Evropski odbor za varstvo podatkov – štiriintrideseto plenarno zasedanje: Izjava o interoperabilnosti aplikacij za sledenje stikom, Izjava o odprtju meja in pravicah glede varstva osebnih podatkov, pisma poslancu Evropskega parlamenta Körnerju glede pokri

17 June 2020

Bruselj, 17. junija – Evropski odbor za varstvo podatkov je na 32. plenarnem zasedanju sprejel Izjavo o interoperabilnosti aplikacij za sledenje stikom ter Izjavo o odprtju meja in pravicah glede varstva osebnih podatkov. Odbor je sprejel tudi dva pisma naslovljena na poslanca Evropskega parlamenta Körnerja - glede šifriranja in glede člena 25 Splošne uredbe o varstvu podatkov - ter pismo naslovljeno na CEAOB glede sporazumov s PCAOB.

Evropski odbor za varstvo podatkov je sprejel Izjavo o interoperabilnosti aplikacij za sledenje stikom, ki temelji na Smernicah Evropskega odbora za varstvo podatkov št. 04/2020 o uporabi podatkov o lokaciji in orodjih za sledenje stikom v okviru izbruha COVID-19. Izjava ponuja bolj poglobljeno analizo ključnih vidikov, vključno s preglednostjo, pravnimi podlagami, upravljavstvom, pravicami posameznikov, na katere se nanašajo osebni podatki, hrambo podatkov, načelom najmanjšega obsega podatkov, informacijsko varnostjo in točnostjo podatkov v okviru vzpostavitve interoperabilnega omrežja aplikacij, ki jih je treba upoštevati poleg tistih, ki so že izpostavljeni v Smernicah Evropskega odbora za varstvo podatkov št. 04/2020.

Evropski odbor za varstvo podatkov poudarja, da bi se morala izmenjava podatkov o posameznikih, ki so bili diagnosticirani ali so prejeli pozitiven rezultat, v okviru interoperabilnih aplikacij sprožiti le na podlagi prostovoljnega ukrepanja uporabnika. Zagotavljanje informacij in nadzora posameznikom, na katere se nanašajo osebni podatki, bo povečalo njihovo zaupanje v rešitve in njihovo morebitno sprejemanje. Cilj interoperabilnosti se ne bi smel uporabljati kot argument za zbiranje večje količine osebnih podatkov kot bi to bilo potrebno.

Poleg tega morajo biti aplikacije za sledenje stikom del celovite strategije javnega zdravja za boj proti pandemiji, kot je testiranje in naknadno ročno sledenje stikom z namenom, da se izboljša učinkovitost izvedenih ukrepov.

Zagotavljanje interoperabilnosti ni le tehnično zahtevno in včasih nemogoče brez nesorazmernih kompromisov, ampak vodi tudi k morebitnemu povečanemu tveganju za varstvo podatkov. Zato morajo upravljavci zagotoviti, da so ukrepi učinkoviti in sorazmerni, ter oceniti, ali lahko z manj vsiljivimi načini dosežejo isti namen.

Evropski odbor za varstvo podatkov je sprejel izjavo o obdelavi osebnih podatkov v okviru ponovnega odprtja schengenskih meja po izbruhu COVID-19. Ukrepi za varno ponovno odprtje meja, ki jih države članice trenutno predvidevajo ali izvajajo, vključujejo testiranje na COVID-19,  zahteve za izdajo potrdil s strani zdravstvenega osebja in prostovoljno uporabo aplikacije za sledenje stikom. Večina ukrepov vključuje obdelavo osebnih podatkov.

Evropski odbor za varstvo podatkov opozarja, da se zakonodaja o varstvu podatkov še naprej uporablja in omogoča učinkovit odziv na pandemijo, hkrati pa varuje temeljne pravice in svoboščine. Evropski odbor za varstvo podatkov poudarja, da mora biti obdelava osebnih podatkov potrebna in sorazmerna, raven varstva pa mora biti dosledna v celotnem EGP. V izjavi Evropski odbor za varstvo podatkov poziva države članice, naj pri odločanju o tem, katera obdelava osebnih podatkov je potrebna v tem kontekstu, delujejo v okviru skupnega evropskega pristopa.

Izjava obravnava tudi načela Splošne uredbe o varstvu podatkov, ki jim morajo države članice v okviru ponovnega odprtja meja nameniti posebno pozornost v zvezi z obdelavo podatkov. Ta vključujejo zakonitost, poštenost in preglednost, omejitev namena, najmanjši obseg podatkov, omejitev shranjevanja, varnost podatkov ter vgrajeno in privzeto varstvo podatkov. Poleg tega odločitev, da se dovoli vstop v državo, ne bi smela temeljiti le na tehnologijah z avtomatiziranim sprejemanjem individualnih odločitev. V vsakem primeru bi morali za take odločitve veljati ustrezni zaščitni ukrepi, ki bi morali vključevati posebne informacije za posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja upravljavca, do izražanja lastnega stališča, do pridobitve obrazložitve navedene odločitve in pravice do izpodbijanja odločitve. Ukrepi z avtomatiziranim sprejemanjem posameznih odločitev se ne bi smeli uporabljati za otroke.

V kolikor nameravajo države članice obdelovati osebne podatke v navedenem kontekstu, Evropski odbor za varstvo podatkov poudarja pomen predhodnega posvetovanja s pristojnimi nacionalnimi nadzornimi organi.

Evropski odbor za varstvo podatkov je sprejel odgovor na pismo poslanca Evropskega parlamenta Moritz Körnerja o pomembnosti prepovedi šifriranja v tretjih državah pri ocenjevanju ravni varstva osebnih podatkov v zvezi s prenosi podatkov v države, kjer te prepovedi obstajajo. Po mnenju Evropskega odbora za varstvo podatkov bi kakršna koli prepoved šifriranja ali določbe, ki slabijo šifriranje, resno ogrozile izpolnjevanje obveznosti v zvezi z varnostjo iz Splošne uredbe o varstvu podatkov, ki se uporabljajo za upravljavce in obdelovalce, bodisi v tretji državi bodisi v EGP. Varnostni ukrepi so eden od elementov, ki jih mora Evropska komisija upoštevati pri ocenjevanju ustreznosti ravni varstva v tretji državi.

Drugi dopis, naslovljen na poslanca Evropskega parlamenta Körner, obravnava temo pokrival kamer na prenosnih računalnikih. Evropski poslanec Körner je poudaril, da bi ta tehnologija lahko prispevala k skladnosti s Splošno uredbo o varstvu podatkov, in predlagal, naj bodo novi prenosni računalniki opremljeni z njo. Odbor v svojem odgovoru pojasnjuje, da bi bilo sicer treba proizvajalce prenosnih računalnikov spodbujati, naj pri razvoju in oblikovanju takih izdelkov upoštevajo pravico do varstva podatkov, vendar niso odgovorni za obdelavo, ki se izvaja s temi izdelki, in da Splošna uredba o varstvu podatkov ne določa pravnih obveznosti za proizvajalce, razen če delujejo tudi kot upravljavci ali obdelovalci. Upravljavci morajo oceniti tveganja vsake obdelave in izbrati ustrezne zaščitne ukrepe za skladnost s Splošno uredbo o varstvu podatkov, vključno z vgrajenim in privzetim varstvom podatkov, kot je določeno v členu 25 Splošne uredbe o varstvu podatkov.

Nazadnje je Evropski odbor za varstvo podatkov sprejel pismo, ki ga je naslovil na Odbor evropskih organov za nadzor revizorjev (CEAOB). Evropski odbor za varstvo podatkov je prejel predlog CEAOB, ki združuje nacionalne nadzorne organe revizorjev na ravni EU, za sodelovanje in prejemanje povratnih informacij v zvezi s pogajanji o osnutkih upravnih dogovorov za prenos podatkov Odboru za nadzor računovodstva v javnih družbah ZDA (PCAOB). Evropski odbor za varstvo podatkov pozdravlja ta predlog in navaja, da je na voljo za izmenjavo s CEAOB, da se pojasnijo morebitna vprašanja o zahtevah glede varstva podatkov v zvezi s takšnimi dogovori glede na Smernice Evropskega odbora za varstvo podatkov 2/2020 o členu 46 (2) (a) in 46 (3) (b) Splošne uredbe o varstvu podatkov za prenose osebnih podatkov med javnimi organi v EGP in zunaj EGP. Ta izmenjava informacij bi lahko vključevala tudi PCAOB, če bi CEAOB in njegovi člani menili, da je to koristno za njihovo delo v zvezi z navedenim.

Opomba za urednike:
Opozarjamo, da so vsi dokumenti, sprejeti na plenarnem zasedanju Evropskega odbora za varstvo podatkov, predmet potrebnih pravnih, jezikovnih in jezikovnih pregledov ter bodo na voljo na spletišču Evropskega odbora za varstvo podatkov, ko bodo dokončani.