Европейски комитет по защита на данните — тридесет и второ пленарно заседание: изявление относно оперативната съвместимост на приложенията за проследяване на контакти, изявление относно отварянето на границите и правата на защита на данните, писма в отгов

17 June 2020

Брюксел, 17 юни — На 32-ото си пленарно заседание ЕКЗД прие изявление относно оперативната съвместимост на приложенията за проследяване на контакти, както и изявление относно отварянето на границите и правата на защита на данните. Комитетът прие също две писма до члена на ЕП- г-н Körner — относно криптирането и член 25 от ОРЗД, както и писмо до КЕОНО относно договореностите със Съвета за надзор над счетоводството на публичните дружества на САЩ (СНСПДС).

ЕКЗД прие изявление относно оперативната съвместимост на приложенията за проследяване на контакти, основавайки се на Насоки 04/2020 на ЕКЗД относно използването на данни за местонахождение и инструменти за проследяване на контакти във връзка с епидемичния взрив от COVID-19. В изявлението е предложен по-задълбочен анализ на основни аспекти, включително прозрачност, правно основание, администриране, права на субектите на данни, запазване на данните и свеждане на данните до минимум, информационна сигурност и точност на данните с оглед създаването на оперативно съвместима мрежа от приложения, които трябва да бъдат взети предвид в допълнение към аспектите, посочени в Насоки 04/2020 на ЕКЗД.

ЕКЗД подчертава, че обменът на данни за лица, които са диагностицирани или са дали положителна проба, чрез такива оперативно съвместими приложения следва да се извършва единствено при доброволно действие от страна на потребителя. Предоставянето на информация и контрол на субектите на данни ще повиши доверието им в решенията и потенциалното им използване. Целта на оперативната съвместимост следва да не се използва като аргумент за разширяване на събирането на лични данни извън необходимото.

Освен това, приложенията за проследяване на контакти трябва да са част от цялостна стратегия за обществено здраве за борба с пандемията, например изследване и последващо ръчно проследяване на контактите за целите на подобряване  ефективността на предприетите мерки.

Гарантирането на оперативна съвместимост е не само трудно от техническа гледна точка и понякога невъзможно без непропорционални компромиси, но и води до потенциално увеличаване на риска за защитата на данните. Поради това, администраторите трябва да гарантират, че мерките са ефективни и пропорционални, и трябва да оценяват дали същата цел не може да бъде постигната чрез алтернативни решения с по-ниска степен на намеса.

ЕКЗД прие изявление относно обработването на лични данни във връзка с отварянето на шенгенските граници след епидемичния взрив на COVID-19. Мерките, позволяващи безопасно отваряне на границите, които понастоящем се предвиждат или прилагат от държавите членки, включват тестване за COVID-19, изискване на удостоверения, издадени от медицински лица и използване на приложение за доброволно проследяване на контактите. Повечето мерки включват обработване на лични данни.

ЕКЗД припомня, че законодателството относно защитата на данните остава в сила и не пречи да се реагира ефикасно на пандемията, като същевременно се защитават основните права и свободи. ЕКЗД подчертава, че обработването на лични данни трябва да е необходимо и пропорционално, а нивото на защита да е съгласувано в ЕИП. В изявлението си ЕКЗД призовава държавите членки да предприемат общ европейски подход при вземането на решение кое обработване на лични данни е необходимо в тази ситуация.

В изявлението се посочват също принципите на ОРЗД, на които държавите членки трябва да обърнат специално внимание при обработването на лични данни във връзка с отварянето на границите. Това са: законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, ограничение на съхранението, сигурност на данните и защита на данните на етапа на проектирането, и по подразбиране. Освен това, решението да се позволи влизането в дадена държава следва да не се основава само на технологиите за автоматизирано вземане на индивидуални решения. Във всеки случай такива решения трябва да подлежат на подходящи гаранции, които да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка, и на обжалване на решението. Мерките за автоматизирано вземане на индивидуални решения следва да не се прилагат за деца.

Накрая ЕКЗД подчертава значението на предварителната консултация с компетентните национални надзорни органи, когато държавите членки възнамеряват да обработват лични данни в тази ситуация.

ЕКЗД прие отговор на писмо от члена на ЕП- г-н Moritz Körner относно значимостта на забраните за криптиране в трети държави при извършване на оценка на нивото на защита на данните, когато личните данни се прехвърлят в държави със съществуващи такива забрани. Според ЕКЗД всяка забрана за криптиране или разпоредби, отслабващи криптирането, биха засегнали сериозно спазването на задълженията за сигурност, заложени в ОРЗД, приложими за администраторите и обработващите данни, независимо дали става въпрос за трета държава или за държава от ЕИП. Мерките за сигурност са един от елементите, които Европейската комисия трябва да отчете при оценяването на адекватността на нивото на защита в трета държава.

Във второ писмо до члена на ЕП- г-н Körner се разглежда темата за устройствата за закриване на камерата на преносими компютри. Членът на ЕП- г-н Körner изтъква, че тази технология би могла да помогне за спазването на ОРЗД, и предложи новите преносими компютри да бъдат оборудвани с нея. В отговора си Комитетът пояснява, че производителите на преносими компютри следва да бъдат насърчавани да вземат под внимание правото на защита на данните при разработването и проектирането на такива продукти, но те не носят отговорност за обработването на данни, извършвано с тези продукти, а в ОРЗД не са заложени правни задължения за производителите, освен ако те самите също не действат като администратори или обработващи данни. Администраторите на данни трябва да оценяват рисковете от всяка обработка и да избират подходящи гаранции за спазване на ОРЗД, включително неприкосновеност на етапа на проектирането и по подразбиране, заложени в член 25 от ОРЗД.

На последно място, ЕКЗД прие писмо до Комитета на европейските органи за надзор на одита (КЕОНО). ЕКЗД получи предложение от КЕОНО, обединяващ националните органи за надзор на одита на равнище ЕС, за сътрудничество и получаване на обратна информация относно преговорите за проект на административни договорености за предаването на данни до Съвета за надзор над счетоводството на публичните дружества на САЩ (СНСПДС). ЕКЗД приветства това предложение и посочва, че е на разположение за обмен с КЕОНО за изясняване на всички потенциални въпроси относно изискванията за защита на данните, свързани с такива договорености, с оглед на Насоки 2/2020 на ЕКЗД относно член 46, параграф 2, буква а) и член 46, параграф 3, буква б) от ОРЗД за предаване на лични данни между публични органи от ЕИП и извън ЕИП. В случай че КЕОНО и членовете му сметнат, че ще бъде полезно за работата по тези договорености, СНСПДС също може да бъде включен в обмена.

 

Бележка за редакторите:
Следва да се има предвид, че всички документи, приети на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.

EDPB_Press Release_2020_11