Brüssel, 17. juuni – Euroopa Andmekaitsenõukogu võttis oma 32. täiskogu istungjärgul vastu avalduse kontaktide jälgimise rakenduste koostalitlusvõime kohta ning avalduse piiride avamise ja andmekaitseõiguste kohta. Juhatus võttis vastu ka kaks kirja Euroopa Parlamendi liikmele Körnerile krüpteerimise ja isikuandmete kaitse üldmääruse artikli 25 kohta ning kirja CEAOB-le PCAOBi kokkulepete kohta.
Euroopa Andmekaitsenõukogu võttis vastu avalduse kontaktide jälgimise rakenduste koostalitlusvõime kohta, tuginedes Euroopa Andmekaitsenõukogu suunistele 04/2020 asukohaandmete ja kontaktide jälgimise vahendite kasutamise kohta COVID-19 puhangu kontekstis. Avalduses analüüsitakse põhjalikumalt peamisi aspekte, sealhulgas läbipaistvust, õiguslikku alust, kontrolli, andmesubjekti õigusi, andmete säilitamist ja minimeerimist, infoturvet ja andmete täpsust koostalitlusvõimelise rakenduste võrgustiku loomise kontekstis, mida tuleb lisaks Euroopa Andmekaitsenõukogu suunistes 04/2020 rõhutatud aspektidele arvesse võtta.
Euroopa Andmekaitsenõukogu rõhutab, et selliste koostalitlevate rakendustega diagnoositud või katsetatud üksikisikuid käsitlevate andmete jagamise peaks käivitama üksnes kasutaja vabatahtlik tegevus. Andmesubjektidele teabe ja kontrolli andmine suurendab nende usaldust lahenduste ja nende võimaliku kasutuselevõtu vastu. Koostalitlusvõime eesmärki ei tohiks kasutada argumendina isikuandmete kogumise laiendamiseks vajalikust kaugemale.
Lisaks peavad kontaktide jälgimise rakendused olema osa terviklikust rahvatervise strateegiast pandeemia vastu võitlemiseks, nagu testimine ja sellele järgnev kontaktide käsitsi jälgimine, et parandada võetud meetmete tõhusust.
Koostalitlusvõime tagamine ei ole mitte ainult tehniliselt keeruline ja mõnikord võimatu ilma ebaproportsionaalsete kompromissideta, vaid toob kaasa ka võimaliku suurema andmekaitseriski. Seetõttu peavad vastutavad töötlejad tagama meetmete tõhususe ja proportsionaalsuse ning hindama, kas sama eesmärki on võimalik saavutada vähem sekkuva alternatiiviga.
Euroopa Andmekaitsenõukogu võttis vastu avalduse isikuandmete töötlemise kohta seoses Schengeni piiride taasavamisega pärast COVID-19 puhangut. Meetmed, mis võimaldavad praegu liikmesriikides kavandatud või rakendatud piiride ohutut taasavamist, hõlmavad COVID-19 testimist, tervishoiutöötajate väljastatud sertifikaatide nõudmist ja kontaktide jälgimise vabatahtliku rakenduse kasutamist. Enamik meetmeid hõlmab isikuandmete töötlemist.
Euroopa Andmekaitsenõukogu tuletab meelde, et andmekaitsealased õigusaktid on jätkuvalt kohaldatavad ja võimaldavad tõhusalt reageerida pandeemiale, kaitstes samal ajal põhiõigusi ja -vabadusi. Euroopa Andmekaitsenõukogu rõhutab, et isikuandmete töötlemine peab olema vajalik ja proportsionaalne ning kaitse tase peaks olema järjepidev kogu EMPs. Oma avalduses kutsub Euroopa Andmekaitsenõukogu liikmesriike tungivalt üles kasutama ühist Euroopa lähenemisviisi, kui nad otsustavad, milline isikuandmete töötlemine on selles kontekstis vajalik.
Avalduses käsitletakse ka isikuandmete kaitse üldmääruse põhimõtteid, millele liikmesriigid peavad pöörama erilist tähelepanu isikuandmete töötlemisel seoses piirikontrolli taasavamisega. Need hõlmavad seaduslikkust, õiglust ja läbipaistvust, eesmärgi piiritlemist, võimalikult väheste andmete kogumist, andmete säilitamise piiramist, andmete turvalisust ning lõimitud ja vaikimisi andmekaitset. Lisaks ei tohiks riiki sisenemise lubamise otsus põhineda üksnes automatiseeritud individuaalsetel otsustustehnoloogiatel. Igal juhul tuleks selliste otsuste suhtes kohaldada sobivaid kaitsemeetmeid, mis peaksid hõlmama konkreetset teavet andmesubjektile ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, saada selgitust pärast sellist hindamist tehtud otsuse kohta ja õigust otsus vaidlustada. Automatiseeritud üksikotsuseid ei tohiks kohaldada laste suhtes.
Euroopa Andmekaitsenõukogu rõhutab, kui oluline on eelnevalt konsulteerida pädevate riiklike järelevalveasutustega, kui liikmesriigid kavatsevad selles kontekstis isikuandmeid töödelda.
Euroopa Andmekaitsenõukogu võttis vastu vastuse Euroopa Parlamendi liikme Moritz Körneri kirjale, milles käsitletakse kolmandates riikides kehtestatud krüpteerimiskeeldude tähtsust andmekaitse taseme hindamisel isikuandmete edastamisel riikidesse, kus need keelud kehtivad. Euroopa Andmekaitsenõukogu sõnul kahjustaks krüpteerimise keelustamine või krüpteerimist nõrgestavad sätted tõsiselt isikuandmete kaitse üldmääruse kohaste turvakohustuste täitmist, mida kohaldatakse vastutavate töötlejate ja volitatud töötlejate suhtes, olenemata sellest, kas nad asuvad kolmandas riigis või EMPs. Turvameetmed on üks elementidest, mida Euroopa Komisjon peab arvesse võtma, kui ta hindab kaitsetaseme piisavust kolmandas riigis.
Teine kiri Euroopa Parlamendi liikmele Körnerile käsitleb sülearvutite kaante teemat. Euroopa Parlamendi liige Körner rõhutas, et see tehnoloogia võib aidata järgida isikuandmete kaitse üldmäärust ning tegi ettepaneku, et sellega tuleks varustada uued sülearvutid. Oma vastuses selgitab andmekaitsenõukogu, et kuigi sülearvutite tootjaid tuleks julgustada võtma selliste toodete väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele, ei vastuta nad nende toodete töötlemise eest ning isikuandmete kaitse üldmäärusega ei kehtestata tootjatele õiguslikke kohustusi, välja arvatud juhul, kui nad tegutsevad ka vastutavate töötlejate või volitatud töötlejatena. Vastutavad töötlejad peavad hindama iga töötlemisega seotud riske ja valima isikuandmete kaitse üldmääruse järgimiseks asjakohased kaitsemeetmed, sealhulgas isikuandmete kaitse üldmääruse artiklis 25 sätestatud lõimitud eraelukaitse ja vaikimisi eraelukaitse.
Lisaks võttis Euroopa Andmekaitsenõukogu vastu kirja Euroopa audiitorite järelevalveasutuste komiteele (CEAOB). Euroopa Andmekaitsenõukogu sai ettepaneku CEAOB-lt, mis koondab riiklikke audiitorite järelevalveasutusi ELi tasandil, et teha koostööd ja saada tagasisidet USA avaliku sektori raamatupidamise järelevalve nõukogule (PCAOB) andmete edastamise halduskorra eelnõu üle peetavate läbirääkimiste kohta. Euroopa Andmekaitsenõukogu tervitab seda ettepanekut ja märgib, et on olemas võimalus vahetada teavet CEAOBga, et selgitada kõiki võimalikke küsimusi sellise korraga seotud andmekaitsenõuete kohta, võttes arvesse Euroopa Andmekaitsenõukogu suuniseid 2/2020 isikuandmete kaitse üldmääruse artikli 46 lõike 2 punkti a ja artikli 46 lõike 3 punkti b kohta isikuandmete edastamisel EMP ja EMP-väliste riikide ametiasutuste vahel. Vahetusse võiks kaasata ka PCAOB, kui CEAOB ja selle liikmed peavad seda nende töö jaoks kasulikuks.
Märkus toimetajatele:
Juhime Teie tähelepanu sellele, et kõigi Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumentide suhtes kohaldatakse vajalikke õiguslikke, keelelisi ja vorminduskontrolle ning need tehakse pärast nende valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.