Brusel 17. června – Evropský sbor pro ochranu osobních údajů (EDPB) přijal na svém 32. plenárním zasedání prohlášení o interoperabilitě aplikací pro trassování kontaktů, jakož i prohlášení o otevření hranic a o právech na ochranu osobních údajů. Výbor rovněž schválil dva dopisy adresované poslanci Evropského parlamentu Körnerovi – o šifrování a článku 25 obecného nařízení o ochraně osobních údajů – a dopis adresovaný výboru CEAOB o ujednáních týkajících se PCAOB.
EDPB přijal prohlášení o interoperabilitě aplikací pro trasování kontaktů, které vychází z pokynů EDPB 04/2020 k používání lokalizačních údajů a nástrojů k trasování kontaktů v souvislosti s rozšířením onemocnění COVID-19. Prohlášení nabízí podrobnější analýzu klíčových aspektů, včetně transparentnosti, právního základu, správcovství, práv subjektů údajů, uchovávání a minimalizace údajů, bezpečnosti informací a přesnosti údajů v souvislosti s vytvořením interoperabilní sítě aplikací, které je třeba vzít v úvahu vedle těch, jež byly zdůrazněny v pokynech EDPB 04/2020.
EDPB zdůrazňuje, že sdílení údajů o osobách, které byly pozitivně diagnostikovány nebo testovány, s těmito interoperabilními aplikacemi, by mělo být zahájeno pouze na základě dobrovolného kroku uživatele. Poskytnutím informací subjektů údajů a jejich kontrolou se zvýší jejich důvěra v řešení a jejich potenciální využívání. Cíl interoperability by neměl být využíván jako argument pro rozšíření shromažďování osobních údajů nad rámec nezbytného.
Kromě toho je zapotřebí, aby aplikace pro trasování kontaktů byly součástí komplexní strategie v oblasti veřejného zdraví pro boj proti této pandemii, jako je testování a následné manuální trasování kontaktů za účelem zvýšení účinnosti prováděných opatření.
Zajištění interoperability je nejen technicky náročné a bez nepřiměřených kompromisů někdy i nemožné, ale také vede k potenciálnímu zvýšenému riziku pro ochranu údajů. Proto musí správci zajistit, aby opatření byla účinná a přiměřená, a musí posoudit, zda téhož účelu nelze dosáhnout pomocí méně rušivé alternativy.
EDPB přijal prohlášení o zpracování osobních údajů v souvislosti se znovuotevřením hranic schengenského prostoru po rozšíření onemocnění COVID-19. Opatření umožňující bezpečné znovuotevření hranic, která v současné době předpokládají nebo provádějí členské státy, zahrnují testování na COVID-19, požadavek na předložení osvědčení vydaných zdravotnickými pracovníky a používání dobrovolné aplikace pro trasování kontaktů. Většina opatření zahrnuje zpracování osobních údajů.
EDPB připomíná, že právní předpisy v oblasti ochrany osobních údajů zůstávají použitelné a kromě zajištění ochrany základních práv a svobod umožňují i účinnou reakci na pandemii. EDPB zdůrazňuje, že zpracování osobních údajů musí být nezbytné a přiměřené a úroveň ochrany by měla být v celém EHP jednotná. EDPB ve svém prohlášení naléhavě vyzývá členské státy, aby při rozhodování o tom, které osobní údaje je v této souvislosti nezbytné zpracovávat, zaujaly společný evropský přístup.
Prohlášení se rovněž zabývá zásadami obecného nařízení o ochraně osobních údajů, jimž členské státy musí při zpracovávání osobních údajů v souvislosti se znovuotevřením hranice věnovat zvláštní pozornost. Patří mezi ně zákonnost, korektnost a transparentnost, účelové omezení, minimalizace údajů, omezení uložení, zabezpečení údajů a záměrná a standardní ochrana údajů. Rozhodnutí umožnit vstup do země by navíc nemělo být založeno pouze na technologiích automatizovaného individuálního rozhodování. V každém případě by se na taková rozhodnutí měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Opatření v oblasti automatizovaného individuálního rozhodování by se neměla uplatňovat na děti.
V neposlední řadě EDPB zdůrazňuje důležitost předchozí konzultace s příslušnými vnitrostátními dozorovými úřady, pokud mají členské státy v této souvislosti v úmyslu zpracovávat osobní údaje.
EDPB schválil odpověď na dopis poslance EP Moritze Körnera ohledně významu zákazů šifrování ve třetích zemích při posuzování úrovně ochrany údajů při předávání osobních údajů do zemí, kde tyto zákazy existují. Podle EDPB by jakýkoli zákaz šifrování nebo ustanovení oslabující šifrování vážně narušily dodržování bezpečnostních povinností podle obecného nařízení o ochraně osobních údajů, které platí pro správce a zpracovatele, ať už ve třetí zemi nebo v EHP. Bezpečnostní opatření jsou jedním z prvků, které musí Evropská komise zohlednit při posuzování odpovídající úrovně ochrany ve třetí zemi.
Druhý dopis adresovaný poslanci EP Körnerovi se zabývá tématem krytů kamer na přenosných počítačích. Poslanec EP Körner zdůraznil, že tato technologie by mohla pomoci dodržovat obecné nařízení o ochraně osobních údajů, a doporučil, aby nové přenosné počítače byly touto technologií vybaveny. Sbor ve své odpovědi upřesňuje, že ačkoli by výrobci přenosných počítačů měli být vybízeni k tomu, aby při vývoji a navrhování těchto výrobků brali v úvahu právo na ochranu údajů, nejsou odpovědní za zpracování údajů s těmito výrobky a obecné nařízení o ochraně osobních údajů nestanoví zákonné povinnosti pro výrobce, pokud nepůsobí též jako správci nebo zpracovatelé. Správci musí posoudit rizika každého zpracování a zvolit vhodné záruky, které zajistí soulad s obecným nařízením o ochraně osobních údajů, včetně záměrné a standardní ochrany soukromí zakotvené v článku 25 obecného nařízení o ochraně osobních údajů.
Nakonec EDPB schválil dopis pro Výbor evropských orgánů dohledu nad auditem (CEAOB). EDPB obdržel od výboru CEAOB, který sdružuje vnitrostátní orgány dohledu nad auditem na úrovni EU, návrh na spolupráci a zpětnou vazbu ohledně jednání o návrzích správních ujednání týkajících se předávání údajů Radě Spojených států amerických pro dohled nad účetnictvím akciových společností (PCAOB). EDPB tento návrh vítá a naznačuje, že je pro výměnu s výborem CEAOB k dispozici, aby mohly být objasněny jakékoli případné otázky týkající se požadavků na ochranu osobních údajů v souvislosti s těmito opatřeními s ohledem na pokyny EDPB 2/2020 k čl. 46 odst. 2 písm. a) a čl. 46 odst. 3 písm. b) obecného nařízení o ochraně osobních údajů pro předávání osobních údajů mezi orgány veřejné správy v EHP a mimo EHP. Bude-li to výbor CEAOB a jeho členové považovat za přínosné pro svou práci na těchto ujednáních, mohla by se do této výměny zapojit i rada PCAOB.
Poznámka pro redaktory:
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že po ukončení kontrol budou tyto dokumenty zpřístupněny na internetových stránkách EDPB.
EDPB_Press Release_2020_11