ευρωπαϊκό συμβούλιο προστασίας δεδομένων

Νέα του ΕΣΠΔ

16 April 2021

The two EDPB opinions on the European Commission draft Implementing Decisions on the adequate protection of personal data in the United Kingdom have now been published on the EDPB website.

Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision.

Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB.

14 April 2021

Opinions on draft UK adequacy decisions, Guidelines on the application of Article 65(1)(a) GDPR, Guidelines on the targeting of social media users and Statement on international agreements including transfers

During its plenary session, the EDPB adopted two Opinions on the draft UK adequacy decisions. Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision. This assessment is based on the GDPR Adequacy Referential WP254. Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB. 

The EDPB notes that there are key areas of strong alignment between the EU and the UK data protection frameworks on certain core provisions such as: grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; and on automated decision making and profiling.

EDPB Chair, Andrea Jelinek said: "The UK data protection framework is largely based on the EU data protection framework. The UK Data Protection Act 2018 further specifies the application of the GDPR in UK law, in addition to transposing the LED, as well as granting powers and imposing duties on the national data protection supervisory authority, the ICO. Therefore, the EDPB recognises that the UK has mirrored, for the most part, the GDPR and LED in its data protection framework and when analysing its law and practice, the EDPB identified many aspects to be essentially equivalent. However, whilst laws can evolve, this alignment should be maintained. So we welcome the Commission's decision to limit the granted adequacy in time and the intention to closely monitor developments in the UK.”

The EDPB underlines that several items should be further assessed and/or closely monitored by the European Commission in its decision based on the GDPR, such as: 

  • Immigration Exemption and its consequences on restrictions on data subject rights;
  • The application of restrictions to onward transfers of EEA personal data transferred to the UK, on the basis of, for instance, future adequacy decisions adopted by the UK, international agreements concluded between the UK and third countries, or derogations.

Regarding access by public authorities for national security purposes to personal data transferred to the UK, the EDPB welcomes the establishment of the Investigatory Powers Tribunal (IPT) to address the challenges of redress in the area of national security, and the introduction of Judicial Commissioners in the Investigatory Powers Act (IPA) 2016 to ensure better oversight in that same field. The EDPB still identifies a number of points requiring further clarifications and/or monitoring: 

  • Bulk interceptions;
  • Independent assessment and oversight of the use of automated processing tools;
  • Safeguards provided under UK law when it comes to overseas disclosure, in particular in light of the application of national security exemptions.

The Board adopted Guidelines on the application of Article 65(1)(a) GDPR to delineate the main stages of the procedure and clarify the competence of the EDPB when adopting a legally binding decision on the basis of Article 65(1)(a) GDPR. The Guidelines also include a description of the applicable procedural safeguards and remedies. The guidelines will be subject to public consultation for a period of six weeks.

The EDPB adopted a final version of the Guidelines on the targeting of social media users following public consultation. The aim of the Guidelines is to clarify the roles and responsibilities of social media providers and targeted individuals. The final version integrates updated wording in order to address comments and feedback received during the public consultation.

The EDPB adopted a Statement on international agreements including transfers. The EDPB invites EU Member States to assess and, where necessary, review their international agreements that involve international transfers of personal data and which were concluded before 24 May 2016 (for those relevant to the GDPR) and 6 May 2016 (for those relevant to the LED) to align them, where necessary, with EU data protection law. 

The agenda of the forty-eighth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_03

12 April 2021

On April 13th, the EDPB will hold its 48th plenary session. The agenda for the 48th plenary is available here

 

 

06 April 2021

The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted a joint opinion on the Proposals for a Digital Green Certificate. The Digital Green Certificate aims to facilitate the exercise of the right to free movement within the EU during the COVID-19 pandemic by establishing a common framework for the issuance, verification and acceptance of interoperable COVID-19 vaccination, testing and recovery certificates. 

With this Joint Opinion, the EDPB and the EDPS invite the co-legislators to ensure that the Digital Green Certificate is fully in line with EU personal data protection legislation. The data protection commissioners from all EU and European Economic Area countries highlight the need to mitigate the risks to fundamental rights of EU citizens and residents that may result from issuing the Digital Green Certificate, including its possible unintended secondary uses. The EDPB and the EDPS underline that the use of the Digital Green Certificate may not, in any way, result in direct or indirect discrimination of individuals, and must be fully in line with the fundamental principles of necessity, proportionality and effectiveness. Given the nature of the measures put forward by the Proposal, the EDPB and the EDPS consider that the introduction of the Digital Green Certificate should be accompanied by a comprehensive legal framework.

Andrea Jelinek, Chair of the EDPB, said: "A Digital Green Certificate that is accepted in all Member States can be a major step forward in re-starting travel across the EU. Any measure adopted at national or EU level that involves processing of personal data must respect the general principles of effectiveness, necessity and proportionality. Therefore, the EDPB and the EDPS recommend that any further use of the Digital Green Certificate by the Member States must have an appropriate legal basis in the Member States and all the necessary safeguards must be in place."

Wojciech Wiewiórowski, EDPS, said: It must be made clear that the Proposal does not allow for - and must not lead to - the creation of any sort of central database of personal data at EU level. In addition, it must be ensured that personal data is not processed any longer than what is strictly necessary and that access to and use of this data is not permitted once the pandemic has ended. I have always stressed that measures taken in the fight against COVID-19 are temporary and it is our duty to ensure that they are not here to stay after the crisis.”

In the current emergency situation caused by the COVID-19 pandemic, the EDPB and the EDPS insist that the principles of effectiveness, necessity, proportionality and non-discrimination are upheld. The EDPB and the EDPS reiterate that, at the moment of writing, there seems to be little scientific evidence as to whether having received the COVID-19 vaccine (or having recovered from COVID-19) grants immunity, and, by extension, how long such immunity may last. But scientific evidence is growing daily.

Moreover, a number of factors are still unknown regarding the efficacy of the vaccination in reducing transmission. The Proposal should lay down clear and precise rules governing the scope and application of the Digital Green Certificate and impose appropriate safeguards. This will allow individuals, whose personal data is affected, to have sufficient guarantees that they will be protected, in an effective way, against the risk of potential discrimination.

The Proposal must expressly include that access to and subsequent use of individuals’ data by EU Member States once the pandemic has ended is not permitted. At the same time, the EDPB and the EDPS highlight that the application of the proposed Regulation must be strictly limited to the current COVID-19 crisis.

The Joint Opinion includes specific recommendations for further clarifications on the categories of data concerned by the Proposal, data storage, transparency obligations and identification of controllers and processors for the processing of personal data. 

Note to editors: Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_statement_2021_03

26 March 2021

On March 30th, the EDPB will hold its 47th plenary session. During the plenary, the EDPB will dicsuss the European Commission's proposal for Regulations on a Digital Green Certificate.

The agenda for the 47th plenary is available here

16 March 2021

Due to the high number of responses, the call for expression of interest is already closed.

On April 30, the EDPB is organising a remote stakeholder event on the topic "application of the GDPR to the processing of personal data for scientific research purposes”. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia with an expertise on the field are welcome to express interest in attending.

In order to express your interest to participate in the event, please fill in this form.

Places will be allocated on a first come, first served basis, depending on availability. Nonetheless, the EDPB reserves the right to give precedence to specific stakeholders, in light of their relevance in the field. Selected participants will receive the confirmation of their registration in the event via e-mail.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? 30 April 2021, from 10:00 - 16:00h CET

10 March 2021

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εγκρίνει πρόγραμμα εργασίας για την περίοδο 2021-2022, εκδίδει, αφενός, δήλωση σχετικά με τον κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και, αφετέρου, κατευθυντήριες γραμμές για τους εικονικούς βοηθούς φωνής και κατευθυντήριες γραμμές για τα συνδεδεμένα οχήματα, και συζητά την επάρκεια του ΗΒ.

Βρυξέλλες, 10 Μαρτίου – Το ΕΣΠΔ, στην 46η σύνοδο ολομέλειάς του, ενέκρινε ευρύ φάσμα εγγράφων και συζήτησε τα σχέδια αποφάσεων περί επάρκειας του Ηνωμένου Βασιλείου τα οποία υπέβαλε η Ευρωπαϊκή Επιτροπή.

Το ΕΣΠΔ ενέκρινε το διετές πρόγραμμά του για την περίοδο 2021-2022 σύμφωνα με το άρθρο 29 του εσωτερικού κανονισμού του. Το πρόγραμμα εργασίας ακολουθεί τις προτεραιότητες που καθορίζονται στην στρατηγική του ΕΣΠΔ για την περίοδο 2021-2023 και θα υλοποιήσει τους στρατηγικούς στόχους του Συμβουλίου.

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με το σχέδιο κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Στη δήλωση αυτή, το ΕΣΠΔ εκφράζει την ικανοποίησή του για τη συμφωνία που επιτεύχθηκε σχετικά με τη διαπραγματευτική εντολή του Συμβουλίου, ως θετικό βήμα για την οριστικοποίηση του εν λόγω κανονισμού. Το ΕΣΠΔ υπενθυμίζει ότι οι εθνικές αρχές που είναι αρμόδιες για την επιβολή του ΓΚΠΔ θα πρέπει να είναι επιφορτισμένες με την εποπτεία των διατάξεων περί ιδιωτικότητας του μελλοντικού κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, έτσι ώστε να διασφαλίζεται η εναρμονισμένη ερμηνεία και επιβολή του εν λόγω κανονισμού σε όλη την ΕΕ και να είναι εγγυημένοι οι ίσοι όροι ανταγωνισμού στην ψηφιακή ενιαία αγορά.

Η πρόεδρος του ΕΣΠΔ κ. Andrea Jelinek δήλωσε τα εξής: «Ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες δεν θα πρέπει σε καμία περίπτωση να υποβαθμίσει το επίπεδο προστασίας που παρέχει η ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και θα πρέπει να συμπληρώνει τον ΓΚΠΔ, παρέχοντας πρόσθετες ισχυρές εγγυήσεις εμπιστευτικότητας και προστασίας για όλους τους τύπους ηλεκτρονικής επικοινωνίας».

Το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με τους εικονικούς βοηθούς φωνής (ΕΒΦ). Στόχος των κατευθυντήριων αυτών γραμμών είναι να εντοπίσουν τις σημαντικότερες προκλήσεις που αφορούν τη συμμόρφωση των ΕΒΦ και να διατυπώσουν συστάσεις προς τους ενδιαφερόμενους φορείς σχετικά με τον τρόπο που οι προκλήσεις αυτές μπορούν να αντιμετωπιστούν. Οι κατευθυντήριες γραμμές θα υποβληθούν σε δημόσια διαβούλευση για χρονική περίοδο 6 εβδομάδων.

Ύστερα από δημόσια διαβούλευση, το ΕΣΠΔ ενέκρινε την τελική έκδοση των κατευθυντήριων γραμμών για τα συνδεδεμένα οχήματα. Αυτές οι κατευθυντήριες γραμμές εστιάζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε σχέση με τη μη επαγγελματική χρήση συνδεδεμένων οχημάτων από τα υποκείμενα των δεδομένων. Η τελική έκδοση του κειμένου περιλαμβάνει ανανεωμένη διατύπωση και περαιτέρω διευκρινίσεις προκειμένου να ληφθούν υπόψη τα σχόλια και οι συνεισφορές που ελήφθησαν κατά τη διάρκεια της δημόσιας διαβούλευσης.

Το ΕΣΠΔ συζήτησε τα σχέδια αποφάσεων για την επάρκεια του Ηνωμένου Βασιλείου, τα οποία ελήφθησαν από την Ευρωπαϊκή Επιτροπή. Το ΕΣΠΔ θα επανεξετάσει ενδελεχώς τα εν λόγω σχέδια αποφάσεων, λαμβάνοντας υπόψη πόσο σημαντικό είναι να εξασφαλιστεί η συνέχεια και το υψηλό επίπεδο προστασίας για τις διαβιβάσεις δεδομένων από την ΕΕ.

Τέλος, το ΕΣΠΔ εξέδωσε κοινή γνωμοδότηση ΕΣΠΔ – ΕΕΠΔ σχετικά με τη νομοθετική πράξη για τη διακυβέρνηση των δεδομένων. Θα ακολουθήσει εντός της ημέρας η δημοσίευση ξεχωριστού δελτίου Τύπου για το θέμα αυτό.

Σημείωση για τους επιμελητές:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη συνεδρίαση ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα αναρτηθούν στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2021_02

10 March 2021

The EDPB and EDPS adopted a joint opinion on the proposal for a Data Governance Act (DGA). The DGA aims to foster the availability of data by increasing trust in data intermediaries [1] and by strengthening data-sharing mechanisms across the EU. In particular, the DGA intends to promote the availability of public sector data for reuse, sharing of data among businesses and allowing personal data to be used with the help of a ‘personal data-sharing intermediary’. The DGA also seeks to enable the use of data for altruistic purposes.

The EDPB and the EDPS acknowledge the legitimate objective of the DGA to improve the conditions for data sharing in the internal market. At the same time, the protection of personal data is an essential and integral element for trust in the digital economy. With this joint opinion, the EDPB and the EDPS invite the co-legislators to ensure that the future DGA is fully in line with the EU personal data protection legislation, thus fostering trust in the digital economy and upholding the level of protection provided by EU law under the supervision of the EU Member States’ supervisory authorities.  

Andrea Jelinek, Chair of the EDPB, said:The EU's data protection legal framework does not stand in the way of developing the data economy. Quite the contrary, it enables it: trust in any kind of data sharing can only be achieved by respecting existing data protection legislation. The GDPR is the foundation on which the European data governance model must be built. That is why we underline the need to ensure consistency with the GDPR with regard to the competence of the supervisory authorities, the roles of the different actors involved, the legal basis for the processing of personal data, the necessary safeguards and the exercise of the rights of the data subjects.

Wojciech Wiewiórowski, EDPS, said:We understand the growing importance of data for the economy and society as outlined in the European Data Strategy. However, with “big data comes big responsibility”, therefore appropriate data protection safeguards must be put in place. The overarching framework for European data spaces should ensure that the data protection acquis is not affected.

The EDPB and EDPS consider that the EU legislator should ensure that the wording of the DGA clearly and unambiguously state that this act will not affect the level of protection of individuals’ personal data, nor will any rights and obligations set out in the data protection legislation be altered.  

Concerning the reuse of personal data held by public sector bodies, the EDPB and EDPS recommend aligning the DGA with the existing rules on the protection of personal data laid down in the GDPR and with the Open Data Directive. Furthermore, it should be clarified that the reuse of personal data held by public sector bodies may only be allowed if it is grounded in EU or Member State law. Such laws should include a list of clear compatible purposes for which further processing may be lawfully authorised or constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23 of the GDPR. 

On data sharing service providers, the joint opinion highlights the need to ensure prior information and controls for individuals, taking into account the principles of data protection by design and by default, transparency and purpose limitation.  Furthermore, the modalities upon which such service providers would effectively assist individuals in exercising their rights as data subjects should be clarified. 

As for data altruism, the EDPB and the EDPS recommend that the DGA should better define the purposes of general interest of such “data altruism”. Data altruism should be organised in such a way that it allows individuals to easily give, but also, withdraw their consent. 

In light of the possible risks for data subjects when their personal data might be processed by data sharing service providers or data altruism organisations, the EDPB and EDPS consider that the declaratory registration regimes for these entities, as laid down in the DGA, do not provide for a sufficiently stringent vetting procedure applicable to such services. Therefore, the EDPB and EDPS recommend exploring alternative procedures that foresee a more systematic inclusion of accountability tools, in particular the adherence to a code of conduct or certification mechanism.

The joint opinion also includes recommendations on the designation of the supervisory authorities as main competent authorities for the control of the compliance with the DGA provisions, in consultation with other relevant sectorial authorities.

______________________________________
[1] See Explanatory Memorandum of the Proposal, page 1

Note to editors:  Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_statement_2021_02

03 February 2021

το ΕΣΠΔ εγκρίνει συστάσεις σχετικά με το άρθρο 36 της οδηγίας για την επιβολή του νόμου, όσον αφορά τα σημεία αναφοράς για την επάρκεια, και εκδίδει γνώμη για τη διοικητική διευθέτηση H3C/PCAOB, δήλωση σχετικά με τη σύμβαση για το έγκλημα στον κυβερνοχώρο και απάντηση στο ερωτηματολόγιο της Ευρωπαϊκής Επιτροπής σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονική έρευνα· το ΕΣΠΔ συζητά σχετικά με την πολιτική προστασίας της ιδιωτικής ζωής στο Whatsapp

Βρυξέλλες, 3 Φεβρουαρίου - Κατά την 45η συνεδρίαση ολομέλειάς του, το ΕΣΠΔ ενέκρινε σειρά εγγράφων. Επίσης, το ΕΣΠΔ συζήτησε σχετικά με την επικαιροποιημένη πολιτική του Whatsapp για την προστασία της ιδιωτικής ζωής. 

Το ΕΣΠΔ ενέκρινε συστάσεις σχετικά με τα σημεία αναφοράς για την επάρκεια, βάσει της οδηγίας για την επιβολή του νόμου (στο εξής: οδηγία LED). Το ΕΣΠΔ διασφαλίζει τη συνεπή εφαρμογή της νομοθεσίας της ΕΕ για την προστασία των δεδομένων στην ΕΕ, συμπεριλαμβανομένης της οδηγίας LED, που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου. Ο σκοπός των συστάσεων είναι η παροχή καταλόγου στοιχείων που θα πρέπει να εξετάζονται όταν αξιολογείται η επάρκεια τρίτης χώρας βάσει της οδηγίας LED. Το έγγραφο υπενθυμίζει την έννοια και τις διαδικαστικές πτυχές της επάρκειας σύμφωνα με την οδηγία LED και με τη νομολογία του ΔΕΕ και ορίζει τα πρότυπα της ΕΕ για την προστασία των δεδομένων στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις.

Το ΕΣΠΔ εξέδωσε γνώμη σχετικά με το σχέδιο διοικητικής διευθέτησης για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ του Haut Conseil du Commissariat aux Comptes (Ανώτατο Συμβούλιο της Ελεγκτικής Επιτροπής, στο εξής: H3C) και του Public Company Accounting Oversight Board (Εποπτικό Συμβούλιο Λογιστικών Εταιρειών, στο εξής: PCAOB). Η διοικητική αυτή διευθέτηση θα υποβληθεί στη γαλλική εποπτική αρχή για έγκριση σε εθνικό επίπεδο. Η γαλλική εποπτική αρχή θα παρακολουθεί την εφαρμογή της διοικητικής διευθέτησης στην πράξη και, όποτε κρίνεται αναγκαίο, θα αναστέλλει κάθε διαβίβαση που πραγματοποιείται από το H3C, εάν η διοικητική διευθέτηση παύει να παρέχει στα υποκείμενα των δεδομένων ισοδύναμο, ως προς την ουσία, επίπεδο προστασίας.

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με το σχέδιο διατάξεων πρωτοκόλλου της σύμβασης για το έγκλημα στον κυβερνοχώρο. Η δήλωση αυτή συμπληρώνει τη συμβολή του ΕΣΠΔ στο σχέδιο δεύτερου πρόσθετου πρωτοκόλλου της σύμβασης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο (Σύμβαση της Βουδαπέστης) και ακολουθεί τη δημοσίευση του νέου σχεδίου διατάξεων.

Στη δήλωση αυτή, το ΕΣΠΔ υπενθυμίζει ότι οι διατάξεις που συζητούνται σήμερα είναι πιθανόν να επηρεάσουν τους όρους πρόσβασης σε δεδομένα προσωπικού χαρακτήρα στην ΕΕ για σκοπούς επιβολής του νόμου και ζητεί προσεκτικό έλεγχο των εν εξελίξει διαπραγματεύσεων από τα οικεία ευρωπαϊκά και εθνικά θεσμικά όργανα. Επιπλέον, το ΕΣΠΔ τονίζει την ανάγκη να διασφαλιστεί απόλυτη συνέπεια με το κεκτημένο της ΕΕ στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα.

Το ΕΣΠΔ εξέδωσε την απάντησή του στο ερωτηματολόγιο της Ευρωπαϊκής Επιτροπής σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονική έρευνα με έμφαση στην έρευνα που σχετίζεται με την υγεία. Οι απαντήσεις που δόθηκαν από το ΕΣΠΔ αποτελούν προκαταρκτική θέση για το θέμα αυτό και αποσκοπούν να παράσχουν σαφήνεια όσον αφορά την εφαρμογή του ΓΚΠΔ στον τομέα της επιστημονικής έρευνας σχετικά με την υγεία. Σήμερα, το ΕΣΠΔ καταρτίζει κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων για σκοπούς επιστημονικής έρευνας, στις οποίες θα αναπτύξει εκτενέστερα αυτά τα θέματα.

Τέλος, τα μέλη του ΕΣΠΔ είχαν ανταλλαγή απόψεων σχετικά με την πρόσφατη επικαιροποίηση της πολιτικής του WhatsApp για την προστασία της ιδιωτικής ζωής. Το ΕΣΠΔ θα εξακολουθήσει να διευκολύνει αυτή την ανταλλαγή πληροφοριών μεταξύ των αρχών, με σκοπό να διασφαλίσει τη συνεπή εφαρμογή της νομοθεσίας για την προστασία των δεδομένων σε όλη την ΕΕ, σύμφωνα με την εντολή του.

 

Σημείωση για τους επιμελητές:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη συνεδρίαση ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα αναρτηθούν στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2021_1

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Βρυξέλλες, 15 Ιανουαρίου - Το ΕΣΠΔ και ο ΕΕΠΔ εξέδωσαν κοινές γνώμες σχετικά με δύο δέσμες συμβατικών ρητρών (ΤΣΡ). Μία γνώμη σχετικά με τις ΤΣΡ για τις συμβάσεις μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία και μία σχετικά με τις ΤΣΡ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες.

Οι ΤΣΡ για τους υπευθύνους επεξεργασίας - τους εκτελούντες την επεξεργασία θα έχουν πανευρωπαϊκή ισχύ και θα αποσκοπούν στην επίτευξη πλήρους εναρμόνισης και ασφάλειας δικαίου σε ολόκληρη  την ΕΕ όσον αφορά τις συμβάσεις μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία.

Η κ. Andrea Jelinek, πρόεδρος του ΕΣΠΔ, δήλωσε: «Το ΕΣΠΔ και ο ΕΕΠΔ χαιρετίζουν τις ΤΣΡ υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία ως ένα ενιαίο, ισχυρό και πανευρωπαϊκό εργαλείο λογοδοσίας που θα διευκολύνει τη συμμόρφωση με τις διατάξεις τόσο του ΓΚΠΔ όσο και του EUDPR. Μεταξύ άλλων, το ΕΣΠΔ και ο ΕΕΠΔ ζητούν να παρέχεται επαρκής σαφήνεια στα μέρη όσον αφορά τις καταστάσεις στις οποίες μπορούν να βασίζονται σ’ αυτές τις ΤΣΡ και τονίζουν ότι δεν θα πρέπει να αποκλείονται καταστάσεις που αφορούν διαβιβάσεις εκτός της ΕΕ.»

Ζητήθηκε να επέλθουν ορισμένες τροποποιήσεις προκειμένου να αποσαφηνιστεί το κείμενο και να διασφαλιστεί η πρακτική χρησιμότητά του στην καθημερινή λειτουργία των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία. Στις τροποποιήσεις αυτές περιλαμβάνεται η αλληλεπίδραση μεταξύ των δύο εγγράφων, η λεγόμενη «ρήτρα σύνδεσης» που επιτρέπει σε πρόσθετες οντότητες να προσχωρήσουν στις ΤΣΡ, καθώς και άλλες πτυχές που αφορούν τις υποχρεώσεις των εκτελούντων την επεξεργασία. Επιπλέον, το ΕΣΠΔ και ο ΕΕΠΔ προτείνουν τα παραρτήματα των ΤΣΡ να διευκρινίζουν όσο το δυνατόν περισσότερο τους ρόλους και τις αρμοδιότητες κάθε μέρους όσον αφορά κάθε δραστηριότητα επεξεργασίας — οποιαδήποτε ασάφεια θα καθιστούσε δυσχερέστερη για τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία την εκπλήρωση των υποχρεώσεών τους βάσει της αρχής της λογοδοσίας.

Ο κ. Βόιτσεχ Βιεβιουρόφσκι, ΕΕΠΔ, δήλωσε: «Είμαστε πεπεισμένοι ότι αυτές οι ΤΣΡ μπορούν να διευκολύνουν τη συμμόρφωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία με τις υποχρεώσεις τους, τόσο βάσει του ΓΚΠΔ όσο και βάσει του νομικού πλαισίου των θεσμικών οργάνων και οργανισμών της ΕΕ. Επιπλέον, ελπίζουμε ότι αυτές οι ΤΣΡ θα εξασφαλίσουν περαιτέρω εναρμόνιση και ασφάλεια δικαίου για τα φυσικά πρόσωπα και τα δεδομένα τους προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, επιδιώκουμε να καταστήσουμε τα έγγραφα αυτά όσο το δυνατόν πιο ανθεκτικά σε μελλοντικές εξελίξεις.»

Το σχέδιο ΤΣΡ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχείο γ) του ΓΚΠΔ θα αντικαταστήσει τις υφιστάμενες ΤΣΡ για τις διεθνείς διαβιβάσεις που εγκρίθηκαν βάσει της οδηγίας 95/46 και χρειάστηκε να επικαιροποιηθούν ώστε να ευθυγραμμιστούν με τις απαιτήσεις του ΓΚΠΔ, λαμβανομένης επίσης υπόψη της απόφασης του ΔΕΕ στην υπόθεση «Schrems II», και ώστε να αντικατοπτρίζουν καλύτερα τη διαδεδομένη χρήση των νέων και πιο σύνθετων πράξεων επεξεργασίας που συχνά περιλαμβάνουν πολλαπλούς εισαγωγείς και εξαγωγείς δεδομένων. Ειδικότερα, οι νέες ΤΣΡ περιλαμβάνουν ειδικότερες διασφαλίσεις στην περίπτωση που η νομοθεσία της χώρας προορισμού επηρεάζει τη συμμόρφωση με τις ρήτρες, ιδίως στην περίπτωση δεσμευτικών αιτημάτων από δημόσιες αρχές για δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα.

Ο κ. Βόιτσεχ Βιεβιουρόφσκι, ΕΕΠΔ, δήλωσε: «Με βάση την πρακτική εμπειρία μας, διατυπώσαμε αυτές τις παρατηρήσεις μας για τη βελτίωση των εν λόγω ΤΣΡ με σκοπό να διασφαλιστεί πλήρως ότι τα δεδομένα προσωπικού χαρακτήρα των πολιτών της ΕΕ τυγχάνουν ουσιαστικά ισοδύναμου επιπέδου προστασίας όταν πραγματοποιούνται διαβιβάσεις σε τρίτες χώρες. Πιστεύουμε ότι αυτές οι προτάσεις και τροποποιήσεις είναι ζωτικής σημασίας για την επίτευξη αυτών των στόχων στην πράξη.»

Γενικά, το ΕΣΠΔ και ο ΕΕΠΔ είναι της γνώμης ότι το σχέδιο ΤΣΡ παρουσιάζει ενισχυμένο επίπεδο προστασίας για τα υποκείμενα των δεδομένων. Ειδικότερα, το ΕΣΠΔ και ο ΕΕΠΔ χαιρετίζουν τις ειδικές διατάξεις που αποσκοπούν στην αντιμετώπιση ορισμένων από τα κύρια ζητήματα που επισημάνθηκαν στην απόφαση Schrems ΙΙ. Εντούτοις, το ΕΣΠΔ και ο ΕΕΠΔ είναι της άποψης ότι αρκετές διατάξεις θα μπορούσαν να βελτιωθούν ή να αποσαφηνιστούν, όπως το πεδίο εφαρμογής των ΤΣΡ· ορισμένα δικαιώματα δικαιούχων τρίτων μερών· ορισμένες υποχρεώσεις όσον αφορά τις περαιτέρω διαβιβάσεις· πτυχές της αξιολόγησης της νομοθεσίας τρίτων χωρών όσον αφορά την πρόσβαση των δημόσιων αρχών σε δημόσια δεδομένα· και την κοινοποίηση στην ΕΑ.

Η πρόεδρος του ΕΣΠΔ, κ. Andrea Jelinek, πρόσθεσε: «Οι προϋποθέσεις υπό τις οποίες μπορούν να χρησιμοποιούνται οι ΤΣΠ πρέπει να είναι σαφείς για τους οργανισμούς και τα υποκείμενα των δεδομένων θα πρέπει να διαθέτουν αποτελεσματικά δικαιώματα και μέσα έννομης προστασίας. Επιπλέον, οι ΤΣΠ θα πρέπει να περιλαμβάνουν σαφή κατανομή των ρόλων και του καθεστώτος ευθύνης μεταξύ των μερών. Όσον αφορά την ανάγκη, σε ορισμένες περιπτώσεις, για ad hoc συμπληρωματικά μέτρα προκειμένου να διασφαλιστεί ότι παρέχεται στα υποκείμενα των δεδομένων επίπεδο προστασίας ουσιαστικά ισοδύναμο με εκείνο που διασφαλίζεται εντός της ΕΕ, οι νέες ΤΣΡ θα πρέπει να χρησιμοποιούνται παράλληλα με τις συστάσεις του ΕΣΠΔ για συμπληρωματικά μέτρα.

Το ΕΣΠΔ και ο ΕΕΠΔ καλούν την Επιτροπή να ανατρέξει στην τελική έκδοση των συστάσεων του ΕΣΠΔ σχετικά με τα συμπληρωματικά μέτρα, στην περίπτωση που η τελική έκδοση των συστάσεων εγκριθεί πριν από την απόφαση της Επιτροπής για τις ΤΣΡ. Το παρόν έγγραφο υποβλήθηκε για δημόσια διαβούλευση έως τις 21 Δεκεμβρίου 2020 και εξακολουθεί να υπόκειται σε πιθανές περαιτέρω τροποποιήσεις με βάση τα αποτελέσματα της δημόσιας διαβούλευσης.

 

Σημείωση για τους επιμελητές:  
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα αναρτηθούν στον ιστότοπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

 

EDPB_Press Release_statement_2021_01