Európsky výbor pre ochranu údajov

Správy EDPB

11 July 2019

Brussels, 11 July - On July 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their twelfth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on Video Surveillance
The Board adopted Guidelines on Video Surveillance, which clarify how the GDPR applies to the processing of personal data when using video devices and aim to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. For the latter, the guidelines focus on the rules regarding processing of special categories of data. In addition, the guidelines cover, among others, the lawfulness of processing, the applicability of the household exemption and the disclosure of footage to third parties. The guidelines will be subject to public consultation.

EDPB-EDPS joint reply to the LIBE Committee on the implications of the US CLOUD Act
The EDPB adopted a joint EDPB-EDPS reply to the European Parliament Committee on Civil Liberties, Justice and Home Affairs’ (LIBE) request for a legal assessment regarding the impact of the US CLOUD Act on the EU legal data protection framework and the mandate for negotiating an EU-US agreement on cross-border access to electronic evidence for judicial cooperation in criminal matters. The CLOUD Act allows US law enforcement authorities to require the disclosure of data by service providers in the US, regardless of where the data is stored.

The EDPB and EDPS emphasize that a comprehensive EU-US agreement regarding cross-border access to electronic evidence, containing strong procedural and substantial safeguards for fundamental rights, appears the most appropriate instrument to ensure the necessary level of protection for EU data subjects and legal certainty for businesses.

Art.64 GDPR Opinion on Standard Contractual Clauses for processors under Art.28.8 GDPR by DK SA
The EDPB adopted its opinion on the draft Standard Contractual Clauses (SCCs) for framing the processing by a processor submitted to the Board by the Danish Supervisory Authority (SA). The opinion, which is the first one on this topic, aims to ensure the consistent application of Art 28 GDPR, relating to processors. In it, the Board made several recommendations that need to be taken into account in order for the draft SCCs of the Danish SA to be considered as Standard Contractual Clauses. If all recommendations are implemented, the Danish SA will be able to use this draft agreement as Standard Contractual Clauses pursuant to article 28.8 GDPR.

Art. 64 GDPR Opinion on Accreditation Criteria for monitoring bodies of Codes of Conduct by AT SA
Following submission by the Austrian SA of its draft decision on the Accreditation Criteria for Codes of Conduct monitoring bodies, the Board adopted its opinion. The Board agreed that all codes covering non-public authorities and bodies are required to have accredited monitoring bodies in accordance with the GDPR.

Art. 64 GDPR Opinion on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment
The Board adopted an opinion on the competence of a supervisory authority when the circumstances relating to the main or single establishment change. This can occur when the main establishment is relocated within the EEA, a main establishment is moved to the EEA from a third country, or when there no longer is a main or single establishment in the EEA. In such circumstances, the Board is of the opinion that the competence of the lead supervisory authority (LSA) can switch to another SA. In this case, the cooperation procedure set forth under Art. 60 will continue to apply and the new LSA will be obligated to cooperate with the former LSA and with the other concerned SAs in an endeavour to reach consensus. The switch can take place as long as no final decision has been reached by the competent supervisory authority.

EDPB-EDPS Joint Opinion on the eHDSI
The Board adopted a joint EDPB-EDPS opinion on the personal data protection aspects of the processing of patients’ data in the eHealth Digital Service Infrastructure (eHDSI). It is the first joint opinion by the EDPB and the EDPS adopted in response to a request from the European Commission under Article 42(2) of Regulation 2018/1725 on data protection for EU institutions and bodies. In their opinion, the EDPB and EDPS consider that, in this specific situation, and for the concrete processing of patients’ data within the eHDSI, there is no reason to dissent from the European Commission’s assessment of its role as a processor within the eHDSI. Furthermore, the joint opinion stresses the need to ensure that all the processor duties of the Commission, in this processing operation, as specified in the applicable data protection legislation, are clearly set out in the relevant Implementing Act.  

DPIA List Cyprus
The EDPB adopted an opinion on the Data Protection Impact Assessment (DPIA) list submitted to the Board by Cyprus. DPIA lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals.

Art. 64 GDPR Opinion on Art 35.5 lists FR, ES & CZ (DPIA exemption)
The EDPB adopted its opinion on the Art. 35.5 lists submitted to the Board by the French, Spanish and Czech SAs.

Recommendation on EDPS list pursuant to Art. 39.4 Regulation 2018/1725 (DPIA list)
The Board has adopted a recommendation on the Art. 39.4 list submitted to the Board by the EDPS. The EDPS has to consult the EDPB prior to adoption of these lists insofar as these “refer to processing operations by a controller acting jointly with one or more controllers other than Union institutions and bodies” (Article 39(6) of Regulation (EU) 2018/1725). Similar to GDPR DPIA lists, the EDPS list informs controllers about processing activities which require a DPIA.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brusel 5. júna – Orgány pre ochranu osobných údajov EHP a Európsky dozorný úradník pre ochranu údajov, ktorí sa schádzajú v Európskom výbore pre ochranu údajov, sa 4. júna stretli na jedenástom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.

Usmernenia týkajúce sa kódexov správania
EDPB prijal konečné znenie usmernení týkajúcich sa kódexov správania. Po verejnej konzultácii sa do textu zahrnuli objasnenia. Cieľom týchto usmernení je poskytnúť praktické usmernenia a pomôcť s výkladom, pokiaľ ide o uplatňovanie článkov 40 a 41 všeobecného nariadenia o ochrane údajov. Usmernenia majú pomôcť objasniť postupy a pravidlá, ktoré sa uplatňujú pri predkladaní, schvaľovaní a uverejňovaní kódexov správania tak na vnútroštátnej, ako aj na európskej úrovni. Okrem toho by mali slúžiť ako jasný rámec, ktorý zaistí, aby všetky príslušné dozorné orgány, Výbor aj Komisia posudzovali kódexy správania jednotným spôsobom a zefektívnili postupy uplatňované pri tomto posudzovaní.

Príloha k usmerneniam týkajúcim sa akreditácie
EDPB prijal po skončení verejnej konzultácie konečné znenie prílohy k usmerneniam týkajúcim sa akreditácie. Text bol v záujme zlepšenia zrozumiteľnosti upravený. Cieľom usmernení je poskytnúť návod, ako interpretovať a vykonávať ustanovenia článku 43 všeobecného nariadenia o ochrane údajov. Majú predovšetkým pomôcť členským štátom, dozorným orgánom a vnútroštátnym akreditačným orgánom vytvoriť konzistentný a harmonizovaný základ pre akreditáciu certifikačných subjektov, ktoré vydávajú certifikácie v súlade so všeobecným nariadením o ochrane údajov. Príloha obsahuje pokyny týkajúce sa dodatočných požiadaviek na akreditáciu certifikačných subjektov, ktoré majú stanoviť dozorné orgány. Dodatočné požiadavky musia byť pred prijatím dozornými orgánmi predložené na schválenie EDPB podľa článku 64 ods. 1 písm. c)*.

Príloha k usmerneniam o certifikácii
EDPB prijal konečné znenie prílohy 2 k usmerneniam o certifikácii. Po verejnej konzultácii sa do určitých oddielov doplnili niektoré aspekty, ako napríklad, či sa v kritériách uvádza povinnosť prevádzkovateľa/sprostredkovateľa vymenovať zodpovednú osobu a povinnosť viesť záznamy o spracovateľských činnostiach. Hlavným cieľom týchto usmernení je určiť všeobecné kritériá, ktoré môžu byť relevantné pre všetky typy certifikačných mechanizmov vydaných v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. V prílohe sa určili otázky, ktoré dozorné orgány pre ochranu údajov a EDPB posúdia a uplatnia pri schvaľovaní kritérií certifikácie v rámci certifikačného mechanizmu. Zoznam nie je úplný, no predstavuje otázky, ktoré je v každom prípade potrebné zohľadniť.*

Poznámka pre redaktorov:

*Aby bolo na úrovni EDPB možné diskutovať o konkrétnych prípadoch týkajúcich sa certifikácie a akreditácie, EDPB pripravuje postup na uľahčenie prijímania jednotných a včasných stanovísk k návrhom rozhodnutí dozorných orgánov a na schvaľovanie európskej pečate ochrany údajov.

Upozorňujeme, že všetky dokumenty prijaté počas plenárneho zasadnutia EDPB musia prejsť potrebnými právnymi, jazykovými a formátovacími kontrolami a na webových stránkach EDPB sa sprístupnia až po dokončení týchto kontrol.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Brusel 15. máj – Orgány pre ochranu osobných údajov EHP a Európsky dozorný úradník pre ochranu údajov, ktorí sa schádzajú v Európskom výbore pre ochranu údajov, sa 14. a 15. mája stretli na svojom desiatom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.

Voľba nového podpredsedu
Členovia Výboru zvolili za nového podpredsedu Aleida Wolfsena, predsedu holandského dozorného orgánu. V tejto funkcii nahrádza Willema Debeuckelaera, ktorému predsedníčka EDPB Andrea Jelinek poďakovala za odvedenú prácu. Pán Wolfsen bude spolu s ďalším podpredsedom Ventsislavom Karadjovom počas nadchádzajúcich rokov podporovať predsedníčku EDPB v práci pre Výbor. Dr. Jelinek v tejto súvislosti uviedla: „Záujem verejnosti o ochranu údajov je dnes vyšší ako kedykoľvek predtým. Teším sa, že v spolupráci s Aleidom a Ventsislavom nadviažeme dialóg so širšou komunitou zainteresovaných strán v oblasti ochrany údajov.“

Pán Wolfsen dodal: „V nasledujúcich rokoch bude úlohou Výboru poskytovať smerodajné usmernenia a spoľahlivé poradenstvo. Vo funkcii podpredsedu sa postarám o to, aby sme vždy zohľadnili všetky názory a nakoniec poskytli jednotné stanovisko.“

Odpoveď na otázku poslankyne EP Sophie In ’t Veldovej o prepojených vozidlách
EDPB schválil list, ktorým odpovedá na list poslankyne Európskeho parlamentu Sophie In ‘t Veldovej zo 17. apríla 2019 týkajúci sa poskytovania osobných údajov vodičov výrobcovi vozidiel a tretím stranám bez výslovného súhlasu, osobitného a informovaného súhlasu vodiča a bez primeraného právneho základu. EDPB vo svojej odpovedi zdôraznil, že členovia Výboru a ich kolegovia z iných krajín prijali v roku 2017 na ICDPPC uznesenie o ochrane údajov v automatizovaných a prepojených vozidlách a že skupina WP29 prijala svoje stanovisko č. 3/2017 k spracúvaniu osobných údajov v rámci kooperatívnych inteligentných dopravných systémov (C-ITS). Táto otázka sa bude riešiť aj v rámci pracovného programu EDPB na roky 2019 – 2020.

Tretie výročné preskúmanie Privacy Shield
EDPB určil zástupcov pre tretie výročné preskúmanie Privacy Shield. Pri preskúmaní budú Výbor zastupovať Bulharsko, Francúzsko, Maďarsko, Nemecko, Rakúsko a Európsky dozorný úradník pre ochranu údajov.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Európsky výbor pre ochranu údajov – deviate plenárne zasadnutie: Usmernenia k spracúvaniu osobných údajov v súvislosti so službami informačnej spoločnosti

 
Brusel 10. apríla – Orgány pre ochranu osobných údajov EHP a Európsky dozorný úradník pre ochranu údajov, ktorí sa schádzajú v Európskom výbore pre ochranu údajov, sa 9. a 10. apríla stretli na svojom deviatom plenárnom zasadnutí.
EDPB prijal počas plenárneho zasadnutia usmernenia k rozsahu pôsobnosti a uplatňovaniu článku 6 ods. 1 písm. b)* všeobecného nariadenia o ochrane údajov v súvislosti so službami informačnej spoločnosti. Výbor vo svojich usmerneniach uvádza všeobecné poznámky k zásadám ochrany údajov a vzájomnému pôsobeniu článku 6 ods. 1 písm. b) a iných právnych základov. Usmernenia zahŕňajú aj informácie o uplatniteľnosti článku 6 ods. 1 písm. b) v prípade spájania samostatných služieb a ukončenia zmluvy.

Poznámka pre redaktorov:
 
Upozorňujeme, že všetky dokumenty prijaté počas plenárneho zasadnutia EDPB musia prejsť potrebnými právnymi, jazykovými a formátovacími kontrolami a na webových stránkach EDPB sa sprístupnia až po dokončení týchto kontrol.

* Článok 6 ods. 1 písm. b)
„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
...
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy; “

09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Európsky výbor pre ochranu údajov – ôsme plenárne zasadnutie: vzájomné pôsobenie medzi smernicou o ePrivacy a všeobecným nariadením o ochrane údajov, vyhlásenie k nariadeniu o ePrivacy, zoznamy podliehajúce požiadavke na posúdenie vplyvu na ochranu údajov v Španielsku a na Islande, vyhlásenie k voľbám

Brusel, 13. marca – Orgány pre ochranu osobných údajov EHP a Európsky dozorný úradník pre ochranu údajov, ktorí sa schádzajú v Európskom výbore pre ochranu údajov, sa 12. a 13. marca stretli na svojom ôsmom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.
 
Vzájomné pôsobenie medzi smernicou o ePrivacy a všeobecným nariadením o ochrane údajov

EDPB prijal stanovisko k vzájomnému pôsobeniu medzi smernicou o súkromí a elektronických komunikáciách (ePrivacy) a všeobecným nariadením o ochrane údajov. Cieľom tohto stanoviska je poskytnúť odpoveď na otázku, či to, že spracúvaním osobných údajov sa aktivuje vecná pôsobnosť oboch právnych aktov – všeobecného nariadenia o ochrane údajov i smernice o ePrivacy –, obmedzuje kompetencie, úlohy a právomoci orgánov pre ochranu osobných údajov v rámci všeobecného nariadenia o ochrane údajov. EDPB zastáva názor, že orgány pre ochranu osobných údajov majú právomoc presadzovať všeobecné nariadenie o ochrane údajov. Samotná skutočnosť, že určitá podmnožina spracúvania údajov patrí do rozsahu pôsobnosti smernice o ePrivacy, neobmedzuje právomoc orgánov pre ochranu osobných údajov v rámci všeobecného nariadenia o ochrane údajov.

Porušenie ustanovení všeobecného nariadenia o ochrane údajov môže zároveň predstavovať porušenie vnútroštátnych pravidiel vyplývajúcich zo smernice o ePrivacy. Orgány dohľadu to môžu pri uplatňovaní všeobecného nariadenia o ochrane údajov brať do úvahy (napr. pri posudzovaní súladu so zásadou zákonnosti alebo spravodlivosti).

Vyhlásenie k budúcemu nariadeniu o ePrivacy

EDPB prijal vyhlásenie, v ktorom zákonodarcov EÚ vyzval, aby zintenzívnili úsilie smerujúce k prijatiu nariadenia o súkromí a elektronických komunikáciách (ePrivacy), ktoré je nevyhnutné na skompletizovanie rámca EÚ pre ochranu údajov a dôvernosť elektronických komunikácií.

Budúcim nariadením o ePrivacy by sa za žiadnych okolností nemala znižovať úroveň ochrany, ktorú poskytuje súčasná smernica o ePrivacy. Toto budúce nariadenie by malo byť doplnkom

k všeobecnému nariadeniu o ochrane údajov tak, že sa v ňom stanovia ďalšie silné záruky pre všetky druhy elektronickej komunikácie.

Zoznamy podliehajúce požiadavke na posúdenie vplyvu na ochranu údajov

EDPB prijal dve stanoviská k zoznamom podliehajúcim požiadavke na posúdenie vplyvu na ochranu údajov, ktoré mu predložili Španielsko a Island. Tieto zoznamy zásadne prispievajú ku konzistentnému uplatňovaniu všeobecného nariadenia o ochrane údajov v celom EHP. Posudzovanie vplyvu na ochranu údajov je proces, ktorý umožňuje odhaliť a zmierniť riziká týkajúce sa ochrany údajov, ktoré by mohli mať vplyv na práva a slobody jednotlivcov. Zatiaľ čo prevádzkovateľ musí vo všeobecnosti ešte pred začatím spracúvania údajov posúdiť, či je posúdenie vplyvu na ochranu údajov nutné, vnútroštátne dozorné orgány stanovia druhy operácií spracúvania údajov, pri ktorých sa posúdenie vplyvu na ochranu údajov požaduje, a vypracujú zoznam takýchto operácií. Tieto dve stanoviská nadväzujú na 28 stanovísk, ktoré boli prijaté počas predchádzajúcich plenárnych zasadnutí, a ešte výraznejšie prispejú k vytvoreniu spoločných kritérií pre zoznamy podliehajúce požiadavke na posúdenie vplyvu na ochranu údajov v celom EHP.

Vyhlásenie k používaniu osobných údajov počas politických kampaní

Vzhľadom na blížiace sa voľby do Európskeho parlamentu a ďalšie voľby, ktoré v roku 2019 prebiehajú v celej EÚ a za jej hranicami, prijal EDPB vyhlásenie k používaniu osobných údajov počas predvolebných kampaní. Techniky spracúvania údajov na politické účely môžu so sebou prinášať závažné riziká, a to nie len v súvislosti s právami na súkromie a ochranu údajov, ale aj v súvislosti s integritou demokratických procesov. EDPB vo svojom vyhlásení zdôrazňuje niekoľko kľúčových bodov, ktoré politické strany musia brať do úvahy pri spracúvaní údajov počas (pred)volebných činností.

Poznámka pre redaktorov:

Upozorňujeme, že všetky dokumenty prijaté počas plenárneho zasadnutia EDPB musia prejsť potrebnými právnymi, jazykovými a formátovacími kontrolami a na webových stránkach EDPB sa sprístupnia až po dokončení týchto kontrol.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brusel 13. februára – orgány pre ochranu osobných údajov EHP a európsky dozorný úradník pre ochranu údajov, ktorí sa schádzajú v Európskom výbore pre ochranu údajov, sa 12. februára stretli na siedmom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.
 
Pracovný program EDPB na roky 2019 – 2020    
EDPB prijal svoj dvojročný pracovný program na roky 2019 – 2020 v súlade s článkom 29 rokovacieho poriadku EDPB. Pracovný program EDPB je založený na potrebách, ktoré členovia identifikovali ako prioritné pre jednotlivcov, zainteresované strany, ako aj pre činnosti plánované zákonodarcom EÚ.

Návrh administratívneho dojednania v oblasti dohľadu nad finančnými trhmi
EDPB prijal svoje prvé stanovisko k administratívnemu dojednaniu (AA) na základe článku 46 ods. 3 písm. b) všeobecného nariadenia o ochrane údajov, ktoré sa týka prenosu osobných údajov medzi úradmi pre finančný dohľad EHP vrátane Európskeho orgánu pre cenné papiere a trhy (ESMA) a ich partnermi z krajín mimo EÚ. Toto dojednanie sa predloží príslušným orgánom dohľadu na účely udelenia povolenia na vnútroštátnej úrovni. Príslušné orgány dohľadu budú administratívne dojednanie a jeho praktické uplatňovanie monitorovať s cieľom zabezpečiť, aby v praxi existovali účinné a vymáhateľné práva dotknutých osôb a primerané prostriedky nápravy a dohľadu.

Brexit
EDPB prijal informačnú poznámku určenú obchodným subjektom a verejným orgánom, ktorá sa týka prenosu údajov podľa všeobecného nariadenia o ochrane údajov v prípade brexitu bez dohody.

Toky údajov z EHP do Spojeného kráľovstva
V prípade, že medzi EÚ a Spojeným kráľovstvom nebude existovať dohoda (brexit bez dohody), 30. marca 2019 od 00.00 hod. SEČ sa Spojené kráľovstvo stane treťou krajinou. Prenos osobných údajov z EHP do Spojeného kráľovstva sa preto bude musieť zakladať na jednom z týchto nástrojov: štandardné alebo ad hoc doložky o ochrane údajov, záväzné vnútropodnikové pravidlá, kódexy správania a certifikačné mechanizmy a osobitné nástroje prenosu, ktoré majú k dispozícii verejné orgány. Ak nebudú existovať štandardné doložky o ochrane údajov ani iné alternatívne primerané záruky, za istých podmienok sa môžu používať výnimky.

Toky údajov zo Spojeného kráľovstva do EHP
Pokiaľ ide o prenosy údajov zo Spojeného kráľovstva do EHP, podľa vlády Spojeného kráľovstva sa aj v prípade brexitu bez dohody bude môcť naďalej pokračovať v súčasnej praxi, ktorá umožňuje voľný tok osobných údajov zo Spojeného kráľovstva do EHP.
    
Usmernenia týkajúce sa kódexov správania     
EDPB prijal usmernenia týkajúce sa kódexov správania. Cieľom týchto usmernení je poskytnúť praktické usmernenia a pomôcť s výkladom, pokiaľ ide o uplatňovanie článkov 40 a 41 všeobecného nariadenia o ochrane údajov. Usmernenia majú pomôcť objasniť postupy a pravidlá, ktoré sa uplatňujú pri predkladaní, schvaľovaní a uverejňovaní kódexov správania tak na vnútroštátnej, ako aj na európskej úrovni. Tieto usmernenia by mali okrem toho slúžiť ako jasný rámec pre všetky príslušné orgány dohľadu, EDPB aj Komisiu, aby kódexy správania posudzovali jednotným spôsobom a aby sa zefektívnili postupy uplatňované pri tomto posudzovaní. O usmerneniach prebehne verejná konzultácia.

Poznámka pre redaktorov:

Upozorňujeme, že všetky dokumenty prijaté počas plenárneho zasadnutia EDPB prejsť potrebnými právnymi, jazykovými a formátovacími kontrolami a na webových stránkach EDPB sa sprístupnia až po dokončení týchto kontrol.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Brusel 5. januára – V dňoch 22. a 23. januára sa európske orgány pre ochranu údajov združené v Európskom výbore pre ochranu údajov stretli na šiestom plenárnom zasadnutí. Počas zasadnutia sa diskutovalo o širokom spektre tém.
 
Štít na ochranu osobných údajov
Členovia výboru prijali správu EDPB o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA. Európsky výbor pre ochranu údajov víta úsilie amerických orgánov a Komisie uplatňovať štít na ochranu osobných údajov, najmä opatrenia prijaté s cieľom prispôsobiť pôvodný proces certifikácie, začať ex officio uskutočňovať opatrenia dohľadu a presadzovania práva, ako aj úsilie o zverejnenie viacerých dôležitých dokumentov, a to čiastočne odtajnením (napríklad rozhodnutí súdu FISA), vymenovaním nového predsedu a troch nových členov Rady pre dohľad nad ochranou súkromia a občianskych slobôd (Privacy and Civil Liberties Oversight Board – PCLOB) a nedávno oznámeným vymenovaním stáleho ombudsmana.

Podľa zistení druhého spoločného preskúmania pretrvávajú vo veci uplatňovania štítu na ochranu osobných údajov tieto obavy: Ide o obavy, ktoré vyjadrila už pracovná skupina podľa článku 29, predchodkyňa EDPB. Týkajú sa nedostatočných záruk, že nerozlišujúci zber a prístup k osobným údajom na účely národnej bezpečnosti je vylúčený. Okrem toho na základe doteraz poskytnutých informácií nemôže Európsky výbor pre ochranu údajov v súčasnosti počítať s tým, že ombudsman má dostatočné právomoci na nápravu nedodržiavania zásad štítu. Okrem toho rada zdôrazňuje, že kontroly týkajúce sa dodržiavania zásad štítu na ochranu osobných údajov nie sú dostatočne prísne.

Európsky výbor pre ochranu údajov má zároveň obavy, pokiaľ ide o potrebné kontroly dodržiavania požiadaviek na ďalší prenos, významový rozsah pojmu údaje o ľudských zdrojoch a procesu opätovnej certifikácie, aj pokiaľ ide o zoznam zvyšných otázok, ktoré boli vznesené po prvom spoločnom preskúmaní a stále nie sú doriešené.

Brexit
Európsky výbor pre ochranu údajov diskutoval o možných dôsledkoch brexitu v oblasti ochrany údajov. Členovia súhlasili, že budú spolupracovať a vymieňať si informácie o prípravách a nástrojoch, ktoré sú k dispozícii na prenos údajov do Spojeného kráľovstva, keď už Spojené kráľovstvo nebude súčasťou EÚ.

Klinické skúšanie – otázky a odpovede
Na žiadosť Európskej komisie (GR SANTE) prijal EDPB stanovisko k otázkam a odpovediam o klinickom skúšaní. V stanovisku sa skúmali najmä konkrétne aspekty príslušných právnych základov kontexte klinického skúšania a druhotné používanie údajov o klinickom skúšaní na vedecké účely. Toto stanovisko bude teraz postúpené Európskej komisii.

Zoznamy na posúdenie vplyvu na ochranu údajov (DPIA)
EDPB prijal stanoviská k zoznamom na posúdenie vplyvu na ochranu údajov, ktoré rade predložilo Lihtenštajnsko a Nórsko. Tieto zoznamy zásadne prispievajú ku konzistentnému uplatňovaniu všeobecného nariadenia o ochrane údajov v celom EHP. Posudzovanie vplyvu na ochranu údajov je proces, ktorý umožňuje odhaliť a zmierniť riziká týkajúce sa ochrany údajov, ktoré by mohli mať vplyv na práva a slobody jednotlivcov. Prevádzkovateľ údajov musí vo všeobecnosti ešte pred začatím spracúvania údajov posúdiť, či je posúdenie vplyvu na ochranu údajov nutné, vnútroštátne dozorné orgány však stanovia druhy operácií spracúvania údajov, pri ktorých sa posúdenie vplyvu na ochranu údajov požaduje, a vypracujú zoznam takýchto operácií. Tieto dve stanoviská nadväzujú na 22 stanovísk prijatých počas septembrového plenárneho zasadnutia a na štyri stanoviská prijaté počas decembrového plenárneho zasadnutia a ďalej prispejú k stanoveniu spoločných kritérií pre zoznamy na posúdenie vplyvu na ochranu údajov v celom EHP.

Usmernenia o certifikácii
EDPB prijal finálnu verziu usmernení o certifikácii po ukončení verejnej konzultácie. Okrem toho rada prijala aj novú prílohu. Návrh usmernení bol prijatý na prvom plenárnom zasadnutí Európskeho výboru pre ochranu údajov v máji. Hlavným cieľom týchto usmernení je určiť všeobecné kritériá, ktoré môžu byť relevantné pre všetky typy certifikačných mechanizmov vydaných v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Usmernenia ako také skúmajú opodstatnenosť certifikácie ako nástroja na posilnenie adresnej zodpovednosti, poskytujú vysvetlenia kľúčových pojmov, ktoré sa používajú v ustanoveniach o certifikácii v článku 42 a článku 43, vysvetľujú rozsah toho, čo je možné certifikovať a aký je účel certifikácie. Usmernenia pomôžu členským štátom, dozorným orgánom a vnútroštátnym akreditačným orgánom pri preskúmavaní a schvaľovaní kritérií certifikácie v súlade s článkom 42 a článkom 43 všeobecného nariadenia o ochrane údajov. Uvedená príloha bude predmetom verejnej konzultácie.

Odpoveď austrálskemu dozornému orgánu na oznámenie o porušení ochrany údajov
V októbri 2018 dostal predseda Európskeho výboru pre ochranu údajov písomnú žiadosť od úradu austrálskeho informačného komisára týkajúcu sa uverejňovania oznámení o porušení ochrany údajov zo strany orgánov dohľadu. Európsky výbor pre ochranu údajov víta záujem austrálskeho komisára o spoluprácu s Európskym výborom pre ochranu údajov v tejto otázke a zdôrazňuje význam medzinárodnej spolupráce. Vo svojej odpovedi Európsky výbor pre ochranu údajov poskytuje ďalšie informácie o tom, či a ako sa orgány dohľadu zaoberajú uverejňovaním informácií týkajúcich sa oznámení o porušení ochrany údajov.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary