Euroopan tietosuojaneuvosto

Euroopan tietosuojaneuvoston 32. täysistunto: Kannanotto kontaktinjäljityssovellusten yhteentoimivuudesta, kannanotto rajojen avaamisesta ja tietosuojaoikeuksista, vastauskirjeet Euroopan parlamentin jäsenelle Körnerille kannettavien tietokoneiden kameras

Wednesday, 17 June, 2020
EDPB

Bryssel 17. kesäkuuta – Euroopan tietosuojaneuvosto hyväksyi 32. täysistunnossaan kannanoton  kontaktien jäljityssovellusten yhteentoimivuudesta sekä kannanoton rajojen avaamisesta ja tietosuojaoikeuksista. Neuvosto hyväksyi myös kaksi kirjettä Euroopan parlamentin jäsenelle Körnerille – salauksesta ja yleisen tietosuoja-asetuksen 25 artiklasta – ja kirjeen CEAOB:lle PCAOB-järjestelyistä.

Euroopan tietosuojaneuvosto antoi kontaktien jäljittämissovellusten yhteentoimivuutta koskevan kannanoton, joka perustui Euroopan tietosuojaneuvoston suuntaviivoihin 04/2020 paikannustietojen ja kontaktien jäljittämisvälineiden käytöstä COVID-19-epidemian yhteydessä. Kannanotossa analysoidaan perusteellisemmin keskeisiä näkökohtia, kuten läpinäkyvyyttä, oikeusperustaa, rekisterinpitäjää, rekisteröityjen oikeuksia, tietojen säilyttämistä ja minimointia, tietoturvaa ja tietojen tarkkuutta, jotka on otettava huomioon Euroopan tietosuojaneuvoston suuntaviivoissa 04/2020 mainittujen lisäksi.

Euroopan tietosuojaneuvosto korostaa, että käytettäessä tällaisia yhteentoimivia sovelluksia positiivisesti diagnosoituja tai testattuja henkilöitä koskevia tietoja tulisi jakaa vain käyttäjän vapaaehtoisuuteen perustuen. Rekisteröityjen informointi ja kontrollin mahdollistaminen lisää heidän luottamustaan ratkaisuihin ja niiden mahdolliseen käyttöönottoon. Yhteentoimivuuden tavoitetta ei pitäisi käyttää perusteena henkilötietojen keräämiseen laajemmin kuin on tarpeen.

Lisäksi kontaktien jäljityssovellusten on oltava osa kattavaa kansanterveysstrategiaa pandemian torjumiseksi, kuten testauksen ja manuaalisen kontaktien jäljittämisen, jotta voidaan parantaa toteutettujen toimenpiteiden tehokkuutta.

Yhteentoimivuuden varmistaminen on teknisesti haastavaa ja joskus mahdotonta ilman suhteettomia kompromisseja, minkä lisäksi se saattaa lisätä tietosuojariskiä. Siksi rekisterinpitäjien on varmistettava, että toimenpiteet ovat tehokkaita ja oikeasuhteisia sekä arvioitava, voidaanko samaan päämäärään päästä lievemmällä vaihtoehdolla.

Euroopan tietosuojaneuvosto antoi kannanoton henkilötietojen käsittelystä Schengen-alueen rajojen avaamisen yhteydessä COVID-19-epidemian jälkeen. Jäsenvaltioiden suunnittelemiin tai toteuttamiin toimenpiteisiin, joilla mahdollistetaan rajojen turvallinen uudelleenavaaminen, kuuluvat COVID-19-taudin testaus, terveydenhuollon ammattihenkilöiden myöntämien todistusten vaatiminen ja vapaaehtoisen kontaktien jäljittämissovelluksen käyttö. Useimpiin toimenpiteisiin liittyy henkilötietojen käsittelyä.

Euroopan tietosuojaneuvosto muistuttaa, että tietosuojalainsäädäntöä sovelletaan edelleen ja että se mahdollistaa tehokkaan reagoinnin pandemiaan samalla suojellen perusoikeuksia ja -vapauksia. Tietosuojaneuvosto korostaa, että henkilötietojen käsittelyn on oltava välttämätöntä ja oikeasuhteista. Suojan tason on oltava yhdenmukainen kaikkialla Euroopan talousalueella. Euroopan tietosuojaneuvosto kehottaa kannanotossa jäsenvaltioita omaksumaan yhteisen eurooppalaisen lähestymistavan päättäessään tarpeellisesta henkilötietojen käsittelystä tässä yhteydessä.

Kannanotossa käsitellään myös yleisen tietosuoja-asetuksen periaatteita, joihin jäsenvaltioiden on kiinnitettävä erityistä huomiota käsitellessään henkilötietoja rajan avaamisen yhteydessä. Näitä ovat laillisuus, oikeudenmukaisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, säilytyksen rajoittaminen sekä sisäänrakennettu ja oletusarvoinen tietosuoja. Lisäksi päätös maahan pääsyn sallimisesta ei saisi perustua pelkästään automatisoituihin yksittäisiin päätöksentekoteknologioihin. Tällaisiin päätöksiin olisi joka tapauksessa sovellettava asianmukaisia suojatoimia, joihin olisi sisällyttävä rekisteröidylle annettavat erityiset tiedot ja oikeus vaatia, että tiedot käsittelee luonnolllinen henkilö, oikeus ilmaista näkemyksensä, saada selitys arvioinnin jälkeen tehdystä päätöksestä ja oikeus riitauttaa päätös. Automatisoituja yksittäispäätöksiä ei pitäisi kohdistaa lapsiin.
Lopuksi Euroopan tietosuojaneuvosto korostaa, että on tärkeää kuulla etukäteen toimivaltaisia kansallisia valvontaviranomaisia, kun jäsenvaltiot aikovat käsitellä henkilötietoja tässä yhteydessä.

Tietosuojaneuvosto hyväksyi vastauksen Euroopan parlamentin jäsenen Moritz Körnerin kirjeeseen, joka koski kolmansissa maissa sovellettavien salauskieltojen merkitystä arvioitaessa tietosuojan tasoa, kun henkilötietoja siirretään maihin, joissa nämä kiellot ovat voimassa. Tietosuojaneuvoston mukaan salauskielto tai salauksen heikentämistä koskevat säännökset heikentäisivät vakavasti rekisterinpitäjiin ja henkilötietojen käsittelijöihin sovellettavien yleisen tietosuoja-asetuksen mukaisten turvallisuusvelvoitteiden noudattamista, olipa kyse kolmannessa maassa tai ETA-alueella sovellettavista velvoitteista. Turvatoimet ovat yksi niistä tekijöistä, jotka Euroopan komission on otettava huomioon arvioidessaan suojan riittävyyttä kolmannessa maassa.

Toinen kirje Euroopan parlamentin jäsenelle Körnerille käsittelee kannettavan tietokoneen kameran suojia. Euroopan parlamentin jäsen Körner korosti, että tämä teknologia voisi auttaa noudattamaan yleistä tietosuoja-asetusta, ja ehdotti, että uudet kannettavat tietokoneet olisi varustettava niillä. Vastauksessaan tietosuojaneuvosto selventää, että vaikka kannettavien tietokoneiden valmistajia olisi kannustettava ottamaan huomioon oikeus tietosuojaan kehittäessään ja suunnitellessaan tällaisia tuotteita, ne eivät ole vastuussa kyseisten tuotteiden käsittelystä eikä yleisessä tietosuoja-asetuksessa aseteta valmistajille oikeudellisia velvoitteita, elleivät ne toimi myös rekisterinpitäjinä tai henkilötietojen käsittelijöinä. Rekisterinpitäjien on arvioitava kuhunkin käsittelyyn liittyvät riskit ja valittava asianmukaiset suojatoimet yleisen tietosuoja-asetuksen noudattamiseksi, mukaan lukien yleisen tietosuoja-asetuksen 25 artiklassa säädetty sisäänrakennettu ja oletusarvoinen yksityisyyden suoja.

Lopuksi Euroopan tietosuojaneuvosto hyväksyi kirjeen Euroopan tilintarkastajien valvontaelinten komitealle (CEAOB). Euroopan tietosuojaneuvosto sai kansalliset tilintarkastajien valvontaelimet EU:n tasolla yhteen kokoavalta CEAOBilta ehdotuksen yhteistyöstä ja palautteen saamisesta koskien luonnoksia hallinnollisista järjestelyistä tietojen siirtämiseksi Yhdysvaltojen Public Company Accounting Oversight Boardille (PCAOB).  Tietosuojaneuvosto suhtautuu ehdotukseen myönteisesti ja toteaa, että se on valmis keskustelemaan CEAOB:n kanssa tällaisten järjestelyjen tietosuojavaatimuksia koskevien mahdollisten kysymysten selventämiseksi ottaen huomioon tietosuojaneuvoston suuntaviivat 2/2020 yleisen tietosuoja-asetuksen 46 artiklan 1 kohdan a alakohdasta ja 46 artiklan 3 kohdan b alakohdasta, joita sovelletaan henkilötietojen siirtoihin ETA:n viranomaisten ja ETA:n ulkopuolisten viranomaisten välillä. Keskusteluun voisi osallistua myös PCAOB, jos CEAOB ja sen jäsenet pitävät sitä hyödyllisenä näitä järjestelyjä koskevan työn kannalta.

Huomautus toimittajille:
Huom. Kaikille Euroopan tietosuojaneuvoston täysistunnossa hyväksytyille asiakirjoille tehdään tarvittavat oikeudelliset, kielelliset ja muotoiluun liittyvät tarkistukset, ja ne ovat saatavilla tietosuojaneuvoston verkkosivustolla, kun ne on saatu valmiiksi.