Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων - Τριακοστή δεύτερη σύνοδος Ολομέλειας: Δήλωση σχετικά με τη διαλειτουργικότητα των εφαρμογών ιχνηλάτησης επαφών, δήλωση σχετικά με το άνοιγμα των συνόρων και τα δικαιώματα προστασίας των δεδομένων, απαντητικές επ

17 June 2020

Βρυξέλλες, 16 Ιουνίου - Στη διάρκεια της 32ης συνόδου Ολομέλειας, το ΕΣΠΔ εξέδωσε δήλωση σχετικά με τη διαλειτουργικότητα των εφαρμογών ιχνηλάτησης επαφών, καθώς και δήλωση σχετικά με το άνοιγμα των συνόρων και τα δικαιώματα προστασίας των δεδομένων. Το ΕΣΠΔ ενέκρινε επίσης δύο επιστολές προς τον ΕΒ Körner σχετικά με την κρυπτογράφηση και το άρθρο 25 του ΓΚΠΔ, καθώς και επιστολή προς την CEAOB σχετικά με τις ρυθμίσεις για το Σώμα λογιστικής εποπτείας δημοσίων επιχειρήσεων των ΗΠΑ (PCAOB).

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με τη διαλειτουργικότητα των εφαρμογών ιχνηλάτησης επαφών βασιζόμενο στις κατευθυντήριες γραμμές 04/2020 του ΕΣΠΔ σχετικά με τη χρήση δεδομένων θέσης και εργαλείων ιχνηλάτησης επαφών στο πλαίσιο της έξαρσης της νόσου COVID-19. Η δήλωση περιέχει μια πιο ενδελεχή ανάλυση βασικών παραμέτρων, όπως η διαφάνεια, η νομική βάση, ο ρόλος του υπεύθυνου επεξεργασίας, τα δικαιώματα των υποκειμένων των δεδομένων, η περίοδος διατήρησης των δεδομένων και η ελαχιστοποίηση αυτών, η ασφάλεια των συστημάτων πληροφοριών και η ακρίβεια των δεδομένων στο πλαίσιο της δημιουργίας ενός διαλειτουργικού δικτύου εφαρμογών, οι οποίες παράμετροι πρέπει να συνεκτιμώνται πρωτίστως μεταξύ όσων αναφέρονται στις κατευθυντήριες γραμμές 04/2020 του ΕΣΠΔ.

Το ΕΣΠΔ τονίζει ότι η ανταλλαγή δεδομένων σχετικά με άτομο που έχει διαγνωσθεί ή έχει βρεθεί θετικό στον έλεγχο μέσα από τις εν λόγω διαλειτουργικές εφαρμογές θα πρέπει να γίνεται μόνο με οικειοθελή ενέργεια του χρήστη. Η παροχή ενημέρωσης και η παραχώρηση του ελέγχου στα υποκείμενα των δεδομένων θα αυξήσει την εμπιστοσύνη τους στις λύσεις και την πιθανή υιοθέτησή τους. Ο στόχος της διαλειτουργικότητας δεν πρέπει να χρησιμοποιείται ως επιχείρημα για την επέκταση της συλλογής δεδομένων προσωπικού χαρακτήρα πέρα απ' ό,τι είναι απαραίτητο.

Επιπλέον, οι εφαρμογές ιχνηλάτησης επαφών θα πρέπει να εντάσσονται στο πλαίσιο μιας ολοκληρωμένης στρατηγικής δημόσιας υγείας για την καταπολέμηση της πανδημίας, όπως οι εξετάσεις και η επακόλουθη ιχνηλάτηση επαφών με τη χρήση συμβατικών μέσων με στόχο την αύξηση της αποτελεσματικότητας των λαμβανόμενων μέτρων.

Η διασφάλιση της διαλειτουργικότητας δεν παρουσιάζει απλώς τεχνικές δυσκολίες και ενίοτε είναι αδύνατη χωρίς δυσανάλογους συμβιβασμούς, αλλά οδηγεί και σε πιθανούς αυξημένους κινδύνους για την προστασία των δεδομένων. Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν την αποτελεσματικότητα και την αναλογικότητα των μέτρων και οφείλουν να εκτιμούν κατά πόσον ο ίδιος σκοπός μπορεί να εκπληρωθεί με λιγότερο παρεμβατικές εναλλακτικές λύσεις.

Το ΕΣΠΔ εξέδωσε δήλωση σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του ανοίγματος των συνόρων Σένγκεν εκ νέου μετά την έξαρση της νόσου COVID-19. Στα μέτρα που εξετάζουν ή εφαρμόζουν επί του παρόντος τα κράτη μέλη για το ασφαλές άνοιγμα των συνόρων συγκαταλέγονται οι εξετάσεις για τη νόσο COVID-19, η απαίτηση έκδοσης πιστοποιητικού από επαγγελματίες υγείας και η οικειοθελής χρήση εφαρμογής ιχνηλάτησης επαφών. Τα περισσότερα από τα μέτρα αυτά συνεπάγονται επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Το ΕΣΠΔ υπενθυμίζει ότι η νομοθεσία για την προστασία των δεδομένων συνεχίζει να εφαρμόζεται και επιτρέπει μια αποτελεσματική απόκριση στην πανδημία, προστατεύοντας ταυτόχρονα τα θεμελιώδη δικαιώματα και τις ελευθερίες. Το ΕΣΠΔ τονίζει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι αναγκαία και αναλογική, το δε επίπεδο προστασίας θα πρέπει να χαρακτηρίζεται από συνεκτικότητα στο σύνολο του ΕΟΧ. Στη δήλωση, το ΕΣΠΔ κάνει έκκληση στα κράτη μέλη να υιοθετήσουν μια κοινή ευρωπαϊκή προσέγγιση όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποφασίζουν ότι είναι αναγκαία στο εν λόγω πλαίσιο.

Η δήλωση αναφέρεται επίσης στις αρχές του ΓΚΠΔ στις οποίες τα κράτη μέλη οφείλουν να δίνουν ιδιαίτερη προσοχή ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά το άνοιγμα των συνόρων, όπως η νομιμότητα, η αντικειμενικότητα και η διαφάνεια, ο περιορισμός του σκοπού, η ελαχιστοποίηση των δεδομένων, ο περιορισμός της περιόδου αποθήκευσης, η ασφάλεια των δεδομένων και η προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Επιπλέον, η απόφαση να επιτρέπεται η είσοδος στη χώρα δεν θα πρέπει να βασίζεται αποκλειστικά σε τεχνολογίες αυτοματοποιημένης ατομικής λήψης αποφάσεων. Σε κάθε περίπτωση, η απόφαση αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψής του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που ελήφθη στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης. Μέτρα αυτοματοποιημένης ατομικής λήψης αποφάσεων δεν πρέπει να εφαρμόζονται σε παιδιά.

Τέλος, το ΕΣΠΔ τονίζει ότι είναι σημαντικό να έχει προηγηθεί διαβούλευση με τις αρμόδιες εθνικές εποπτικές αρχές εφόσον τα κράτη μέλη προτίθενται να προβούν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο εν λόγω πλαίσιο.

Το ΕΣΠΔ ενέκρινε απάντηση σε επιστολή του ΕΒ Moritz Körner σχετικά με τη συνάφεια της απαγόρευσης κρυπτογράφησης σε τρίτες χώρες κατά την εκτίμηση του επιπέδου προστασίας των δεδομένων σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε χώρες στις οποίες ισχύει η εν λόγω απαγόρευση. Κατά την άποψη του ΕΣΠΔ, κάθε απαγόρευση κρυπτογράφησης και κάθε διάταξη που αποδυναμώνει την κρυπτογράφηση υποσκάπτει σοβαρά τη συμμόρφωση προς τις υποχρεώσεις ασφαλείας του ΓΚΠΔ που ισχύουν για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία, είτε σε τρίτη χώρα είτε εντός του ΕΟΧ. Τα μέτρα ασφαλείας αποτελούν ένα από τα στοιχεία που υποχρεούται να λαμβάνει υπόψη η Ευρωπαϊκή Επιτροπή κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας σε τρίτη χώρα.

Η δεύτερη επιστολή προς τον ΕΒ Körner αναφέρεται στο θέμα του καλύμματος της κάμερας του φορητού υπολογιστή. Ο ΕΒ Körner επισημαίνει ότι η τεχνολογία αυτή θα μπορούσε να συμβάλει στη συμμόρφωση με τον ΓΚΠΔ και προτείνει να ενσωματωθεί στους νέους φορητούς υπολογιστές. Στην απαντητική επιστολή του, το ΕΣΠΔ διευκρινίζει ότι ενώ οι κατασκευαστές φορητών υπολογιστών θα πρέπει να παροτρύνονται να λαμβάνουν υπόψη το δικαίωμα στην προστασία των δεδομένων κατά την ανάπτυξη και τον σχεδιασμό των εν λόγω προϊόντων, δεν φέρουν ευθύνη για την επεξεργασία που γίνεται με τα προϊόντα αυτά, ο δε ΓΚΠΔ δεν θεσπίζει νομικές υποχρεώσεις για τους κατασκευαστές παρά μόνον εφόσον ενεργούν επίσης ως υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία. Οι υπεύθυνοι επεξεργασίας οφείλουν να αξιολογούν τους κινδύνους κάθε επεξεργασίας και να επιλέγουν τις κατάλληλες εγγυήσεις ώστε να συμμορφώνονται προς τον ΓΚΠΔ, περιλαμβανομένης της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό και εξ ορισμού που κατοχυρώνεται στο άρθρο 25 του ΓΚΠΔ.

Τέλος, το ΕΣΠΔ ενέκρινε επιστολή προς την επιτροπή ευρωπαϊκών φορέων εποπτείας των ελεγκτών (CEAOB). Το ΕΣΠΔ έλαβε πρόταση από την CEAOB, στην οποία συμμετέχουν οι εθνικοί φορείς εποπτείας των ελεγκτών σε επίπεδο ΕΕ, για συνεργασία και λήψη ανατροφοδότησης ως προς τις συζητήσεις για το σχέδιο διοικητικών ρυθμίσεων σχετικά με τη διαβίβαση δεδομένων προς το Σώμα λογιστικής εποπτείας δημοσίων επιχειρήσεων των ΗΠΑ (PCAOB). Το ΕΣΠΔ χαιρετίζει την πρόταση αυτή και δηλώνει ότι είναι διαθέσιμο για ανταλλαγή απόψεων με την CEAOB προκειμένου να διευκρινιστούν τυχόν ερωτήματα για τις απαιτήσεις προστασίας των δεδομένων που συνδέονται με τις εν λόγω ρυθμίσεις, υπό το φως των κατευθυντήριων γραμμών 2/2020 του ΕΣΠΔ σχετικά με το άρθρο 46 παράγραφος 2 στοιχείο α) και παράγραφος 3 στοιχείο β) του ΓΚΠΔ για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ των δημόσιων αρχών χωρών του ΕΟΧ και χωρών εκτός ΕΟΧ. Στην ανταλλαγή απόψεων θα μπορούσε να συμμετάσχει και το PCAOB, εφόσον κρίνεται επωφελές από την CEAOB και τα μέλη της για τις εργασίες τους με αντικείμενο τις εν λόγω ρυθμίσεις.

 

Σημείωση προς τους συντάκτες:
Επισημαίνεται ότι όλα τα έγγραφα που εγκρίνονται κατά τη σύνοδο ολομέλειας του ΕΣΠΔ υπόκεινται στους αναγκαίους νομικούς και γλωσσικούς ελέγχους, καθώς και στον αναγκαίο έλεγχο μορφοποίησης, και θα καταστούν διαθέσιμα στον διαδικτυακό τόπο του ΕΣΠΔ μετά την ολοκλήρωση των ελέγχων αυτών.

EDPB_Press Release_2020_11