Euroopa Andmekaitsenõukogu

Euroopa Andmekaitsenõukogu uudised

16 April 2021

The two EDPB opinions on the European Commission draft Implementing Decisions on the adequate protection of personal data in the United Kingdom have now been published on the EDPB website.

Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision.

Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB.

14 April 2021

Opinions on draft UK adequacy decisions, Guidelines on the application of Article 65(1)(a) GDPR, Guidelines on the targeting of social media users and Statement on international agreements including transfers

During its plenary session, the EDPB adopted two Opinions on the draft UK adequacy decisions. Opinion 14/2021 is based on the GDPR and assesses both general data protection aspects and government access to personal data transferred from the EEA for the purposes of law enforcement and national security included in the draft adequacy decision. This assessment is based on the GDPR Adequacy Referential WP254. Opinion 15/2021 is based on the Law Enforcement Directive (LED) and analyses the draft adequacy decision in the light of Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive, as well as the relevant case law reflected in Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. This is the first draft implementing decision on a third country’s adequacy under the LED ever presented by the European Commission and assessed by the EDPB. 

The EDPB notes that there are key areas of strong alignment between the EU and the UK data protection frameworks on certain core provisions such as: grounds for lawful and fair processing for legitimate purposes; purpose limitation; data quality and proportionality; data retention, security and confidentiality; transparency; special categories of data; and on automated decision making and profiling.

EDPB Chair, Andrea Jelinek said: "The UK data protection framework is largely based on the EU data protection framework. The UK Data Protection Act 2018 further specifies the application of the GDPR in UK law, in addition to transposing the LED, as well as granting powers and imposing duties on the national data protection supervisory authority, the ICO. Therefore, the EDPB recognises that the UK has mirrored, for the most part, the GDPR and LED in its data protection framework and when analysing its law and practice, the EDPB identified many aspects to be essentially equivalent. However, whilst laws can evolve, this alignment should be maintained. So we welcome the Commission's decision to limit the granted adequacy in time and the intention to closely monitor developments in the UK.”

The EDPB underlines that several items should be further assessed and/or closely monitored by the European Commission in its decision based on the GDPR, such as: 

  • Immigration Exemption and its consequences on restrictions on data subject rights;
  • The application of restrictions to onward transfers of EEA personal data transferred to the UK, on the basis of, for instance, future adequacy decisions adopted by the UK, international agreements concluded between the UK and third countries, or derogations.

Regarding access by public authorities for national security purposes to personal data transferred to the UK, the EDPB welcomes the establishment of the Investigatory Powers Tribunal (IPT) to address the challenges of redress in the area of national security, and the introduction of Judicial Commissioners in the Investigatory Powers Act (IPA) 2016 to ensure better oversight in that same field. The EDPB still identifies a number of points requiring further clarifications and/or monitoring: 

  • Bulk interceptions;
  • Independent assessment and oversight of the use of automated processing tools;
  • Safeguards provided under UK law when it comes to overseas disclosure, in particular in light of the application of national security exemptions.

The Board adopted Guidelines on the application of Article 65(1)(a) GDPR to delineate the main stages of the procedure and clarify the competence of the EDPB when adopting a legally binding decision on the basis of Article 65(1)(a) GDPR. The Guidelines also include a description of the applicable procedural safeguards and remedies. The guidelines will be subject to public consultation for a period of six weeks.

The EDPB adopted a final version of the Guidelines on the targeting of social media users following public consultation. The aim of the Guidelines is to clarify the roles and responsibilities of social media providers and targeted individuals. The final version integrates updated wording in order to address comments and feedback received during the public consultation.

The EDPB adopted a Statement on international agreements including transfers. The EDPB invites EU Member States to assess and, where necessary, review their international agreements that involve international transfers of personal data and which were concluded before 24 May 2016 (for those relevant to the GDPR) and 6 May 2016 (for those relevant to the LED) to align them, where necessary, with EU data protection law. 

The agenda of the forty-eighth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_03

12 April 2021

On April 13th, the EDPB will hold its 48th plenary session. The agenda for the 48th plenary is available here

 

 

06 April 2021

The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted a joint opinion on the Proposals for a Digital Green Certificate. The Digital Green Certificate aims to facilitate the exercise of the right to free movement within the EU during the COVID-19 pandemic by establishing a common framework for the issuance, verification and acceptance of interoperable COVID-19 vaccination, testing and recovery certificates. 

With this Joint Opinion, the EDPB and the EDPS invite the co-legislators to ensure that the Digital Green Certificate is fully in line with EU personal data protection legislation. The data protection commissioners from all EU and European Economic Area countries highlight the need to mitigate the risks to fundamental rights of EU citizens and residents that may result from issuing the Digital Green Certificate, including its possible unintended secondary uses. The EDPB and the EDPS underline that the use of the Digital Green Certificate may not, in any way, result in direct or indirect discrimination of individuals, and must be fully in line with the fundamental principles of necessity, proportionality and effectiveness. Given the nature of the measures put forward by the Proposal, the EDPB and the EDPS consider that the introduction of the Digital Green Certificate should be accompanied by a comprehensive legal framework.

Andrea Jelinek, Chair of the EDPB, said: "A Digital Green Certificate that is accepted in all Member States can be a major step forward in re-starting travel across the EU. Any measure adopted at national or EU level that involves processing of personal data must respect the general principles of effectiveness, necessity and proportionality. Therefore, the EDPB and the EDPS recommend that any further use of the Digital Green Certificate by the Member States must have an appropriate legal basis in the Member States and all the necessary safeguards must be in place."

Wojciech Wiewiórowski, EDPS, said: It must be made clear that the Proposal does not allow for - and must not lead to - the creation of any sort of central database of personal data at EU level. In addition, it must be ensured that personal data is not processed any longer than what is strictly necessary and that access to and use of this data is not permitted once the pandemic has ended. I have always stressed that measures taken in the fight against COVID-19 are temporary and it is our duty to ensure that they are not here to stay after the crisis.”

In the current emergency situation caused by the COVID-19 pandemic, the EDPB and the EDPS insist that the principles of effectiveness, necessity, proportionality and non-discrimination are upheld. The EDPB and the EDPS reiterate that, at the moment of writing, there seems to be little scientific evidence as to whether having received the COVID-19 vaccine (or having recovered from COVID-19) grants immunity, and, by extension, how long such immunity may last. But scientific evidence is growing daily.

Moreover, a number of factors are still unknown regarding the efficacy of the vaccination in reducing transmission. The Proposal should lay down clear and precise rules governing the scope and application of the Digital Green Certificate and impose appropriate safeguards. This will allow individuals, whose personal data is affected, to have sufficient guarantees that they will be protected, in an effective way, against the risk of potential discrimination.

The Proposal must expressly include that access to and subsequent use of individuals’ data by EU Member States once the pandemic has ended is not permitted. At the same time, the EDPB and the EDPS highlight that the application of the proposed Regulation must be strictly limited to the current COVID-19 crisis.

The Joint Opinion includes specific recommendations for further clarifications on the categories of data concerned by the Proposal, data storage, transparency obligations and identification of controllers and processors for the processing of personal data. 

Note to editors: Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_statement_2021_03

26 March 2021

On March 30th, the EDPB will hold its 47th plenary session. During the plenary, the EDPB will dicsuss the European Commission's proposal for Regulations on a Digital Green Certificate.

The agenda for the 47th plenary is available here

16 March 2021

Due to the high number of responses, the call for expression of interest is already closed.

On April 30, the EDPB is organising a remote stakeholder event on the topic "application of the GDPR to the processing of personal data for scientific research purposes”. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia with an expertise on the field are welcome to express interest in attending.

In order to express your interest to participate in the event, please fill in this form.

Places will be allocated on a first come, first served basis, depending on availability. Nonetheless, the EDPB reserves the right to give precedence to specific stakeholders, in light of their relevance in the field. Selected participants will receive the confirmation of their registration in the event via e-mail.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? 30 April 2021, from 10:00 - 16:00h CET

10 March 2021

Euroopa Andmekaitsenõukogu võttis vastu oma 2021.–2022. aasta tööprogrammi, avalduse e-privaatsuse määruse kohta, suunised häälele reageerivate virtuaalassistentide kohta ja suunised ühendatud sõidukite kohta ning arutas isikuandmete kaitse piisavust Ühendkuningriigis

Brüssel, 10. märts. Euroopa Andmekaitsenõukogu võttis 46. täiskogu istungil vastu mitu dokumenti ja arutas Euroopa Komisjoni esitatud otsuste eelnõusid isikuandmete kaitse piisavuse kohta Ühendkuningriigis.

Andmekaitsenõukogu võttis vastavalt kodukorra artiklile 29 vastu oma kaheaastase tööprogrammi aastateks 2021–2022. Tööprogramm lähtub Euroopa Andmekaitsenõukogu 2021.–2023. aasta strateegia prioriteetidest ja strateegilistest eesmärkidest.

Andmekaitsenõukogu võttis vastu avalduse e-privaatsuse määruse eelnõu kohta. Selles tervitab ta nõukogus saavutatud kokkulepet läbirääkimisvolituste andmise kohta kui sammu e-privaatsuse määruse valmimiseks. Andmekaitsenõukogu tuletab meelde, et kavandatava e-privaatsuse määruse eraelu puutumatust käsitlevate sätete täitmise järelevalve tuleks usaldada samadele ametiasutustele, mis kontrollivad ka isikuandmete kaitse üldmääruse täitmist. See tagaks, et e-privaatsuse määrust tõlgendatakse ja täidetakse kogu ELis ühetaoliselt ning et ühtsel digiturul valitsevad võrdsed tingimused.

Andmekaitsenõukogu eesistuja Andrea Jelinek sõnas: „E-privaatsuse määrus ei tohi nõrgendada isikuandmete kaitset võrreldes praegu kehtiva e-privaatsuse direktiiviga, vaid peaks täiendama isikuandmete kaitse üldmäärust, pakkudes lisatagatisi igat liiki elektroonse side konfidentsiaalsuse ja kaitse kohta.“

Andmekaitsenõukogu võttis vastu suunised häälele reageerivate virtuaalassistentide kohta. Suunistes on osutatud suurematele probleemidele, mis tekivad häälele reageerivate virtuaalassistentide vastavusseviimisel kehtivate isikuandmete kaitse nõuetega, ja esitatud sidusrühmadele soovitusi nende lahendamiseks. Suunised on kavas panna kuuenädalasele avalikule konsultatsioonile.

Andmekaitsenõukogu võttis vastu ühendatud sõidukeid käsitlevate suuniste lõpliku versiooni, võttes arvesse selleteemalise avaliku konsultatsiooni tulemusi. Suunistes on käsitletud andmesubjektide poolsel ühendatud sõidukite eraotstarbelisel kasutamisel tekkivate isikuandmete töötlemist. Lõplikus versioonis on avaliku konsultatsiooni käigus saadud märkuste ja tagasiside alusel täpsustatud suuniste sõnastust ja lisatud selgitusi.

Andmekaitsenõukogu arutas ka Euroopa Komisjoni otsuste eelnõusid isikuandmete kaitse piisavuse kohta Ühendkuningriigis. Kuna oluline on nii isikuandmete tõrgeteta edastamine EList kui ka nende andmete kaitse, kavatseb Euroopa Andmekaitsenõukogu need eelnõud põhjalikult läbi vaadata.

Andmekaitsenõukogu kiitis ka heaks Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamuse andmehaldust käsitleva õigusakti kohta. Selle kohta avaldatakse täna eraldi pressiteade.

Märkus toimetajatele
Juhime tähelepanu sellele, et Euroopa Andmekaitsenõukogu täiskogu istungil vastuvõetud dokumendid tehakse pärast õigus- ja keeletoimetamist ning vormistamist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2021_02

10 March 2021

Brüssel, 10. märts. Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor võtsid vastu ühisarvamuse andmehaldust käsitleva õigusakti ettepaneku kohta. Andmehaldust käsitleva õigusakti eesmärk on parandada andmete kättesaadavust, suurendades usaldust andmevahendajate vastu[1] ja täiustades ELi andmejagamismehhanisme. Andmehaldust käsitleva õigusakti eesmärk on edendada avaliku sektori andmete taaskasutamise kättesaadavust, nende ettevõtjatevahelist jagamist ja isikuandmete kasutamise võimaldamist „isikuandmete jagamise vahendajate“ kaudu. Andmehaldust käsitlev õigusakt seadustab ka andmete kasutamise altruistlikel eesmärkidel.

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor tunnistavad, et andmehaldust käsitleva õigusakti eesmärk – parandada isikuandmete jagamise tingimusi siseturul – on igati põhjendatud. Samal ajal oleneb digimajanduse usaldusväärsus suurel määral isikuandmete kaitsest. Oma ühisarvamuses esitavad Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor kaasseadusandjatele üleskutse tagada, et kavandatav andmehaldust käsitlev õigusakt oleks täielikult kooskõlas ELi isikuandmete kaitse õigusaktidega. See suurendaks usaldust digimajanduse vastu, kuna säiliksid nii senine isikuandmete kaitse vastavalt ELi õigusaktidele kui ka liikmesriikide järelevalveasutuste järelevalve.

Euroopa Andmekaitsenõukogu eesistuja Andrea Jelinek sõnas: „ELi isikuandmete kaitse õigusraamistik ei takista andmepõhise majanduse arengut, vaid toetab seda. Andmete jagamine saab olla usaldusväärne vaid juhul, kui järgitakse kehtivaid isikundmete kaitse õigusakte. Euroopa andmehaldamise mudel tuleb rajada isikuandmete kaitse üldmäärusele. Seetõttu me rõhutame, et isikuandmete kaitse üldmäärusega peavad olema kooskõlas ka järelevalveasutuste pädevus, eri osaliste rollid, isikuandmete töötlemise õiguslik alus, kaitsemeetmed ja andmesubjektide võimalused kaitsta oma õigusi.“

Euroopa andmekaitseinspektor Wojciech Wiewiórowski ütles: „Me mõistame, et isikuandmed on majanduse ja ühiskonna jaoks üha olulisemad, nagu on kirjeldatud Euroopa andmestrateegias. Kuid mida suuremad on andmed, seda suurem on ka vastutus. Seetõttu tuleb kehtestada vajalikud meetmed isikukandmete kaitseks. Seejuures ei tohiks Euroopa andmeruumi raamistik mõjutada isikuandmete kaitse õigustikku.

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor leiavad, et ELi seadusandja peaks andmehaldust käsitlevas õigusaktis selgelt ja ühemõtteliselt kinnitama, et õigusaktiga ei vähene üksikisikute andmete kaitse ega muutu andmekaitsealastes õigusaktides sätestatud õigused ja kohustused.

Avaliku sektori asutuste valduses olevate isikuandmete taaskasutuse küsimuses on Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor seisukohal, et andmehaldust käsitlev õigusakt peaks lähtuma isikuandmete kaitse üldmääruses sätestatud andmekaitsenormidest ja ka avaandmete direktiivist. Lisaks tuleks sätestada, et avaliku sektori asutuste valduses olevate isikuandmete taaskasutus on lubatud üksnes kooskõlas ELi ja liikmesriigi õigusaktidega. Neis õigusaktides tuleks esitada loetelu selgetest ja kokkusobivatest eesmärkidest, mille puhul isikuandmete edasine töötlemine on demokraatlikus ühiskonnas õiguspärane või vajalik ja proportsionaalne meede vastavalt isikuandmete kaitse üldmääruse artiklis 23 osutatud eesmärkidele.

Andmete jagamisteenuse osutajate osas on ühisarvamuses rõhutatud, et tagada tuleb üksikisikute eelnev teavitamine ja nendepoolse kontrolli võimalus, võttes arvesse isikuandmete lõimitud kaitse ja vaikimisi kaitse põhimõtteid, läbipaistvust ja eesmärgiga piiratud töötlemise nõuet. Lisaks tuleks sätestada viisid, kuidas teenuseosutajate tegevus aitaks üksikisikutel teostada oma õigusi andmesubjektina.

Mis puudutab altruismi andmete kasutamise võimaldamiseks, siis tuleks Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori arvates andmehaldust käsitlevas õigusaktis paremini määratleda üldisele huvile vastavad andmealtruismi eesmärgid. Nii altruistliku nõusoleku andmine kui ka tagasivõtmine peaks üksikisiku jaoks olema lihtne.

Pidades silmas, et isikuandmete töötlemine andmejagamisteenuste osutajate ja andmealtruismiga tegelevate organisatsioonide poolt võib andmesubjektidele põhjustada riske, leiavad Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor, et andmehaldust käsitlevas õigusaktis on selliste töötlejate registreerimise kord deklaratiivne ja teenuseosutajate valikumenetlus ei ole piisavalt range. Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor soovitavad uurida ka muid läbipaistvuse suurendamise vahendeid, näiteks võtta vastu toimimisjuhend või kehtestada lubade mehhanism.

Ühisarvamus sisaldab ka soovitusi, mis käsitlevad järelevalveasutuste määramist peamiseks pädevaks asutuseks, mille ülesanne on kontrollida andmehaldust käsitleva õigusakti täitmist, konsulteerides teiste asjaomaste valdkondlike ametiasutustega.

 

______________________________________
[1] Vt ettepaneku seletuskiri, lk 1.

Märkus toimetajatele. Juhime tähelepanu sellele, et Euroopa Andmekaitsenõukogu täiskogu istungil vastuvõetud dokumendid tehakse pärast õigus- ja keeletoimetamist ning vormistamist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_statement_2021_02

03 February 2021

Euroopa Andmekaitsenõukogu võtab vastu soovitused seoses õiguskaitsedirektiivi artikliga 36 – kaitse piisavusest, arvamus H3C/PCAOB halduskokkuleppe kohta, avaldus küberkuritegevuse konventsiooni protokolli uute sätete eelnõu kohta, vastus Euroopa Komisjoni küsimustikule isikuandmete töötlemise kohta teadusuuringute jaoks; arutelu Whatsappi eprivaatsuspoliitika üle

Brüssel, 3. veebruar - Euroopa Andmekaitsenõukogu võttis täiskogu 45. istungjärgul vastu palju erinevaid dokumente. Lisaks arutas andmekaitsenõukogu Whatsappi ajakohastatud isikuandmete kaitse põhimõtteid.

Euroopa Andmekaitsenõukogu võttis vastu soovitused õiguskaitsedirektiivi kohase kaitse piisavuse võrdlusaluse kohta. Euroopa Andmekaitsenõukogu tagab ELi andmekaitsealaste õigusaktide, sealhulgas õiguskaitsedirektiivi (mis käsitleb isikuandmete töötlemist õiguskaitse eesmärkidel) järjepideva kohaldamise ELis. Soovituste eesmärk on esitada loetelu elementidest, mida tuleb uurida, kui hinnatakse kolmanda riigi adekvaatsust õiguskaitsedirektiivi alusel. Dokumendis tuletatakse meelde andmekaitse taseme piisavuse kontseptsiooni ja menetluslikke aspekte vastavalt õiguskaitsedirektiivile ja Euroopa Liidu Kohtu praktikale ning sätestatakse ELi andmekaitsestandardid kriminaalasjades tehtava politsei- ja õigusalase koostöö jaoks.

Euroopa Andmekaitsenõukogu võttis vastu arvamuse halduskokkuleppe eelnõu kohta, mis käsitleb isikuandmete edastamist Haut Conseil du Commissariat aux Comptes (H3C) ja Public Company Accounting Oversight Board (PCAOB) vahel. See halduskokkulepe esitatakse Prantsusmaa järelevalveasutusele riiklikul tasandil loa saamiseks. Prantsusmaa järelevalveasutus jälgib halduskokkuleppe kohaldamist praktikas ja peatab vajaduse korral kõik H3C tehtud edastused, kui halduskokkuleppega ei tagata andmesubjektidele sisuliselt samaväärset kaitsetaset.

Euroopa Andmekaitsenõukogu võttis vastu avalduse küberkuritegevuse konventsiooni protokolli sätete eelnõu kohta. Käesolev avaldus täiendab Euroopa Andmekaitsenõukogu panust Euroopa Nõukogu küberkuritegevuse konventsiooni (Budapesti konventsioon) teise lisaprotokolli eelnõusse ja järgneb uute sätete eelnõude avaldamisele.

Selles avalduses tuletab Euroopa Andmekaitsenõukogu meelde, et praegu arutatavad sätted mõjutavad tõenäoliselt ELis õiguskaitse eesmärgil isikuandmetele juurdepääsu tingimusi ning nõuab, et asjaomased ELi ja riiklikud institutsioonid jälgiksid hoolikalt käimasolevaid läbirääkimisi. Lisaks rõhutab Euroopa Andmekaitsenõukogu vajadust tagada isikuandmete kaitse valdkonnas täielik kooskõla ELi acquis’ga.

Euroopa Andmekaitsenõukogu võttis vastu oma vastuse Euroopa Komisjoni küsimustikule isikuandmete töötlemise kohta teadusuuringute eesmärgil, keskendudes tervisealastele teadusuuringutele. Euroopa Andmekaitsenõukogu antud vastused moodustavad selles küsimuses esialgse seisukoha ja nende eesmärk on selgitada isikuandmete kaitse üldmääruse kohaldamist tervisealaste teadusuuringute valdkonnas. Euroopa Andmekaitsenõukogu töötab praegu välja suuniseid isikuandmete töötlemise kohta teadusuuringute eesmärgil, milles neid küsimusi käsitletakse.

Lõpuks vahetasid juhatuse liikmed arvamusi WhatsAppi privaatsuspoliitika hiljutise ajakohastamise üle. Euroopa Andmekaitsenõukogu jätkab sellise asutustevahelise teabevahetuse hõlbustamist, et tagada andmekaitseõiguse järjepidev kohaldamine kogu ELis

Märkus toimetajatele:
Palun pange tähele, et kõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid peavad läbima vajalikud õiguslikud, keelelised ja vorminduslikud kontrollid ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

EDPB_Press Release_2021_1

28 January 2021

 

On the occasion of the 15th annual Data Protection Day, the Members of the EDPB bring you a joint message. Today is an opportunity to reflect on the efforts we make day after day to empower individuals, encourage business to be compliant and to enable trust.  From all of us at the EDPB, we wish you a very happy Data Protection Day.

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Brüssel, 15. jaanuar - Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor on võtnud vastu ühisarvamused lepingu tüüptingimuste ja standardsete andmekaitseklauslite kohta. Üks arvamus vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta ning teine kolmandatesse riikidesse isikuandmete edastamise standardsete andmekaitseklauslite kohta.

Vastutava ja volitatud töötleja lepingu tüüptingimustel on kogu ELi hõlmav mõju ning nende eesmärk on tagada kogu ELis täielik ühtlustamine ja õiguskindlus seoses vastutavate töötlejate ja nende volitatud töötlejate vaheliste lepingutega.

Euroopa Andmekaitsenõukogu esimees Andrea Jelinek ütles: „Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor tervitavad vastutava  ja volitatud töötleja vahelise lepingu tüüptingimusi kui ühtset, tugevat ja kogu ELi hõlmavat aruandlusvahendit, mis hõlbustab nii isikuandmete kaitse üldmääruse kui ka ELi asutuste andmekaitseätete järgimist. Muu hulgas nõuavad Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor, et pooltele tuleb anda piisav selgus olukordade kohta, kus nad saavad tugineda nendele tüüptingimustele, ning rõhutavad, et olukordi, mis hõlmavad andmete edastamist väljapoole ELi, ei tohiks välistada.“

Taotleti mitmeid muudatusettepanekuid, et muuta tekst selgemaks ning tagada selle praktiline kasulikkus vastutavate töötlejate ja volitatud töötlejate igapäevases tegevuses. Nende hulka kuuluvad kahe dokumendi vastastikune mõju, nn dokumenteerimisklausel, mis võimaldab täiendavatel üksustel lepingu tüüptingimustega ühineda, ning muud töötlejate kohustustega seotud aspektid. Lisaks soovitavad Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor, et lepingu tüüptingimuste lisades selgitataks nii palju kui võimalik iga poole rolle ja kohustusi seoses iga töötlemistoiminguga – mis tahes ebaselgus muudaks vastutavatel töötlejatel või volitatud töötlejatel vastutuse põhimõttest tulenevate kohustuste täitmise raskemaks.

Euroopa andmekaitseinspektorWojciech Wiewiórowski ütles: „Oleme veendunud, et need tüüptingimused võivad aidata vastutavatel töötlejatel ja volitatud töötlejatel täita nii isikuandmete kaitse üldmäärusest kui ka ELi institutsioonide ja asutuste õigusraamistikust tulenevaid kohustusi. Lisaks loodame, et need tüüptingimused tagavad üksikisikute ja nende isikuandmete edasise ühtlustamise ja õiguskindluse.Sellega seoses püüame muuta need dokumendid võimalikult tulevikukindlaks.“

Isikuandmete kaitse üldmääruse artikli 46 lõike 2 punkti c kohase kolmandatele riikidele isikuandmete edastamise standardsete andmekaitseklauslite eelnõuga asendatakse olemasolevad rahvusvaheliseks edastamise standardsed andmekaitseklauslid, mis võeti vastu direktiivi 95/46 alusel ja mida tuli ajakohastada, et viia need kooskõlla isikuandmete kaitse üldmääruse nõuetega ja võtta arvesse Euroopa Liidu Kohtu otsust kohtuasjas Schrems II ning paremini kajastada uute ja keerukamate andmetöötlustoimingute laialdast kasutamist, millesse on sageli kaasatud mitu andmete importijat ja eksportijat. Eelkõige sisaldavad uued andmekaitseklauslid konkreetsemaid kaitsemeetmeid juhuks, kui sihtriigi õigusaktid mõjutavad klauslite järgimist, eelkõige juhul, kui riigiasutused esitavad siduva taotluse isikuandmete avaldamiseks.

Euroopa andmekaitseinspektorWojciech Wiewiórowski ütles: Võttes arvesse oma praktilisi kogemusi, oleme teinud need märkused standardsete andmekaitseklauslite parandamiseks, et tagada täielikult ELi kodanike isikuandmete kaitse samaväärne tase andmete edastamisel kolmandatesse riikidesse. Me usume, et need ettepanekud ja muudatusettepanekud on nende eesmärkide tegelikuks saavutamiseks üliolulised.“

Üldiselt on Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor arvamusel, et lepingu tüüptingimuste eelnõud tagavad andmesubjektidele parema kaitsetaseme. Eelkõige tervitavad Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor erisätteid, mille eesmärk on lahendada mõned Schrems II kohtuotsuses kindlaks määratud põhiküsimused. Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor on siiski seisukohal, et mitut sätet võiks parandada või selgemaks muuta, näiteks andmekaitseklauslite  kohaldamisala; teatavad soodustatud kolmandate isikute õigused; teatavad edasisaatmisega seotud kohustused; avaliku sektori asutuste juurdepääsu avalikele andmetele käsitlevate kolmandate riikide õigusaktide hindamise aspektid; ning järelevalveasutuse teavitamine.

Euroopa Andmekaitsenõukogu eesistuja Andrea Jelinek lisas: „Standardsete andmekaitseklauslite kasutamise tingimused peavad olema organisatsioonidele selged ning andmesubjektidele tuleks anda tõhusad õigused ja õiguskaitsevahendid. Lisaks peaksid andmekaitseklauslid sisaldama ülesannete ja vastutuskorra selget jaotust poolte vahel. Seoses vajadusega võtta teatavatel juhtudel ajutisi lisameetmeid, et tagada andmesubjektidele kaitsetase, mis on sisuliselt samaväärne ELis tagatud tasemega, tuleb kasutada uusi andmekaitseklausleid koos Euroopa Andmekaitsenõukogu soovitustega täiendavate meetmete kohta.“

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor kutsuvad komisjoni üles viitama täiendavaid meetmeid käsitlevate Euroopa Andmekaitsenõukogu soovituste lõplikule versioonile, kui soovituste lõplik versioon võetakse vastu enne komisjoni otsust standardsete andmekaitseklauslite kohta. Käesolev dokument oli esitatud avalikuks aruteluks kuni 21. detsembrini 2020 ning seda võidakse avaliku arutelu tulemuste põhjal veel täiendavalt muuta.

 

Märkus toimetajatele:
Pange tähele, et kõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid peavad läbima vajalikud õiguslikud, keelelised ja vorminduslikud kontrollid ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.

 

EDPB_Press Release_statement_2021_01