Europeiska dataskyddsstyrelsen

Nyheter från Europeiska dataskyddsstyrelsen

11 December 2019

Following the EDPB opinion (July 2019) on the draft standard contractual clauses (SCCs) for contracts between controller and processor submitted to the Board by the Danish Supervisory Authority (SA), the final text of the Danish SCCs, as adopted by the Danish SA, has been published in the EDPB's Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.
 
The standard processor agreement has been adopted by the Danish SA pursuant to art. 28(8) GDPR and aims at helping organisations to meet the requirements of art. 28 (3) and (4), given the fact that the contract between controller and processor cannot just restate the provisions of the GDPR but should further specify them, e.g. with regard to the assistance provided by the processor to the controller.
 
The possibility of using SCCs adopted by a SA does not prevent the parties from adding other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the adopted clauses or prejudice the fundamental rights or freedoms of the data subjects.
Nevertheless, the clauses are an instrument to be used "as is", i.e. the parties who enter into a contract with a modified version of the clauses are not deemed to have employed the adopted SCCs. On the contrary, to the extent that organizations choose to make use of these standard provisions, the Danish SA, for example in connection with an inspection visit, will not examine these provisions in more detail.

04 December 2019

On December 2nd and 3rd, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their sixteenth plenary session. During the plenary, several topics were discussed.
 
Art. 64 GDPR Opinion on Accreditation Requirements for Codes of Conduct monitoring bodies by UK SA
The EDPB adopted its opinion on the UK Supervisory Authority’s (SA) draft decision on the Accreditation Requirements for Codes of Conduct monitoring bodies. The opinion aims to ensure consistency and the correct application of these requirements among EEA SAs. In the opinion, the EDPB proposes some changes to the draft accreditation requirements, in order to ensure a consistent application of the accreditation of monitoring bodies.

Response to BEREC request for guidance on the revision of its guidelines on net neutrality rules
The EDPB adopted its response to a request for guidance by the Body of European Regulators for Electronic Communication (BEREC) on the current EU data protection framework. In the letter, the Board raises concerns regarding the processing of domain names and URLs for the purposes of traffic management and billing (zero-rating offers).

The EDPB encourages the internet access services (IAS), and where relevant BEREC, to define and agree on less invasive and more standardized ways to manage internet traffic, interoperable throughout different IASs, which are not based on the use of URLs and domain names.

Guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR” (part 1)
The Board adopted draft guidelines on “the Criteria of the Right to be Forgotten in the search engine cases under the GDPR.” The guidelines provide an interpretation of Art. 17 GDPR with regard to the grounds and exceptions for delisting requests directed to search engine providers and are an update of the 2014 guidelines on the implementation of the Costeja judgment, issued by the Article 29 Working Party (WP29). These guidelines, which will be presented for public consultation, will be complemented by another set of guidelines on the criteria for handling complaints for refusals of delisting.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

02 December 2019

On December 2nd and 3rd, the sixteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixteenth Plenary

14 November 2019

Bryssel den 14 november – Den 12 och 13 november samlades dataskyddsmyndigheterna i EES-länderna och den Europeiska datatillsynsmannen i Europeiska dataskyddsstyrelsen för sin femtonde plenarsession. Under plenarsammanträdet diskuterades ett brett spektrum av ämnen.
 
Tredje årliga översynen av skölden för skydd av privatlivet
Den Europeiska dataskyddsstyrelsen (EDPB) antog sin rapport över den tredje årliga gemensamma översynen av skölden för skydd av privatlivet i EU och USA (EU-US Privacy Shield). I rapporten välkomnar EDPB de insatser som gjorts av de amerikanska myndigheterna för att genomföra skölden för skydd av privatlivet, särskilt när det gäller egeninitierade tillsyns- och verkställighetsåtgärder avseende de kommersiella aspekterna, samt utnämningarna av de sista ledamöterna i styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (Privacy and Civil Liberties Oversight Board, PCLOB) och en permanent Ombudsperson.

Ett antal frågetecken kvarstår dock. EDPB påpekar att det fortfarande saknas tillräckliga kontroller av hur sköldens principer i sak efterlevs. Andra områden som kräver ytterligare uppmärksamhet är tillämpningen av kraven i skölden när det gäller vidareöverföring, personuppgifter om anställda och personuppgiftsbiträden, liksom förfarandet för omcertifiering. Mer generellt skulle granskningsgruppens medlemmar önska att få en bredare tillgång till icke-offentliga uppgifter om kommersiella aspekter och pågående utredningar.

När det gäller offentliga myndigheters insamling av data uppmanar EDPB PCLOB att utfärda och offentliggöra ytterligare rapporter, bland annat för att ge möjlighet till en oberoende bedömning av övervakningsprogram som genomförs utanför Förenta staternas territorium, när uppgifter överförs från EU till USA. EDPB betonar att dess säkerhetsprövade experter även fortsättningsvis är redo att granska ytterligare dokument och att diskutera ytterligare frågor som omfattas av sekretess.

Samtidigt som Europeiska dataskyddsstyrelsen välkomnar de nya uppgifter som lämnats under årets översyn kan styrelsen inte dra slutsatsen att Ombudspersonen har tillräckliga befogenheter för att få tillgång till information och åtgärda bristande efterlevnad.

Riktlinjer för territoriell räckvidd
Europeiska dataskyddsstyrelsen antog en slutlig version av riktlinjerna för territoriell räckvidd efter offentligt samråd. Riktlinjerna syftar till att uttrycka EES-ländernas dataskyddsmyndigheters gemensamma tolkning av den allmänna dataskyddsförordningen när det gäller att bedöma om en behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde omfattas av förordningens territoriella tillämpningsområde, i enlighet med artikel 3 i förordningen. Riktlinjerna ger ytterligare förtydliganden om hur den allmänna dataskyddsförordningen ska tillämpas i olika situationer såsom när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad utanför EES. Ett exempel är frågan om utpekande av en företrädare enligt artikel 27 i den allmänna dataskyddsförordningen och dess roll.

De slutligt antagna riktlinjerna innehåller en uppdaterad text och ytterligare rättslig motivering för att möta de kommentarer och synpunkter som inkommit under det offentliga samrådet, samtidigt som den övergripande tolkning och metod som presenteras i den första versionen av riktlinjerna bibehålls.

Riktlinjer om inbyggt dataskydd & dataskydd som standard
Europeiska dataskyddsstyrelsen antog riktlinjer om inbyggt dataskydd och dataskydd som standard. Riktlinjerna fokuserar på skyldigheten att skydda personuppgifter genom sådana åtgärder enligt vad som gäller enligt artikel 25 i den allmänna dataskyddsförordningen. Kärnan i denna skyldighet är att effektivt genomföra principerna för uppgiftsskydd och registrerades fri- och rättigheter genom inbyggt dataskydd och dataskydd som standard. Detta kräver att personuppgiftsansvariga genomför lämpliga tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgärder, som är utformade för att säkerställa ett effektivt uppgiftsskydd och att skydda de registrerades fri- och rättigheter. Dessutom måste personuppgiftsansvariga kunna visa att de genomförda åtgärderna är effektiva. Riktlinjerna kommer att läggas fram för offentligt samråd.

Yttrande enligt artikel 64 om ExxonMobils bindande företagsregler
Europeiska dataskyddsstyrelsen antog sitt yttrande om förslaget till beslut över ExxonMobils bindande företagsregler som överlämnats till styrelsen av den belgiska tillsynsmyndigheten. Europeiska dataskyddsstyrelsen anser att de bindande företagsbestämmelserna ger tillräckliga garantier i den mening som avses i artikel 46 (2) (b) och uppfyller kraven i artikel 47 i den allmänna dataskyddsförordningen.

Svarsskrivelse till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) om EU: s informationssystem
Europeiska dataskyddsstyrelsen antog sitt svar på en begäran från Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, om en rättslig bedömning av Europeiska kommissionens förslag till förordning om fastställande av villkoren för åtkomst till andra EU-informationssystem och förslag till förordning om fastställande av villkoren för åtkomst tll andra EU-informationssystem för ETIAS syften. I skrivelsen hävdar Europeiska dataskyddsstyrelsen att förslagen bör ses i ett större sammanhang, dvs. som en del i genomförandet av ramverket om interoperabilitet och påminner om de betänkligheter som tidigare framförts av artikel 29-gruppen. Dessutom påpekas det i skrivelsen att det finns farhågor som rör de grundläggande principerna för uppgiftsskydd, såsom öppenhet, inbyggt dataskydd och dataskydd som standard samt ändamålsbegränsning.

Tilläggsprotokoll till Budapestkonventionen om it-brottslighet
Europeiska dataskyddsstyrelsen har antagit ett bidrag till utkastet till ett andra tilläggsprotokoll till Europarådets konvention om it-relaterad brottslighet (Budapestkonventionen), som ska behandlas inom ramen för samråd som hålls av Europarådets kommitté för konventionen om it-brottslighet (T-CY). Europeiska dataskyddsstyrelsen erinrar om att skyddet av personuppgifter och rättssäkerheten måste garanteras för att man ska kunna bidra till målet att införa hållbara arrangemang kring delning av personuppgifter med tredjeländer i brottsbekämpningssyfte, som är fullt förenliga med EU-fördragen och stadgan om de grundläggande rättigheterna.

Information till redaktörer:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarförsamling omfattas av nödvändiga rättsliga, språkliga och formateringskontroller och kommer att göras tillgängliga på Europeiska dataskyddsstyrelsens webbplats så snart dessa har slutförts.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Bryssel den 10 oktober – Den 8-9 oktober sammanträdde Europeiska datatillsynsmannen och Europeiska datatillsynsmannen för sin fjortonde plenarsession. Under plenarsammanträdet diskuterades en rad olika frågor.

Riktlinjer om den lagliga grunden för behandling av nättjänster på grundval av avtal (artikel 6 (1) (b))
Europeiska dataskyddsstyrelsen antog en slutlig version av riktlinjerna om tillämpningsområdet och tillämpningen av artikel 6.1 b i den allmänna dataskyddsförordningen i förhållande till informationssamhällets tjänster. Efter ett offentligt samråd infördes förtydliganden i texten. I sina riktlinjer gör styrelsen allmänna iakttagelser om principerna för uppgiftsskydd och samspelet mellan artikel 6.1 b och andra rättsliga grunder. Dessutom innehåller riktlinjerna vägledning om tillämpligheten av artikel 6.1 b vid hopslagning av separata tjänster och uppsägning av avtal.

Artikel 64-yttrande om Equinix bindande företagsbestämmelser
Europeiska dataskyddsstyrelsen antog ett yttrande om utkastet till beslut om Equinix’ bindande företagsregler, som lades fram för styrelsen av den brittiska dataskyddsmyndigheten (ICO). Europeiska dataskyddsstyrelsen anser att Equinix’ bindande företagsbestämmelser innehåller alla de delar som krävs enligt artikel 47 i den allmänna dataskyddsförordningen och artikel 29-arbetsgruppens dokument WP256 rev01 samt att de innehåller lämpliga skyddsåtgärder.

Passageraruppgifter (PNR-uppgifter)
Europeiska dataskyddsstyrelsen antog ett brev som svar till EU-parlamentsledamoten Sophie in ’t Veld om det omförhandlade utkastet till PNR-avtal med Kanada och dess inverkan på andra PNR-avtal. I sitt svar noterar Europeiska dataskyddsstyrelsen att styrelsen ännu inte tagit del av utkastet till avtal, men att Europeiska dataskyddsstyrelsen är redo att avge ett yttrande. Skrivelsen hänvisar vidare till ett tidigare brev till Europeiska kommissionen från artikel 29-arbetsgruppen (WP29), efter yttrandet från Europeiska unionens domstol (EU-domstolen) om det första utkastet till PNR-avtal med Kanada.

Svar till rådets arbetsgrupp för idrottsfrågor om antidopingskodexen (WADA)
Europeiska dataskyddsstyrelsen beslutade om ett svar på begäran från rådets arbetsgrupp för idrottsfrågor om den pågående översynen av världsantidopingskoden. I sin skrivelse erinrar styrelsen om två yttranden från WP29 om de tidigare versionerna av Wada-kodexen. I skrivelsen påpekas att framsteg har gjorts i fråga om skydd av privatlivet och skydd av personuppgifter i den nya versionen av kodexen och dess standarder, men att vissa viktiga farhågor kvarstår.

Information till redaktörer:
Observera att alla dokument som antas under Europeiska dataskyddsstyrelsens plenarmöten omfattas av nödvändiga rättsliga, språkliga och formateringskontroller och kommer att göras tillgängliga på Europeiska dataskyddsstyrelsens webbplats så snart dessa har slutförts

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Brussels, 11 July - On July 9th and 10th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their twelfth plenary session. During the plenary a wide range of topics were discussed.
 
Guidelines on Video Surveillance
The Board adopted Guidelines on Video Surveillance, which clarify how the GDPR applies to the processing of personal data when using video devices and aim to ensure the consistent application of the GDPR in this regard. The guidelines cover both traditional video devices and smart video devices. For the latter, the guidelines focus on the rules regarding processing of special categories of data. In addition, the guidelines cover, among others, the lawfulness of processing, the applicability of the household exemption and the disclosure of footage to third parties. The guidelines will be subject to public consultation.

EDPB-EDPS joint reply to the LIBE Committee on the implications of the US CLOUD Act
The EDPB adopted a joint EDPB-EDPS reply to the European Parliament Committee on Civil Liberties, Justice and Home Affairs’ (LIBE) request for a legal assessment regarding the impact of the US CLOUD Act on the EU legal data protection framework and the mandate for negotiating an EU-US agreement on cross-border access to electronic evidence for judicial cooperation in criminal matters. The CLOUD Act allows US law enforcement authorities to require the disclosure of data by service providers in the US, regardless of where the data is stored.

The EDPB and EDPS emphasize that a comprehensive EU-US agreement regarding cross-border access to electronic evidence, containing strong procedural and substantial safeguards for fundamental rights, appears the most appropriate instrument to ensure the necessary level of protection for EU data subjects and legal certainty for businesses.

Art.64 GDPR Opinion on Standard Contractual Clauses for processors under Art.28.8 GDPR by DK SA
The EDPB adopted its opinion on the draft Standard Contractual Clauses (SCCs) for framing the processing by a processor submitted to the Board by the Danish Supervisory Authority (SA). The opinion, which is the first one on this topic, aims to ensure the consistent application of Art 28 GDPR, relating to processors. In it, the Board made several recommendations that need to be taken into account in order for the draft SCCs of the Danish SA to be considered as Standard Contractual Clauses. If all recommendations are implemented, the Danish SA will be able to use this draft agreement as Standard Contractual Clauses pursuant to article 28.8 GDPR.

Art. 64 GDPR Opinion on Accreditation Criteria for monitoring bodies of Codes of Conduct by AT SA
Following submission by the Austrian SA of its draft decision on the Accreditation Criteria for Codes of Conduct monitoring bodies, the Board adopted its opinion. The Board agreed that all codes covering non-public authorities and bodies are required to have accredited monitoring bodies in accordance with the GDPR.

Art. 64 GDPR Opinion on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment
The Board adopted an opinion on the competence of a supervisory authority when the circumstances relating to the main or single establishment change. This can occur when the main establishment is relocated within the EEA, a main establishment is moved to the EEA from a third country, or when there no longer is a main or single establishment in the EEA. In such circumstances, the Board is of the opinion that the competence of the lead supervisory authority (LSA) can switch to another SA. In this case, the cooperation procedure set forth under Art. 60 will continue to apply and the new LSA will be obligated to cooperate with the former LSA and with the other concerned SAs in an endeavour to reach consensus. The switch can take place as long as no final decision has been reached by the competent supervisory authority.

EDPB-EDPS Joint Opinion on the eHDSI
The Board adopted a joint EDPB-EDPS opinion on the personal data protection aspects of the processing of patients’ data in the eHealth Digital Service Infrastructure (eHDSI). It is the first joint opinion by the EDPB and the EDPS adopted in response to a request from the European Commission under Article 42(2) of Regulation 2018/1725 on data protection for EU institutions and bodies. In their opinion, the EDPB and EDPS consider that, in this specific situation, and for the concrete processing of patients’ data within the eHDSI, there is no reason to dissent from the European Commission’s assessment of its role as a processor within the eHDSI. Furthermore, the joint opinion stresses the need to ensure that all the processor duties of the Commission, in this processing operation, as specified in the applicable data protection legislation, are clearly set out in the relevant Implementing Act.  

DPIA List Cyprus
The EDPB adopted an opinion on the Data Protection Impact Assessment (DPIA) list submitted to the Board by Cyprus. DPIA lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals.

Art. 64 GDPR Opinion on Art 35.5 lists FR, ES & CZ (DPIA exemption)
The EDPB adopted its opinion on the Art. 35.5 lists submitted to the Board by the French, Spanish and Czech SAs.

Recommendation on EDPS list pursuant to Art. 39.4 Regulation 2018/1725 (DPIA list)
The Board has adopted a recommendation on the Art. 39.4 list submitted to the Board by the EDPS. The EDPS has to consult the EDPB prior to adoption of these lists insofar as these “refer to processing operations by a controller acting jointly with one or more controllers other than Union institutions and bodies” (Article 39(6) of Regulation (EU) 2018/1725). Similar to GDPR DPIA lists, the EDPS list informs controllers about processing activities which require a DPIA.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Brussels, 5 June - On June 4th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eleventh plenary session. During the plenary a wide range of topics were discussed.

Guidelines on Codes of Conduct
The EDPB adopted a final version of the Guidelines on Codes of Conduct. Following public consultation, points of clarification were included in the text. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process.

Annex to the Guidelines on Accreditation
The EDPB adopted a final version of the annex to the Guidelines on Accreditation, following public consultation. The text has been reviewed to enhance clarity. The aim of the guidelines is to provide guidance on how to interpret and implement the provisions of Article 43 GDPR. In particular, they aim to help Member States, supervisory authorities and national accreditation bodies establish a consistent and harmonised baseline for the accreditation of certification bodies that issue certification in accordance with the GDPR. The annex provides guidance on the additional requirements for the accreditation of certification bodies to be established by the supervisory authorities. These additional requirements, before being adopted by supervisory authorities, are to be submitted to the European Data Protection Board for approval pursuant to Article 64(1)(c).*

Annex to the Guidelines on Certification
The EDPB adopted a final version of annex 2 to the Guidelines on Certification. Following public consultation, some aspects were added to certain sections, for example, whether the criteria address the obligation of the controller/processor to appoint a DPO and the obligation to keep records of the processing activities. The primary aim of these guidelines is to identify overarching criteria which may be relevant to all types of certification mechanisms issued in accordance with art. 42 and art. 43 GDPR. The annex identifies topics that data protection supervisory authorities and the EDPB will consider and apply for the approval of certification criteria for a certification mechanism. The list is not exhaustive, but presents the minimum topics to be considered.*

Note to editors:

* As a next step, before specific cases regarding certification and accreditation can be discussed at the EDPB level, the EDPB is preparing a procedure to facilitate consistent and timely opinions on SA draft decisions and to approve European Data Protection Seals.

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bryssel den 15 maj – Den 14 maj och den 15 maj höll Europeiska dataskyddsstyrelsen, som består av EES-ländernas dataskyddsmyndigheter och Europeiska datatillsynsmannen,  sin tionde plenarsession. Under plenarsessionen diskuterades ett brett spektrum av ämnen

Val av ny vice ordförande

Ledamöterna i styrelsen valde Aleid Wolfsen, ordförande för den nederländska tillsynsmyndigheten, som ny vice ordförande. Han ersätter Willem Debeukelere vars arbete ordföranden i Europeiska dataskyddsstyrelsen Andrea Jelinek tackade för. Tillsammans med vice ordförande Ventsislav Karadjov kommer Aleid Wolfsen att stödja EDPB:s ordförande i hennes arbete under de kommande åren.

Dr. Jelinek tillade: ”Allmänhetens intresse av dataskydd är högre än någonsin. Jag ser fram emot att samarbeta med Aleid och Ventsislav i kontakterna med andra  aktörer  på dataskyddsområdet. ”

Aleid Wolfsen tillade: ”Under de kommande åren är det vårt ansvar att leverera  kvalitativ vägledning och goda råd. Jag kommer som vice ordförande att ta ansvar för att vi beaktar alla synpunkter och att vi i slutändan talar med en röst. ”

Svar till ledamoten Sophie In ’t Veld angående uppkopplade fordon

Europeiska dataskyddsstyrelsen antog ett brev som svar på ledamoten Sophie In ’t Velds brev den 17 april 2019 ifråga om utlämnande av bilförares personuppgifter till biltillverkare och tredje part, utan uttryckligt samtycke, särskilt och informerat samtycke från föraren, och utan korrekt rättslig grund. I sitt svar framhåller Europeiska dataskyddsstyrelsen att medlemmarna i EDPB och deras internationella kolleger antog en resolution vid det Internationella dataskyddsmötet 2017 om uppgiftsskydd i automatiserade och uppkopplade fordon och att artikel 29-gruppen antog sitt yttrande 3/2017 om behandling av personuppgifter inom ramen för samverkande intelligenta transportsystem (C-ITS).Frågan kommer också att behandlas i enlighet med Europeiska dataskyddsstyrelsens arbetsprogram 2019–2020.

Tredje årliga översynen av Privacy Shield

Europeiska dataskyddsstyrelsen har utsett företrädare för den tredje årliga översynen av Privacy Shield. Österrike, Bulgarien, Frankrike, Tyskland, Ungern och Europeiska datatillsynsmannen kommer att företräda styrelsen under översynen.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Europeiska dataskyddsstyrelsen – nionde plenarsessionen: Riktlinjer för behandling av personuppgifter inom ramen för informationssamhällets tjänster

 

Bryssel den 10 april – Den 9 och 10 april samlades EES-ländernas dataskyddsmyndigheter och den  Europeiska datatillsynsmannen,  i Europeiska dataskyddsstyrelsen som sammanträdde under sin nionde plenarsession.
 
Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen riktlinjer för tillämpningsområdet för och tillämpningen av artikel 6.1 b * i GDPR i samband med informationssamhällets tjänster. I sina riktlinjer gör styrelsen allmänna iakttagelser om principer för uppgiftsskydd och om samspelet mellan artikel 6.1 b och andra rättsliga grunder. Dessutom innehåller riktlinjerna vägledning om tillämpligheten av artikel 6.1 b vid kombinering av separata tjänster och uppsägning av avtal.

Information till redaktörer:

 

Observera att alla handlingar som antas vid Europeiska dataskyddsstyrelsens plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formateringskontroller och kommer att finnas tillgängliga på Europeiska dataskyddsstyrelsens webbplats när de har färdigställts.

* artikel 6.1 b
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
...
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.”
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brussels, 13 February - On February 12th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventh plenary session. During the plenary a wide range of topics were discussed.
 
EDPB 2019/2020 Work program
The Board adopted its two-year work program for 2019-2020, according to Article 29 of the EDPB Rules of Procedure. The EDPB work program is based on the needs identified by the members as priority for individuals, stakeholders, as well as the EU legislator- planned activities.

Draft administrative arrangement in the field of financial markets supervision

The EDPB adopted its first opinion on an administrative arrangement (AA), based on article 46.3.b of the GDPR, for transfers of personal data between EEA financial supervisory authorities, including the European Securities and Markets Authority (ESMA) and their non-EU counterparts. This arrangement will be submitted to the competent supervisory authorities (SAs) for authorisation at national level. The competent supervisory authorities will monitor the AA and its practical application to ensure that there are in practice effective and enforceable data subject rights and appropriate means of redress and supervision.

Brexit

The EDPB adopted an information note addressed to commercial entities and public authorities on data transfers under the GDPR in the event of a no-deal Brexit.

Data flows from the EEA to UK

In the absence of an agreement between the EU and the UK (no-deal Brexit), the UK will become a third country from 00.00 am CET on 30 March 2019. As a consequence, the transfer of personal data from the EEA to the UK will have to be based on one of the following instruments: Standard or ad hoc Data Protection Clauses, Binding Corporate Rules, Codes of Conduct and Certification Mechanisms and the specific transfer instruments available to public authorities. In the absence of Standard Data Protection Clauses or other alternative appropriate safeguards, derogations can be used under certain conditions.

Data flows from UK to the EEA

As regards data transfers from the UK to the EEA, according to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.

                                                               

Guidelines on codes of conduct
The EDPB adopted guidelines on codes of conduct. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process. The guidelines will be subject to public consultation.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bryssel den 24 januari – Den  22  och 23 januari sammanträdde den Europeiska dataskyddsstyrelsen (EDPB) i sin sjätte plenarsession. Under plenarsessionen diskuterades ett brett spektrum av ämnen.

Privacy Shield
Medlemmarna i styrelsen antog EDPBs rapport om den andra årliga översynen av överenskommelsen mellan EU och USA om Privacy Shield. EDPB välkomnar de ansträngningar som gjorts av de amerikanska myndigheterna och kommissionen för att genomföra Privacy Shield, särskilt de åtgärder som vidtagits för att anpassa den inledande certifieringen, inledandet av tillsyns- och verkställighetsåtgärder på eget initiativ samt insatserna för att offentliggöra ett antal viktiga dokument, delvis genom hävande av sekretess (såsom FISA-domstolens beslut), utnämning av en ny ordförande och tre nya medlemmar av styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter (PCLOB) och den nyligen offentliggjorda utnämningen av en permanent ombudsman.

Mot bakgrund av resultaten av den andra gemensamma översynen kvarstår följande farhågor när det gäller genomförandet av Privacy Shield. Detta inbegriper farhågor som redan uttryckts av EDPBs föregångare WP29 om avsaknaden av konkreta garantier för att urskillningslös insamling och tillgång till personuppgifter för nationella säkerhetsändamål inte sker. På grundval av den information som hittills lämnats kan EDPB  för närvarande inte anse att ombudsmannen har tillräckliga befogenheter för att åtgärda bristande efterlevnad. Dessutom påpekar styrelsen att kontrollen av hur innehållet i Privacy Shields principer efterlevs inte är tillräckligt stark.

Dessutom har EDPB vissa ytterligare farhågor när det gäller de nödvändiga kontrollerna av  att kraven kring vidareöverföring uppfylls, innebörden av begreppet personaluppgifter och förfarandet för omcertifiering samt en förteckning över återstående frågor som togs upp efter den första gemensamma översynen och som fortfarande är under behandling.

Brexit
EDPB diskuterade de möjliga konsekvenserna av brexit för uppgiftsskyddet. Medlemmarna enades om att samarbeta och utbyta information om sina förberedelser och vilka verktyg som finns tillgängliga för att överföra uppgifter till Förenade kungariket, när Förenade kungariket inte längre kommer att vara en del av EU.

Kliniska prövningar Q & A
På begäran av Europeiska kommissionen (GD SANTE) antog EDPB ett yttrande om frågor och svar avseende kliniska prövningar. Yttrandet tar särskilt upp de aspekter som rör de lämpliga rättsliga grunderna i samband med kliniska prövningar och de sekundära användningarna av data från kliniska prövningar för vetenskapliga ändamål. Yttrandet kommer nu att överlämnas till Europeiska kommissionen.

Förteckningar över konsekvensbedömning

EDPB antog yttranden över de förteckningar som Liechtenstein och Norge lämnat in till styrelsen över när konsekvensbedömning avseende dataskydd ska göras. Dessa förteckningar utgör ett viktigt verktyg för en enhetlig tillämpning av den allmänna dataskyddsförordningen i hela EES. En konsekvensbedömning avseende dataskydd är ett sätt att bidra till att identifiera och begränsa dataskyddsrisker som skulle kunna påverka enskilda personers rättigheter och friheter. Den personuppgiftsansvarige behöver visserligen i regel bedöma om en konsekvensbedömning avseende dataskydd krävs innan den inleder en behandling, men de nationella tillsynsmyndigheterna ska upprätta och offentliggöra en förteckning över den typ av behandling som omfattas av kravet på en konsekvensbedömning. Dessa två yttranden följer på de 22 yttranden som antogs vid plenarsessionen i september och de fyra yttranden som antogs vid plenarsessionen i december, och kommer att bidra ytterligare till att fastställa gemensamma kriterier för förteckningar över konsekvensbedömningar i hela EES.

Vägledning för certifiering
EDPB antog den slutliga versionen av vägledning om certifiering efter offentliga samråd. Dessutom antog styrelsen en ny bilaga. Ett utkast till vägledning antogs vid EDPBs första plenarsession i maj. Det främsta syftet med denna vägledning är att fastställa övergripande kriterier som kan vara relevanta för alla typer av certifieringsmekanismer som utfärdas i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Vägledningen undersöker därför grunden för certifiering som ett verktyg för att utkräva ansvar, förklarar nyckelbegreppen i certifieringsbestämmelserna i artikel 42 och artikel 43, förklarar omfattningen av vad som kan certifieras och beskriver syftet med certifieringen. Riktlinjerna kommer att hjälpa medlemsstaterna, tillsynsmyndigheter och nationella ackrediteringsorgan vid översyn och godkännande av certifieringskriterier i enlighet med artikel 42 och artikel 43 i den allmänna dataskyddsförordningen. Bilagan kommer att bli föremål för offentligt samråd.

Svar till Australian Supervisory Authority
I oktober 2018 mottog EDPBs ordförande en skriftlig förfrågan från den australiska dataskyddsmyndigheten om  tillsynsmyndigheternas offentliggörande av anmälningar om personuppgiftsincidenter. EDPB välkomnar den australiska kommissionsledamotens intresse av att samarbeta med EDPB i denna fråga och betonar vikten av internationellt samarbete. I sitt svar ger EDPB ytterligare information om huruvida och hur tillsynsmyndigheterna hanterar offentliggörandet av information om anmälningar av personuppgiftsincidenter.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary