Comitetul European pentru Protecția Datelor

Noutăți CEPD

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

On October 8th and 9th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fourteenth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on the lawful basis for processing for online services based on contracts (Art. 6 (1) (b))
The EDPB adopted a final version of the guidelines on the scope and application of Article 6(1)(b) GDPR in the context of information society services. Following public consultation, points of clarification were included in the text. In its guidelines, the Board makes general observations regarding data protection principles and the interaction of Article 6(1)(b) with other lawful bases. In addition, the guidelines contain guidance on the applicability of Article 6(1)(b) in case of bundling of separate services and termination of contract.

Article 64 Opinion on Equinix BCRs
The EDPB adopted its opinion on the draft decision regarding Equinix Binding Corporate Rules (BCRs), submitted to the Board by the UK’s Information Commissioner’s Office (ICO). The EDPB is of the opinion that the Equinix BCRs contain all elements required under article 47 GDPR and WP256 rev01 and contain the appropriate safeguards.

Passenger Name Records (PNR)
The EDPB adopted a letter in response to MEP Sophie in’t Veld’s letter regarding the renegotiated draft PNR agreement with Canada and its impact on other PNR agreements. In its response, the EDPB notes that the draft agreement has not yet been shared with the Board, but that the EDPB stands ready to issue an opinion. The letter further refers to a previous letter sent to the European Commission by the Article 29 Working Party (WP29), following the opinion of the European Court of Justice (CJEU) on the first draft PNR agreement with Canada.

Response to the Council Working Party on Sports Anti-Doping Code (WADA)
The EDPB adopted its response to the Council Working Party on Sports’ request regarding the ongoing review process of the World Anti-Doping Code. In its letter, the Board recalls two WP29 opinions on the previous versions of the WADA code. The letter points out that progress has been made in relation to the safeguards on privacy and data protection provided by the new version of the Code and its Standards, but that some important concerns remain.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruxelles, 11 iulie – La 9 și 10 iulie, autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de a douăsprezecea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.

Orientările privind supravegherea video
Comitetul a adoptat Orientările privind supravegherea video, prin care se clarifică modul în care se aplică RGPD în ceea ce privește prelucrarea datelor cu caracter personal atunci când se utilizează dispozitive video și care vizează asigurarea aplicării consecvente a RGPD în această privință. Orientările se referă atât la dispozitivele video tradiționale, cât și la dispozitivele video inteligente. Pentru acestea din urmă, orientările se axează pe normele privind prelucrarea unor categoriilor speciale de date. Pe lângă acestea, orientările se referă, între altele, la legalitatea prelucrării, la aplicabilitatea excepției pentru activitatea domestică și la punerea la dispoziție a înregistrărilor către terți. Orientările vor face obiectul unei consultări publice.

Răspunsul comun al CEPD și AEPD către Comitetul LIBE cu privire la implicațiile Legii CLOUD a SUA
CEPD a adoptat un răspuns comun al CEPD și AEPD la cererea Comitetului pentru Libertăți Civile, Justiție și Afaceri Interne a Parlamentului European (LIBE) de a se realiza o evaluare juridică a implicațiilor Legii CLOUD a SUA asupra cadrului juridic al UE privind protecția datelor și asupra mandatului de negociere a acordului UE-SUA privind accesul transfrontalier la probele electronice în scopul cooperării judiciare în materie penală. Legea CLOUD permite autorităților americane de aplicare a legii din SUA să solicite divulgarea datelor de către furnizorii de servicii din SUA, indiferent de locul în care sunt stocate datele.

CEPD și AEPD subliniază faptul că un acord cuprinzător UE-SUA privind accesul transfrontalier la probele electronice, care să conțină garanții procedurale și substanțiale solide în ceea ce privește drepturile fundamentale, pare să fie instrumentul cel mai potrivit pentru a se asigura nivelul necesar de protecție a persoanelor vizate din UE și securitatea juridică a întreprinderilor.

Avizul în temeiul articolului 64 din RGPD cu privire la clauzele contractuale standard pentru persoanele împuternicite de operator în temeiul articolului 28 alineatul (8) din RGPD prezentate de autoritatea daneză de supraveghere
CEPD a adoptat un aviz cu privire la proiectul de clauze contractuale standard (CCS) pentru încadrarea prelucrării de către o persoană împuternicită de către operator, transmis Comitetului de către autoritatea daneză de supraveghere. Avizul, primul pe această temă, vizează aplicarea consecventă a articolului 28 din RGPD în ceea ce privește persoanele împuternicite de către operator. Comitetul a formulat în aviz o serie de recomandări care trebuie luate în considerare pentru ca proiectul de CCS al autorității daneze de supraveghere să fie considerat drept clauze contractuale standard. Dacă toate recomandările sunt puse în aplicare, autoritatea daneză de supraveghere va putea să utilizeze respectivul proiect drept Clauze contractuale standard în temeiul articolului 28 alineatul (8) din RGPD.

Avizul în temeiul articolului 64 din RGPD privind Criteriile de acreditare pentru organismele de monitorizare a codurilor de conduită prezentate de autoritatea austriacă de supraveghere
În urma prezentării de către Austria a proiectului său de decizie privind criteriile de acreditare a organismelor de monitorizare a codurilor de conduită, Comitetul și-a adoptat avizul. Comitetul a confirmat că toate codurile care vizează autoritățile și organismele care nu sunt publice trebuie să dispună de organisme de monitorizare în conformitate cu RGPD.

Avizul în temeiul articolului 64 din RGPD privind competența unei autorități de supraveghere în cazul în care se modifică circumstanțele unității principale sau unice
Comitetul a adoptat un aviz cu privire la competența unei autorități de supraveghere în cazul în care se modifică circumstanțele unității principale sau unice. Această situație poate apărea atunci când unitatea principală este transferată în SEE, când unitatea principală este transferată dintr-o țară terță în SEE sau când nu mai există o unitate principală sau unică în SEE. Comitetul este de părere că, în astfel de circumstanțe, competența autorității principale de supraveghere (APS) poate trece la o altă autoritate de supraveghere. În acest caz, procedura de cooperare prevăzută la articolul 60 va continua să se aplice, iar noua APS va fi obligată să coopereze cu fosta APS și cu celelalte autorități de supraveghere în cauză pentru a se ajunge la un consens. Transferul poate avea loc atât timp cât autoritatea de supraveghere competentă nu a luat nicio decizie finală.

Avizul comun al CEPD și AEPD privind eHDSI
Comitetul a adoptat un aviz comun al CEPD și AEPD cu privire la aspectele legate de protecția datelor cu caracter personal ale prelucrării datelor privind pacienții în cadrul infrastructurii de servicii digitale de e-sănătate (eHDSI). Acesta este primul aviz comun al CEPD și AEPD, adoptat ca răspuns la o solicitare din partea Comisiei Europene în temeiul articolului 42 alineatul (2) din Regulamentul 2018/1725 privind protecția datelor de către instituțiile și organismele UE. În avizul lor, CEPD și AEPD consideră că, în această situație specifică și pentru prelucrarea concretă a datelor pacienților în cadrul eHDSI, nu există niciun motiv de opoziție față de evaluarea Comisiei Europene cu privire la rolul său de persoană împuternicită de către operator în cadrul eHDSI. Mai mult, avizul comun subliniază necesitatea de a se asigura că toate sarcinile Comisiei în calitate de persoană împuternicită de către operator în cadrul acestei operațiuni de prelucrare sunt stabilite în mod clar în actul de punere în aplicare, așa cum se specifică în legislația aplicabilă privind protecția datelor.   

Lista EIPD a Ciprului
CEPD a adoptat un aviz privind lista EIPD (lista tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor), prezentată comitetului de către Cipru. Listele EIPD constituie un instrument important pentru aplicarea consecventă a RGPD în întregul SEE. EIPD este un proces care contribuie la identificarea și la atenuarea riscurilor legate de protecția datelor ce ar putea afecta drepturile și libertățile persoanelor.

Avizul în temeiul articolului 64 din RGPD cu privire la listele prevăzute la articolul 35 alineatul (5) prezentate de către autoritățile de supraveghere franceze, spaniole și cehe („excepția EIPD”)
CEPD și-a adoptat avizul cu privire la listele prevăzute la articolul 35 alineatul (5) prezentate comitetului de către autoritățile de supraveghere franceze, spaniole și cehe.

Recomandare privind lista prezentată de AEPD în temeiul articolului 39 alineatul (4) din Regulamentul 2018/1725 (lista EIPD)
Comitetul a adoptat o recomandare privind lista prezentată de către AEPD în temeiul articolului 39 alineatul (4). AEPD trebuie să consulte CEPD înainte de adoptarea acestor liste în cazul în care acestea „vizează operațiuni de prelucrare efectuate de un operator care acționează împreună cu unul sau mai mulți operatori alții decât instituțiile și organele Uniunii” [articolul 39 alineatul (6) din Regulamentul (UE) 2018/1725]. În mod similar cu listele EIPD în temeiul RGPD, listele AEPD informează operatorii cu privire la activitățile de prelucrare care necesită o evaluare a impactului asupra protecției datelor.

Notă pentru editori:
Vă atragem atenția asupra faptului că toate documentele adoptate în timpul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce vor fi finalizate aceste verificări.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruxelles, 5 iunie - În data de 4 iunie, autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor (CEPD), au participat la cea de a unsprezecea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.

Orientări privind Codurile de Conduită
CEPD a adoptat versiunea finală a Orientărilor privind Codurile de Conduită. În urma unei consultări publice, în text au fost incluse anumite clarificări. Obiectivul acestora este de a oferi îndrumări practice și asistență interpretativă în ceea ce privește aplicarea articolelor 40 și 41 din RGPD. Orientările urmăresc să contribuie la clarificarea procedurilor și a normelor implicate în prezentarea, aprobarea și publicarea codurilor de conduită atât la nivel național, cât și la nivel european. Aceste orientări ar trebui să reprezinte ulterior un cadru clar pentru toate autoritățile de supraveghere competente, pentru Comitet și pentru Comisie în vederea evaluării în mod coerent a codurilor de conduită și a eficientizării procedurilor aferente procesului de evaluare.

Anexă la Orientările privind Acreditarea
În urma unor consultări publice, CEPD a adoptat o versiune finală a anexei la Orientările privind Acreditarea. Textul a fost revizuit pentru a-i oferi mai multă claritate. Scopul orientărilor este de a oferi îndrumare în ceea ce privește interpretarea și punerea în aplicare a dispozițiilor articolului 43 din RGPD. În special, acestea au scopul de a ajuta statele membre, autoritățile de supraveghere și organismele naționale de acreditare să stabilească un nivel de referință coerent și armonizat pentru acreditarea organismelor de certificare care emit o certificare în conformitate cu RGPD. Anexa oferă orientări cu privire la cerințele suplimentare pentru acreditarea organismelor de certificare care urmează să fie stabilite de autoritățile de supraveghere. Înainte de a fi adoptate de autoritățile de supraveghere, aceste cerințe suplimentare trebuie să fie prezentate Comitetului European pentru Protecția Datelor în vederea aprobării în temeiul articolului 64 alineatul (1) litera (c).*

Anexă la Orientările privind Certificarea
CEPD a adoptat o versiune finală a anexei 2 la Orientările privind Certificarea. În urma consultărilor publice, la unele secțiuni au fost adăugate anumite aspecte, spre exemplu dacă obligația operatorului/a persoanei împuternicite de operator de a numi un responsabil cu protecția datelor și obligația de a ține evidența activităților de prelucrare sunt menționate în criteriile din anexă. Obiectivul principal al acestor orientări este de a identifica criteriile generale care pot fi relevante pentru toate tipurile de mecanisme de certificare emise în conformitate cu articolul 42 și cu articolul 43 din RGPD. Anexa identifică temele pe care autoritățile de supraveghere a protecției datelor și CEPD le vor lua în considerare și le vor aplica în vederea aprobării criteriilor de certificare pentru un mecanism de certificare. Lista nu este exhaustivă, ci prezintă temele esențiale care trebuie avute în vedere.*

Notă pentru editori:
* În etapa următoare, înainte de discutarea cazurilor specifice cu privire la certificare și acreditare la nivelul CEPD, Comitetul pregătește o procedură de facilitare a unor avize coerente și oportune pe marginea proiectelor de decizie ale autorităților de supraveghere și de aprobare a sigiliilor europene privind protecția datelor.

Vă atragem atenția asupra faptului că toate documentele adoptate în timpul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce vor fi finalizate aceste verificări.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruxelles, 15 mai – În perioada 14-15 mai, autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de-a zecea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.

Alegerea unui nou vicepreședinte
Membrii Comitetului l-au ales pe Aleid Wolfsen, președintele Autorității neerlandeze de supraveghere, în funcția de vicepreședinte. Acesta îl înlocuiește pe Willem Debeuckelaere, căruia Andrea Jelinek, președinta Comitetului European pentru Protecția Datelor, i-a mulțumit pentru activitatea sa. Împreună cu celălalt vicepreședinte, Ventsislav Karadjov, dl Wolfsen va acorda sprijin președintei CEPD în activitatea sa în următorii ani. Dr. Jelinek a adăugat: „Interesul public pentru protecția datelor este la un nivel fără precedent. Aștept cu interes să lucrez cu Aleid și Ventsislav pentru a colabora cu comunitatea mai largă a părților interesate în materie de protecția datelor.”

Dl Wolfsen a adăugat: „În următorii ani, este responsabilitatea noastră, a Comitetului, să furnizăm orientări cu valoare de referință și o consiliere solidă. Îmi voi asuma responsabilitatea, ca vicepreședinte, de a lua în considerare toate opiniile și, în cele din urmă, de a ne exprima pe o singură voce.

Răspuns adresat deputatei europene Sophia In’t Veld în legătură cu vehiculele conectate
CEPD a adoptat o scrisoare de răspuns la scrisoarea adresată de deputata europeană Sophia In’t Veld la 17 aprilie 2019 referitoare la schimbul de date personale ale conducătorilor auto cu producătorul autovehiculului și cu terți, fără consimțământul explicit, specific și în cunoștință de cauză al conducătorilor auto și fără un temei juridic adecvat. În răspunsul său, CEPD subliniază faptul că membrii Comitetului și colegii acestora de pe plan internațional au adoptat, în 2017, o rezoluție a ICDPPC privind protecția datelor în vehiculele automatizate și conectate și că Grupul de Lucru „Articolul 29” a adoptat Avizul 3/2017 privind prelucrarea datelor cu caracter personal în contextul sistemelor de transport inteligente cooperative (STI-C). Subiectul va fi, de asemenea, abordat în conformitate cu programul de lucru al CEPD pentru 2019-2020.

A treia revizuire anuală a Scutului de Confidențialitate
CEPD și-a desemnat reprezentanții pentru a treia revizuire anuală a Scutului de Confidențialitate. Austria, Bulgaria, Franța, Germania, Ungaria și Autoritatea Europeană pentru Protecția Datelor vor reprezenta Comitetul în cadrul revizuirii.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Comitetul European pentru Protecția Datelor – a noua sesiune plenară: Orientări privind prelucrarea datelor cu caracter personal în contextul serviciilor societății informaționale

Bruxelles, 10 aprilie – În perioada 9 -10 aprilie, autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de a noua sesiune plenară a acestuia.
 
În timpul sesiunii plenare, CEPD a adoptat orientări privind domeniul și aplicarea articolului 6 alineatul (1) litera (b)* din RGPD în contextul serviciilor societății informaționale. În orientările sale, Comitetul formulează observații generale cu privire la principiile de protecție a datelor și la interacțiunea dintre articolul 6 alineatul (1) litera (b) și alte temeiuri legale. În plus, orientările conțin îndrumări privind aplicabilitatea articolului 6 alineatul (1) litera (b) în cazul grupării unor servicii separate și al rezilierii contractului.

Notă pentru editori:
 
Vă atragem atenția asupra faptului că toate documentele adoptate în timpul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce vor fi finalizate aceste verificări.

* Articolul 6 alineatul (1) litera (b)
„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
...
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; ”
09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Comitetul European pentru Protecția Datelor – a opta sesiune plenară: Interacțiunea dintre Directiva privind protecția vieții private și comunicațiile electronice și Regulamentul General privind Protecția Datelor (RGPD), declarația referitoare la Regulamentul privind viața privată și comunicațiile electronice, listele Spaniei și Islandei referitoare la evaluarea impactului asupra protecției datelor (EIPD), declarația privind alegerile

Bruxelles, 13 martie – La 12 și 13 martie, autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de a opta sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.
 
Interacțiunea dintre Directiva privind viața privată și comunicațiile electronice și RGPD
Comitetul European pentru Protecția Datelor (CEPD) a adoptat un aviz privind interacțiunea dintre Directiva privind viața privată și comunicațiile electronice și Regulamentul General privind Protecția Datelor. Acest aviz urmărește să răspundă la întrebarea dacă faptul că prelucrarea datelor cu caracter personal intră în domeniul de aplicare material atât al RGPD, cât și al Directivei privind viața privată și comunicațiile electronice limitează competențele, sarcinile și puterile de care dispun autoritățile pentru protecția datelor în temeiul RGPD. CEPD consideră că autoritățile pentru protecția datelor au competența de a asigura respectarea RGPD. Simplul fapt că un subset al prelucrării intră în sfera de aplicare a Directivei privind viața privată și comunicațiile electronice nu limitează competența autorităților pentru protecția datelor în temeiul RGPD.

O încălcare a RGPD poate constitui, în același timp, o încălcare a normelor naționale privind respectarea vieții private în comunicațiile electronice. Autoritățile de supraveghere pot ține seama de acest lucru atunci când aplică RGPD (de exemplu, atunci când evaluează conformitatea cu principiile legalității sau echității).  

Declarația referitoare la viitorul Regulament privind viața privată și comunicațiile electronice
CEPD a adoptat o declarație prin care li se solicită legiuitorilor UE să își intensifice eforturile în vederea adoptării Regulamentului privind viața privată și comunicațiile electronice, ceea ce reprezintă un pas esențial pentru finalizarea cadrului UE în materie de protecție a datelor și de confidențialitate a comunicațiilor electronice.

Viitorul Regulament privind viața privată și comunicațiile electronice nu ar trebui, în niciun caz, să reducă nivelul de protecție pe care îl asigură actuala Directivă privind viața privată și comunicațiile electronice și ar trebui să completeze RGPD prin furnizarea de garanții solide suplimentare pentru toate tipurile de comunicații electronice.
 
 
Listele EIPD
CEPD a adoptat două avize privind listele EIPD prezentate Comitetului de către Spania și Islanda. Aceste liste constituie un instrument important pentru aplicarea consecventă a RGPD în SEE. EIPD este un proces care contribuie la identificarea și la atenuarea riscurilor legate de protecția datelor ce ar putea afecta drepturile și libertățile persoanelor. În timp ce, în general, operatorul de date trebuie să evalueze dacă este necesară o EIPD înainte de inițierea activității de prelucrare, autoritățile naționale de supraveghere stabilesc și întocmesc o listă cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor. Aceste două avize urmează celor 28 de avize adoptate pe parcursul unor sesiuni plenare anterioare și vor contribui și mai mult la stabilirea unor criterii comune pentru listele EIPD în întregul SEE.

Declarație privind utilizarea datelor cu caracter personal în timpul campaniilor politice
În contextul viitoarelor alegeri europene și al altor alegeri care au loc în UE și în afara acesteia în anul 2019, CEPD a adoptat o declarație privind utilizarea datelor cu caracter personal în timpul campaniilor electorale. Tehnicile de prelucrare a datelor în scopuri politice pot prezenta riscuri grave, nu numai în ceea ce privește dreptul la viață privată și la protecția datelor, ci și în ceea ce privește integritatea procesului democratic. În declarația sa, CEPD evidențiază o serie de puncte esențiale care trebuie luate în considerare la prelucrarea de către partidele politice a datelor cu caracter personal în cursul unor activități electorale.
 
Notă pentru editori:
 
Vă atragem atenția asupra faptului că toate documentele adoptate în timpul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce vor fi finalizate aceste verificări.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, 13 februarie - În data de 12 februarie, Autoritățile pentru protecția datelor din SEE și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de-a șaptea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.
 
Programul de lucru 2019-2020 al Comitetului European pentru Protecția Datelor
Comitetul a adoptat programul său de lucru pe doi ani pentru 2019-2020, în conformitate cu articolul 29 din Regulamentul de Procedură al Comitetului European pentru Protecția Datelor.  Programul de lucru al Comitetului European pentru Protecția Datelor se bazează pe nevoile identificate de membri ca fiind prioritare pentru persoanele fizice, pentru părțile interesate, precum și pentru activitățile prevăzute de legiuitorul UE.

Proiect de acord administrativ în domeniul supravegherii piețelor financiare
Comitetul European pentru Protecția Datelor a adoptat prima sa opinie cu privire la un acord administrativ (AA), în temeiul articolului 46 alineatul (3) litera (b) din RGPD, pentru transferurile de date cu caracter personal între autoritățile de supraveghere financiară din SEE, inclusiv Autoritatea Europeană pentru Valori Mobiliare și Piețe (ESMA) și omologii lor din afara UE. Acest acord va fi înaintat autorităților de supraveghere competente pentru autorizare la nivel național. Autoritățile de supraveghere competente vor monitoriza AA și aplicarea sa practică pentru a se asigura că există în practică drepturi ale persoanei vizate efective și aplicabile, precum și căi de atac și de supraveghere adecvate.

Brexit
Comitetul European pentru Protecția Datelor a adoptat o notă de informare adresată entităților comerciale și autorităților publice cu privire la transferurile de date în temeiul RGPD în cazul unui Brexit fără acord.

Fluxurile de date dinspre SEE către Regatul Unit
În absența unui acord între UE și Regatul Unit („Brexit fără acord”), Regatul Unit va deveni o țară terță la 30 martie 2019 începând cu ora 00.00 a.m. CET. În consecință, transferul de date cu caracter personal dinspre SEE către Regatul Unit va trebui să se bazeze pe unul dintre următoarele instrumente: clauze standard sau ad-hoc privind protecția datelor, reguli corporatiste obligatorii, coduri de conduită și mecanisme de certificare, precum și instrumente specifice de transfer aflate la dispoziția autorităților publice. În absența unor clauze standard privind protecția datelor sau a altor garanții adecvate alternative, pot fi utilizate derogări în anumite condiții.

Fluxurile de date dinspre Regatul Unit către SEE
În ceea ce privește transferurile de date din Regatul Unit către SEE, potrivit guvernului britanic, practica actuală, care permite libera circulație a datelor cu caracter personal din Regatul Unit către SEE, va continua în cazul unui Brexit fără acord.
    
Orientări privind codurile de conduită
Comitetul European pentru Protecția Datelor a adoptat orientări privind codurile de conduită. Obiectivul acestora este de a oferi îndrumări practice și asistență interpretativă în ceea ce privește aplicarea articolelor 40 și 41 din RGPD. Orientările urmăresc să contribuie la clarificarea procedurilor și a normelor implicate în prezentarea, aprobarea și publicarea codurilor de conduită atât la nivel național, cât și la nivel european. Aceste orientări ar trebui să reprezinte ulterior un cadru clar pentru toate autoritățile de supraveghere competente, pentru Comitet și pentru Comisie în vederea evaluării în mod coerent a codurilor de conduită și a raționalizării procedurilor aferente procesului de evaluare. Orientările vor face obiectul unei consultări publice.

Notă pentru editori:

Vă atragem atenția asupra faptului că toate documentele adoptate în timpul sesiunii plenare a Comitetului European pentru Protecția Datelor fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi puse la dispoziție pe site-ul Comitetului European pentru Protecția Datelor de îndată ce acestea au fost finalizate.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruxelles, 24 ianuarie. În perioada 22-23 ianuarie, autoritățile europene pentru protecția datelor, reunite în cadrul Comitetului European pentru Protecția Datelor, au participat la cea de a șasea sesiune plenară a acestuia. În cadrul sesiunii plenare s-a discutat o gamă largă de subiecte.
 
Scutul de confidențialitate
Membrii Comitetului au adoptat raportul CEPD cu privire la cea de-a doua evaluare anuală a Scutului de Confidențialitate UE-SUA. CEPD salută eforturile depuse de autoritățile SUA și de Comisie pentru a pune în aplicare Scutul de Confidențialitate, în special acțiunile întreprinse pentru a adapta procesul de certificare inițială, pentru a începe ex officio acțiunile de supraveghere și de asigurare a respectării legii, precum și eforturile de a publica o serie de documente importante, parțial prin declasificare (cum ar fi deciziile Curții FISA), numirea unui nou președinte, precum și a trei noi membri ai Comitetului de supraveghere a vieții private și a libertăților civile (PCLOB) și recent anunțata numire a unui Ombudsman permanent.

Având în vedere concluziile celei de-a doua evaluări comune, rămân în continuare preocupări legate de punerea în aplicare a Scutului de Confidențialitate. Printre acestea se numără preocupările exprimate deja de Grupul de lucru „Articolul 29”, predecesorul CEPD, referitoare la lipsa unor asigurări concrete privind excluderea colectării arbitrare a datelor cu caracter personal și a accesului la acestea în scopuri de securitate națională. De asemenea, pe baza informațiilor furnizate până acum, CEPD nu poate în prezent să considere că Ombudsmanul este învestit cu competențe suficiente pentru a remedia neconformitatea. În plus, Comitetul subliniază faptul că verificările privind conformitatea cu esența principiilor Scutului de Confidențialitate nu sunt suficient de solide.

Mai mult, CEPD are unele motive de îngrijorare suplimentare în ceea ce privește verificările necesare pentru a se conforma cerințelor privind transferurile ulterioare, domeniul de aplicare al datelor privind resursele umane și procesul de recertificare, precum și în ceea ce privește o listă a problemelor rămase, ridicate după prima evaluare comună și încă aflate în curs de examinare.

Brexit
CEPD a discutat despre posibilele consecințe ale Brexitului în domeniul protecției datelor. Membrii au fost de acord să coopereze și să facă schimb de informații în ceea ce privește pregătirile și instrumentele disponibile pentru transferul de date către Regatul Unit, după ce Regatul Unit nu va mai face parte din UE.

Întrebări și răspunsuri despre studiile clinice
În urma unei solicitări din partea Comisiei Europene (DG SANTE), CEPD și-a adoptat avizul privind întrebările și răspunsurile despre studiile clinice. Avizul abordează mai ales aspectele legate de temeiurile juridice adecvate în contextul studiilor clinice, precum și utilizările secundare ale datelor provenite din studii clinice în scop științific. Acest aviz va fi transmis Comisiei Europene.

Listele EIPD
CEPD a adoptat avize privind listele de evaluare a impactului asupra protecției datelor (EIPD), prezentate Comitetului de către Liechtenstein și Norvegia. Aceste liste constituie un instrument important pentru aplicarea consecventă a RGPD în SEE. EIPD este un proces care contribuie la identificarea și atenuarea riscurilor legate de protecția datelor care ar putea afecta drepturile și libertățile persoanelor. În timp ce, în general, operatorul de date trebuie să evalueze dacă este necesară o EIPD înainte de a se angaja în activitatea de prelucrare, autoritățile naționale de supraveghere stabilesc și întocmesc o listă cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor. Aceste două avize urmează celor 22 de avize adoptate în sesiunea plenară din septembrie și celor patru avize adoptate în sesiunea plenară din decembrie și vor contribui în continuare la stabilirea unor criterii comune pentru listele EIPD în întregul SEE.

Orientări privind certificarea
CEPD a adoptat versiunea finală a orientărilor privind certificarea în urma consultărilor publice. În plus, Comitetul a adoptat, de asemenea, o nouă anexă. Un proiect al orientărilor a fost adoptat în luna mai, în cursul primei sesiuni plenare a CEPD. Obiectivul principal al acestor orientări este de a identifica criteriile generale care pot fi relevante pentru toate tipurile de mecanisme de certificare emise în conformitate cu articolul 42 și cu articolul 43 din RGPD. Ca atare, orientările explorează argumentele în favoarea certificării drept instrument de responsabilitate, oferă explicații cu privire la conceptele-cheie ale dispozițiilor de certificare din articolul 42 și din articolul 43, explică sfera a ceea ce poate fi certificat și precizează scopul certificării. Orientările vor ajuta statele membre, autoritățile de supraveghere și organismele naționale de acreditare (ONA) să revizuiască și să aprobe criteriile de certificare în conformitate cu articolul 42 și cu articolul 43 din RGPD. Această anexă va face obiectul unei consultări publice.

Răspunsul adresat autorității de supraveghere din Australia privind notificarea încălcării securității datelor cu caracter personal
În octombrie 2018, președintele CEPD a primit o cerere scrisă din partea Biroului comisarului australian pentru informații referitoare la publicarea notificărilor privind încălcarea securității datelor cu caracter personal de către autoritățile de supraveghere. CEPD salută interesul comisarului australian de a coopera cu Comitetul European pentru Protecția Datelor cu privire la acest aspect și subliniază importanța colaborării internaționale. În răspunsul său, CEPD oferă informații suplimentare cu privire la oportunitatea și modul în care autoritățile de supraveghere gestionează publicarea informațiilor referitoare la notificările privind încălcarea securității datelor cu caracter personal.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary