EDPB prior to adoption of these lists insofar as these “refer to processing operations by a controller acting jointly with one or more controllers other than Union institutions and bodies” (Article 39(6) of Regulation (EU) 2018/1725). Similar to GDPR DPIA lists, the EDPS list informs controllers about processing activities which require a DPIA.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brusel 5. června – Dne 4. června se úřady pro ochranu údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém jedenáctém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.

Pokyny ke kodexům chování
EDPB přijal finální znění pokynů ke kodexům chování. Na základě veřejné konzultace byly do textu doplněny vysvětlivky. Cílem těchto pokynů je poskytnout praktické rady a pomoc s výkladem, pokud jde o použití článků 40 a 41 obecného nařízení o ochraně osobních údajů. Pokyny by měly pomoci vyjasnit postupy a pravidla pro předkládání, schvalování a zveřejňování kodexů chování na vnitrostátní i na evropské úrovni. Dále by měly sloužit jako jasný rámec pro všechny příslušné dozorové úřady, EDPB a Evropskou komisi k zajištění jednotného hodnocení kodexů chování a zjednodušení postupů spojených s procesem posouzení.

Příloha pokynů k akreditaci
EDPB přijal finální znění přílohy pokynů k akreditaci, které zohledňuje výsledky veřejné konzultace. Text byl upraven tak, aby byl srozumitelnější. Cílem pokynů je poskytnout návod, jak vykládat a provádět ustanovení článku 43 obecného nařízení o ochraně osobních údajů. Zejména mají pomoci členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům vytvořit konzistentní a harmonizovaný základ pro akreditaci subjektů vydávajících osvědčení v souladu s obecným nařízením o ochraně osobních údajů. Příloha obsahuje pokyny týkající se doplňkových požadavků na akreditaci subjektů vydávajících osvědčení, které mají stanovit dozorové úřady. Předtím, než dozorové úřady tyto doplňkové požadavky přijmou, musí být v souladu s čl. 64 odst. 1 písm. c) předloženy Evropskému sboru pro ochranu osobních údajů ke schválení.*

Příloha pokynů k vydávání osvědčení
EDPB přijal finální znění přílohy 2 pokynů k vydávání osvědčení. Na základě veřejné konzultace byly do některých oddílů doplněny určité aspekty, například zda kritéria zohledňují povinnost správce/zpracovatele jmenovat pověřence pro ochranu osobních údajů a povinnost uchovávat záznamy o činnostech spojených se zpracováním. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 obecného nařízení o ochraně osobních údajů. Příloha vymezuje témata, která dozorové úřady pro ochranu údajů a EDPB posoudí a použijí při schvalování kritérií pro vydávání osvědčení vztahujících se na mechanismy pro vydávání osvědčení. Seznam není vyčerpávající, ale obsahuje minimální témata, jež mají být posouzena.*

Poznámka pro redaktory:

* Předtím, než bude možné na úrovni EDPB projednávat konkrétní případy týkající se vydávání osvědčení a akreditace, připravuje EDPB jako další krok postup, jenž by usnadnil jednotné a včasné přijímání stanovisek k návrhům rozhodnutí dozorových úřadů a schvalování evropské pečeti ochrany údajů.

Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou uvedené kontroly dokončeny.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brusel 15. dubna – Ve dnech 14. a 15. května se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém desátém plenárním zasedání. Na tomto zasedání se diskutovalo o široké paletě témat.

Volba nového místopředsedy
Členové představenstva zvolili novým místopředsedou Aleida Wolfsena, předsedu nizozemského dozorového úřadu. Vystřídá v této funkci Willema Debeuckelaera, jemuž předsedkyně EDPB Andrea Jelineková poděkovala za vykonanou práci. Pan Wolfsen bude v nadcházejících letech spolu s dalším místopředsedou, Ventsislavem Karadjovem, podporovat předsedkyni EDPB v její práci pro sbor. Předsedkyně EDPB k tomu dodala: „Zájem veřejnosti o ochranu osobních údajů je na historicky nejvyšší úrovni. Těším se, že ve spolupráci s kolegy Wolfsenem a Karadjovem budeme oslovovat širší komunitu zúčastněných stran v oblasti ochrany dat.“

Místopředseda Wolfsen uvedl: „Povinností sboru bude v nadcházejících letech poskytovat směrodatné pokyny a spolehlivé poradenství. Ve funkci místopředsedy se postarám o to, abychom vždy zohlednili všechny názory a poté vyslovili jednomyslné stanovisko sboru.“

Odpověď na dotaz poslankyně EP Sophie in ’t Veldové ohledně propojených vozidel
Sbor schválil dopis, kterým reaguje na dotaz poslankyně EP Sophie in ’t Veldové ze 17. dubna 2019 týkající se sdílení osobních údajů řidiče s výrobcem automobilu a třetími stranami bez jeho výslovného, konkrétního a informovaného souhlasu a bez odpovídajícího právního základu. EDPB v odpovědi zdůrazňuje, že v roce 2017 přijali členové sboru a jejich mezinárodní kolegové usnesení Mezinárodní konference komisařů pro ochranu údajů a soukromí (ICDPPC) o ochraně údajů u automatizovaných a propojených vozidel a dále že pracovní skupina zřízená podle článku 29 přijala stanovisko č. 3/2017 ke zpracování osobních údajů v souvislosti se spolupracujícími inteligentními dopravními systémy (C-ITS). Tato otázka bude rovněž řešena v rámci pracovního programu EDPB na období 2019–2020.

Třetí roční přezkum štítu na ochranu soukromí
EDPB jmenoval zástupce pro třetí roční přezkum štítu na ochranu soukromí.  Při přezkumu budou sbor zastupovat Bulharsko, Francie, Maďarsko, Německo, Rakousko a evropský inspektor ochrany údajů.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Evropský sbor pro ochranu osobních údajů – deváté plenární zasedání: Pokyny pro zpracování osobních údajů v souvislosti se službami informační společnosti

Brusel 10. dubna – Ve dnech 9. a 10. dubna se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém devátém plenárním zasedání.
 
V jeho průběhu přijal EDPB pokyny týkající se rozsahu působnosti a uplatňování čl. 6 odst. 1 písm. b)* obecného nařízení o ochraně osobních údajů (GDPR) v souvislosti se službami informační společnosti. Sbor v těchto pokynech uvádí obecné připomínky týkající se zásad ochrany údajů a vzájemného působení čl. 6 odst. 1 písm. b) ve vztahu k jiným právním základům. Kromě toho tento dokument obsahuje i instrukce ohledně použitelnosti čl. 6 odst. 1 písm. b) v případě spojování samostatných služeb a ukončení smlouvy.

Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EDPB, jakmile budou tyto kontroly dokončeny.

* Čl. 6 odst. 1 písm. b)
„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
...
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;“.
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Evropský sbor pro ochranu osobních údajů – osmé plenární zasedání: vztah mezi směrnicí o soukromí a elektronických komunikacích a GDPR, prohlášení o nařízení o soukromí a elektronických komunikacích, seznamy posouzení vlivu na ochranu osobních údajů ve Španělsku a na Islandu, prohlášení o volbách

Brusel 13. března – Dne 12. a 13. března se úřady pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém osmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Vztah mezi směrnicí o soukromí a elektronických komunikacích a nařízením GDPR
Evropský sbor pro ochranu osobních údajů přijal stanovisko ke vztahu mezi směrnicí o soukromí a elektronických komunikacích a obecným nařízením o ochraně osobních údajů (GDPR). Stanovisko má odpovědět na otázku, zda skutečnost, že zpracování osobních údajů vyvolává věcnou působnost jak GDPR, tak směrnice o soukromí a elektronických komunikacích, omezuje příslušnost, úkoly a pravomoci úřadů pro ochranu údajů podle GDPR. Sbor je toho názoru, že úřady pro ochranu údajů jsou příslušné k prosazování GDPR. Pouhá skutečnost, že určitý díl zpracování osobních údajů spadá do působnosti směrnice o soukromí a elektronických komunikacích, příslušnost úřadů pro ochranu osobních údajů podle GDPR neomezuje.

Porušení GDPR může představovat i porušení vnitrostátních pravidel o ochraně soukromí a elektronických komunikacích. Dozorové úřady mohou tuto skutečnost při uplatňování GDPR zohlednit (např. při posuzování souladu se zásadami zákonnosti nebo korektnosti).  

Prohlášení o budoucím nařízení o soukromí a elektronických komunikacích
Evropský sbor pro ochranu osobních údajů přijal prohlášení, v němž vyzývá normotvůrce Unie, aby vystupňovali úsilí o přijetí nařízení o soukromí a elektronických komunikacích, které má zásadní význam pro dokončení rámce EU pro ochranu údajů a důvěrnost elektronických komunikací.

Budoucí nařízení o soukromí a elektronických komunikacích by v žádném případě nemělo snižovat míru ochrany, kterou nabízí stávající směrnice o soukromí a elektronických komunikacích, a mělo by doplňovat GDPR tím, že poskytne další silné záruky pro všechny druhy elektronických komunikací.
 
Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal dvě stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, jež předložily Španělsko a Island. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Tato dvě stanoviska, která následují po 28 stanoviscích přijatých na předchozích plenárních zasedáních, dále přispějí ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Prohlášení o používání osobních údajů v politických kampaních
S ohledem na nadcházející volby do Evropského parlamentu a další volby, které se v roce 2019 konají v EU i jinde na světě, vydal přijal sbor prohlášení o používání osobních údajů během volebních kampaní. Techniky zpracování dat pro politické účely mohou představovat závažná rizika nejen z hlediska práva na soukromí a ochrany údajů, ale i z hlediska integrity demokratického procesu. Ve svém prohlášení sbor upozorňuje na řadu klíčových bodů, které je třeba vzít v úvahu, když politické strany zpracovávají osobní údaje v rámci volebních činností.
 
Poznámka pro redaktory:
 
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brusel 13. února – Dne 12. února se orgány pro ochranu osobních údajů v EHP a evropský inspektor ochrany údajů sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém sedmém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Pracovní program Evropského sboru pro ochranu osobních údajů na období 2019–2020
EDPB přijal svůj dvouletý pracovní program na období 2019–2020 v souladu s článkem 29 jednacího řádu EDPB. Pracovní program EDPB vychází z potřeb, které členové označili za prioritní pro fyzické osoby, zúčastněné strany a rovněž plánované činnosti normotvůrce EU.

Návrh správního ujednání v oblasti dohledu nad finančními trhy
EDPB přijal svoje první stanovisko k správnímu ujednání (na základě čl. 46 odst. 3 písm. b) obecného nařízení o ochraně osobních údajů) o převádění osobních údajů mezi orgány finančního dohledu v EHP, včetně Evropského orgánu pro cenné papíry a trhy (ESMA), a jejich protějšky ze zemí mimo EU. Toto ujednání bude předloženo příslušným dozorovým úřadům k autorizaci na vnitrostátní úrovni. Příslušné dozorové úřady budou monitorovat toto správní ujednání a jeho uplatňování v praxi, aby se zajistila existence účinných a vymahatelných práv subjektu údajů a vhodných prostředků právní ochrany a dohledu v praxi.

Brexit
EDPB přijal informační sdělení určené komerčním subjektům a orgánům veřejné moci o předávání údajů podle obecného nařízení o ochraně osobních údajů v případě brexitu bez dohody.

Pohyb údajů z EHP do Spojeného království
V případě neexistence dohody mezi EU a Spojeným královstvím (brexitu bez dohody) bude Spojené království od 30. března 2019 00:00 hodin SEČ třetí zemí. V důsledku toho se bude muset předávání osobních údajů z EHP Spojenému království zakládat na jednom z těchto nástrojů: standardních nebo ad hoc doložkách o ochraně údajů, závazných podnikových pravidlech, kodexech chování a mechanismech pro vydávání osvědčení a specifických nástrojích pro předávání, které mají orgány veřejné moci k dispozici. V případě neexistence standardních doložek o ochraně údajů nebo jiných alternativních vhodných záruk lze při splnění určitých podmínek použít výjimky.

Pohyb údajů ze Spojeného království do EHP
Pokud jde o předávání údajů ze Spojeného království do EHP, bude podle vlády Spojeného království v případě brexitu bez dohody pokračovat stávající praxe, která umožňuje volný pohyb osobních údajů ze Spojeného království do EHP.
    
Pokyny ke kodexům chování
EDPB přijal pokyny ke kodexům chování. Cílem těchto pokynů je poskytnout praktické rady a pomoc s výkladem, pokud jde o použití článků 40 a 41 obecného nařízení o ochraně osobních údajů. Pokyny by měly pomoci vyjasnit postupy a pravidla pro předkládání, schvalování a zveřejňování kodexů chování na úrovni členských států a na úrovni evropské. Tyto pokyny by dále měly sloužit jako jasný rámec pro všechny příslušné dozorové úřady, sbor a Komisi k zajištění jednotného hodnocení kodexů chování a zjednodušení postupů spojených s procesem posouzení. Tyto pokyny budou předloženy k veřejné konzultaci.

 

Poznámka pro redaktory:

Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EPBD, jakmile budou tyto kontroly dokončeny.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brusel 24. ledna – Ve dnech 22. a 23. ledna se evropské orgány pro ochranu osobních údajů setkaly v rámci Evropského sboru pro ochranu osobních údajů na svém šestém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.
 
Štít na ochranu soukromí
Členové Evropského sboru pro ochranu osobních údajů přijali zprávu sboru o druhém meziročním přezkumu štítu EU-USA na ochranu soukromí. Sbor vítá úsilí orgánů USA a Komise o zavedení štítu na ochranu údajů, zejména pokud jde o opatření přijatá ke změně původního postupu vydávání osvědčení, zahájení postupů dohledu z moci úřední a prosazování předpisů. Dále vítá úsilí o zveřejnění řady důležitých dokumentů, a to částečně odtajněním (např. rozhodnutí Soudu pro uplatňování zákona FISA), jmenování nového předsedy a tří nových členů Výboru pro dohled nad ochranou soukromí a občanských svobod a nedávno ohlášené jmenování stálého veřejného ochránce práv.

Ze závěrů druhého společného přezkumu vyplývá, že k zavádění štítu na ochranu soukromí stále přetrvávají některé výhrady. Tyto výhrady, které vyjádřil již předchůdce sboru, pracovní skupina zřízená podle článku 29, se týkají absence konkrétních záruk, že je vyloučeno neselektivní shromažďování osobních údajů a přístup k nim pro účely národní bezpečnosti. Na základě dosud poskytnutých informací dále sbor konstatuje, že veřejný ochránce práv nyní nemá odpovídající pravomoci k nápravě nesouladu. Sbor navíc upozorňuje, že kontroly dodržování zásad štítu na ochranu soukromí nejsou dostatečně přísné.

Sbor má také další výhrady, pokud jde o kontroly nezbytné ke splnění požadavků na další předávání údajů, významový rozsah pojmu údaje o lidských zdrojích, postup opětovného vydávání osvědčení a seznam otázek, jež byly vzneseny po prvním společném přezkumu a stále nejsou dořešeny.

Brexit
Evropský sbor pro ochranu osobních údajů jednal o možných důsledcích brexitu v oblasti ochrany údajů. Členové se dohodli na spolupráci a výměně informací o přípravě a nástrojích, které budou k dispozici pro předávání osobních údajů do Spojeného království po jeho odchodu z EU.

Otázky a odpovědi týkající se klinických hodnocení
Na žádost Evropské komise (Generální ředitelství pro zdraví a bezpečnost potravin) přijal Evropský sbor pro ochranu osobních údajů stanovisko k otázkám a odpovědím týkajícím se klinických hodnocení. Stanovisko se zabývá především aspekty vhodného právního základu pro klinická hodnocení a druhotným využíváním údajů z klinických hodnocení pro vědecké účely. Stanovisko bude nyní zasláno Evropské komisi.

Seznamy posouzení vlivu na ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů přijal stanoviska k seznamům druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů, předloženým Lichtenštejnskem a Norskem. Tyto seznamy představují důležitý nástroj umožňující jednotné uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou údajů, která by mohla mít dopad na práva a svobody fyzických osob. Zatímco správce údajů musí před zahájením zpracování obecně posoudit, zda je posouzení vlivu na ochranu údajů nutné, vnitrostátní dozorové úřady určí druhy zpracování, u nichž se posouzení vlivu na ochranu osobních údajů požaduje, a vypracují jejich seznam. Uvedená dvě stanoviska navazují na 22 stanovisek přijatých na zářijovém plenárním zasedání a na čtyři stanoviska přijatá na prosincovém plenárním zasedání a budou využita ke stanovení společných kritérií pro seznamy posouzení vlivu na ochranu osobních údajů v celém EHP.

Pokyny k vydávání osvědčení
Evropský sbor pro ochranu osobních údajů schválil po veřejné konzultaci konečnou verzi pokynů k vydávání osvědčení. Sbor dále přijal novou přílohu. Návrh pokynů byl přijat již na prvním květnovém plenárním zasedání sboru. Prvotním účelem pokynů je určit zastřešující kritéria, která mohou být relevantní pro všechny druhy mechanismů pro vydávání osvědčení zavedených v souladu s články 42 a 43 GDPR. Pokyny se zabývají vydáváním osvědčení jakožto nástrojem pro zajištění odpovědnosti a vysvětlují klíčové pojmy ustanovení o vydávání osvědčení v článcích 42 a 43, rozsah toho, co může být osvědčováno, a účel vydávání osvědčení. Pokyny pomohou členským státům, dozorovým úřadům a vnitrostátním akreditačním orgánům při přezkoumávání a schvalování kritérií pro vydávání osvědčení podle článků 42 a 43 GDPR. Příloha pokynů bude předložena k veřejné konzultaci.

Odpověď australskému dozorovému úřadu týkající se oznamování případů porušení zabezpečení údajů
V říjnu 2018 obdržel předseda Evropského sboru pro ochranu osobních údajů písemnou žádost Úřadu australské komisařky pro informace, která se týkala toho, jak dozorové úřady zveřejňují oznámení o případech porušení zabezpečení údajů. Sbor vítá zájem australské komisařky o spolupráci v této otázce a zdůrazňuje význam mezinárodní spolupráce. Ve své odpovědi podrobněji informuje, zda a jak se dozorové úřady zabývají zveřejňováním informací týkajících se oznámení o porušení zabezpečení údajů.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary