Ceci est une version HTML d'une pièce jointe de la demande d'accès à l'information 'SDPC, DPA and TIA for the use of personal data processing software by the EDPB (except Confluence)'.


To: Heiko Roth
xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxx.xxx
Brussels, 3 March 2022
Subject: Your application for access to documents – Ref No 2022/08
Dear Mr. Roth,
We refer to your e-mail dated 13/01/2022 in which you make a request for access to documents,
registered on 20/01/2022 under reference number 2022/08.
On  09/02/2022,  having  already  registered  your  request,  our  assessment  determined  that  its
scope was very broad and had identified hundreds of documents falling within the scope of
your request, including documents which, based on your request, would not necessarily be of
interest  to  you  (e.g.  IT  service  tickets  or  service  logs).  In  addition,  our  assessment  also
determined that the scope of some of the terms used (e.g. software) was too broad, and would
result in a significant volume of documents to be assessed, which would entail an unreasonable
administrative burden for the EDPB. As a result, and in an attempt to propose a solution, we
requested  that  you  either  narrowed  down  the  scope  of  the  documents,  or  proceeded  with  a
request for information, instead of a request for access to documents, which would allow us to
provide you with a direct reply to your queries, to the best of our capacity, while giving you
the  possibility  of  submitting  a  request  for  access  to  documents  afterwards.  No  reply  was
provided.
In accordance with article 7(8) of Regulation 1049/2001, a 15-working day extension of the
initial deadline was submitted to you on 10/02/2022. Thus, the final deadline for replying to
the initial request is 03/03/2022.
You requested access to documents containing the following information:
Under  the  right  of  access  to  documents  in  the  EU  treaties,  as  developed  in  Regulation
1049/2001, I am requesting documents which contain the following information:

1) Indication of whether, which and for what purpose personal data processing services
/  software  of  organizations  (e.g.,  as  processor  /  data  importer)  located  outside  the
EU/EEA are used acutally by the EDPB. Exception: Confluence - for the use of this
software runs a parallel request from 12.01.2021.

2) Indication of whether, which and for what purpose such personal data processing
services of organizations located within the EU/EEA, but with subcontractors outside
the EU/EEA, are actually used by the EDPB.

3) Per individual of these services with the aforementioned third country references:
a) I request an indication as to whether and which transfers pursuant to Art. 44 et seq.
GDPR are triggered by the use of these services.

1


b) I ask for all contracts concluded with the providers of these services in this respect,
which are necessary under data protection law, or for a missing indication if there are
no  such  contracts.  In  particular,  namely:  contract  for  commissioned  processing
according to Art. 28 DSGVO as well as standard data protection clauses according to
Art. 46 GDPR.

c) I request the provision of the documented "Transfer Impact Assessment" required
according to clause 14 of the current standard data protection clause sets of the EU
Commission or the documented "Transfer Impact Assessment" required according to
Art. 46 (1) GDPR in conjunction with the principles from ECJ judgment "Schrems II"
regarding the data transfers associated with the use of such services.

Assessment
Based on the above, in the absence of a reply to our request of 09/02/2022, in order to be able
to, to the best of our current capacity, provide a reply to your request, we have interpreted it in
a  manner  whereby  you  can  receive  the  information  you  have  requested,  and  we  are able  to
provide it to you within the established legal deadlines.
As a result, concerning your request (1) above, we were required to interpret the notions of
personal data processing services / software”, and of “organisations (e.g. as processor / data
importer) located outside the EU/EEA
” in order to be able to identify the services / software
falling within the scope of your request.
Given that there is no established definition of “personal data processing services/software”,
we  have  interpreted  this  concept  as  covering  any  software  that  has, as  a  main  purpose,  the
processing of personal data. This means, when assessing which software is in scope of your
request,  we  have  not  considered  software  such  as,  but  not  limited  to, operating  systems,
firmware, anti-virus software, webservers (in contrast to possible applications running on these
web servers). To illustrate this approach via an example, and focusing solely on this part of the
request, office  suite  programs would  in  principle  fall  within  the  scope, since, while  not
specifically designed to process personal data, they are still frequently used for this purpose
(letters,  tables  containing  personal  data,  etc.).  However,  we  have  excluded other  types  of
services  /  software, e.g.  browsers  that,  while processing  data  of  the  user,  are  not  as  such
designed primarily to process this data.
As to the notion of organisations located outside the EU/EEA, in your request, you qualify said
organisations with  the  roles  of “e.g. as processor/data  importer”, which  we  therefore
interpreted as referring to cases where:
 the processing actually takes place outside the EEA (processor outside the EEA under
instructions of the EDPB or one of its processors); or
 personal data is transferred to a place outside the EEA (data importer outside the EEA)
by the EDPB or one of its processors.
2


For your request (2) above, regarding “(...) documents which contain the following information:
Indication of whether, which and for what purpose such personal data processing services of
organizations located within the EU/EEA, but with subcontractors outside the EU/EEA, are
actually used by the EDPB
”, we have followed the same interpretation made above for (1).
By way of example, this means that while, e.g. Microsoft Office is provided by an organisation
located outside the EEA, the processing undertaken by the EDPB via this program, based on
information gathered, takes place locally, and data is hosted inside the EU. Therefore, by way
of  example,  such  software would then be  excluded  from  the  scope  of  your  request  as  we
interpret it.
In conclusion, this was the reasoning followed in order to identify the services / software falling
under the scope of your request, and any related documents.
Furthermore, we would like to take the opportunity to indicate that the EDPB relies to a great
extent on IT services / software provided by other EU Institutions, through the European Data
Protection  Supervisor (as  indicated  in  our  Memorandum  of  Understanding,  which  you  can
consult
following 
this 
link:
https://edpb.europa.eu/our-work-tools/our-
documents/memorandum-understanding/memorandum-understanding). 
Said
services/software are very frequently hosted in-house by these institutions.
Finally,  please  note  that  the  documents  provided  here  contain  information  that  the  EDPB
gathered / received / assessed at a certain point in time and in a given context in relation to
services  provided  to  the  EDPB.  The  data  protection  field,  in  particular  when  it  comes  to
international  transfers,  is  constantly  and  quickly  evolving,  and,  as  such,  some  of  the
information disclosed in the provided documents may have evolved and no longer correspond,
or exactly correspond, to the current situation.
In light of the above, we have identified 7 documents that fall within the scope of your request.
To facilitate our assessment and  your consultation of the files, the titles of the files have been
adequately numbered. We will refer to the numbers of each single file in our assessment below.
2. Full non-disclosure
Having  examined  the  documents  requested  under  the  provisions  of  Regulation  (EC)  No
1049/2001  regarding  public  access  to  documents,  we  have  come  to  the  conclusion  that  the
documents mentioned below cannot be disclosed. Their disclosure is prevented by the following
exceptions to the right of access laid down in Article 4 of the Regulation, namely:
Documents falling partially out of scope of the request:
Documents: 2, 4, 6
Exceptions applicable under Article 4 Regulation 1049/2001:
(a)  Exception  4(1)(b): The  following  documents  to  which  you  request  access  contain
personal data, in particular names and contact details of data subjects, as well as other
3


personal  information.  Pursuant  to  Article  4(1)(b)  of  Regulation  (EC)  No  1049/2001,
access to a document has to be refused if its disclosure would undermine the protection of
privacy and the integrity of the individual, in particular in accordance with EU legislation
regarding  the  protection  of  personal  data.  The  applicable  legislation  in  this  field  is
Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October
2018 on the protection of natural persons with regard to the processing of personal data
by the Union institutions, bodies, offices and agencies and on the free movement of such
data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC. When
access  is  requested  to  documents  containing  personal  data,  Regulation  2018/1725
becomes fully applicable1. According to Article 9(1)(b) of this Regulation, personal data
shall only be transferred  to recipients if they establish the necessity of having the data
transferred to them for a specific purpose in the public interest and the controller considers
it  proportionate.  We  consider  that,  with  the  information  available,  the  necessity  of
disclosing the aforementioned personal data to you has not been established and/or that it
cannot be assumed that such disclosure would not prejudice the legitimate rights of the
persons concerned. Therefore, we are disclosing a version of the documents requested in
which these personal data have been redacted. Please, note that the personal data redacted
concern staff members and other private persons, whereas the full names of those holding
publicly known positions have been kept.
This exception applies to the following documents:
Documents: 2, 4, 6
Exception  4(2),  2nd  paragraph: the  documents falling  under  this  exception  contain
internal legal advice and assessments developed in the context of the Board’s work, the
disclosure of which would undermine the purpose of the advice provided. Furthermore,
the  disclosure of  said legal  advice  could  be  easily  mistaken  as  an  express and  binding
opinion of the Board, thus creating confusion and seriously undermining the work of the
Board.
This exception applies to the following documents:
Documents: 4
Exception  4(3),  2nd  paragraph: The  documents  which  you  seek  to  obtain  contain
discussions, views and/or opinions of the EDPB members, of its Secretariat and of third
parties concerning decisions that have already been taken. This includes one draft version
of a document adopted by the EDPB, the disclosure of which could cause confusion in
relation  to  the  final,  adopted  version.  The  disclosure  of  these  discussions,  views  and
opinion  could  seriously harm the  decision-making  process  of  the  Board  for  different
reasons; to begin with, they contain discussions and views provided in the context of the
relationship of the Board with third parties, in particular service providers, which were
provided to the Board in the context of those services and at a specific point in time, which
1 Judgment of the Court of Justice of the European Union of 29 June 2010 in Case C-28/08 P, Commission/The
Bavarian Lager Co. Ltd
, ECR 2010 I-06055. This case concerns the previous Regulation (EC) No 45/2001 of the
European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the
processing of personal data by the Community institutions and bodies and on the free movement of such data.
4


may not necessarily reflect the current situation and, thus, lead to confusion. Furthermore,
the disclosure of these views could possibly undermine the relationship with said service
providers. In  addition, these  documents  also  contain views  of  the  Members /  EDPB
Secretariat;  the  disclosure  of  these  views would  curtail  the  Members and  the  EDPB
Secretariat “space  to  think”,  as  it  would  prevent  them  from  freely  submitting  their
uncensored views on the matter, and freely discussing the issues at stake also in light of
their specific situations.
This exception applies to the following documents:
Documents: 2, 6
Please  note  that  the  application  of  the  exceptions under  Articles  4(2),  2nd  paragraph  (for
document 4) and 4 (3), 2nd paragraph (documents 2 and 6) are the ones leading to the full non-
disclosure of documents also covered by the exception under Article 4 (1) (b). The application
of Article 4 (1) (b) alone would have led to a partial disclosure of those documents (redacting
all the personal data).
We  have  considered  whether  partial  access  could  be  granted  to  the  documents  requested.
However, the document(s) are either entirely covered by the exception(s), or the expungement of
the information  falling  under  the  exception(s)  is  so  significant  that  it  renders  the  document
irrelevant, which is why they are not provided.
Finally, we have examined whether there could be an overriding public interest in disclosing these
documents, but we have not been able to identify such an interest. For these reasons, access to
these documents is denied.
3. Partial disclosure
Having  examined  the  documents  requested  under  the  provisions  of  Regulation  (EC)  No
1049/2001 regarding public access to documents, alongside the scope of your request, I have come
to  the  conclusion  that  full  disclosure  of the  documents  cannot  be  granted.  Some  parts  of  the
documents have been redacted as the information either falls outside the scope of your request or
its disclosure is prevented by the following exceptions to the right of access laid down in Article
4 of Regulation 1049/2001:
Documents falling partially outside the scope of the request:
 Documents: 1, 3, 5, 7
Exceptions applicable under Article 4 Regulation 1049/2001:
Exception  4(1)(b)  (“Privacy  and  integrity  of  the  individual”). The  following
documents to  which  you  request  access  contain personal data, in  particular names  and
contact details of data subjects, as well as other personal information. Pursuant to Article
4(1)(b) of Regulation (EC) No 1049/2001, access to a document has to be refused if its
disclosure would undermine the protection of privacy and the integrity of the individual,
in particular in accordance with EU legislation regarding the protection of personal data.
The  applicable  legislation  in  this  field  is Regulation  (EU)  2018/1725  of  the  European
5


Parliament and of the Council of 23 October 2018 on the protection of natural persons
with regard to the processing of personal data by the Union institutions, bodies, offices
and agencies and on the free movement of such data, and repealing Regulation (EC) No
45/2001  and  Decision  No  1247/2002/EC. When  access  is  requested  to  documents
containing personal data, Regulation 2018/1725 becomes fully applicable2. According to
Article 9(1)(b) of this Regulation, personal data shall only be transferred to recipients if
they establish the necessity of having the data transferred to them for a specific purpose in
the public interest and the controller considers it proportionate. We consider that, with the
information available, the necessity of disclosing the aforementioned personal data to you
has not been established and/or that it cannot be assumed that such disclosure would not
prejudice the legitimate rights of the persons concerned. Therefore, we are disclosing a
version  of  the  documents  requested  in  which  these  personal  data  have  been  redacted.
Please,  note  that  the personal  data  redacted  concern staff  members  and  other  private
persons, whereas the full names of those holding publicly known positions have been kept.
In addition, all metadata containing direct or indirect identifiers that would allow for an
identification of a specific data subject was removed for the entirety of documents assessed
in accordance with the exception mentioned above.
This exception applies to the following documents:
 Documents: 1, 5, 7
Exception  4(2),  3rd  paragraph. The  document  at  stake  concerns  the  provision  of
information by the EDPB in the context of an inquiry. As a result, its disclosure could
seriously  undermine  the scope  and  goals  of  said inquiry,  by  disclosing  information  on
aspects of the inquiry which may not yet have been decided upon by the party conducting
the inquiry.
This exception applies to the following documents:
 Documents: 7
Exception  4(3),  2nd  paragraph. The  redacted  sections  of  these  documents  contain
discussions,  views  and/or  opinions  of  the  EDPB  members  and/or  of  its  Secretariat
concerning  decisions  that  have  already  been  taken.  Their  disclosure  would  seriously
undermine  the  decision-making  process  of  the  EDPB  as  it  would  curtail  the  Members
“space to think”, as it would prevent them from freely submitting their uncensored views
on  the  matter,  and  freely  discussing  the  issues  at  stake  also  in  light  of  their  national
situations. The disclosure of these opinions will also have consequences in forthcoming
discussions, since specific discussions/opinions/views of the EDPB are subject to updates
and revisions and can thus be reopened at any time.
2 Judgment of the Court of Justice of the European Union of 29 June 2010 in Case C-28/08 P, Commission/The
Bavarian Lager Co. Ltd
, ECR 2010 I-06055. This case concerns the previous Regulation (EC) No 45/2001 of the
European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the
processing of personal data by the Community institutions and bodies and on the free movement of such data.
6



In addition, redacted sections contains information provided by other EU institutions and
third parties at a given point in time. The disclosure of said information may, in certain
instances, require an update, and its disclosure would thus create confusion among the
general public. Furthermore, said information was also provided by EU institutions and
service providers in the context of their interinstitutional / contractual relationship with the
EDPB.  The  disclosure  of  these  views  could  therefore  put  into  question  the  Board’s
relationship with these parties and, as a result, seriously affect its decision-making process.
Moreover,  certain  redacted  sections  contain  views  of  the  Board  in  relation  to  work
conducted by other EU institutions, and provided to those institutions, in particular in the
context of inquiries, which, if disclosed, could undermine the Board’s relationship with
those institutions.
This exception applies to the following documents:
 Documents 1, 3, 5, 7
The exceptions laid down in Articles 4(2) and 4(3) of Regulation 1049/2001 apply unless there is
an overriding public interest in disclosure of the documents. We have not been able to identify
such an interest.
Disclaimer
You  may  reuse  the  documents  requested  free  of  charge  for  non-commercial  and  commercial
purposes provided that the source is acknowledged and that you do not distort the original meaning
or message of the document/documents. Please note that neither the EDPB, nor its Secretariat
assume liability stemming from the reuse.
Means of redress
In accordance with Article 7(2) of Regulation 1049/2001, you are entitled to make a confirmatory
application requesting the European Data Protection Board to review this position.
Such a confirmatory application should be addressed within 15 working days upon receipt of this
letter to the following email address: xxxx@xxxx.xxxxxx.xx. Please make reference to the case
number of your request in the subject.
Yours faithfully,
Ventsislav Karadjov
Vice-Chair of the EDPB
7