Briuselis, birželio 17 d. Per 32-ąją plenarinę sesiją EDAV patvirtino pranešimą dėl kontaktų atsekimo programėlių sąveikumo ir pranešimą dėl sienų atvėrimo ir duomenų apsaugos teisių. Valdyba taip pat patvirtino du laiškus EP nariui M. Körneriui dėl šifravimo ir BDAR 25 straipsnio ir vieną laišką Europos audito priežiūros įstaigų komitetui dėl Viešojo intereso įmonių apskaitos viešosios priežiūros valdybos (angl. Public Company Accounting Oversight Board) procedūrų.
Remdamasi EDAV gairėmis Nr. 04/2020 dėl buvimo vietos duomenų ir sąlytį turėjusių asmenų išaiškinimo priemonių naudojimo COVID-19 protrūkio aplinkybėmis, EDAV patvirtino pranešimą dėl kontaktų atsekimo programėlių sąveikumo. Pranešime nuodugniau išanalizuoti pagrindiniai su sąveikaus programėlių tinklo kūrimu susiję aspektai, į kuriuos reikia atsižvelgti kartu su Gairėse Nr. 04/2020 pabrėžtais aspektais, tarp jų – skaidrumas, teisinis pagrindas, duomenų valdymas, duomenų subjektų teisės, duomenų saugojimas, duomenų kiekio mažinimas, informacijos saugumas ir duomenų tikslumas.
EDAV pabrėžia, kad dalijimasis duomenimis apie asmenims, kuriems diagnozuotas susirgimas arba kurių testo rezultatas yra teigiamas, naudojantis tokiomis sąveikiomis programėlėmis, turėtų būti galimas tik tada, kai naudotojas tai daro savanoriškai. Suteikus duomenų subjektams informaciją ir kontrolę, padidės jų pasitikėjimas techniniais sprendimais ir noras juos įsidiegti. Siekis užtikrinti sąveikumą neturėtų būti naudojamas kaip pretekstas rinkti asmens duomenų daugiau, negu būtina.
Taip pat pažymėtina, kad kontaktų atsekimo programėlės turi būti įtrauktos į išsamias visuomenės sveikatos sektoriaus kovos su pandemija (testavimo ir paskesnio kontaktų atsekimo rankiniu būdu) strategijas, kad taikomos priemonės būtų veiksmingesnės.
Sąveikumo užtikrinimas kelia techninių iššūkių ir kartais jo neįmanoma užtikrinti nesiėmus neproporcingų atsvaros priemonių, tačiau kartu jis gali kelti didesnę duomenų apsaugos riziką. Todėl duomenų valdytojai turi užtikrinti, kad priemonės būtų veiksmingos ir proporcingos, ir privalo vertinti, ar to paties tikslo negalima pasiekti mažesnio intervencinio poveikio alternatyviomis priemonėmis.
EDAV patvirtino pranešimą dėl asmens duomenų tvarkymo po COVID-19 protrūkio vėl pradėjus atverti Šengeno sienas. Saugiai atverti sienas leidžiančios priemonės, kurių šiuo metu numato imtis arba imasi valstybės narės, apima testavimą dėl COVID-19, reikalavimus pateikti sveikatos priežiūros specialistų išduotas pažymas ir savanorišką kontaktų atsekimo programėlės naudojimą. Dauguma priemonių yra susijusios su asmens duomenų tvarkymu.
EDAV primena, kad duomenų apsaugos teisės aktai tebėra taikomi, tad reaguojant į pandemiją galima imtis veiksmingų priemonių ir kartu užtikrinti pagrindinių teisių ir laisvių apsaugą. EDAV pabrėžia, kad asmens duomenys turi būti tvarkomi tada, kai tai būtina, asmens duomenų tvarkymas turi būti proporcingas ir kad visoje EEE turėtų būti taikomas vienodas apsaugos lygis. Pranešime EDAV ragina, kad priimdamos sprendimus dėl to, koks asmens duomenų tvarkymas yra reikalingas tokiomis aplinkybėmis, valstybės narės laikytųsi bendrų Europos lygmens principų.
Pranešime taip pat aptariama, į kokius principus valstybės narės turi atkreipti ypač didelį dėmesį, kai vėl atverdamos sienas tvarko asmens duomenis. Tai – teisėtumas, sąžiningumas ir skaidrumas, tikslo apribojimas, duomenų kiekio mažinimas, saugojimo trukmės apribojimas, duomenų saugumas ir pritaikytoji bei standartizuotoji duomenų apsauga. Be to, sprendimas leisti atvykti į šalį, turėtų būti grindžiamas ne vien automatizuotomis atskirų sprendimų priėmimo technologijomis. Bet kuriuo atveju tokiems sprendimams turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Automatizuotos atskirų sprendimų priėmimo priemonės neturėtų būti taikomos vaikams.
Pabaigoje EDAV pabrėžia išankstinio konsultavimosi su kompetentingomis nacionalinėmis priežiūros institucijomis svarbą, kai valstybės narės ketina tvarkyti asmens duomenis šiais tikslais.
EDAV patvirtino atsakymą EP nariui Moritzui Körneriui dėl trečiosiose šalyse taikomo draudimo naudoti šifravimą svarbos vertinant duomenų apsaugos lygį, kai asmens duomenys yra perduodami į šalis, kuriose toks draudimas yra nustatytas. EDAV nurodo, kad bet koks šifravimo draudimas arba nuostatos, kuriomis šifravimas yra silpninamas, labai pakenktų duomenų valdytojams ir tvarkytojams BDAR nustatytų įpareigojimų užtikrinti saugumą laikymuisi, nepriklausomai nuo vietos – trečiojoje šalyje ar EEE. Saugumo priemonės yra vienas iš aspektų, į kuriuos Europos Komisija privalo atsižvelgti, kai vertina trečiojoje šalyje taikomo apsaugos lygio tinkamumą.
Antrame EP nariui Moritzui Körneriui skirtame laiške atsakoma į klausimą dėl nešiojamųjų kompiuterių kamerų dangtelių. EP narys Moritzas Körneris pabrėžė, kad ši technologija galėtų padėti laikytis BDAR ir pasiūlė, kad naujuose nešiojamuosiuose kompiuteriuose ji būtų įrengiama. Savo atsakyme Valdyba paaiškina, kad nešiojamųjų kompiuterių gamintojus reikėtų skatinti kuriant ir projektuojant tokius produktus atsižvelgti į duomenų apsaugos teisę, tačiau gamintojai nėra atsakingi už naudojantis tokiais produktais vykdomą duomenų tvarkymą, o BDAR teisinių įpareigojimų gamintojams nenustatyta, nebent gamintojai patys yra duomenų valdytojai arba tvarkytojai. Duomenų valdytojai privalo įvertinti kiekvieno duomenų tvarkymo riziką ir pasirinkti tinkamas BDAR atitinkančias apsaugos priemones, įskaitant pritaikytosios ir standartizuotosios duomenų apsaugos priemones, numatytas BDAR 25 straipsnyje.
Galiausiai pažymėtina, kad EDAV patvirtino laišką Europos audito priežiūros įstaigų komitetui. EDAV gavo CEAOB, vienijančio nacionalines audito priežiūros įstaigas ES lygmeniu, pasiūlymą bendradarbiauti ir gauti grįžtamąją informaciją apie derybas dėl duomenų perdavimo JAV Viešojo intereso įmonių apskaitos viešosios priežiūros valdybai administracinių procedūrų projekto. EDAV dėkoja už šį pasiūlymą ir pažymi, kad gali toliau palaikyti ryšį su CEAOB ir atsakyti į visus galinčius iškilti klausimus dėl duomenų apsaugos reikalavimų, susijusių su tokiomis procedūromis, atsižvelgiant į EDAV gaires Nr. 2/2020 dėl BDAR 46 straipsnio 2 dalies a punkto ir 46 straipsnio 3 dalies b punkto taikymo asmens duomenis perduodant tarp EEE ir ne EEE valdžios institucijų. Į tai būtų galima įtraukti ir Viešojo intereso įmonių apskaitos viešosios priežiūros valdybą, jeigu, CEAOB ir jo narių manymu, jų darbui, susijusiam su šiomis procedūromis, tai būtų naudinga.
Pastaba redaktoriams
Primename, kad visus Europos duomenų apsaugos valdybos plenariniame posėdyje patvirtintus dokumentus turi patikrinti teisininkai, kalbininkai ir formatavimo specialistai. Europos duomenų apsaugos valdybos interneto svetainėje jie bus paskelbti užbaigus šias patikras.
EDPB_Press Release_2020_11