Eiropas Datu aizsardzības kolēģija

Eiropas Datu aizsardzības kolēģijas jaunumi

14 November 2019

Brussels, 14 November - On November 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fifteenth plenary session. During the plenary a wide range of topics was discussed.
 
Third Annual Privacy Shield Review
The EDPB adopted its report on the third Annual Joint Review of the EU-US Privacy Shield. In the report, the EDPB welcomes the efforts made by the U.S. authorities to implement the Privacy Shield, especially regarding ex officio oversight and enforcement actions on the commercial aspects, as well as the appointments of the last missing members of the Privacy and Civil Liberties Oversight Board (PCLOB) and of a permanent Ombudsperson.

However, a number of concerns still need to be addressed. The Board points out that substantial compliance checks with the substance of the Privacy Shield’s principles remain concerning. Other areas that require further attention are the application of the Privacy Shield requirements regarding onward transfers, HR data and processors, as well as the recertification process. More generally, the members of the Review Team would benefit from broader access to non-public information, concerning commercial aspects and ongoing investigations.

As regards the collection of data by public authorities, the EDPB encourages the PCLOB to issue and publish further reports, among others to provide an independent assessment of surveillance programmes conducted outside the US territory, while data are undergoing transfer from the EU to the US. The Board reiterates that its security-cleared experts remain ready to review further documents and discuss additional classified elements.

While the EDPB welcomes the new elements provided during this year’s review, the EDPB still cannot conclude that the Ombudsperson is vested with sufficient powers to access information and remedy non-compliance.

Guidelines on Territorial Scope
The EDPB adopted a final version of the Guidelines on Territorial Scope following public consultation. The guidelines aim to provide a common interpretation of the GDPR for EEA Data Protection Authorities when assessing whether a particular processing by a controller or a processor falls within the territorial scope of the legal framework, as per Art. 3 GDPR. The Guidelines provide further clarification on the application of the GDPR in various situations, for example, where the data controller or processor is established outside the EEA, including on the designation and role of a representative under Art. 27 GDPR.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation, while maintaining the overall interpretation and methodology presented in the first version of the guidelines.

Guidelines on Data Protection by Design & Default
The EDPB adopted Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation here is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This requires that controllers implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in an effective manner and to protect the rights and freedoms of data subjects. In addition, controllers must be able to demonstrate that the implemented measures are effective. The guidelines will be submitted for public consultation.

Article 64 Opinion on ExxonMobil BCRs
The EDPB adopted its opinion on the draft decision regarding ExxonMobil’s Binding Corporate Rules (BCRs), submitted to the Board by the Belgian Supervisory Authority. The EDPB is of the opinion that the draft controller BCRs provide sufficient safeguards in the meaning of Art. 46(2)(b) and comply with Art. 47 GDPR.

Response letter to LIBE on EU Information Systems
The EDPB adopted its response to the European Parliament’s committee for Civil Liberties’ request for a legal assessment on the European Commission’s proposals for the Regulation establishing the conditions for accessing the other EU information systems and the Regulation establishing the conditions for accessing other EU information systems for ETIAS purposes. In the letter, the EDPB argues that the proposals should be seen as part of a bigger picture, i.e. as implementing parts of the Interoperability Framework and recalls the concerns previously expressed by the Article 29 Working Party. Additionally, the letter points out there are concerns regarding fundamental data protection principles, such as transparency, data protection by design and by default, and purpose limitation.

Additional protocol to the Budapest Convention on Cybercrime
The EDPB has adopted a contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), to be considered within the framework of consultations held by the Council of Europe Cybercrime Convention Committee (T-CY). The EDPB recalls that the protection of personal data and legal certainty must be guaranteed, thus contributing to the objective of establishing sustainable arrangements for the sharing of personal data with third countries for law enforcement purposes, which are fully compatible with the EU Treaties and the Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Briselē, 10. oktobrī — 8. un 9. oktobrī norisinājās četrpadsmitā plenārsēde Eiropas Datu aizsardzības kolēģijā, kurā tikās EEZ datu aizsardzības iestādes un Eiropas Datu aizsardzības uzraudzītājs. Plenārsēdes laikā tika apspriests plašs tematu loks.

Vadlīnijas par tiešsaistes pakalpojumu apstrādes likumīgu pamatojumu, apstrādei, kuru pamatā ir līgumi (6. panta (1) b) punkts).
Eiropas Datu aizsardzības kolēģija (turpmāk - EDAK) pieņēma vadlīniju galīgo redakciju par VDAR 6.panta 1. punkta b) apakšpunkta darbības jomu un piemērošanu informācijas sabiedrības pakalpojumu kontekstā. Pēc sabiedriskās apspriešanas tekstā ir iekļauti skaidrojumi.  Vadlīnijās tiek sniegti vispārīgi novērojumi par datu aizsardzības principiem un 6. panta 1. punkta b) apakšpunktā minēto mijiedarbību ar citiem likumīgiem pamatiem. Turklāt vadlīnijās ir ietverti norādījumi par 6. panta 1. punkta b) apakšpunkta piemērojamību, apvienojot atsevišķus pakalpojumus un izbeidzot līgumu.

64. pants Atzinums par Equinix BCR
EDAK pieņēma atzinumu par lēmuma projektu attiecībā uz Saistīto uzņēmuma noteikumu (BCR), ko kolēģijai iesniedza Apvienotās Karalistes Informācijas komisāra birojs (ICO). EDAK uzskata, ka Equinix saistošie uzņēmuma noteikumi ietver visus elementuskā arī aizsardzības pasākumus saskaņā ar VDAR 47. pantu un WP256 rev01.

Pasažieru datu reģistrs (PNR)
EDAK apstiprināja vēstuli, ar ko tiek sniegta atbilde uz EP deputātu Sophie in’t Veld vēstuli par pārskatīto PDR nolīguma projektu ar Kanādu un tā ietekmi uz citiem PDR nolīgumiem. Savā atbildē EDAK norāda, ka nolīguma projekts vēl nav saskaņots arEDAK, bet tā ir gatava sniegt atzinumu. Vēstulē arī minēta 29. panta darba grupas (WP29) iepriekšējā vēstule, kas nosūtīta Eiropas Komisijai saskaņā ar Eiropas Savienības Tiesas (EST) atzinumu par pirmo PDR nolīguma ar Kanādu projektu.

Atbilde Padomes darba grupai par sporta Antidopinga vielu (WADA)
EDAK ir apstiprinājusi atbildi par Padomes darba grupu sporta jomā saistībā ar notiekošo Pasaules Antidopinga kodeksa pārskatīšanas procesu. Savā vēstulē padome piemin divus WP29 atzinumus par iepriekšējām WADA koda versijām. Vēstulē norādīts, ka ir panākts progress attiecībā uz drošības pasākumiem privātuma un datu aizsardzības jomā, ko nodrošina kodeksa jaunā versija un tās standarti, tomēr joprojām pastāv būtiskasbažas.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visos Eiropas Datu aizsardzības kolēģijas plenārsesijā pieņemtajos dokumentos ir veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tās būs pieejamas EDAK tīmekļa vietnē pēc to pabeigšanas.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Briselē, 11. jūlijs — 9. un 10. jūlijā Eiropas Ekonomikas zonas (EEZ) datu aizsardzības iestādes un Eiropas Datu aizsardzības uzraudzītājs (EDAU) tikās divpadsmitajā plenārsesijā. Plenārsēžu laikā tika apsriestas vairākas tēmas.

Vadlīnijas par videonovērošanu
EDAK pieņēma Videonovērošanas vadlīnijas, kurās paskaidrots, kā VDAR attiecas uz personas datu apstrādi, izmantojot video ierīces, un to mērķis ir nodrošināt konsekventu VDAR piemērošanu šajā jomā. Pamatnostādnes attiecas gan uz tradicionālajām videoierīcēm, gan uz viedām videoierīcēm. Attiecībā uz pēdējām video ierīcēm pamatnostādnēs galvenā uzmanība ir pievērsta noteikumiem par īpašu kategoriju datu apstrādi. Papildus, vadlīnijās tiek plašak apsaktīts tādi jēdzieni kā apstrādes likumīgums, mājsaimniecību atbrīvojuma piemērojamība un videomateriāla atklāšana trešajām personām. Pamatnostādnes ir iesniegtas publiskajai apspriedei.  

EDPB-EDAU kopīgi sagatavotā atbilde LIBE komitejai ASV CLOUD akta ietekmi
EDAK pieņēma kopīgo EDPB-EDAU atbildi, ko adresēja Eiropas Parlamenta par Pilsoņu brīvību, tieslietu un iekšlietu komitejai (LIBE), tādejādi, saņemot juridisku novērtējumu par ASV CLOUD akta ietekmi uz ES tiesisko regulējumu datu aizsardzības jomā un mandātu sarunām par ES un ASV nolīgumu par pārrobežu piekļuvi elektroniskiem pierādījumiem tiesu iestāžu sadarbībai krimināllietās.“CLOUD” akts ļauj ASV tiesībaizsardzības iestādēm pieprasīt, lai ASV pakalpojumu sniedzēji izpauž datus neatkarīgi no tā, kur dati tiek glabāti.

EDAK un EDAU uzsver, ka visaptverošs ES un ASV nolīgums par pārrobežu piekļuvi elektroniskiem pierādījumiem, kas ietver stingrus procesuālus un būtiskus pamattiesību aizsardzības pasākumus, šķiet vispiemērotākais instruments, lai nodrošinātu nepieciešamo aizsardzības līmeni ES datu subjektiem un juridisko noteiktību uzņēmumiem.

VDAR 64. panta atzinums par līguma standartklauzulām apstrādātājiem, ko izstrādāja Dānijas uzraudzības iestāde saskaņā ar VDAR 28.8. pantu
EDAK pieņēma Dānijas uzraudzības iestādes iesniegto atzinumu par projektu līguma standartklauzulām (SCC) apstrādātājiemm, kurš pārziņa vārdā apstrādā personas datus. Šis ir pirmais atzinums par līguma standartklauzām un tā mērķis ir nodrošināt VDAR 28. panta konsekventu piemērošanu attiecībā uz apstrādātājiem. Atzinumā EDAK sniedza vairākus ieteikumus, kurus ir nepieciešams ņemt, lai iesniegtais līguma standartklauzu projekts būtu uzskatāms par līguma standartklauzulām. Ja tiks ņemti vērā EDAK ieteikumi, tad saskaņā ar VDAR 28. panta 8. punktu Dānijas uzraudzības iestāde varēs izmantot šo līguma projektu kā līguma standartklauzulas.

VDAR 64. panta atzinums par Austrijas uzraudzības iestādes sagatavotajiem akreditācijas kritērijiem Rīcības kodeksu pārraudzības struktūrām  
EDAK pieņēma atzinumu pēc Austrijas uzraudzības iestādes iesniegtā lēmuma projekta par akreditācijas kritērijiem Rīcības kodeksu uzraudzības iestādēm. EDAK piekrita, ka visiem kodeksiem, kas attiecas uz nevalstiskajām iestādēm un struktūrām, ir vajadzīgs būt akreditētiem uzraudzības struktūrās saskaņā ar VDAR.

VDAR 64. pants atzinums par uzraudzības iestādes kompetenci gadījumā, ja mainās galvenās vai vienotās uzņēmējdarbības atrašanās vieta
Valde pieņēma atzinumu par uzraudzības iestādes kompetenci, ja tiek mainīta galvenā uzņēmējdarbības lokācijas vieta. Tas var notikt, ja galvenais uzņēmums tiek pārcelts EEZ teritorijā, galvenais uzņēmums tiek pārvietots uz EEZ no trešās valsts vai tad, kad EEZ vairs nav galvenā uznēmējdarbības vieta. Šādos apstākļos EDAK uzskata, ka vadošās uzraudzības iestādes (LSA) kompetence var var pāriet  citas uzraudzības iestādes kompetencē. Šādos gadījumos tiks piemērota sadarbības procedūra, kas noteikta VDAR 60. pantā, un jaunajai vadošajai uzraudzības iestādei būs pienākums sadarboties ar iepriekšējo vadošo uzraudzības iestādi un citām iesaistītajām uzraudzības iestādēm, cenšoties panākt vienprātību. Pārejas process no vienas vadošās uzraudzības iestādes uz otru  var notikt līdz brīdim, kamēr kompetentā uzraudzības iestāde nav pieņēmusi galīgo lēmumu.

EDPB-EDAU kopīgais atzinums par eHDSI
EDAK pieņēma kopīgu EDPB-EDPS atzinumu par pacientu datu aizsardzības aspektiem e-veselības digitālo pakalpojumu infrastruktūras (eHDSI) datu apstrādē. Tas ir pirmais kopīgais Eiropas Datu aizsardzības kolēģijas un Eiropas Datu aizsardzības uzraudzītāja (EDAU) atzinums, kas pieņemts, atbildot uz Eiropas Komisijas pieprasījumu saskaņā ar Regulā (EK) Nr. 2018/1725 42. panta 2. punktu par ES iestāžu un struktūru datu aizsardzību. Savā atzinumā EDAK un EDAU uzskata, ka konkrētajā situācijā attiecībā uz pacientu konkrētu apstrādi eHDSI sistēmā, nav iemesla iebilst faktam, ka Eiropas Komisija novērtē savu kā apstrādātāja lomu eHDSI. Turklāt kopīgajā atzinumā ir uzsvērta nepieciešamība nodrošināt, lai visi Komisijas pienākumi šajā apstrādes darbībā, kas noteikti piemērojamajos datu aizsardzības tiesību aktos, būtu skaidri izklāstīti attiecīgajā īstenošanas aktā.

Kipras saraksts par apstrādes darbībām, attiecībā uz kurām ir jāveic novērtējums par ietekmi uz datu aizsardzību (NIDA)
EDAK pieņēma atzinumu par Kipras iesniegto sarakstu par apstrādes darbībām, attiecībā uz kurām ir nepieciešams veikt novērtējumu par ietekmi uz datu aizsardzību. NIDA saraksti ir svarīgs instruments konsekventai VDAR piemērošanai visā EEZ. NIDA ir process, kura mērķis ir palīdzēt identificēt un mazināt tādus datu aizsardzības riskus, kas varētu ietekmēt personu tiesības un brīvības.

VDAR 64. panta atzinums par Francijas, Spānijas, Čehijas sarakstiem sasitībā ar VDAR 35.5 pantu
EDAK  sniedza savu atzinumu par Francijas, Spānijas, Čehijas iesniegtajiem sarakstiem sasitībā ar VDAR 35. 5 pantu, saskaņā ar kuru, tiek noteiktas darbības, attiecībā uz kurām nav vajadzīgs veikt ietekmes novērtējums uz datu aizsardzību.

Ieteikums par EDAU sarakstu saskaņā ar Regulas 2018/1725 39.4. pantu (NIDA saraksts)
EDAK ir pieņēmusi ieteikumu par 39.4. pantu, ko EDAU ir iesniedzi EDAK. EDAU pirms šo sarakstu pieņemšanas ir jāapspriežas ar EDAK, ciktāl tie “attiecas uz apstrādes darbībām, ko veic pārzinis, rīkojoties kopīgi ar vienu vai vairākiem pārziņiem, kas nav Savienības iestādes un struktūras” (Regulas (ES) 2018/1725 39. panta 6. punkts). Līdzīgi VDAR NIDA sarakstiem, EDAU saraksts informē pārziņus par datu apstrādes darbībām, attiecībā uz kurām ir vajadzīgs NIDA.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visos Eiropas Datu aizsardzības kolēģijas plenārsesijā pieņemtajos dokumentos ir veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes, un tās būs pieejamas EDAK tīmekļa vietnē pēc to pabeigšanas.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brussels, 5 June - On June 4th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eleventh plenary session. During the plenary a wide range of topics were discussed.

Guidelines on Codes of Conduct
The EDPB adopted a final version of the Guidelines on Codes of Conduct. Following public consultation, points of clarification were included in the text. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process.

Annex to the Guidelines on Accreditation
The EDPB adopted a final version of the annex to the Guidelines on Accreditation, following public consultation. The text has been reviewed to enhance clarity. The aim of the guidelines is to provide guidance on how to interpret and implement the provisions of Article 43 GDPR. In particular, they aim to help Member States, supervisory authorities and national accreditation bodies establish a consistent and harmonised baseline for the accreditation of certification bodies that issue certification in accordance with the GDPR. The annex provides guidance on the additional requirements for the accreditation of certification bodies to be established by the supervisory authorities. These additional requirements, before being adopted by supervisory authorities, are to be submitted to the European Data Protection Board for approval pursuant to Article 64(1)(c).*

Annex to the Guidelines on Certification
The EDPB adopted a final version of annex 2 to the Guidelines on Certification. Following public consultation, some aspects were added to certain sections, for example, whether the criteria address the obligation of the controller/processor to appoint a DPO and the obligation to keep records of the processing activities. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. The annex identifies topics that data protection supervisory authorities and the EDPB will consider and apply for the approval of certification criteria for a certification mechanism. The list is not exhaustive, but presents the minimum topics to be considered.*

Note to editors:

* As a next step, before specific cases regarding certification and accreditation can be discussed at the EDPB level, the EDPB is preparing a procedure to facilitate consistent and timely opinions on SA draft decisions and to approve European Data Protection Seals.

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Briselē, 15. maijs — 14. un 15. maijā Eiropas datu aizsardzības kolēģija (EDAK) un Eiropas Datu aizsardzības uzraudzītājs (EDAU) tikās desmitajā plenārsesijā. Plenārsēžu laikā apsprieda plašu tematu loku.
 
Jauna priekšsēdētāja vietnieka ievēlēšana

Valdes locekļi ievēlēja Nīderlandes uzraudzības iestādes priekšsēdētāju Aleid Wolfsen par jauno priekšsēdētāja vietnieku, nomainot Willem Debeuckelaere. EDAK priekšsēdētāja Andrea Jelinek pateicās Willem Debeuckelaere  par viņa ieguldīto darbu. Turpmāko kadu laikā Aleid Wolfsen kopā ar Venssilav Karadjav priekšsēdētāja vietnieku sniegs atbalstu EDAK priekšsēdētājai.

Dr.  Andrea Jelinek piebilda: “Sabiedrības interese par datu aizsardzību ir sasniegusi augstāko pakapi. Es ceru strādāt ar Aleid un Vensislav, lai iesaistītos sadarbībā ar ieinteresētajām pusēm datu aizsardzības jomā.”

Aleid Wolfsen teica: “Turpmākajos gados valdes locekļu pienākums būs sniegt vadošus norādījumus un ieteikumus. Manos priekšsēdētāja vietnieka pienākumos ietilps uzdevums uzraudzīt, lai tiktu ņemti vērā visi viedokļi un, visbeidzot, tiek pausts vienots viedoklis.”

Atbilde uz EP deputātu Sophie In’t Veld attiecībā uz satīklotajiem transportlīdzekļiem

EDAK atbalstīja sagatavoto vēstules tekstu, atbildot uz Eiropas Parlamenta deputātes Sophie In’t Veld 2019. gada 17. aprīļa vēstuli par automašīnu vadītāju personas datu apmaiņu ar automobiļu ražotājiem un trešām personām bez nepārprotamas piekrišanas, īpašas un informētas personas piekrišanas, kā arī bez atbilstoša juridiskā pamata. Savā atbildē EDAK uzsver, ka Valdes locekļi un to starptautiskie kolēģi 2017. gadā pieņēma ICDPPC rezolūciju par datu aizsardzību automatizētajos un savienotos transportlīdzekļos, un ka WP29 pieņēma atzinumu 3/2017 par personas datu apstrādi sadarbīgo intelektisko transporta sistēmu (C-ITS) kontekstā. Šis jautājums tiks izskatīts arī saskaņā ar EDAK 2019. — 2020. gada darba programmu.

Trešais ikgadējais privātuma vairoga pārskats

Eiropas Datu aizsardzības kolēģijas iecēla pārstāvjus, kuri sagatavos  Privātuma vairoga trešo ikgadējo pārskatu. EDAK pārstāvēs Austrijas, Bulgārijas, Francijas, Vācijas, Ungārijas uzraudzības iestāžu delegāciju pārstāvji un EDAU pārstāvis.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Eiropas Datu aizsardzības kolēģija — Devītā plenārsesija: Pamatnostādnes par personas datu apstrādi informācijas sabiedrības pakalpojumu kontekstā

 

Brisele, 10. aprīlis — Šā gada 9.  un 10. aprīlī Eiropas Datu aizsardzības kolēģijas (EDAK) devītajā  plenārsēdē tikās Eiropas Ekonomikas zonas (EEZ) datu aizsardzības iestāžu pārstāvji un Eiropas Datu aizsardzības uzraudzītājs.
Plenārsēdes laikā EDAK pieņēma pamatnostādnes par VDAR 6. panta 1. punkta b) apakšpunkta darbības jomu un piemērošanu saistībā ar informācijas sabiedrības pakalpojumiem. Pamatnostādnēs EDAK sniedz vispārīgus novērojumus par datu aizsardzības principiem un Vispārīgās Datu aizsardzības regulas (VDAR) 6. panta 1. punkta b) apakšpunktā minēto mijiedarbību ar citiem tiesiskajiem pamatiem. Turklāt pamatnostādnēs ir ietverti norādījumi par 6. panta 1. punkta b) apakšpunkta piemērošanu atsevišķu pakalpojumu apvienošanas un līguma izbeigšanas gadījumā.

 

Piezīme redaktoriem

 

Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

 

* 6. panta 1. punkta b) apakšpunkts
“1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja  piemēro vismaz vienu no šādiem nosacījumiem:
...
Apstrāde ir vajadzīga līguma,  kurā līgumslēdzēja puse ir datu subjekts, izpildei  vai pasākuma veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas; “
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Briselē, 13. marts — 12. un 13. martā Eiropas Ekonomikas zonas (EEZ) datu uzraudzības iestādes un Eiropas Datu aizsardzības uzraudzītājs, kas veido Eiropas Datu aizsardzības kolēģiju (EDAK), tikās astotajā plenārsesijā Briselē. Plenārsēžu laikā tika apspriests plašs tematu klāsts.

Mijiedarbība starp E-privātuma direktīvu un Vispārīgo datu aizsardzības regulu
Eiropas Datu aizsardzības kolēģija pieņēma atzinumu par mijiedarbību starp E-privātuma direktīvu un Vispārīgo datu aizsardzības regulu. Atzinuma mērķis ir sniegt atbildi uz jautājumu, vai personas datu apstrādes darbības, kurām ir piemērojama gan VDAR , gan E-privatuma direktīva,  ierobežo datu uzraudzības iestāžu pilnvaras un uzdevumus, kurus tām piešķir saskaņā ar  VDAR. Eiropas Datu aizsardzības kolēģija (EDAK) uzskata, ka datu uzraudzības iestādes ir kompetentas īstenot VDAR. Tas vien, ka uz kādu apstrādes aspektu ir attiecināma e-privātuma direktīvas darbības joma, neierobežo datu aizsardzības iestāžu kompetenci saskaņā ar GDPR. VDAR pārkāpums vienlaikus var būt arī nacionālā regulējuma pārkāpums, kurš transponē E-privātuma direktīvu. Līdz ar to, datu uzraudzības iestādes, piemērojot VDAR, var ņemt vērā šo nosacijumu. Tas varētu attiekties uz  gadījumiem, kad tiek izvērtēta apstrādes atbilstība likumības vai taisnīguma principiem.

Paziņojumā par gaidāmo E-privātuma regulu
Eiropas Datu aizsardzības kolēģija pieņēma paziņojumu, kurā Eiropas Savienības (ES) likumdevēji tika aicināti kāpināt centienus, lai pieņemtu E-privātuma regulu, kas ir būtiski, lai pabeigtu ES regulējumu attiecībā uz datu aizsardzību un elektronisko sakaru konfidencialitāti.

Nākotnē E-privātuma regulai nekādā gadījumā nevajadzētu pazemināt aizsardzības līmeni, ko nodrošina pašreizējā E-privātuma direktīva, un vajadzētu papildināt Vispārīgo datu aizsardzības regulu, nodrošinot papildus stingras garantijas visu veidu elektroniskajiem sakariem.

Datu aizsardzības ietekmes novērtējuma (NIDA) saraksti
EDAK pieņēma divus atzinumus par Datu aizsardzības ietekmes novērtējuma (NIDA) sarakstiem, kurus EDAK iesniedza Spānija un Islande. Šie saraksti ir svarīgs instruments konsekventai VDAR piemērošanai visā EEZ, un kuru mērķis  ir palīdzēt identificēt un mazināt tādus datu aizsardzības riskus, kas varētu ietekmēt personu tiesības un brīvības. Lai gan kopumā datu pārzinim ir jānovērtē, vai ir nepieciešams NIDA pirms iesaistīšanās apstrādes darbībā, valsts uzraudzības iestādes izveido un sagatavo sarakstu ar apstrādes darbībām, uz kurām attiecas prasība veikt datu aizsardzības ietekmes novērtējumu. Šie divi atzinumi atbilst pārējo 28 dalībvalstu atzinumiem, kurus EDAK ir pieņēmusi  iepriekšējās plenārsēdēs, un kuri turpmāk palīdzēs izstrādāt kopīgus kritērijus attiecībā uz NIDA sarakstiem visā EEZ.

Paziņojums par personas datu izmantošanu politisko kampaņu laikā
Ņemot vērā gaidāmās Eiropas Parlamenta vēlēšanas, kā arī citas vēlēšanas visā Eiropas Savienībā un ārpus tās 2019. gadā, EDAK ir pieņēmusi paziņojumu par personas datu izmantošanu vēlēšanu kampaņu laikā. Datu apstrādes metodes politiskos nolūkos var radīt nopietnus riskus ne tikai attiecībā uz tiesībām uz privātumu un datu aizsardzību, bet arī uz demokrātiskā procesa integritāti. Pārskatā EDAK ir likusi akcentus uz vairākiem svarīgiem aspektiem, kas jāņem vērā politiskajām partijām, apstrādājot peronas datus vēlēšanu kontekstā.

Piezīme redaktoriem

Lūdzam ņemt vērā, ka visiem Eiropas Datu aizsardzības kolēģijas plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Briselē, 13. februārī. - 12. februārī Eiropas Datu aizsardzības kolēģijas (EDAK) septītajā plenārsēdē tikās EEZ datu aizsardzības iestāžu pārstāvji un Eiropas Datu aizsardzības uzraudzītājs. Plenārsēdē tika apspriests plašs tematu klāsts.
 
EDAK darba programma 2019.–2020. gadam
Kolēģija saskaņā ar EDAK reglamenta 29. pantu pieņēma savu divu gadu darba programmu 2019.–2020. gadam. EDAK darba programmas pamatā ir vajadzības, kuras kolēģijas locekļi uzskata par prioritārām indivīdiem un ieinteresētajām personām, kā arī Savienības likumdevēja plānotās darbības.

Administratīvās kārtības projekts finanšu tirgu uzraudzības jomā
EDAK pieņēma savu pirmo atzinumu par administratīvo kārtību, pamatojoties uz Vispārīgās datu aizsardzības regulas (VDAR) 46. panta 3. punkta b) apakšpunktu, attiecībā uz personas datu pārsūtīšanu starp EEZ finanšu uzraudzības iestādēm, tostarp Eiropas Vērtspapīru un tirgu iestādi (EVTI), un to trešo valstu partneriem. Šo kārtību iesniedz kompetentajām uzraudzības iestādēm (UI) atļaujas saņemšanai valsts līmenī. Kompetentās uzraudzības iestādes uzraudzīs administratīvo kārtību un tās praktisko piemērošanu, lai nodrošinātu, ka praksē tiek garantētas efektīvas un izpildāmas datu subjekta tiesības un piemēroti tiesiskās aizsardzības līdzekļi un uzraudzība.

Brexit
EDAK pieņēma komercstruktūrām un valsts iestādēm adresētu informatīvu paziņojumu par datu nosūtīšanu saskaņā ar Vispārīgo datu aizsardzības regulu bezlīguma Brexit gadījumā.

Datu plūsmas no EEZ uz Apvienoto Karalisti
Ja starp ES un Apvienoto Karalisti netiks panākta vienošanās (bezlīguma Brexit), Apvienotā Karaliste no 2019. gada 30. marta plkst. 00.00 pēc Viduseiropas laika kļūs par trešo valsti. Tādējādi personas datu nosūtīšanai no EEZ uz Apvienoto Karalisti būs jāizmanto kāds šādiem instrumentiem: standarta vai ad hoc datu aizsardzības klauzulas, saistoši uzņēmuma noteikumi, rīcības kodeksi un sertifikācijas mehānismi un īpaši nosūtīšanas instrumenti, kas pieejami valsts iestādēm. Ja nav standarta datu aizsardzības klauzulu vai citu alternatīvu aizsardzības pasākumu, noteiktos apstākļos var piemērot atkāpes.

Datu plūsmas no Apvienotās Karalistes uz EEZ
Attiecībā uz datu pārsūtīšanu no Apvienotās Karalistes uz EEZ saskaņā ar Apvienotās Karalistes valdības sniegto informāciju bezlīguma Brexit gadījumā turpinās piemērot pašreizējo praksi, kas ļauj personas datus brīvi pārsūtīt no Apvienotās Karalistes uz EEZ.
    
Vadlīnijas par rīcības kodeksiem
EDAK pieņēma vadlīnijas par rīcības kodeksiem. Šo vadlīniju mērķis ir sniegt praktiskus norādījumus un palīdzēt interpretēt VDAR 40. un 41. panta piemērošanu. Vadlīnijas ir paredzētas, lai palīdzētu precizēt procedūras un noteikumus, kas saistīti ar rīcības kodeksu iesniegšanu, apstiprināšanu un publicēšanu gan valsts, gan Eiropas līmenī. Šīm vadlīnijām būtu jāturpina darboties kā skaidram pamatam visām kompetentajām uzraudzības iestādēm, kolēģijai un Komisijai, lai konsekventi novērtētu rīcības kodeksus un racionalizētu novērtēšanas procesā iesaistītās procedūras. Vadlīnijas tiks nodotas sabiedriskajai apspriešanai.

Piezīme redaktoriem

Lūdzam ņemt vērā, ka visiem Eiropas Datu aizsardzības kolēģijas plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brussels, 24 January - On January 22nd and 23rd, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their sixth plenary session. During the plenary a wide range of topics were discussed.
 
Privacy Shield
The Board Members adopted the EDPB’s report on the Second Annual Review of the EU-US Privacy Shield. The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield, especially actions undertaken to adapt the initial certification process, start ex officio oversight and enforcement actions, as well as the efforts  to publish a number of important documents, in part by declassification (such as decisions by the FISA Court), the appointment of a new Chair as well as of three new members of the Privacy and Civil Liberties Oversight Board (PCLOB) and the recently announced appointment of a permanent Ombudsperson.

In view of the findings of the second joint review, the following concerns about the implementation of the Privacy Shield still remain. This includes concerns already expressed by the EDPB’s predecessor WP29 on the lack of concrete assurances that indiscriminate collection and access of personal data for national security purposes are excluded. Also, based on the information provided so far, the EDPB cannot currently consider that the Ombudsperson is vested with sufficient powers to remedy non-compliance. In addition, the Board points out that checks regarding compliance with the substance of the Privacy Shield’s principles are not sufficiently strong.

Moreover, the EDPB has some additional concerns with regard to the necessary checks to comply with the onward transfer requirements, the scope of meaning of HR Data and the recertification process, as well as to a list of remaining issues raised after the first joint review which are still pending.

Brexit

The EDPB discussed possible consequences of Brexit in the area of data protection. Members agreed to cooperate and exchange information regarding their preparations and the tools available to transfer data to the UK, once the UK will no longer be part of the EU.

Clinical trials Q&A

Following a request from the European Commission (DG SANTE), the EDPB adopted its opinion on the clinical trials Q&A. The opinion addresses in particular the aspects related to the adequate legal bases in the context of clinical trials, and the secondary uses of clinical trial data for scientific purposes. The opinion will now be transmitted to the European Commission.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Liechtenstein and Norway. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 22 opinions adopted during the September plenary, and the four opinions adopted during the December plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Guidelines on certification
The EDPB adopted the final version of the guidelines on certification following public consultation. Additionally, the Board also adopted a new annex. A draft version of the guidelines had been adopted during the EDPB’s first plenary in May. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. As such, the guidelines explore the rationale for certification as an accountability tool, provide explanations for the key concepts of the certification provisions in art. 42 and art. 43, explain the scope of what can be certified and outline the purpose of certification. The guidelines will help Member States, supervisory authorities and national accreditation bodies (NAB) when reviewing and approving certification criteria in accordance with art. 42 and art. 43 GDPR. The annex will be subject to public consultation.

Response to Australian Supervisory Authority on data breach notification

In October 2018, the EDPB Chair received a written request from the Office of the Australian Information Commissioner regarding the publication of the data breach notifications by supervisory authorities. The EDPB welcomes the Australian Commissioner’s interest in cooperating with the European Data Protection Board on this issue and stresses the importance of international collaboration. In its response, the EDPB provides further information on whether and how supervisory authorities handle the publication of information regarding data breach notifications.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary