Bruksela, 17 czerwca – W trakcie 32. sesji plenarnej EROD przyjęła oświadczenie w sprawie interoperacyjności aplikacji służących do ustalania kontaktów zakaźnych, a także oświadczenie w sprawie otwarcia granic i praw do ochrony danych. Rada przyjęła również dwa pisma do posła do Parlamentu Europejskiego Moritza Körnera – w sprawie szyfrowania i art. 25 RODO – oraz pismo do KEONA w sprawie ustaleń dotyczących Rady ds. Nadzoru nad Rachunkowością Spółek Publicznych Stanów Zjednoczonych Ameryki.
EROD przyjęła oświadczenie w sprawie interoperacyjności aplikacji służących do ustalania kontaktów zakaźnych, w oparciu o wytyczne EROD 04/2020 w sprawie wykorzystywania danych dotyczących lokalizacji oraz narzędzi służących ustalaniu kontaktów zakaźnych w kontekście pandemii COVID-19. Oświadczenie zawiera bardziej szczegółową analizę kluczowych aspektów, w tym przejrzystości, podstawy prawnej, administrowania, praw osób, których dane dotyczą, zatrzymywania i minimalizacji danych, bezpieczeństwa informacji i prawidłowości danych w kontekście tworzenia interoperacyjnej sieci aplikacji, które należy rozpatrywać jako uzupełnienie elementów wskazanych w wytycznych EROD 04/2020.
EROD podkreśla, że wymiana danych dotyczących osób, które zostały pozytywnie zdiagnozowana lub uzyskały pozytywny wynik testu, przy pomocy takich interoperacyjnych aplikacji, powinna być uruchamiana wyłącznie w drodze dobrowolnego działania użytkownika. Udzielanie informacji osobom, których dane dotyczą, i pozwolenie im na kontrolę nad tymi informacjami zwiększy ich zaufanie do rozwiązań i ich potencjalnego upowszechnienia. Cel interoperacyjności nie powinien być wykorzystywany jako argument przemawiający za rozszerzeniem zakresu gromadzenia danych osobowych ponad to, co jest niezbędne.
Ponadto aplikacje służące do ustalania kontaktów zakaźnych muszą stanowić część kompleksowej strategii zdrowia publicznego mającej na celu zwalczanie pandemii, obejmującej m.in. badania i późniejsze ustalanie kontaktów zakaźnych tradycyjnymi metodami w celu poprawy skuteczności podejmowanych środków.
Zagwarantowanie interoperacyjności jest nie tylko technicznie trudne i czasami niemożliwe bez konieczności wprowadzania nadmiernych kompromisów, ale również prowadzi do potencjalnego zwiększenia zagrożenia dla ochrony danych. W związku z tym administratorzy danych muszą zapewnić skuteczność i proporcjonalność środków oraz ocenić, czy mniej inwazyjne rozwiązanie pozwoli na osiągnięcie tego samego celu.
EROD przyjęła oświadczenie w sprawie przetwarzania danych osobowych w kontekście ponownego otwarcia granic Schengen w następstwie pandemii COVID-19. Środki pozwalające na bezpieczne ponowne otwarcie granic, obecnie planowane lub wdrażane przez państwa członkowskie, obejmują badania na obecność COVID-19, wprowadzenie wymogu posiadania zaświadczeń wydanych przez pracowników służby zdrowia oraz dobrowolne korzystanie z aplikacji służącej do ustalania kontaktów zakaźnych. Większość tych środków wiąże się z przetwarzaniem danych osobowych.
EROD przypomina, że przepisy dotyczące ochrony danych nadal mają zastosowanie i pozwalają na skuteczne reagowanie na zjawisko pandemii, a jednocześnie chronią podstawowe prawa i wolności. Ponadto EROD podkreśla, że przetwarzanie danych osobowych musi być niezbędne i proporcjonalne, a stopień ochrony powinien być spójny w całym EOG. W oświadczeniu EROD wzywa państwa członkowskie do przyjęcia wspólnego europejskiego podejścia przy podejmowaniu decyzji, które przetwarzanie danych osobowych jest niezbędne w tym kontekście.
Oświadczenie odnosi się również do zasad RODO, zgodnie z którymi państwa członkowskie muszą zwracać szczególną uwagę na przetwarzanie danych osobowych w kontekście ponownego otwarcia granicy. Obejmują one zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizację danych, ograniczenie przechowywania, bezpieczeństwo danych oraz uwzględnianie ochrony danych w fazie projektowania i domyślną ochronę danych. Ponadto decyzja o zezwoleniu na wjazd na terytorium danego państwa powinna opierać się nie tylko na technologiach zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach. Decyzje takie powinny zawsze podlegać odpowiednim zabezpieczeniom, obejmującym przekazywanie konkretnych informacji osobie, której dane dotyczą, oraz prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Narzędzia zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach nie powinny mieć zastosowania do dzieci.
Ponadto EROD podkreśla znaczenie uprzednich konsultacji z właściwymi krajowymi organami nadzorczymi, jeżeli państwa członkowskie zamierzają przetwarzać dane osobowe w tym kontekście.
EROD przyjęła odpowiedź na pismo od posła do Parlamentu Europejskiego Moritza Körnera w sprawie znaczenia zakazów szyfrowania w państwach trzecich dla oceny stopnia ochrony danych w przypadku przekazywania danych osobowych do państw, w których zakazy te istnieją. Według EROD każdy zakaz szyfrowania lub przepisy osłabiające szyfrowanie poważnie naruszałyby przestrzeganie obowiązków w zakresie bezpieczeństwa wynikających z RODO mających zastosowanie do administratorów i podmiotów przetwarzających, czy to w państwie trzecim, czy w EOG. Środki bezpieczeństwa są jednym z elementów, które Komisja Europejska musi uwzględnić przy ocenie, czy stopień ochrony w danym państwie trzecim jest odpowiedni.
Drugie pismo skierowane do posła do Parlamentu Europejskiego Moritza Körnera dotyczy kwestii nakładek na kamerę laptopa. Poseł do Parlamentu Europejskiego Körner podkreślił, że rozwiązanie to może pomóc w zachowaniu zgodności z RODO, i zaproponował, by nowe laptopy były wyposażone w takie rozwiązanie. W swojej odpowiedzi Rada wyjaśnia, że o ile producenci laptopów powinni być zachęcani do uwzględniania prawa do ochrony danych przy opracowywaniu i projektowaniu tego typu produktów, o tyle nie są oni odpowiedzialni za przetwarzanie danych w ramach tych produktów, a RODO nie nakłada na producentów zobowiązań prawnych, chyba że działają oni również jako administratorzy lub podmioty przetwarzające. Administratorzy muszą ocenić ryzyko związane z każdym przetwarzaniem i dokonać wyboru odpowiednich zabezpieczeń zgodnych z RODO, w tym z uwzględnieniem ochrony danych w fazie projektowania oraz domyślnej ochrony danych zapisanych w art. 25 RODO.
Ponadto EROD przyjęła pismo do Komitetu Europejskich Organów Nadzoru Audytowego (KEONA). EROD otrzymała wniosek od KEONA, w którym zasiadają przedstawiciele krajowych organów nadzoru nad biegłymi rewidentami na szczeblu UE, mający na celu współpracę i otrzymywanie informacji zwrotnych na temat negocjacji dotyczących projektów uzgodnień administracyjnych dotyczących przekazywania danych do Rady ds. Nadzoru nad Rachunkowością Spółek Publicznych Stanów Zjednoczonych (PCAOB). EROD z zadowoleniem przyjmuje ten wniosek i wskazuje, że istnieje możliwość wymiany informacji z KEONA w celu wyjaśnienia wszelkich potencjalnych kwestii dotyczących wymogów ochrony danych związanych z takimi uzgodnieniami w świetle wytycznych EROD 2/2020 dotyczących art. 46 ust. 2 lit. a) i art. 46 ust. 3 lit. b) RODO w odniesieniu do przekazywania danych osobowych między organami publicznymi EOG i spoza EOG. Wymiana mogłaby również obejmować PCAOB, jeżeli KEONA i jego członkowie uznają, że jest to korzystne dla ich pracy nad tymi uzgodnieniami.
Uwaga dla redaktorów:
Wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz zostaną udostępnione na stronie internetowej EROD po ich zakończeniu.
EDPB_Press Release_2020_11