Europos duomenų apsaugos valdyba

EDAV naujienos

2021

03 February 2021

EDPB adopts Recommendations on Art. 36 LED – Adequacy referential, Opinion on the H3C/PCAOB Administrative Arrangement, Statement on new draft provisions on a protocol to Cybercrime Convention, Response to EC questionnaire on processing personal data for scientific research & discussion on Whatsapp privacy polic.

During its 45th plenary session, the EDPB adopted a wide range of documents. In addition, the Board discussed Whatsapp’s updated privacy policy. 

The EDPB adopted Recommendations on the adequacy referential under the Law Enforcement Directive (LED). The EDPB ensures the consistent application of EU data protection law in the EU, including of the Law Enforcement Directive (LED), which deals with the processing of personal data for law enforcement purposes. The aim of the Recommendations is to provide a list of elements to be examined when assessing the adequacy of a third country under the LED. The document recalls the concept and procedural aspects of adequacy according to the LED and the case law of the CJEU, and lays down the EU standards for data protection for police and judicial cooperation in criminal matters.

The EDPB adopted an opinion on the draft Administrative Arrangement (AA) for transfers of personal data between the Haut Conseil du Commissariat aux Comptes (H3C) and the Public Company Accounting Oversight Board (PCAOB). This AA will be submitted to the French SA for authorisation at national level. The French SA will monitor the application of the AA in practice and, if necessary, suspend any transfer performed by the H3C, if the AA ceases to provide data subjects with an essentially equivalent level of protection.

The EDPB adopted a Statement on the draft provisions on a protocol to the Cybercrime Convention. This statement complements the EDPB contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention) and follows the publication of the new draft provisions. 
In this statement, the EDPB recalls that the provisions currently being discussed are likely to affect the conditions for access to personal data in the EU for law enforcement purposes and calls for a careful scrutiny of the ongoing negotiation by the relevant EU and national institutions. In addition, the EDPB stresses the need to guarantee full consistency with the EU acquis in the field of personal data protection. 

The EDPB adopted its response to the European Commission questionnaire on processing personal data for scientific research, focusing on health related research. The answers provided by the EDPB form a preliminary position on this topic and aim to provide clarity as to the application of the GDPR in the domain of scientific health research. The EDPB is currently developing guidelines on processing personal data for scientific research purposes that will elaborate on these issues. 

Finally, the Members of the Board had an exchange of views on WhatsApp's recent Privacy Policy update. The EDPB will continue to facilitate this exchange of information between authorities, in order to ensure a consistent application of data protection law across the EU in accordance with its mandate.

The agenda of the forty-fifth plenary is available here.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2021_1

28 January 2021

 

On the occasion of the 15th annual Data Protection Day, the Members of the EDPB bring you a joint message. Today is an opportunity to reflect on the efforts we make day after day to empower individuals, encourage business to be compliant and to enable trust.  From all of us at the EDPB, we wish you a very happy Data Protection Day.

18 January 2021

The EDPB adopted guidelines on examples regarding data breach notification. These guidelines complement the WP 29 guidance on data breach notification by introducing more practice orientated guidance and recommendations. They aim to help data controllers in deciding how to handle data breaches and what factors to consider during risk assessment. The guidelines contain an inventory of data breach notification cases deemed most common by the national supervisory authorities (SAs), such as ransomware attacks; data exfiltration attacks; and lost or stolen devices and paper documents. Per case category, the guidelines present the most typical good or bad practices, advice on how risks should be identified and assessed, highlight the factors that should be given particular consideration, as well as inform in which cases the controller should notify the SA and/or notify the data subjects. The guidelines will be submitted for public consultation for a period of six weeks.

 

The guidelines and more information about the public consultation are available here

EDPB_Press Release_statement_2021_02

 

15 January 2021

Briuselis, sausio 15 d. Europos duomenų apsaugos valdyba (toliau – EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (toliau – EDAPP) priėmė bendras nuomones dėl dviejų sutarčių sąlygų rinkinių (toliau – standartinės sutarčių sąlygos (SSS)). Pirma nuomonė priimta dėl standartinių duomenų valdytojų ir duomenų tvarkytojų sutarčių sąlygų, o antra – dėl standartinių asmens duomenų perdavimo trečiosioms šalims sutarčių sąlygų.

Duomenų valdytojų ir duomenų tvarkytojų SSS bus taikomos visoje ES – jomis siekiama visoje ES užtikrinti visišką duomenų valdytojų ir duomenų tvarkytojų sutarčių suderinamumą ir teisinį tikrumą.

Europos duomenų apsaugos valdybos pirmininkė Andrea Jelinek sakė: „Europos duomenų apsaugos valdyba ir Europos duomenų apsaugos priežiūros pareigūnas džiaugiasi, kad parengtos standartinės duomenų valdytojų ir duomenų tvarkytojų sutarčių sąlygos – bendra tvirta ES masto atskaitomybės priemonė, kuri padės laikytis Bendrojo duomenų apsaugos reglamento ir ES duomenų apsaugos reglamento nuostatų. Be kita ko, Europos duomenų apsaugos valdyba ir Europos duomenų apsaugos priežiūros pareigūnas prašo, kad šalims būtų tinkamai išaiškinta, kada jos gali remtis šiomis standartinėmis sutarčių sąlygomis, ir pabrėžia, kad nereikėtų atmesti galimybės, kad duomenys bus perduodami už ES ribų.“

Buvo paprašyta padaryti tam tikrų pakeitimų, kad tekstas būtų aiškesnis ir kad būtų užtikrinta praktinė jo nauda kasdienėms duomenų valdytojų ir duomenų tvarkytojų atliekamoms operacijoms. Be kita ko, padaryta pakeitimų užtikrinant dviejų dokumentų sąveiką – numatyta vadinamoji prisijungimo sąlyga, pagal kurią papildomi subjektai gali prisijungti prie SSS sistemos, ir užtikrinant kitus aspektus, susijusius su duomenų tvarkytojų pareigomis. Be to, EDAV ir EDAPP siūlo, kad SSS rinkinių prieduose būtų kuo išsamiau paaiškinti kiekvienos iš šalių vaidmenys ir atsakomybė kiekvienos duomenų tvarkymo veiklos atžvilgiu, nes dėl bet kokio dviprasmiškumo duomenų valdytojams arba duomenų tvarkytojams būtų sunkiau vykdyti savo pareigas laikantis atskaitomybės principo.

Europos duomenų apsaugos priežiūros pareigūnas Wojciechas Wiewiórowskis sakė: „Esame įsitikinę, kad šios standartinės sutarčių sąlygos gali padėti duomenų valdytojams ir duomenų tvarkytojams vykdyti savo pareigas tiek pagal BDAR, tiek pagal ES institucijų ir įstaigų teisinę sistemą. Be to, tikimės, kad jos užtikrins tolesnį derinimą ir didesnį teisinį tikrumą asmenims ir jų asmens duomenims. Būtent todėl siekiame, kad šie dokumentai būtų kuo labiau pritaikyti naudoti ateityje.“

SSS, skirtų asmens duomenų perdavimui trečiosioms šalims pagal BDAR 46 straipsnio 2 dalies c punktą, projektu bus pakeistos esamos tarptautiniams perdavimams taikomos SSS, kurios buvo priimtos remiantis Direktyva 95/46 ir kurias reikėjo atnaujinti, kad jos atitiktų BDAR reikalavimus, kad būtų atsižvelgta į Europos Sąjungos Teisingumo Teismo sprendimą Schrems II ir kad būtų geriau atspindėtos plačiai naudojamos naujos ir sudėtingesnės duomenų tvarkymo operacijos, kuriose dažnai dalyvauja daug duomenų importuotojų ir eksportuotojų. Visų pirma naujose SSS numatytos konkretesnės apsaugos priemonės tais atvejais, kai sąlygų laikymuisi poveikį daro paskirties šalies įstatymai, visų pirma tada, kai valdžios institucijos pateikia privalomus vykdyti prašymus atskleisti asmens duomenis.

Europos duomenų apsaugos priežiūros pareigūnas Wojciechas Wiewiórowskis pridėjo: „Remdamiesi savo praktine patirtimi, pateikėme šias pastabas, kad patobulintume standartines sutarčių sąlygas, siekdami visapusiškai užtikrinti, kad perduodant duomenis į trečiąsias šalis būtų užtikrinta lygiavertė ES piliečių asmens duomenų apsauga. Manome, kad šie pasiūlymai ir pakeitimai yra labai svarbūs siekiant praktiškai įgyvendinti šiuos tikslus.“

Apskritai EDAV ir EDAPP laikosi nuomonės, kad SSS rinkinių projektais užtikrinamas sustiprintas duomenų subjektų apsaugos lygis. Visų pirma EDAV ir EDAPP palankiai vertina konkrečias nuostatas, skirtas kai kurioms pagrindinėms problemoms, nustatytoms sprendime Schrems II, spręsti. Vis dėlto EDAV ir EDAPP laikosi nuomonės, kad būtų galima patobulinti arba išaiškinti keletą nuostatų, pavyzdžiui, dėl standartinių sutarčių sąlygų taikymo srities; tam tikrų trečiosios šalies gavėjo teisių; tam tikrų pareigų, susijusių su tolesniu perdavimu; trečiųjų šalių teisės aktų dėl valdžios institucijų prieigos prie viešųjų duomenų įvertinimo aspektų; taip pat dėl pranešimo priežiūros institucijai.

EDAV pirmininkė Andrea Jelinek pridūrė: „Organizacijoms turi būti aišku, kokiomis sąlygomis galima naudotis standartinėmis sutarčių sąlygomis, o duomenų subjektams turėtų būti suteiktos veiksmingos teisės ir teisių gynimo priemonės. Be to, pagal standartines sutarčių sąlygas turėtų būti aiškiai paskirstyti vaidmenys ir nustatyta šalių tarpusavio atsakomybės tvarka. Dėl poreikio tam tikrais atvejais taikyti ad hoc papildomas priemones, siekiant užtikrinti, kad duomenų subjektų apsaugos lygis iš esmės atitiktų ES garantuojamą apsaugos lygį, naująsias standartines sutarčių sąlygas reikės taikyti kartu su EDAV rekomendacijomis dėl papildomų priemonių.“

EDAV ir EDAPP prašo Komisijos pateikti nuorodą į galutinę EDAV rekomendacijų dėl papildomų priemonių redakciją, jei galutinė rekomendacijų redakcija būtų priimta prieš Komisijai priimant sprendimą dėl SSS. Šis dokumentas buvo pateiktas iki 2020 m. gruodžio 21 d. vykusioms viešoms konsultacijoms ir dar gali būti toliau keičiamas remiantis tų konsultacijų rezultatais.

 

Pastaba redaktoriams:  
Primename, kad visus Europos duomenų apsaugos valdybos plenariniame posėdyje priimtus dokumentus turi patikrinti teisininkai, kalbininkai ir formatavimo specialistai. Atlikus šias patikras jie bus paskelbti Europos duomenų apsaugos valdybos interneto svetainėje.

 

EDPB_Press Release_statement_2021_01