Brüsszel, június 16. – Az Európai Adatvédelmi Testület 32. plenáris ülésén nyilatkozatot fogadott el a kontaktkövető alkalmazások interoperabilitásáról, illetve a határok megnyitásáról és az adatvédelmi jogokról. A Testület elfogadott továbbá két, Körner európai parlamenti képviselőhöz intézett levelet a titkosításról és az általános adatvédelmi rendelet 25. cikkéről, valamint egy, a CEAOB-hoz intézett levelet a Részvénytársaságok Számviteli Felügyeleti Testületével (PCAOB) kapcsolatos megállapodásokról.
Az Európai Adatvédelmi Testület nyilatkozatot fogadott el a kontaktkövető alkalmazások interoperabilitásáról, amely az Európai Adatvédelmi Testületnek a helymeghatározó adatok és a kontaktkövető eszközök Covid19-járvánnyal összefüggésben történő használatáról szóló 04/2020. sz. iránymutatásán alapul. A nyilatkozat mélyrehatóbb elemzést nyújt az alkalmazások interoperábilis hálózatának létrehozásával összefüggő kulcsfontosságú szempontokról, úgymint az átláthatóságról, a jogalapról, az adatkezelésről, az érintettek jogairól, az adatmegőrzésről és -minimalizálásról, az információbiztonságról és az adatok pontosságáról, amelyeket az Európai Adatvédelmi Testület 04/2020. sz. iránymutatásában kiemelt szempontokon túl figyelembe kell venni.
Az Európai Adatvédelmi Testület hangsúlyozza, hogy a pozitív diagnózissal vagy teszteredménnyel rendelkező személyek adatainak az ilyen interoperábilis alkalmazásokon keresztül való megosztása csak önkéntes alapon történhet. Az érintettek tájékoztatása és az ellenőrzés kezükbe adása növelni fogja a megoldásokba és azok lehetséges felhasználásába vetett bizalmukat. Az interoperabilitás célja nem használható érvként a személyes adatok gyűjtésének a szükséges mértéken túli kiterjesztésére.
Ezen túlmenően a kontaktkövető alkalmazásoknak a pandémia elleni küzdelemre irányuló átfogó közegészségügyi stratégia – mint például a hozott intézkedések hatékonyságának javítása céljából történő tesztelés és az azt követő manuális kontaktkövetés – részét kell képezniük.
Az interoperabilitás biztosítása nemcsak technikai kihívást jelent és néha lehetetlen aránytalan kompromisszumok nélkül, hanem potenciálisan fokozott adatvédelmi kockázathoz is vezet. Ezért az adatkezelőknek biztosítaniuk kell, hogy az intézkedések hatékonyak és arányosak legyenek, valamint értékelniük kell, hogy egy kevésbé beavatkozó jellegű alternatívával elérhető-e ugyanaz a cél.
Az Európai Adatvédelmi Testület nyilatkozatot fogadott el a személyes adatoknak a schengeni határok Covid19-járványt követő újbóli megnyitásával összefüggésben történő feldolgozásáról. A határok biztonságos újranyitását lehetővé tevő, a tagállamok által jelenleg tervezett vagy végrehajtott intézkedések közé tartozik a Covid19-tesztelés, az egészségügyi szakemberek által kiállított igazolások előírása és az önkéntes alapú kontaktkövető alkalmazások használata. A legtöbb intézkedés személyes adatok feldolgozását foglalja magában.
Az Európai Adatvédelmi Testület emlékeztet arra, hogy az adatvédelmi jogszabályok továbbra is alkalmazandók és lehetővé teszik a világjárványra való hatékony reagálást, miközben védik az alapvető jogokat és szabadságokat. Az Európai Adatvédelmi Testület hangsúlyozza, hogy a személyes adatok feldolgozásának szükségesnek és arányosnak kell lennie, és a védelem szintjének az egész EGT-ben következetesnek kell lennie. A nyilatkozatban az Európai Adatvédelmi Testület sürgeti a tagállamokat, hogy alkalmazzanak közös európai megközelítést annak eldöntésekor, hogy ebben az összefüggésben mely személyes adatok feldolgozására van szükség.
A nyilatkozat az általános adatvédelmi rendelet azon elveivel is foglalkozik, amelyekre a tagállamoknak különös figyelmet kell fordítaniuk a személyes adatoknak a határ újbóli megnyitásával összefüggésben történő feldolgozása során. Ezek közé tartozik a jogszerűség, a méltányosság és az átláthatóság, a célhoz kötöttség, az adatminimalizálás, a korlátozott tárolhatóság, az adatbiztonság, valamint a beépített és alapértelmezett adatvédelem. Ezenkívül az országba való belépés engedélyezésére vonatkozó döntésnek nem csak az automatizált, egyedi döntéshozatali technológiákon kell alapulnia. Az ilyen döntések mindazonáltal csakis megfelelő garanciák mellett hozhatók meg, amelyek közé tartozik az érintett külön tájékoztatása és ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, kifejtse álláspontját, magyarázatot kapjon az ilyen értékelés alapján hozott döntésről, valamint hogy megtámadja a döntést. Az automatizált egyedi döntéshozatali intézkedések gyermekekre nem alkalmazandók.
Végezetül az Európai Adatvédelmi Testület kiemeli az illetékes nemzeti felügyeleti hatóságokkal folytatott előzetes konzultáció fontosságát, amennyiben a tagállamok ezzel összefüggésben személyes adatokat kívánnak feldolgozni.
Az Európai Adatvédelmi Testület választ fogadott el Moritz Körner európai parlamenti képviselő levelére arról, hogy a harmadik országokban alkalmazott titkosítási tilalmak relevánsak-e az adatvédelem szintjének értékelése szempontjából, amikor a személyes adatokat olyan országokba továbbítják, ahol ilyen tilalmak vannak érvényben. Az Európai Adatvédelmi Testület szerint a titkosítás bármilyen tilalma vagy a titkosítást gyengítő rendelkezések súlyosan aláásnák az általános adatvédelmi rendeletnek az adatkezelőkre és -feldolgozókra – akár harmadik országban, akár az EGT-ben – alkalmazandó biztonsági kötelezettségeknek való megfelelést. A biztonsági intézkedések egyike azon elemeknek, amelyeket az Európai Bizottságnak figyelembe kell vennie a harmadik országok védelmi szintje megfelelőségének értékelésekor.
A Körner európai parlamenti képviselőnek küldött második levél a laptop-kameraborítások témájával foglalkozik. Körner európai parlamenti képviselő kiemelte, hogy ez a technológia segíthet az általános adatvédelmi rendeletnek való megfelelésben, és azt javasolta, hogy az új laptopokat szereljék fel ezzel. Válaszában a Testület egyértelművé teszi, hogy bár a laptopok gyártóit ösztönözni kell arra, hogy az ilyen termékek fejlesztése és tervezése során vegyék figyelembe az adatvédelemhez való jogot, nem felelősek az ilyen termékekkel végzett adatkezelésért, és az általános adatvédelmi rendelet nem állapít meg jogi kötelezettségeket a gyártók számára, kivéve, ha adatkezelőként vagy adatfeldolgozóként is eljárnak. Az adatkezelőknek értékelniük kell az egyes adatkezelések kockázatait, és ki kell választaniuk az általános adatvédelmi rendeletnek való megfeleléshez szükséges biztosítékokat, beleértve az általános adatvédelmi rendelet 25. cikkében foglalt beépített és alapértelmezett adatvédelmet.
Végezetül az Európai Adatvédelmi Testület elfogadott egy, az Európai Könyvvizsgálat-felügyeleti Szervek Bizottságához (CEAOB) intézett levelet. Az Európai Adatvédelmi Testület javaslatot kapott a nemzeti könyvvizsgálói felügyeleti szerveket uniós szinten tömörítő CEAOB-tól, amely arra irányult, hogy működjön együtt és kapjon visszajelzést az egyesült államokbeli Részvénytársaságok Számviteli Felügyeleti Testülete (PCAOB) részére történő adattovábbításra vonatkozó igazgatási megállapodástervezetekről folytatott tárgyalásokról. Az Európai Adatvédelmi Testület üdvözli ezt a javaslatot, és megjegyzi, hogy a személyes adatoknak az EGT-hez tartozó és az EGT-n kívüli hatóságok közötti továbbítása vonatkozásában az általános adatvédelmi rendelet 46. cikke (2) bekezdésének a) pontjáról és 46. cikke (3) bekezdésének b) pontjáról szóló 2/2020. sz. EDPB iránymutatások értelmében van lehetőség a CEAOB-vel való egyeztetésre az ilyen megállapodásokhoz kapcsolódó adatvédelmi követelményekkel kapcsolatos esetleges kérdések tisztázása érdekében. Az adatcserében részt vehet a PCAOB is, amennyiben azt a CEAOB és tagjai az ilyen megállapodásokkal kapcsolatos munkájuk szempontjából hasznosnak tartják.
Megjegyzések a szerkesztőknek:
Felhívjuk figyelmét, hogy az Európai Adatvédelmi Testület plenáris ülésén elfogadott valamennyi dokumentumot a szükséges jogi, nyelvi és formázási ellenőrzéseknek vetik alá, és azok az ellenőrzések után az Európai Adatvédelmi Testület honlapján lesznek elérhetőek.
EDPB_Press Release_2020_11