Europejska Rada Ochrony Danych

Aktualności EROD

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

On October 8th and 9th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fourteenth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on the lawful basis for processing for online services based on contracts (Art. 6 (1) (b))
The EDPB adopted a final version of the guidelines on the scope and application of Article 6(1)(b) GDPR in the context of information society services. Following public consultation, points of clarification were included in the text. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Article 64 Opinion on Equinix BCRs
The EDPB adopted its opinion on the draft decision regarding Equinix Binding Corporate Rules (BCRs), submitted to the Board by the UK’s Information Commissioner’s Office (ICO). The EDPB is of the opinion that the Equinix BCRs contain all elements required under article 47 GDPR and WP256 rev01 and contain the appropriate safeguards.

Passenger Name Records (PNR)
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s letter regarding the renegotiated draft PNR agreement with Canada and its impact on other PNR agreements. In its response, the EDPB notes that the draft agreement has not yet been shared with the Board, but that the EDPB stands ready to issue an opinion. The letter further refers to a previous letter sent to the European Commission by the Article 29 Working Party (WP29), following the opinion of the European Court of Justice (CJEU) on the first draft PNR agreement with Canada.

Response to the Council Working Party on Sports Anti-Doping Code (WADA)
The EDPB adopted its response to the Council Working Party on Sports’ request regarding the ongoing review process of the World Anti-Doping Code. In its letter, the Board recalls two WP29 opinions on the previous versions of the WADA code. The letter points out that progress has been made in relation to the safeguards on privacy and data protection provided by the new version of the Code and its Standards, but that some important concerns remain.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruksela, 11 lipca –9 i 10 lipca br. organy ochrony danych EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych (EROD), spotkali się na dwunastej sesji plenarnej. Omówiono szeroki zakres zagadnień.

Wytyczne w sprawie monitoringu wizyjnego
Rada przyjęła wytyczne w sprawie monitoringu wizyjnego, w których wyjaśniono, w jaki sposób RODO ma zastosowanie do przetwarzania danych osobowych podczas korzystania z urządzeń wideo, i których celem jest zapewnienie spójnego stosowania RODO w tej kwestii. Wytyczne dotyczą zarówno tradycyjnych urządzeń wideo, jak i inteligentnych urządzeń wideo. W przypadku tych drugich wytyczne koncentrują się na zasadach przetwarzania szczególnych kategorii danych. Ponadto wytyczne obejmują między innymi kwestie zgodności z prawem przetwarzania danych, możliwości zastosowania wyłączeń dla czynności o czysto osobistym lub domowym charakterze oraz ujawniania nagranego materiału osobom trzecim. Wytyczne te będą przedmiotem konsultacji publicznych.

Wspólna odpowiedź EROD i EIOD udzielona komisji LIBE w sprawie skutków amerykańskiej ustawy CLOUD
EROD przyjęła wspólną odpowiedź EROD i EIOD na wniosek Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego w sprawie przeprowadzenia oceny prawnej dotyczącej wpływu amerykańskiej ustawy CLOUD na unijne ramy prawne w zakresie ochrony danych oraz upoważnienie do negocjowania umowy między UE a USA w sprawie transgranicznego dostępu do elektronicznych materiałów dowodowych na potrzeby współpracy wymiarów sprawiedliwości w sprawach karnych. Ustawa CLOUD umożliwia amerykańskim organom ścigania żądanie ujawniania danych przez usługodawców w Stanach Zjednoczonych, bez względu na to, gdzie dane są przechowywane.

EROD i EIOD podkreślają, że kompleksowa umowa między UE i USA dotycząca transgranicznego dostępu do elektronicznych materiałów dowodowych, zawierająca solidne proceduralne i materialne gwarancje praw podstawowych, wydaje się najodpowiedniejszym instrumentem do zapewnienia niezbędnego poziomu ochrony osób, których dane dotyczą, z UE oraz pewności prawa dla przedsiębiorstw.

Opinia na podstawie art. 64 RODO w sprawie przedłożonych przez duński organ nadzorczy standardowych klauzul umownych dla podmiotów przetwarzających zgodnie z art. 28 ust. 8 RODO
EROD przyjęła swoją opinię w sprawie projektu standardowych klauzul umownych w celu określenia ram procedur przetwarzania danych przez podmiot przetwarzający, przedłożonego EROD przez duński organ nadzorczy. Opinia ta, będąca pierwszą opinią na ten temat, ma na celu zapewnienie spójnego stosowania art. 28 RODO w odniesieniu do podmiotów przetwarzających. W opinii tej EROD wydała kilka zaleceń, które należy uwzględnić, aby opracowany przez duński organ nadzorczy projekt standardowych klauzul umownych można było uznać za standardowe klauzule umowne. Jeżeli wszystkie zalecenia zostaną wdrożone, duński organ nadzorczy będzie mógł wykorzystywać niniejszy projekt umowy jako standardowe klauzule umowne zgodnie z art. 28 ust. 8 RODO.

Opinia na podstawie art. 64 RODO w sprawie opracowanych przez austriacki organ nadzorczy kryteriów akredytacji dla podmiotów monitorujących kodeksy postępowania
Po przedłożeniu przez austriacki organ nadzorczy projektu decyzji w sprawie kryteriów akredytacji podmiotów monitorujących kodeksy postępowania EROD przyjęła opinię w tej sprawie. EROD zgodziła się, że w przypadku wszystkich kodeksów dotyczących organów i podmiotów niepublicznych istnieje obowiązek powołania akredytowanych podmiotów monitorujących zgodnie z RODO.

Opinia na podstawie art. 64 RODO w sprawie kompetencji organu nadzorczego w przypadku zmiany okoliczności dotyczących głównej lub pojedynczej jednostki organizacyjnej
EROD przyjęła opinię w sprawie kompetencji organu nadzorczego w przypadku zmiany okoliczności dotyczących głównej lub pojedynczej jednostki organizacyjnej. Może to nastąpić w przypadku przeniesienia głównej jednostki organizacyjnej w obrębie EOG, przeniesienia głównej jednostki organizacyjnej z państwa trzeciego do EOG lub w przypadku, gdy w EOG nie ma już głównej lub pojedynczej jednostki organizacyjnej. Zdaniem EROD w takich okolicznościach kompetencje wiodącego organu nadzorczego mogą zostać przeniesione na inny organ nadzorczy. W takim przypadku nadal będzie miała zastosowanie procedura współpracy określona w art. 60, a nowy wiodący organ nadzorczy będzie zobowiązany do współpracy z poprzednim wiodącym organem nadzorczym oraz z innymi odnośnymi organami nadzorczymi w celu osiągnięcia konsensusu. Przeniesienie kompetencji może mieć miejsce, dopóki właściwy organ nadzorczy nie podejmie ostatecznej decyzji.

Wspólna opinia EROD i EIOD w sprawie eHDSI
EROD przyjęła wspólną opinię EROD i EIOD w sprawie aspektów ochrony danych osobowych w kontekście przetwarzania danych pacjentów w europejskiej infrastrukturze usług cyfrowych w dziedzinie e-zdrowia (eHDSI). Jest to pierwsza wspólna opinia EROD i EIOD przyjęta w odpowiedzi na wniosek Komisji Europejskiej złożony na podstawie art. 42 ust. 2 rozporządzenia 2018/1725 w sprawie ochrony danych w instytucjach i organach UE. W swojej opinii EROD i EIOD stwierdzają, że w tej konkretnej sytuacji i ściśle w odniesieniu do przetwarzania danych pacjentów w ramach eHDSI nie ma powodu, aby podważać ocenę Komisji Europejskiej dotyczącą jej roli jako podmiotu przetwarzającego w ramach eHDSI. Ponadto we wspólnej opinii podkreśla się potrzebę zapewnienia, aby wszystkie obowiązki Komisji jako podmiotu przetwarzającego w związku z tą operacją przetwarzania danych, wyszczególnione w obowiązujących przepisach o ochronie danych, były jasno określone w odnośnym akcie wykonawczym.

Opracowany przez Cypr wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych
EROD przyjęła opinię w sprawie przedłożonego jej przez Cypr wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Wspomniane wykazy stanowią ważne narzędzie zapewniające spójne stosowanie RODO w całym EOG. Ocena skutków dla ochrony danych to proces pomocny w identyfikowaniu i ograniczaniu zagrożeń związanych z ochroną danych, które to zagrożenia mogą mieć wpływ na prawa i wolności osób fizycznych.

Opinia na podstawie art. 64 RODO w sprawie przedłożonych przez Francję, Hiszpanię i Czechy wykazów na mocy art. 35 ust. 5 (zwolnienie z obowiązku dotyczącego oceny skutków dla ochrony danych)
EROD przyjęła opinię w sprawie przedłożonych jej przez organy nadzorcze Francji, Hiszpanii i Czech wykazów na mocy art. 35 ust. 5.

Zalecenie w sprawie wykazu EIOD zgodnie z art. 39 ust. 4 rozporządzenia 2018/1725 (wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych)
EROD przyjęła zalecenie w sprawie wykazu na mocy art. 39 ust. 4 przedłożonego jej przez EIOD. EIOD musi konsultować się z EROD przed przyjęciem tych wykazów, jeżeli takie wykazy „odnoszą się do operacji przetwarzania danych przez administratora działającego wspólnie z co najmniej jednym administratorem innym niż instytucje i organy Unii” (art. 39 ust. 6 rozporządzenia (UE) 2018/1725). Podobnie jak w przypadku wykazów podlegających wymogowi dokonania oceny skutków dla ochrony danych na podstawie RODO, wykaz EIOD informuje administratorów o czynnościach przetwarzania, które wymagają dokonania oceny skutków dla ochrony danych.

Informacje dla redaktorów
Prosimy zwrócić uwagę, że wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz będą udostępniane na stronie internetowej EROD po ich zakończeniu.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruksela, dnia 5 czerwca – W dniu 4 czerwca organy ochrony danych EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych, spotkali się na jedenastej sesji plenarnej. Na sesji tej omówiono szeroki zakres zagadnień.

Wytyczne dotyczące kodeksów postępowania
EROD przyjęła ostateczną wersję wytycznych dotyczących kodeksów postępowania. Po przeprowadzeniu konsultacji publicznych w tekście zawarto objaśnienia. Celem tych wytycznych jest zapewnienie praktycznych wskazówek i pomocy w interpretacji w odniesieniu do stosowania art. 40 i 41 RODO. Wytyczne mają pomóc w wyjaśnieniu procedur i przepisów dotyczących przedkładania, zatwierdzania i publikacji kodeksów postępowania zarówno na szczeblu krajowym, jak i europejskim. Wytyczne te powinny ponadto stanowić jasne ramy dla wszystkich właściwych organów nadzorczych, EROD i Komisji, umożliwiające spójną ocenę kodeksów postępowania oraz usprawnienie procedur związanych z procesem oceny.

Załącznik do wytycznych w sprawie akredytacji
Po przeprowadzeniu konsultacji publicznych EROD przyjęła ostateczną wersję załącznika do wytycznych w sprawie akredytacji. W celu zwiększenia przejrzystości dokonano przeglądu tekstu. Celem wytycznych jest udostępnienie wskazówek dotyczących interpretowania i wykonywania przepisów art. 43 RODO. Przede wszystkim mają one pomóc państwom członkowskim, organom nadzorczym i krajowym jednostkom akredytującym w ustanowieniu spójnej i ujednoliconej podstawy na potrzeby akredytowania podmiotów certyfikujących, które wydają certyfikaty zgodnie z RODO. W załączniku zawarto wytyczne dotyczące dodatkowych wymogów w zakresie akredytowania podmiotów certyfikujących, które to wymogi powinny zostać wprowadzone przez organy nadzorcze. Te dodatkowe wytyczne, przed ich przyjęciem przez organy nadzorcze, powinny zostać przedłożone Europejskiej Radzie Ochrony Danych do zatwierdzenia zgodnie z art. 64 ust. 1 lit. c)*.

Załącznik do wytycznych w sprawie certyfikacji
EROD przyjęła ostateczną wersję załącznika 2 do wytycznych w sprawie certyfikacji. Po przeprowadzeniu konsultacji publicznych do niektórych sekcji dodano pewne kwestie dotyczące np. tego, czy kryteria uwzględniają obowiązek administratora / podmiotu przetwarzającego w zakresie wyznaczenia inspektora ochrony danych i obowiązek prowadzenia rejestrów czynności przetwarzania. Głównym celem tych wytycznych jest określenie nadrzędnych kryteriów, które mogą mieć zastosowanie do wszystkich typów mechanizmów certyfikacji wydanych zgodnie z art. 42 i 43 RODO. Z załączniku zidentyfikowano zagadnienia, które organy nadzorcze ds. ochrony danych oraz EROD wezmą pod uwagę i zastosują podczas zatwierdzania kryteriów certyfikacji dla mechanizmu certyfikacji. Wykaz ten nie jest wyczerpujący, ale przedstawia minimum zagadnień, które należy wziąć pod uwagę*.

Informacje dla redaktorów

*Następnie, przed omówieniem określonych przypadków dotyczących certyfikacji i akredytacji na szczeblu EROD, EROD przygotowuje procedurę mającą na celu ułatwienie sporządzania spójnych i terminowych opinii na temat projektu decyzji organu nadzorczego oraz zatwierdzania europejskich znaków jakości ochrony danych.

Prosimy zwrócić uwagę, że wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz będą udostępniane na stronie internetowej EROD po ich zakończeniu.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruksela, dnia 15 maja – W dniach 14 i 15 maja br. organy ochrony danych EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych („EROD”), spotkali się na dziesiątej sesji plenarnej. Na sesji tej omówiono szeroki zakres zagadnień.

Wybór nowego wiceprzewodniczącego
Na nowego wiceprzewodniczącego członkowie Rady wybrali Aleida Wolfsena, przewodniczącego niderlandzkiego organu nadzoru. Zastąpi on Willema Debeuckelaere, któremu przewodnicząca EROD Andrea Jelinek podziękowała za włożoną pracę. Wraz z innym wiceprzewodniczącym, Ventsislavem Karadjovem, Aleid Wolfsen będzie wspierał przewodniczącą EROD w jej pracy na rzecz Rady w nadchodzących latach. Dr Jelinek stwierdziła: „Zainteresowanie społeczeństwa kwestią ochrony danych jest większe niż kiedykolwiek. Cieszę się, że będę mogła pracować wspólnie z Aleidem i Ventsislavem nad nawiązaniem kontaktu z szerszą grupą zainteresowanych stron zajmujących się ochroną danych”.

Aleid Wolfsen dodał: „Naszym obowiązkiem jako Rady będzie w najbliższych latach udzielanie miarodajnych wskazówek i rzetelnego doradztwa. Jako wiceprzewodniczący będę odpowiadał za to, byśmy brali pod uwagę wszystkie opinie i w ostatecznym rozrachunku przemawiali jednym głosem”.

Odpowiedź na pytanie posłanki do Parlamentu Europejskiego Sophie In ’t Veld w sprawie pojazdów połączonych
Europejska Rada Ochrony Danych wystosowała odpowiedź na pismo posłanki Sophie In ’t Veld z dnia 17 kwietnia 2019 r. w sprawie udostępniania danych osobowych kierowców producentom samochodów i osobom trzecim bez wyraźnej, konkretnej i świadomej zgody kierowcy oraz bez odpowiedniej podstawy prawnej. W swojej odpowiedzi EROD podkreśla, że członkowie Rady i inne międzynarodowe organy/instytucje przyjęli w 2017 r. rezolucję Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności (ICDPPC) w sprawie ochrony danych w pojazdach zautomatyzowanych i połączonych oraz że Grupa Robocza Art. 29 przyjęła opinię 3/2017 w sprawie przetwarzania danych osobowych w kontekście współpracujących inteligentnych systemów transportowych (C-ITS). Kwestia ta będzie również omawiana zgodnie z programem prac EROD na lata 2019–2020.

Trzeci doroczny przegląd Tarczy Prywatności
EROD wyznaczyła przedstawicieli na trzeci doroczny przegląd Tarczy Prywatności. Podczas przeglądu Radę będą reprezentować Austria, Bułgaria, Francja, Niemcy, Węgry i Europejski Inspektor Ochrony Danych.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Europejska Rada Ochrony Danych – dziewiąte posiedzenie plenarne: Wytyczne dotyczące przetwarzania danych osobowych w kontekście usług społeczeństwa informacyjnego

Bruksela, dnia 10 kwietnia 2019 r. – W dniach 9 i 10 kwietnia 2019 r. organy ochrony danych z EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych (EROD), spotkali się na dziewiątej sesji plenarnej.
 
Podczas posiedzenia plenarnego EROD przyjęła wytyczne dotyczące zakresu i stosowania art. 6 ust. 1 lit. b)* ogólnego rozporządzenia o ochronie danych (RODO) w kontekście usług społeczeństwa informacyjnego. W swoich wytycznych EROD przedstawiła ogólne uwagi dotyczące zasad ochrony danych i wzajemnego oddziaływania przepisów art. 6 ust. 1 lit. b) z innymi zgodnymi z prawem podstawami. Ponadto przedstawiła w nich wskazówki na temat stosowania art. 6 ust. 1 lit. b) w przypadku łączenia odrębnych usług i rozwiązania umowy.

Informacje dla redaktorów:
 
Prosimy zwrócić uwagę, że wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz będą udostępniane na stronie internetowej EROD po ich zakończeniu.

* Art. 6 ust. 1 lit. b)
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
(...)
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”.
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruksela, dnia 13 lutego – W dniu 12 lutego organy ochrony danych EOG oraz Europejski Inspektor Ochrony Danych, zrzeszeni w Europejskiej Radzie Ochrony Danych, spotkali się na 7. sesji plenarnej. Na sesji tej omówiono szeroki zakres zagadnień.
 
Program prac EROD na lata 2019–2020
Zgodnie z art. 29 regulaminu wewnętrznego Europejskiej Rady Ochrony Danych przyjęła ona swój dwuletni program prac na lata 2019–2020. Program prac EROD jest oparty na potrzebach określonych przez członków jako priorytetowe dla osób fizycznych i zainteresowanych stron, a także na działaniach zaplanowanych przez unijnego prawodawcę.

Projekt porozumienia administracyjnego w dziedzinie nadzoru nad rynkami finansowymi
Na podstawie art. 46 ust. 3 lit. b) RODO Europejska Rada Ochrony Danych przyjęła swoją pierwszą opinię w sprawie porozumienia administracyjnego w kwestii przekazywania danych osobowych między organami nadzoru finansowego EOG, w tym między Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych (ESMA), a ich odpowiednikami spoza UE. Porozumienie to zostanie przekazane właściwym organom nadzorczym w celu zatwierdzenia go na szczeblu krajowym. Właściwe organy nadzorcze będą monitorować to porozumienie administracyjne i jego praktyczne stosowanie w celu zagwarantowania, by osoby, których dane dotyczą, dysponowały w praktyce skutecznymi i możliwymi do wyegzekwowania prawami oraz by istniały odpowiednie środki odwoławcze i środki nadzoru.

Brexit
EROD przyjęła notę informacyjną skierowaną do podmiotów handlowych i organów publicznych w sprawie przekazywania danych na podstawie RODO w przypadku braku porozumienia w sprawie wystąpienia Zjednoczonego Królestwa z UE.

Przepływ danych z EOG do Zjednoczonego Królestwa
W przypadku braku umowy o wystąpieniu Zjednoczonego Królestwa z Unii Europejskiej między UE a Zjednoczonym Królestwem, Zjednoczone Królestwo stanie się państwem trzecim w dniu 30 marca 2019 r. od godz. 00.00 czasu środkowoeuropejskiego. W związku z tym przekazywanie danych osobowych z EOG do Zjednoczonego Królestwa będzie musiało opierać się na jednym z następujących instrumentów: standardowych lub doraźnych klauzulach ochrony danych, wiążących regułach korporacyjnych, kodeksach postępowania i mechanizmach certyfikacji oraz szczególnych instrumentach przekazywania dostępnych dla organów publicznych. W przypadku braku standardowych klauzul ochrony danych lub innych odpowiednich gwarancji, pod pewnymi warunkami można stosować odstępstwa.

Przepływ danych ze Zjednoczonego Królestwa do EOG
Jeżeli chodzi o przekazywanie danych ze Zjednoczonego Królestwa do EOG, według rządu Zjednoczonego Królestwa obecna praktyka, która umożliwia swobodny przepływ danych osobowych ze Zjednoczonego Królestwa do EOG, będzie kontynuowana w przypadku wystąpienia Zjednoczonego Królestwa z UE bez porozumienia.
    
Wytyczne dotyczące kodeksów postępowania
EROD przyjęła wytyczne dotyczące kodeksów postępowania. Celem tych wytycznych jest zapewnienie praktycznych wskazówek i pomocy w interpretacji w odniesieniu do stosowania art. 40 i 41 RODO. Wytyczne mają pomóc w wyjaśnieniu procedur i przepisów dotyczących przedkładania, zatwierdzania i publikacji kodeksów postępowania zarówno na szczeblu krajowym, jak i europejskim. Wytyczne te powinny ponadto stanowić jasne ramy dla wszystkich właściwych organów nadzorczych, EROD i Komisji, umożliwiające spójną ocenę kodeksów postępowania oraz usprawnienie procedur związanych z procesem oceny. Wytyczne te będą przedmiotem konsultacji publicznych.

Informacje dla redaktorów

Prosimy zwrócić uwagę, że wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz będą udostępniane na stronie internetowej EROD po ich zakończeniu.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruksela, 24 stycznia – W dniach 22 i 23 stycznia europejskie organy ochrony danych zrzeszone w Europejskiej Radzie Ochrony Danych (EROD) spotkały się na szóstej sesji plenarnej. Omówiono szeroki zakres zagadnień.
 
Tarcza Prywatności
Członkowie Rady przyjęli sprawozdanie EROD dotyczące drugiego rocznego przeglądu Tarczy Prywatności UE–USA. EROD z zadowoleniem przyjęła wysiłki podjęte przez władze Stanów Zjednoczonych i przez Komisję w celu wdrożenia Tarczy Prywatności, w szczególności te w obrębie dostosowania procesu wstępnej certyfikacji, rozpoczęcia z urzędu działań nadzorczych i w zakresie egzekwowania prawa oraz wysiłki zmierzające do opublikowania szeregu istotnych dokumentów (na przykład decyzji sądu FISA), między innymi poprzez zniesienie klauzuli tajności, a także mianowanie nowego przewodniczącego i trzech nowych członków Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB) oraz niedawno ogłoszone powołanie stałego Rzecznika ds. Tarczy Prywatności.

W świetle ustaleń drugiego wspólnego przeglądu niektóre obawy związane z wdrożeniem Tarczy Prywatności pozostają aktualne. Chodzi między innymi o obawy wyrażone już przez poprzednika EROD, Grupę Roboczą Art. 29, dotyczące braku realnej gwarancji, że wyklucza się nieograniczone zbieranie oraz dostęp do danych osobowych do celów bezpieczeństwa narodowego. Co więcej EROD nie może uznać w oparciu o dostępne obecnie informacje, że Rzecznik ds. Tarczy Prywatności ma wystarczające uprawnienia, by zaradzić niezgodnościom. Rada zauważyła też, że kontrole dotyczące zgodności z zasadami Tarczy Prywatności nie są dostatecznie rygorystyczne.

EROD ma ponadto dodatkowe obawy związane z kontrolami koniecznymi do spełnienia wymogów w celu dalszego przekazywania danych, z zakresem znaczenia danych dotyczących zasobów ludzkich oraz procesu ponownej certyfikacji, a także z szeregiem innych kwestii poruszonych w wyniku pierwszego wspólnego przeglądu, będących nadal w toku rozpatrywania.

Brexit
EROD omówiła możliwe konsekwencje Brexitu dla ochrony danych. Członkowie zgodzili się na współpracę i wymianę informacji na temat przygotowań i dostępnych narzędzi pozwalających na przekazywanie danych do Zjednoczonego Królestwa po wyjściu Zjednoczonego Królestwa z UE.
 
Pytania i odpowiedzi na temat badań klinicznych
Na wniosek Komisji Europejskiej (DG SANTE) EROD przyjęła swoją opinię dotyczącą pytań i odpowiedzi na temat badań klinicznych (w sprawie wzajemnej zależności między rozporządzeniem w sprawie badań klinicznych a RODO). W opinii poruszono w szczególności kwestie związane z odpowiednimi podstawami prawnymi w kontekście badań klinicznych oraz z wtórnym wykorzystywaniem do celów naukowych danych pochodzących z badań klinicznych. Opinia zostanie następnie przekazana Komisji Europejskiej.

Wykazy rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych
EROD przyjęła opinie w sprawie wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych, przedłożonych Radzie przez Liechtenstein i Norwegię. Wspomniane wykazy stanowią ważne narzędzie służące spójnemu stosowaniu RODO w całym EOG. Ocena skutków dla ochrony danych to proces pomocny w identyfikowaniu i ograniczaniu zagrożeń związanych z ochroną danych, które mogą mieć wpływ na prawa i wolności osób fizycznych. Rozważenie, czy przed podjęciem działalności związanej z przetwarzaniem niezbędne jest dokonanie oceny skutków dla ochrony danych, należy zasadniczo do obowiązków administratora danych. Krajowe organy nadzorcze są natomiast odpowiedzialne za sporządzenie i opublikowanie wykazu rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Te dwie opinie, kolejne po 22 opiniach przyjętych w czasie wrześniowej sesji plenarnej oraz czterech opiniach przyjętych w czasie grudniowej sesji plenarnej, przyczynią się do ustanowienia wspólnych kryteriów dla wykazów operacji przetwarzania wymagających oceny skutków dla ochrony danych w całym EOG.

Wytyczne dotyczące certyfikacji
Po konsultacjach społecznych EROD przyjęła ostateczną wersję wytycznych dotyczących certyfikacji. Ponadto Rada przyjęła nowy załącznik. Wstępną wersję wytycznych przyjęto w maju, podczas pierwszej sesji plenarnej EROD. Głównym celem tych wytycznych jest określenie nadrzędnych kryteriów, które mogą mieć zastosowanie do wszystkich rodzajów mechanizmów certyfikacji wydanych zgodnie z art. 42 i 43 RODO. W związku z tym w wytycznych zbadano zasadność stosowania certyfikacji jako narzędzia służącego rozliczalności, wyjaśniono kluczowe pojęcia zawarte w art. 42 i 43 przepisów dotyczących certyfikacji, a także określono zakres tego, co może być certyfikowane i przedstawiono zarys celów certyfikacji. Wytyczne pomogą państwom członkowskim, organom nadzorczym i krajowym jednostkom akredytującym w dokonywaniu przeglądu i zatwierdzaniu kryteriów certyfikacji zgodnie z art. 42 i 43 RODO. Załącznik będzie przedmiotem konsultacji publicznych.

Odpowiedź udzielona australijskiemu organowi nadzorczemu w sprawie zgłoszenia naruszenia ochrony danych
W październiku 2018 r. przewodnicząca EROD otrzymała z Urzędu Rzecznika ds. Informacji Australii pisemny wniosek dotyczący publikacji zgłoszeń naruszeń ochrony danych przez organy nadzorcze. EROD z zadowoleniem przyjęła zainteresowanie australijskiego Rzecznika ds. Informacji współpracą z Europejską Radą Ochrony Danych na tym polu i podkreśliła znaczenie współpracy międzynarodowej. W udzielonej odpowiedzi EROD przedstawia dalsze wskazówki odnośnie do tego, czy i w jaki sposób organy nadzorcze powinny publikować informacje dotyczące zgłoszeń naruszeń ochrony danych.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary