Europski odbor za zaštitu podataka

EDPB News

2021

03 February 2021

EDPB adopts Recommendations on Art. 36 LED – Adequacy referential, Opinion on the H3C/PCAOB Administrative Arrangement, Statement on new draft provisions on a protocol to Cybercrime Convention, Response to EC questionnaire on processing personal data for scientific research & discussion on Whatsapp privacy polic.

During its 45th plenary session, the EDPB adopted a wide range of documents. In addition, the Board discussed Whatsapp’s updated privacy policy. 

The EDPB adopted Recommendations on the adequacy referential under the Law Enforcement Directive (LED). The EDPB ensures the consistent application of EU data protection law in the EU, including of the Law Enforcement Directive (LED), which deals with the processing of personal data for law enforcement purposes. The aim of the Recommendations is to provide a list of elements to be examined when assessing the adequacy of a third country under the LED. The document recalls the concept and procedural aspects of adequacy according to the LED and the case law of the CJEU, and lays down the EU standards for data protection for police and judicial cooperation in criminal matters.

The EDPB adopted an opinion on the draft Administrative Arrangement (AA) for transfers of personal data between the Haut Conseil du Commissariat aux Comptes (H3C) and the Public Company Accounting Oversight Board (PCAOB). This AA will be submitted to the French SA for authorisation at national level. The French SA will monitor the application of the AA in practice and, if necessary, suspend any transfer performed by the H3C, if the AA ceases to provide data subjects with an essentially equivalent level of protection.

The EDPB adopted a Statement on the draft provisions on a protocol to the Cybercrime Convention. This statement complements the EDPB contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention) and follows the publication of the new draft provisions. 
In this statement, the EDPB recalls that the provisions currently being discussed are likely to affect the conditions for access to personal data in the EU for law enforcement purposes and calls for a careful scrutiny of the ongoing negotiation by the relevant EU and national institutions. In addition, the EDPB stresses the need to guarantee full consistency with the EU acquis in the field of personal data protection. 

The EDPB adopted its response to the European Commission questionnaire on processing personal data for scientific research, focusing on health related research. The answers provided by the EDPB form a preliminary position on this topic and aim to provide clarity as to the application of the GDPR in the domain of scientific health research. The EDPB is currently developing guidelines on processing personal data for scientific research purposes that will elaborate on these issues. 

Finally, the Members of the Board had an exchange of views on WhatsApp's recent Privacy Policy update. The EDPB will continue to facilitate this exchange of information between authorities, in order to ensure a consistent application of data protection law across the EU in accordance with its mandate.

The agenda of the forty-fifth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_1

28 January 2021

 

On the occasion of the 15th annual Data Protection Day, the Members of the EDPB bring you a joint message. Today is an opportunity to reflect on the efforts we make day after day to empower individuals, encourage business to be compliant and to enable trust.  From all of us at the EDPB, we wish you a very happy Data Protection Day.

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Bruxelles, 15. siječnja – Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka donijeli su zajednička mišljenja o dvama skupovima standardnih ugovornih klauzula. Riječ je o jednom mišljenju o standardnim ugovornim klauzulama za ugovore između voditelja obrade i izvršitelja obrade i jednom mišljenju o standardnim ugovornim klauzulama za prijenos osobnih podataka trećim zemljama.

Standardne ugovorne klauzule između voditelja i izvršitelja obrade primjenjivat će se u cijelom EU-u i njima će se nastojati osigurati potpuna usklađenost i pravna sigurnost diljem EU-a kada je riječ o ugovorima između voditelja i izvršitelja obrade.

Andrea Jelinek, predsjednica Europskog odbora za zaštitu podataka, izjavila je: „Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka pozdravljaju standardne ugovorne klauzule između voditelja obrade i izvršitelja obrade kao jedinstven i snažan instrument za osiguranje odgovornosti na razini EU-a kojim će se olakšati usklađenost s odredbama Opće uredbe o zaštiti podataka i Uredbe EU-a o zaštiti podataka. Među ostalim, Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka traže da se strankama pruži dostatna jasnoća u pogledu situacija u kojima se mogu osloniti na te standardne ugovorne klauzule te naglašavaju da situacije koje uključuju prijenose izvan EU-a ne bi trebalo isključiti.”

Zatraženo je nekoliko izmjena kako bi tekst bio jasniji i kako bi se osigurala njegova praktična korisnost u svakodnevnom radu voditelja i izvršitelja obrade. To uključuje međudjelovanje dvaju dokumenata, takozvanu „pristupnu klauzulu”, kojom se omogućuje da dodatni subjekti pristupe standardnim ugovornim klauzulama, i druge aspekte koji se odnose na obveze izvršitelja obrade. Osim toga, Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka predlažu da se u prilozima standardnim ugovornim klauzulama što je više moguće razjasne uloge i odgovornosti svake stranke u pogledu svake aktivnosti obrade jer bi bilo kakva dvosmislenost otežala voditeljima ili izvršiteljima obrade ispunjavanje njihovih obveza u skladu s načelom odgovornosti.

Wojciech Wiewiórowski, Europski nadzornik za zaštitu podataka, izjavio je: „Uvjereni smo da te standardne ugovorne klauzule mogu voditeljima i izvršiteljima obrade olakšati ispunjavanje njihovih obveza u skladu s Općom uredbom o zaštiti podataka i pravnim okvirom institucija i tijela EU-a. Osim toga, nadamo se da će se tim standardnim ugovornim klauzulama omogućiti daljnje usklađivanje i pravna sigurnost za pojedince i njihove osobne podatke. U tom kontekstu nastojimo te dokumente što je više moguće prilagoditi budućim potrebama.”

Nacrt standardnih ugovornih klauzula za prijenos osobnih podataka trećim zemljama u skladu s člankom 46. stavkom 2. točkom (c) Opće uredbe o zaštiti podataka zamijenit će postojeće standardne ugovorne klauzule za međunarodne prijenose koje su donesene na temelju Direktive 95/46 i koje je potrebno ažurirati kako bi ih se uskladilo sa zahtjevima Opće uredbe o zaštiti podataka, uzimajući u obzir presudu Suda EU-a u predmetu Schrems II te kako bi se bolje odrazila raširena upotreba novih i složenijih postupaka obrade koji često uključuju više uvoznika i izvoznika podataka. Konkretno, nove standardne ugovorne klauzule uključuju konkretnije zaštitne mjere u slučaju da zakoni zemlje odredišta utječu na usklađenost s odredbama, posebno u slučaju obvezujućih zahtjeva javnih tijela za otkrivanje osobnih podataka.

Wojciech Wiewiórowski, Europski nadzornik za zaštitu podataka, izjavio je: „Ovi se komentari temelje na našem praktičnom iskustvu. Cilj nam je poboljšati standardne ugovorne klauzule kako bi se u potpunosti osigurala u načelu jednakovrijedna razina zaštite osobnih podataka građana EU-a pri njihovu prijenosu u treće zemlje. Te prijedloge i izmjene smatramo ključnima za postizanje navedenih ciljeva u praksi.”

Općenito, Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka smatraju da nacrt standardnih ugovornih klauzula pruža višu razinu zaštite ispitanika. Konkretno, Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka pozdravljaju posebne odredbe namijenjene rješavanju nekih od glavnih pitanja utvrđenih u presudi u predmetu Schrems II. Međutim, oni smatraju da bi se moglo poboljšati ili pojasniti nekoliko odredbi, kao što su područje primjene standardnih ugovornih klauzula; određena prava u korist treće strane; određene obveze u pogledu daljnjih prijenosa; aspekti procjene zakona trećih zemalja u pogledu pristupa javnih tijela javnim podacima i obavješćivanje nadzornog tijela.

Predsjednica Europskog odbora za zaštitu podataka Andrea Jelinek dodala je: „Uvjeti pod kojima se mogu upotrebljavati standardne ugovorne klauzule moraju biti jasni organizacijama, dok bi ispitanicima trebalo osigurati učinkovita prava i pravne lijekove. Osim toga, standardne ugovorne klauzule trebale bi uključivati jasnu raspodjelu uloga i sustava odgovornosti među strankama. Kad je riječ o potrebi, u određenim slučajevima, za ad hoc dopunskim mjerama kako bi se osiguralo da ispitanici uživaju razinu zaštite koja je u načelu istovjetna onoj koja se jamči unutar EU-a, nove standardne ugovorne klauzule morat će se upotrebljavati zajedno s preporukama Europskog odbora za zaštitu podataka o dopunskim mjerama.”

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka pozivaju Komisiju da upućuje na konačnu verziju preporuka Europskog odbora za zaštitu podataka o dopunskim mjerama ako se konačna verzija preporuka donese prije Komisijine odluke o standardnim ugovornim klauzulama. Taj je dokument podnesen na javno savjetovanje do 21. prosinca 2020. te i dalje podliježe mogućim daljnjim izmjenama na temelju rezultata javnog savjetovanja.

 

Napomena urednicima:  
Napominjemo da svi dokumenti doneseni na plenarnoj sjednici Europskog odbora za zaštitu podataka moraju proći potrebnu pravnu i jezičnu provjeru i provjeru formatiranja te da će tek nakon izvršene provjere biti dostupni na njegovim internetskim stranicama.

 

EDPB_Press Release_statement_2021_01