Európai Adatvédelmi Testület

Az Európai Adatvédelmi Testület hírei

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

On October 8th and 9th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fourteenth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on the lawful basis for processing for online services based on contracts (Art. 6 (1) (b))
The EDPB adopted a final version of the guidelines on the scope and application of Article 6(1)(b) GDPR in the context of information society services. Following public consultation, points of clarification were included in the text. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Article 64 Opinion on Equinix BCRs
The EDPB adopted its opinion on the draft decision regarding Equinix Binding Corporate Rules (BCRs), submitted to the Board by the UK’s Information Commissioner’s Office (ICO). The EDPB is of the opinion that the Equinix BCRs contain all elements required under article 47 GDPR and WP256 rev01 and contain the appropriate safeguards.

Passenger Name Records (PNR)
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s letter regarding the renegotiated draft PNR agreement with Canada and its impact on other PNR agreements. In its response, the EDPB notes that the draft agreement has not yet been shared with the Board, but that the EDPB stands ready to issue an opinion. The letter further refers to a previous letter sent to the European Commission by the Article 29 Working Party (WP29), following the opinion of the European Court of Justice (CJEU) on the first draft PNR agreement with Canada.

Response to the Council Working Party on Sports Anti-Doping Code (WADA)
The EDPB adopted its response to the Council Working Party on Sports’ request regarding the ongoing review process of the World Anti-Doping Code. In its letter, the Board recalls two WP29 opinions on the previous versions of the WADA code. The letter points out that progress has been made in relation to the safeguards on privacy and data protection provided by the new version of the Code and its Standards, but that some important concerns remain.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Brüsszel, július 11. – július 9-én és 10-én tartotta tizenkettedik plenáris ülését az Európai Gazdasági Térség adatvédelmi hatóságaiból és az európai adatvédelmi biztosból álló Európai Adatvédelmi Testület. A plenáris ülésen számos témát vitattak meg.

Iránymutatás a videokamerás megfigyelésről
A Testület elfogadta a videokamerás megfigyelésről szóló iránymutatást, amely tisztázza, hogy az általános adatvédelmi rendelet hogyan alkalmazandó a videoeszközök használata során a személyes adatok kezelésére, és melynek célja, hogy e tekintetben biztosítsa az általános adatvédelmi rendelet következetes alkalmazását. Az iránymutatás kiterjed mind a hagyományos videók eszközökre, mind az intelligens videoeszközökre. Az utóbbi esetében az iránymutatások az adatok különleges kategóriáinak kezelésére vonatkozó szabályokra összpontosítanak. Ezen túlmenően az iránymutatások kiterjednek többek között az adatkezelés jogszerűségére, a háztartási kivétel alkalmazhatóságára és a felvételek harmadik fél számára hozzáférhetővé tételére. Az iránymutatást nyilvános konzultációra fogják bocsátani.

Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös válasza a LIBE Bizottságnak az USA CLOUD-törvényének hatásairól
Az Európai Adatvédelmi Testület elfogadta az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös válaszát az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága (LIBE) jogi értékelés iránti kérelmére az USA CLOUD törvény hatásairól az EU jogi adatvédelmi keretrendszerére és a büntetőügyekben folytatott igazságügyi együttműködés céljából az elektronikus bizonyítékokhoz való határokon átnyúló hozzáférésről szóló európai-amerikai megállapodás megkötésére vonatkozó megbízásra. A CLOUD-törvény lehetővé teszi az egyesült államokbeli bűnüldöző hatóságok számára, hogy az adatok tárolásának helyétől függetlenül megköveteljék az adatok szolgáltatását az egyesült államokbeli szolgáltatóktól.

Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos hangsúlyozza, hogy az EU és az Egyesült Államok közötti, az elektronikus bizonyítékokhoz való határokon átnyúló hozzáférésről szóló átfogó megállapodás, amely szigorú eljárási és tartalmi biztosítékokat tartalmaz az alapvető jogok tekintetében, tűnik a legmegfelelőbb eszköznek ahhoz, hogy biztosítsák az Európai uniós érintettek megfelelő szintű védelmét és a vállalkozások számára a jogbiztonságot.

A GDPR 64. cikke szerinti vélemény a dán felügyeleti hatóság által benyújtott adatfeldolgozókra vonatkozó GDPR 28.8. cikk szerinti általános szerződési feltételekről
Az Európai Adatvédelmi Testület elfogadta a dán felügyeleti hatóság által a Testülethez benyújtott, az adatfeldolgozók által végzett adatkezelésre vonatkozó általános szerződési feltételek (SCCs) tervezetére vonatkozó véleményét. Az első, ebben a témában készülő vélemény célja a GDPR 28. cikke következetes alkalmazásának biztosítása az adatfeldolgozók vonatkozásában. A véleményében a Testület számos ajánlást tett, amelyeket figyelembe kell venni annak érdekében, hogy a dán felügyeleti hatóság SCCs tervezete általános szerződési feltételeknek minősüljön. Valamennyi ajánlás foganatosítása esetén a dán felügyeleti hatóság ezt a megállapodástervezetet az általános adatvédelmi rendelet 28. cikk (8) bekezdése szerinti általános szerződési feltételekként használhatja.

A GDPR 64. cikke szerinti vélemény az osztrák hatóság által benyújtott, a magatartási kódexeknek való megfelelést ellenőrző szervezetekre vonatkozó akkreditációs kritériumokról
Azt követően, hogy az osztrák hatóság benyújtotta a magatartási kódexeknek való megfelelést ellenőrző szervezetekre vonatkozó akkreditációs kritériumokról szóló határozattervezetét, a Testület elfogadott véleményét. A testület egyetértett abban, hogy a nem állami hatóságokra és szervekre vonatkozó valamennyi kódexnek rendelkeznie kell az általános adatvédelmi rendelettel összhangban akkreditált ellenőrző szervezetekkel.

A GDPR 64. cikke szerinti vélemény a felügyelő hatóság illetékességéről a tevékenységi központtal vagy egyetlen tevékenységi hellyel kapcsolatos körülmények megváltozása esetén
A Testület véleményt fogadott el a felügyeleti hatóság illetékességéről a tevékenységi központtal vagy egyetlen tevékenységi hellyel kapcsolatos körülmények megváltozása esetén. Ez akkor fordulhat elő, ha a tevékenységi központotot az EGT-n belül áthelyezik, a tevékenységi központot egy harmadik országból az EGT területére helyezik át, vagy ha az EGT-ben már nem található tevékenységi központ illetve egyetlen tevékenységi hely. Ilyen körülmények között a Testületnek az a véleménye, hogy a fő felügyeleti hatóság illetékessége átszállhat egy másik felügyeleti hatóságra. Ebben az esetben a 60. cikkben meghatározott együttműködési eljárást kell alkalmazni, és az új fő felügyeleti hatóságnak együtt kell működniük a korábbi fő felügyeleti hatósággal és a többi érintett felügyeleti hatósággal a konszenzus elérése érdekében. A váltásra addig kerülhet sor, amíg az illetékes felügyeleti hatóság nem hoz végleges határozatot.

Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös véleménye az eHDSI tárgyában
A Testület elfogadta a betegadatok elektronikus egészségügyi szolgáltatási infrastruktúra (eHDSI) keretében történő kezelésének személyes adatvédelmi vonatkozásairól szóló, az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös véleményét. Ez az Európai Adatvédelmi Testület és az európai adatvédelmi biztos első közös véleménye, amelyet az Európai Bizottságnak az uniós intézmények és szervek általi adatkezelésre vonatkozó 2018/1725 rendelet 42. cikk (2) bekezdés szerinti kérésére válaszul fogadtak el. Véleményükben az Európai Adatvédelmi Testület és az európai adatvédelmi biztos kifejtik, hogy ebben a speciális esetben és a betegadatok eHDSI-n belüli konkrét kezelése tekintetében semmi sem indokolja, hogy az Európai Bizottság eHDSI-n belüli adatkezelői szerepéről alkotott értékelésétől eltérjenek. A közös vélemény hangsúlyozza továbbá, hogy biztosítani kell, hogy a Bizottság ezen adatkezelési művelet tekintetében a vonatkozó adatvédelmi jogszabályokban meghatározott valamennyi adatkezelői feladatát egyértelműen meghatározza a vonatkozó végrehajtási törvény.

Ciprus adatvédelmi hatásvizsgálati listája
Az Európai Adatvédelmi Testület véleményt fogadott el a Ciprus által a Testület elé terjesztett adatvédelmi hatásvizsgálati listáról. Az adatvédelmi hatásvizsgálati listák az általános adatvédelmi rendelet EGT-n belüli következetes alkalmazásának fontos eszközét képezik. Az adatvédelmi hatásvizsgálat célja, hogy elősegítse az egyének jogait és szabadságait érintő adatvédelmi kockázatok azonosítását és enyhítését.

A GDPR 64. cikk szerinti vélemény a francia, spanyol és cseh 35.5. cikk szerinti listáról (adatvédelmi hatásvizsgálat alóli mentesség)
Az Európai Adatvédelmi Testület véleményt fogadott el a francia, spanyol és cseh felügyeleti hatóságok által a Testülethez benyújtott 35.5. cikk szerinti listákról.

Ajánlás az európai adatvédelmi biztos listájáról az 2018/1725 rendelet 39.4. cikke alapján (hatásvizsgálati jegyzék)
A Testület ajánlást fogadott el az európai adatvédelmi biztos által a Testület elé terjesztett 39.4. cikk szerinti jegyzékről. Az európai adatvédelmi biztosnak e listák elfogadása előtt konzultálnia kell az Európai Adatvédelmi Testülettel, amennyiben ezek „ olyan adatkezelő adatkezelési műveleteire vonatkoznak, amely adatkezelő egy vagy több, az uniós intézményektől és szervektől eltérő adatkezelővel közösen jár el ” (az (EU) 2018/1725 rendelet 39. cikk (6) bekezdés).A GDPR adatvédelmi hatásvizsgálati listákhoz hasonlóan az európai adatvédelmi biztos listája tájékoztatja az adatkezelőket az adatvédelmi hatásvizsgálatot igénylő adatkezelési tevékenységekről.

Megjegyzés a szerkesztőknek:
Felhívjuk a figyelmet arra, hogy az EDPB plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok az ellenőrzések után az Európai Adatvédelmi Testület honlapján lesznek elérhetők.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brüsszel, június 5. – Június 4-én tartotta tizenegyedik plenáris ülését az Európai Gazdasági Térség adatvédelmi hatóságaiból és az európai adatvédelmi biztosból álló Európai Adatvédelmi Testület. A plenáris ülésen különböző témákat vitattak meg.

Iránymutatások a Magatartási Kódexekkel kapcsolatban
Az Európai Adatvédelmi Testület elfogadta a Magatartási Kódexekkel kapcsolatos iránymutatások végleges változatát. A szöveget nyilvános konzultációt követően pontosították. Az iránymutatások célja, hogy gyakorlati útmutatást és értelmezési segítséget nyújtsanak az általános adatvédelmi rendelet 40. és 41. cikkének alkalmazásához. Az iránymutatások hozzá kívánnak járulni a magatartási kódexek benyújtásával, jóváhagyásával és közzétételével kapcsolatos eljárások és szabályok tisztázásához tagállami és európai szinten egyaránt. Ezen iránymutatásoknak továbbá egyértelmű keretként kell szolgálniuk valamennyi illetékes felügyeleti hatóság, a Testület és a Bizottság számára, hogy azok következetes módon értékeljék a magatartási kódexeket, és leegyszerűsítsék az értékelési folyamat részét képező eljárásokat.

Az akkreditációra vonatkozó iránymutatások melléklete
Az Európai Adatvédelmi Testület nyilvános konzultációt követően elfogadta az akkreditációra vonatkozó iránymutatások mellékletének végleges változatát. A szöveg az egyértelműség növelése érdekében felülvizsgálatra került. Az iránymutatások célja, hogy útmutatásként szolgáljanak az általános adatvédelmi rendelet 43. cikkében foglalt rendelkezések értelmezéséhez és végrehajtásához. Mindenekelőtt arra irányulnak, hogy segítsék a tagállamokat, a felügyeleti hatóságokat és a nemzeti akkreditáló testületeket az általános adatvédelmi rendelettel összhangban tanúsítást kibocsátó tanúsító szervek akkreditálására vonatkozó, következetes és összehangolt alapkövetelmények kialakításában. A melléklet útmutatást nyújt a felügyeleti hatóságok által meghatározandó, a tanúsító szervek akkreditációjára vonatkozó kiegészítő követelményekkel kapcsolatban. A 64. cikk (1) bekezdésének c) pontja értelmében ezeket a kiegészítő követelményeket – mielőtt azokat a felügyeleti hatóságok elfogadnák – az Európai Adatvédelmi Testület elé kell terjeszteni jóváhagyásra.*

A tanúsításra vonatkozó iránymutatások melléklete
Az Európai Adatvédelmi Testület elfogadta a tanúsításra vonatkozó iránymutatások második mellékletének végleges változatát. Nyilvános konzultációt követően egyes szakaszokhoz hozzáadtak néhány szempontot, például azt, hogy a kritériumok kiterjednek-e az adatkezelő/adatfeldolgozó személy adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettségére, valamint arra, hogy nyilvántartást kell vezetni az adatkezelési tevékenységekről. Ezen iránymutatások elsődleges célja, hogy meghatározzák azokat az átfogó kritériumokat, amelyek irányadóak lehetnek az adatvédelmi rendelet 42. és 43. cikke szerint kiadott tanúsítási mechanizmusok valamennyi típusára. A melléklet meghatározza azokat a kérdésköröket, amelyeket az adatvédelmi felügyeleti hatóságok és az Európai Adatvédelmi Testület a tanúsítási mechanizmus tanúsítási kritériumainak jóváhagyása során figyelembe vesznek és alkalmaznak. A felsorolás nem teljes, csak a figyelembe veendő kérdések minimális körét mutatja be. *

Megjegyzés a szerkesztőknek:
* A következő lépésként – mielőtt a tanúsítással és akkreditációval kapcsolatos konkrét ügyek az Európai Adatvédelmi Testület szintjén is megvitathatók lesznek – az Európai Adatvédelmi Testület egy olyan eljárást dolgoz ki, amely elősegíti a felügyeleti hatóságok határozattervezeteinek következetes és időben történő véleményezését, valamint az európai adatvédelmi bélyegzők jóváhagyását.

Felhívjuk a figyelmet arra, hogy az Európai Adatvédelmi Testület plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok az ellenőrzések után az Európai Adatvédelmi Testület honlapján lesznek elérhetők.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brussels, 15 May - On May 14th and 15th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their tenth plenary session. During the plenary a wide range of topics were discussed.

Election of a new Deputy Chair

The Members of the Board elected Aleid Wolfsen, Chairman of the Dutch Supervisory Authority, as new Deputy Chair, replacing Willem Debeuckelaere, whom EDPB Chair Andrea Jelinek thanked for his work. Along with fellow Deputy Chair Ventsislav Karadjov, Mr. Wolfsen will support the EDPB Chair in her work for the Board over the coming years. Dr. Jelinek added: “Public interest in data protection is at an all-time high. I look forward to working with Aleid and Ventsislav to engage with the wider community of data protection stakeholders.”

Mr. Wolfsen added: “In the years to come, it is our responsibility as Board to deliver authoritative guidance and sound advice. I will make it my responsibility as Deputy Chair that we take on board all opinions, and ultimately speak with one voice.”

Response to MEP Sophie In’t Veld regarding connected vehicles

The EDPB adopted a letter in response to MEP Sophie In’t Veld’s letter of 17 April 2019 regarding the sharing of car drivers’ personal data with the car producer and third parties, without explicit consent, specific and informed consent of the driver, and without adequate legal basis. In its response the EDPB highlights that the Members of the Board and their international colleagues adopted an ICDPPC resolution on Data Protection in Automated and Connected Vehicles in 2017 and that the WP29 adopted its Opinion 3/2017 on the processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS). The issue will also be dealt with according to the EDPB 2019-2020 work program.

Third Annual Privacy Shield Review

The EDPB designated representatives for the third annual review of the Privacy Shield.  Austria, Bulgaria, France, Germany, Hungary and the EDPS will represent the Board during the review.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Brüsszel, április 10. – Április 9-én és 10-én tartotta kilencedik plenáris ülését az Európai Gazdasági Térség adatvédelmi hatóságaiból és az európai adatvédelmi biztosból álló Európai Adatvédelmi Testület.

A plenáris ülésen az Európai Adatvédelmi Testület iránymutatásokat fogadott el az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjának hatályáról, valamint az információs társadalommal összefüggő szolgáltatások tekintetében való alkalmazásáról. Iránymutatásaiban a Testület általános észrevételeket tesz az adatvédelmi elvekkel, valamint a 6. cikk (1) bekezdésének b) pontja és a más jogszerűség más alapjai közötti kölcsönhatással kapcsolatban. Az iránymutatások kitérnek továbbá arra is, hogy különálló szolgáltatások összekapcsolása és a szerződés megszüntetése esetén alkalmazható-e a 6. cikk (1) bekezdésének b) pontja.

Megjegyzés a szerkesztőknek:
Felhívjuk a figyelmet arra, hogy az Európai Adatvédelmi Testület plenáris ülésén elfogadott dokumentumoknak folyamatban van a szükséges jogi, nyelvi és formázási ellenőrzése, és az egyes dokumentumok az ellenőrzések után lesznek megtekinthetők az Európai Adatvédelmi Testület honlapján.

* 6. cikk, (1) bekezdés, b) pont
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
...
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; ”.

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brussels, 13 February - On February 12th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventh plenary session. During the plenary a wide range of topics were discussed.
 
EDPB 2019/2020 Work program
The Board adopted its two-year work program for 2019-2020, according to Article 29 of the EDPB Rules of Procedure. The EDPB work program is based on the needs identified by the members as priority for individuals, stakeholders, as well as the EU legislator- planned activities.

Draft administrative arrangement in the field of financial markets supervision

The EDPB adopted its first opinion on an administrative arrangement (AA), based on article 46.3.b of the GDPR, for transfers of personal data between EEA financial supervisory authorities, including the European Securities and Markets Authority (ESMA) and their non-EU counterparts. This arrangement will be submitted to the competent supervisory authorities (SAs) for authorisation at national level. The competent supervisory authorities will monitor the AA and its practical application to ensure that there are in practice effective and enforceable data subject rights and appropriate means of redress and supervision.

Brexit

The EDPB adopted an information note addressed to commercial entities and public authorities on data transfers under the GDPR in the event of a no-deal Brexit.

Data flows from the EEA to UK

In the absence of an agreement between the EU and the UK (no-deal Brexit), the UK will become a third country from 00.00 am CET on 30 March 2019. As a consequence, the transfer of personal data from the EEA to the UK will have to be based on one of the following instruments: Standard or ad hoc Data Protection Clauses, Binding Corporate Rules, Codes of Conduct and Certification Mechanisms and the specific transfer instruments available to public authorities. In the absence of Standard Data Protection Clauses or other alternative appropriate safeguards, derogations can be used under certain conditions.

Data flows from UK to the EEA

As regards data transfers from the UK to the EEA, according to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.

                                                               

Guidelines on codes of conduct
The EDPB adopted guidelines on codes of conduct. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process. The guidelines will be subject to public consultation.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brussels, 24 January - On January 22nd and 23rd, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their sixth plenary session. During the plenary a wide range of topics were discussed.
 
Privacy Shield
The Board Members adopted the EDPB’s report on the Second Annual Review of the EU-US Privacy Shield. The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield, especially actions undertaken to adapt the initial certification process, start ex officio oversight and enforcement actions, as well as the efforts  to publish a number of important documents, in part by declassification (such as decisions by the FISA Court), the appointment of a new Chair as well as of three new members of the Privacy and Civil Liberties Oversight Board (PCLOB) and the recently announced appointment of a permanent Ombudsperson.

In view of the findings of the second joint review, the following concerns about the implementation of the Privacy Shield still remain. This includes concerns already expressed by the EDPB’s predecessor WP29 on the lack of concrete assurances that indiscriminate collection and access of personal data for national security purposes are excluded. Also, based on the information provided so far, the EDPB cannot currently consider that the Ombudsperson is vested with sufficient powers to remedy non-compliance. In addition, the Board points out that checks regarding compliance with the substance of the Privacy Shield’s principles are not sufficiently strong.

Moreover, the EDPB has some additional concerns with regard to the necessary checks to comply with the onward transfer requirements, the scope of meaning of HR Data and the recertification process, as well as to a list of remaining issues raised after the first joint review which are still pending.

Brexit

The EDPB discussed possible consequences of Brexit in the area of data protection. Members agreed to cooperate and exchange information regarding their preparations and the tools available to transfer data to the UK, once the UK will no longer be part of the EU.

Clinical trials Q&A

Following a request from the European Commission (DG SANTE), the EDPB adopted its opinion on the clinical trials Q&A. The opinion addresses in particular the aspects related to the adequate legal bases in the context of clinical trials, and the secondary uses of clinical trial data for scientific purposes. The opinion will now be transmitted to the European Commission.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Liechtenstein and Norway. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 22 opinions adopted during the September plenary, and the four opinions adopted during the December plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Guidelines on certification
The EDPB adopted the final version of the guidelines on certification following public consultation. Additionally, the Board also adopted a new annex. A draft version of the guidelines had been adopted during the EDPB’s first plenary in May. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. As such, the guidelines explore the rationale for certification as an accountability tool, provide explanations for the key concepts of the certification provisions in art. 42 and art. 43, explain the scope of what can be certified and outline the purpose of certification. The guidelines will help Member States, supervisory authorities and national accreditation bodies (NAB) when reviewing and approving certification criteria in accordance with art. 42 and art. 43 GDPR. The annex will be subject to public consultation.

Response to Australian Supervisory Authority on data breach notification

In October 2018, the EDPB Chair received a written request from the Office of the Australian Information Commissioner regarding the publication of the data breach notifications by supervisory authorities. The EDPB welcomes the Australian Commissioner’s interest in cooperating with the European Data Protection Board on this issue and stresses the importance of international collaboration. In its response, the EDPB provides further information on whether and how supervisory authorities handle the publication of information regarding data breach notifications.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary