Evropski odbor za varstvo podatkov

Novice EOVP

2020

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bruselj, 20. februarja – Dne 18. in 19. februarja so se organi za varstvo podatkov v EGP in Evropski nadzornik za varstvo podatkov, zbrani v Evropskem odboru za varstvo podatkov (v nadaljevanju odbor), sestali na osemnajstem plenarnem zasedanju. Na plenarnem zasedanju je potekala razprava o številnih temah.
 
Odbor in posamezni nadzorni organi EGP so prispevali k oceni in pregledu Splošne uredbe o varstvu podatkov, kot to zahteva člen 97 Splošne uredbe o varstvu podatkov. Evropski odbor za varstvo podatkov meni, da je bila uporaba Splošne uredbe o varstvu podatkov v prvih 20 mesecih uspešna. Čeprav potreba po zadostnih sredstvih za vse nadzorne organe še vedno predstavlja težavo in še vedno ostajajo nekateri izzivi, ki izvirajo na primer iz raznolikih nacionalnih postopkov, je odbor prepričan, da bo sodelovanje med nadzornimi organi ustvarilo skupno kulturo varstva osebnih podatkov in dosledno prakso. Odbor preučuje možne rešitve za premagovanje teh izzivov in izboljšanje obstoječih postopkov sodelovanja. Poleg tega poziva Evropsko komisijo, naj preveri, ali nacionalni postopki vplivajo na učinkovitost postopkov sodelovanja, in hkrati meni, da bi lahko sčasoma tudi zakonodajalci sodelovali pri nadaljnji harmonizaciji. Odbor v svoji oceni obravnava tudi vprašanja, kot so mednarodna orodja za prenos, vpliv na majhna in srednje velika podjetja, viri nadzornih organov in razvoj novih tehnologij. Odbor ugotavlja, da je zaenkrat prezgodaj za revizijo Splošne uredbe o varstvu podatkov.

Odbor je sprejel osnutek smernic z nadaljnjimi pojasnili glede uporabe členov 46(2)(a) in 46(3)(b) Splošne uredbe o varstvu podatkov. Ti členi se nanašajo na prenos osebnih podatkov s strani javnih organov ali teles iz EGP k javnim organom v tretjih državah ali v mednarodne organizacije, kadar ti prenosi niso zajeti v sklepu o ustreznosti. Smernice pojasnjujejo, katere zaščitne ukrepe je treba uporabiti v pravno zavezujočih instrumentih (člen 46(2)(a)) ali v upravnih dogovorih (člen 46(3)(b)), da se zagotovi s Splošno uredbo o varstvu podatkov skladno raven varstva fizičnih oseb in da ta ni ogrožena. Smernice bodo predložene v javno posvetovanje.

Izjava o posledicah združitve za zasebnost
Odbor je po najavi namere podjetja Google LLC, da bo prevzel Fitbit, sprejel izjavo, v kateri je poudaril, da bi lahko morebitno nadaljnjo kombiniranje in kopičenje občutljivih osebnih podatkov o ljudeh v Evropi s strani velike tehnološke družbe pomenila visoko stopnjo tveganja za temeljne pravice do zasebnosti in varstva podatkov. Odbor strani predlagane združitve opozarja na obveznosti iz Splošne uredbe o varstvu podatkov, ki jih imajo v skladu z načelom odgovornosti, in da na pregleden način izvedejo celovito oceno zahtev glede varstva podatkov in posledic združitve na zasebnost. Poleg tega odbor strani poziva, naj, preden o združitvi obvestijo Evropsko komisijo, zmanjšajo morebitna tveganja združitve, ki bi jih ta imela na pravico do zasebnosti in pravico do varstva podatkov. Odbor bo preučil posledice, ki jih ima ta združitev na varstvo osebnih podatkov v EGP, in je pripravljen svetovati Evropski komisiji o predlagani združitvi, če bo ta tako zahtevala.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bruselj, 30. januar – Dne 28. in 29. januarja so se organi za varstvo podatkov v EGP in Evropski nadzornik za varstvo podatkov, zbrani v Evropskem odboru za varstvo podatkov (v nadaljevanju odbor), sestali na sedemnajstem plenarnem zasedanju. Na plenarnem zasedanju je potekala razprava o številnih temah.
 
Odbor je sprejel mnenja o akreditacijskih zahtevah za organe za spremljanje kodeksov ravnanja, ki so jih odboru predložili belgijski, španski in francoski nadzorni organi. Namen teh mnenj je zagotoviti usklajeno in pravilno uporabo meril s  strani nadzornih organov v EGP.

Odbor je sprejel osnutek Smernic o povezanih vozilih. Ker vozila postajajo vse bolj povezana, količina podatkov, ki se ustvari o voznikih in potnikih v teh povezanih vozilih, hitro narašča. Smernice odbora se osredotočajo na obdelavo osebnih podatkov v zvezi z nepoklicno uporabo povezanih vozil s strani posameznikov, na katere se nanašajo osebni podatki. Natančneje, smernice obravnavajo osebne podatke, ki jih obdeluje vozilo, in podatke, ki jih vozilo posreduje kot povezani pripomoček. Smernice bodo predložene v javno posvetovanje.

Odbor je po javnem posvetovanju sprejel končno verzijo Smernic o obdelavi osebnih podatkov z video napravami. Namen smernic je pojasniti, kako se Splošna uredba o varstvu podatkov uporablja za obdelavo osebnih podatkov pri uporabi video naprav, in zagotoviti dosledno uporabo Splošne uredbe o varstvu podatkov v zvezi s tem. Smernice zajemajo tako tradicionalen videonadzor kot pametne video naprave. Smernice med drugim obravnavajo zakonitost obdelave, vključno z obdelavo posebnih vrst osebnih podatkov, uporabo izjeme domače dejavnosti in razkritje posnetkov tretjim osebam. Po javnem posvetovanju je bilo sprejetih več sprememb.

Odbor je sprejel mnenji o osnutkih akreditacijskih zahtev za organe za certificiranje, ki sta ju odboru predložila nadzorna organa Združenega kraljestva in Luksemburga. To sta prvi mnenji o akreditacijskih zahtevah za organe za certificiranje, ki ju je sprejel odbor. Namen teh mnenj je vzpostaviti dosleden in usklajen pristop glede zahtev, ki jih bodo nadzorni organi in nacionalni akreditacijski organi uporabljali pri akreditaciji organov za certificiranje.

Odbor je sprejel mnenje o osnutku sklepa glede zavezujočih poslovnih pravil skupine Fujikura Automotive Europe, ki ga je odboru predložil španski nadzorni organ.

Pismo o nepoštenih algoritmih
Odbor je sprejel pismo v odgovor na prošnjo poslanke Evropskega parlamenta Sophie in’t Veld o uporabi nepoštenih algoritmov. Pismo vsebuje analizo izzivov, ki jih predstavlja uporaba algoritmov, pregled ustreznih določb Splošne uredbe o varstvu podatkov in obstoječih smernic, ki obravnavajo ta vprašanja, ter opisuje delo, ki so ga že opravili nadzorni organi.

Pismo Svetu Evrope o Konvenciji o kibernetski kriminaliteti
Potem ko je odbor prispeval k postopku posvetovanja v zvezi s pogajanji o drugem dodatnem protokolu h Konvenciji Sveta Evrope o kibernetski kriminaliteti (Budimpeštanska konvencija), je več članov odbora dejavno sodelovalo na konferenci Octopus v okviru Sveta Evrope za kibernetsko kriminaliteto. Odbor je po konferenci sprejel pismo, v katerem je poudaril, da je treba v navedeni dodatni protokol h konvenciji vključiti stroge zaščitne ukrepe za varstvo podatkov in zagotoviti njegovo skladnost s Konvencijo št. 108 ter s Pogodbama EU in Listino o temeljnih pravicah.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in oblikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary