Eiropas Datu aizsardzības kolēģija

Eiropas Datu aizsardzības kolēģijas jaunumi

15 May 2019

Brussels, 15 May - On May 14th and 15th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their tenth plenary session. During the plenary a wide range of topics were discussed.

Election of a new Deputy Chair

The Members of the Board elected Aleid Wolfsen, Chairman of the Dutch Supervisory Authority, as new Deputy Chair, replacing Willem Debeuckelaere, whom EDPB Chair Andrea Jelinek thanked for his work. Along with fellow Deputy Chair Ventsislav Karadjov, Mr. Wolfsen will support the EDPB Chair in her work for the Board over the coming years. Dr. Jelinek added: “Public interest in data protection is at an all-time high. I look forward to working with Aleid and Ventsislav to engage with the wider community of data protection stakeholders.”

Mr. Wolfsen added: “In the years to come, it is our responsibility as Board to deliver authoritative guidance and sound advice. I will make it my responsibility as Deputy Chair that we take on board all opinions, and ultimately speak with one voice.”

Response to MEP Sophie In’t Veld regarding connected vehicles

The EDPB adopted a letter in response to MEP Sophie In’t Veld’s letter of 17 April 2019 regarding the sharing of car drivers’ personal data with the car producer and third parties, without explicit consent, specific and informed consent of the driver, and without adequate legal basis. In its response the EDPB highlights that the Members of the Board and their international colleagues adopted an ICDPPC resolution on Data Protection in Automated and Connected Vehicles in 2017 and that the WP29 adopted its Opinion 3/2017 on the processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS). The issue will also be dealt with according to the EDPB 2019-2020 work program.

Third Annual Privacy Shield Review

The EDPB designated representatives for the third annual review of the Privacy Shield.  Austria, Bulgaria, France, Germany, Hungary and the EDPS will represent the Board during the review.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Eiropas Datu aizsardzības kolēģija — Devītā plenārsesija: Pamatnostādnes par personas datu apstrādi informācijas sabiedrības pakalpojumu kontekstā

 

Brisele, 10. aprīlis — Šā gada 9.  un 10. aprīlī Eiropas Datu aizsardzības kolēģijas (EDAK) devītajā  plenārsēdē tikās Eiropas Ekonomikas zonas (EEZ) datu aizsardzības iestāžu pārstāvji un Eiropas Datu aizsardzības uzraudzītājs.
Plenārsēdes laikā EDAK pieņēma pamatnostādnes par VDAR 6. panta 1. punkta b) apakšpunkta darbības jomu un piemērošanu saistībā ar informācijas sabiedrības pakalpojumiem. Pamatnostādnēs EDAK sniedz vispārīgus novērojumus par datu aizsardzības principiem un Vispārīgās Datu aizsardzības regulas (VDAR) 6. panta 1. punkta b) apakšpunktā minēto mijiedarbību ar citiem tiesiskajiem pamatiem. Turklāt pamatnostādnēs ir ietverti norādījumi par 6. panta 1. punkta b) apakšpunkta piemērošanu atsevišķu pakalpojumu apvienošanas un līguma izbeigšanas gadījumā.

 

Piezīme redaktoriem

 

Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

 

* 6. panta 1. punkta b) apakšpunkts
“1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja  piemēro vismaz vienu no šādiem nosacījumiem:
...
Apstrāde ir vajadzīga līguma,  kurā līgumslēdzēja puse ir datu subjekts, izpildei  vai pasākuma veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas; “
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Briselē, 13. marts — 12. un 13. martā Eiropas Ekonomikas zonas (EEZ) datu uzraudzības iestādes un Eiropas Datu aizsardzības uzraudzītājs, kas veido Eiropas Datu aizsardzības kolēģiju (EDAK), tikās astotajā plenārsesijā Briselē. Plenārsēžu laikā tika apspriests plašs tematu klāsts.

Mijiedarbība starp E-privātuma direktīvu un Vispārīgo datu aizsardzības regulu
Eiropas Datu aizsardzības kolēģija pieņēma atzinumu par mijiedarbību starp E-privātuma direktīvu un Vispārīgo datu aizsardzības regulu. Atzinuma mērķis ir sniegt atbildi uz jautājumu, vai personas datu apstrādes darbības, kurām ir piemērojama gan VDAR , gan E-privatuma direktīva,  ierobežo datu uzraudzības iestāžu pilnvaras un uzdevumus, kurus tām piešķir saskaņā ar  VDAR. Eiropas Datu aizsardzības kolēģija (EDAK) uzskata, ka datu uzraudzības iestādes ir kompetentas īstenot VDAR. Tas vien, ka uz kādu apstrādes aspektu ir attiecināma e-privātuma direktīvas darbības joma, neierobežo datu aizsardzības iestāžu kompetenci saskaņā ar GDPR. VDAR pārkāpums vienlaikus var būt arī nacionālā regulējuma pārkāpums, kurš transponē E-privātuma direktīvu. Līdz ar to, datu uzraudzības iestādes, piemērojot VDAR, var ņemt vērā šo nosacijumu. Tas varētu attiekties uz  gadījumiem, kad tiek izvērtēta apstrādes atbilstība likumības vai taisnīguma principiem.

Paziņojumā par gaidāmo E-privātuma regulu
Eiropas Datu aizsardzības kolēģija pieņēma paziņojumu, kurā Eiropas Savienības (ES) likumdevēji tika aicināti kāpināt centienus, lai pieņemtu E-privātuma regulu, kas ir būtiski, lai pabeigtu ES regulējumu attiecībā uz datu aizsardzību un elektronisko sakaru konfidencialitāti.

Nākotnē E-privātuma regulai nekādā gadījumā nevajadzētu pazemināt aizsardzības līmeni, ko nodrošina pašreizējā E-privātuma direktīva, un vajadzētu papildināt Vispārīgo datu aizsardzības regulu, nodrošinot papildus stingras garantijas visu veidu elektroniskajiem sakariem.

Datu aizsardzības ietekmes novērtējuma (NIDA) saraksti
EDAK pieņēma divus atzinumus par Datu aizsardzības ietekmes novērtējuma (NIDA) sarakstiem, kurus EDAK iesniedza Spānija un Islande. Šie saraksti ir svarīgs instruments konsekventai VDAR piemērošanai visā EEZ, un kuru mērķis  ir palīdzēt identificēt un mazināt tādus datu aizsardzības riskus, kas varētu ietekmēt personu tiesības un brīvības. Lai gan kopumā datu pārzinim ir jānovērtē, vai ir nepieciešams NIDA pirms iesaistīšanās apstrādes darbībā, valsts uzraudzības iestādes izveido un sagatavo sarakstu ar apstrādes darbībām, uz kurām attiecas prasība veikt datu aizsardzības ietekmes novērtējumu. Šie divi atzinumi atbilst pārējo 28 dalībvalstu atzinumiem, kurus EDAK ir pieņēmusi  iepriekšējās plenārsēdēs, un kuri turpmāk palīdzēs izstrādāt kopīgus kritērijus attiecībā uz NIDA sarakstiem visā EEZ.

Paziņojums par personas datu izmantošanu politisko kampaņu laikā
Ņemot vērā gaidāmās Eiropas Parlamenta vēlēšanas, kā arī citas vēlēšanas visā Eiropas Savienībā un ārpus tās 2019. gadā, EDAK ir pieņēmusi paziņojumu par personas datu izmantošanu vēlēšanu kampaņu laikā. Datu apstrādes metodes politiskos nolūkos var radīt nopietnus riskus ne tikai attiecībā uz tiesībām uz privātumu un datu aizsardzību, bet arī uz demokrātiskā procesa integritāti. Pārskatā EDAK ir likusi akcentus uz vairākiem svarīgiem aspektiem, kas jāņem vērā politiskajām partijām, apstrādājot peronas datus vēlēšanu kontekstā.

Piezīme redaktoriem

Lūdzam ņemt vērā, ka visiem Eiropas Datu aizsardzības kolēģijas plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Briselē, 13. februārī. - 12. februārī Eiropas Datu aizsardzības kolēģijas (EDAK) septītajā plenārsēdē tikās EEZ datu aizsardzības iestāžu pārstāvji un Eiropas Datu aizsardzības uzraudzītājs. Plenārsēdē tika apspriests plašs tematu klāsts.
 
EDAK darba programma 2019.–2020. gadam
Kolēģija saskaņā ar EDAK reglamenta 29. pantu pieņēma savu divu gadu darba programmu 2019.–2020. gadam. EDAK darba programmas pamatā ir vajadzības, kuras kolēģijas locekļi uzskata par prioritārām indivīdiem un ieinteresētajām personām, kā arī Savienības likumdevēja plānotās darbības.

Administratīvās kārtības projekts finanšu tirgu uzraudzības jomā
EDAK pieņēma savu pirmo atzinumu par administratīvo kārtību, pamatojoties uz Vispārīgās datu aizsardzības regulas (VDAR) 46. panta 3. punkta b) apakšpunktu, attiecībā uz personas datu pārsūtīšanu starp EEZ finanšu uzraudzības iestādēm, tostarp Eiropas Vērtspapīru un tirgu iestādi (EVTI), un to trešo valstu partneriem. Šo kārtību iesniedz kompetentajām uzraudzības iestādēm (UI) atļaujas saņemšanai valsts līmenī. Kompetentās uzraudzības iestādes uzraudzīs administratīvo kārtību un tās praktisko piemērošanu, lai nodrošinātu, ka praksē tiek garantētas efektīvas un izpildāmas datu subjekta tiesības un piemēroti tiesiskās aizsardzības līdzekļi un uzraudzība.

Brexit
EDAK pieņēma komercstruktūrām un valsts iestādēm adresētu informatīvu paziņojumu par datu nosūtīšanu saskaņā ar Vispārīgo datu aizsardzības regulu bezlīguma Brexit gadījumā.

Datu plūsmas no EEZ uz Apvienoto Karalisti
Ja starp ES un Apvienoto Karalisti netiks panākta vienošanās (bezlīguma Brexit), Apvienotā Karaliste no 2019. gada 30. marta plkst. 00.00 pēc Viduseiropas laika kļūs par trešo valsti. Tādējādi personas datu nosūtīšanai no EEZ uz Apvienoto Karalisti būs jāizmanto kāds šādiem instrumentiem: standarta vai ad hoc datu aizsardzības klauzulas, saistoši uzņēmuma noteikumi, rīcības kodeksi un sertifikācijas mehānismi un īpaši nosūtīšanas instrumenti, kas pieejami valsts iestādēm. Ja nav standarta datu aizsardzības klauzulu vai citu alternatīvu aizsardzības pasākumu, noteiktos apstākļos var piemērot atkāpes.

Datu plūsmas no Apvienotās Karalistes uz EEZ
Attiecībā uz datu pārsūtīšanu no Apvienotās Karalistes uz EEZ saskaņā ar Apvienotās Karalistes valdības sniegto informāciju bezlīguma Brexit gadījumā turpinās piemērot pašreizējo praksi, kas ļauj personas datus brīvi pārsūtīt no Apvienotās Karalistes uz EEZ.
    
Vadlīnijas par rīcības kodeksiem
EDAK pieņēma vadlīnijas par rīcības kodeksiem. Šo vadlīniju mērķis ir sniegt praktiskus norādījumus un palīdzēt interpretēt VDAR 40. un 41. panta piemērošanu. Vadlīnijas ir paredzētas, lai palīdzētu precizēt procedūras un noteikumus, kas saistīti ar rīcības kodeksu iesniegšanu, apstiprināšanu un publicēšanu gan valsts, gan Eiropas līmenī. Šīm vadlīnijām būtu jāturpina darboties kā skaidram pamatam visām kompetentajām uzraudzības iestādēm, kolēģijai un Komisijai, lai konsekventi novērtētu rīcības kodeksus un racionalizētu novērtēšanas procesā iesaistītās procedūras. Vadlīnijas tiks nodotas sabiedriskajai apspriešanai.

Piezīme redaktoriem

Lūdzam ņemt vērā, ka visiem Eiropas Datu aizsardzības kolēģijas plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brussels, 24 January - On January 22nd and 23rd, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their sixth plenary session. During the plenary a wide range of topics were discussed.
 
Privacy Shield
The Board Members adopted the EDPB’s report on the Second Annual Review of the EU-US Privacy Shield. The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield, especially actions undertaken to adapt the initial certification process, start ex officio oversight and enforcement actions, as well as the efforts  to publish a number of important documents, in part by declassification (such as decisions by the FISA Court), the appointment of a new Chair as well as of three new members of the Privacy and Civil Liberties Oversight Board (PCLOB) and the recently announced appointment of a permanent Ombudsperson.

In view of the findings of the second joint review, the following concerns about the implementation of the Privacy Shield still remain. This includes concerns already expressed by the EDPB’s predecessor WP29 on the lack of concrete assurances that indiscriminate collection and access of personal data for national security purposes are excluded. Also, based on the information provided so far, the EDPB cannot currently consider that the Ombudsperson is vested with sufficient powers to remedy non-compliance. In addition, the Board points out that checks regarding compliance with the substance of the Privacy Shield’s principles are not sufficiently strong.

Moreover, the EDPB has some additional concerns with regard to the necessary checks to comply with the onward transfer requirements, the scope of meaning of HR Data and the recertification process, as well as to a list of remaining issues raised after the first joint review which are still pending.

Brexit

The EDPB discussed possible consequences of Brexit in the area of data protection. Members agreed to cooperate and exchange information regarding their preparations and the tools available to transfer data to the UK, once the UK will no longer be part of the EU.

Clinical trials Q&A

Following a request from the European Commission (DG SANTE), the EDPB adopted its opinion on the clinical trials Q&A. The opinion addresses in particular the aspects related to the adequate legal bases in the context of clinical trials, and the secondary uses of clinical trial data for scientific purposes. The opinion will now be transmitted to the European Commission.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Liechtenstein and Norway. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 22 opinions adopted during the September plenary, and the four opinions adopted during the December plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Guidelines on certification
The EDPB adopted the final version of the guidelines on certification following public consultation. Additionally, the Board also adopted a new annex. A draft version of the guidelines had been adopted during the EDPB’s first plenary in May. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. As such, the guidelines explore the rationale for certification as an accountability tool, provide explanations for the key concepts of the certification provisions in art. 42 and art. 43, explain the scope of what can be certified and outline the purpose of certification. The guidelines will help Member States, supervisory authorities and national accreditation bodies (NAB) when reviewing and approving certification criteria in accordance with art. 42 and art. 43 GDPR. The annex will be subject to public consultation.

Response to Australian Supervisory Authority on data breach notification

In October 2018, the EDPB Chair received a written request from the Office of the Australian Information Commissioner regarding the publication of the data breach notifications by supervisory authorities. The EDPB welcomes the Australian Commissioner’s interest in cooperating with the European Data Protection Board on this issue and stresses the importance of international collaboration. In its response, the EDPB provides further information on whether and how supervisory authorities handle the publication of information regarding data breach notifications.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary