Europski odbor za zaštitu podataka – 32. plenarna sjednica: Izjava o interoperabilnosti aplikacija za praćenje kontakata, izjava o otvaranju granica i pravima zaštite osobnih podataka, dopisi s odgovorom g. Körneru, zastupniku u Europskom parlamentu o po

17 June 2020 EDPB

Bruxelles, 17. lipnja – Na svojoj 32. plenarnoj sjednici Europski odbor za zaštitu podataka usvojio je izjavu o interoperabilnosti aplikacija za praćenje kontakata, kao i izjavu o otvaranju granica i pravima zaštite osobnih podataka. Odbor je također usvojio dva dopisa zastupniku u Europskom parlamentu Körneru – o šifriranju i o članku 25. Opće uredbe o zaštiti podataka – te dopis CEAOB-u o aranžmanima s PCAOB-om.

Europski odbor za zaštitu podataka usvojio je izjavu o interoperabilnosti aplikacija za praćenje kontakata, oslanjajući se na Smjernice Europskog odbora za zaštitu podataka 04/2020 o upotrebi podataka o lokaciji i alatima za praćenje kontakata u kontekstu izbijanja bolesti COVID-19. Izjava nudi detaljniju analizu ključnih aspekata, uključujući transparentnost, pravnu osnovu, vođenje obrade, prava ispitanika, zadržavanje podataka i smanjenje količine podataka, sigurnost podataka i točnost podataka u kontekstu stvaranja interoperabilne mreže aplikacija, koje treba uzeti u razmatranje uz one koji su istaknuti u Smjernicama Europskog odbora za zaštitu podataka 04/2020.

Europski odbor za zaštitu podataka naglašava da se dijeljenje podataka putem takvih interoperabilnih aplikacija o pojedincima kojima je uspostavljena dijagnoza ili su bili pozitivni na testu treba pokrenuti isključivo dobrovoljnom radnjom korisnika. Davanje informacija i kontrole ispitanicima povećat će njihovo povjerenje u rješenja i njihovo moguće prihvaćanje.   Interoperabilnost se ne bi trebala koristiti kao argument za prikupljanje osobnih podataka u većem opsegu od onog koji je potreban da se postigne svrha.

Nadalje, aplikacije za praćenje kontakata trebaju biti dio sveobuhvatne strategije javnog zdravstva u borbi protiv pandemije, kao što su testiranje i naknadno ručno praćenje kontakata u svrhu poboljšanja učinkovitosti provedenih mjera.

Osiguravanje interoperabilnosti katkad je nemoguće bez nerazmjernih ustupaka; osim toga, ono nije samo tehnički izazov, već dovodi i do mogućeg povećanja rizika za zaštitu osobnih podataka. Stoga voditelji obrade trebaju osigurati da mjere budu učinkovite i razmjerne te moraju procijeniti može li se manje nametljivim alternativnim rješenjem postići isti cilj.

Europski odbor za zaštitu podataka usvojio je izjavu o obradi osobnih podataka u kontekstu ponovnog otvaranja schengenskih granica nakon izbijanja bolesti COVID-19. Mjere kojima se omogućava sigurno ponovno otvaranje granica i koje trenutačno predviđaju i provode države članice uključuju testiranje na COVID-19, traženje medicinskih potvrda i korištenje aplikacijom za dobrovoljno praćenje kontakata. Većina mjera uključuje obradu osobnih podataka.

Europski odbor za zaštitu podataka podsjeća na to da zakonodavstvo o zaštiti podataka ostaje primjenjivo i da omogućava učinkovit odgovor na pandemiju dok istodobno štiti temeljna prava i slobode. Europski odbor za zaštitu podataka naglašava da obrada osobnih podataka mora biti nužna i razmjerna, a razina zaštite mora biti usklađena u cijelom EGP-u. Europski odbor za zaštitu podataka u svojoj izjavi potiče države članice da zauzmu zajednički europski pristup prilikom odlučivanja o tome koja je obrada osobnih podataka nužna u ovom kontekstu.

Izjava također razmatra načela Opće uredbe o zaštiti podataka na koja države članice trebaju obratiti posebnu pozornost prilikom obrade osobnih podataka u kontekstu ponovnog otvaranja granice. Ta načela uključuju zakonitost, poštenost i transparentnost, ograničavanje svrhe, smanjenje količine podataka, ograničavanje pohrane, sigurnost podataka te tehničku i integriranu zaštitu podataka. Štoviše, odluka o omogućavanju ulaska u državu ne smije se temeljiti samo na tehnologijama automatiziranog pojedinačnog donošenja odluka. U svakom slučaju, na takve bi se odluke trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Mjere automatiziranog pojedinačnog odlučivanja ne smiju se primjenjivati na djecu.

Konačno, Europski odbor za zaštitu podataka naglašava važnost prethodnog savjetovanja s nadležnim nacionalnim nadzornim tijelima ako države članice namjeravaju obrađivati osobne podatke u ovom kontekstu.

Europski odbor za zaštitu podataka usvojio je odgovor na dopis g. Körnera, zastupnika u Europskom parlamentu o važnosti zabrane šifriranja u trećim zemljama za procjenu razine zaštite osobnih podataka kada se osobni podaci prenose u države u kojima postoje takve zabrane. Prema mišljenju Europskog odbora za zaštitu podataka, svaka zabrana šifriranja ili odredbe kojima se oslabljuje šifriranje ozbiljno bi narušile poštovanje sigurnosnih obveza iz Opće uredbe o zaštiti podataka koje se primjenjuju na voditelje i izvršitelje obrade, bilo u trećoj zemlji ili u EGP-u. Sigurnosne mjere jedan su od elemenata koje Europska komisija mora uzeti u obzir prilikom procjene prikladnosti razine zaštite u trećoj zemlji.

Drugi dopis g. Körneru, zastupniku u Europskom parlamentu odnosi se na temu poklopaca za kamere na prijenosnim računalima. Zastupnik u Europskom parlamentu, g. Körner naglasio je da bi ova tehnologija mogla pomoći u poštovanju odredaba Opće uredbe o zaštiti podataka i predložio da nova prijenosna računala budu njome opremljena. Odbor u svom odgovoru pojašnjava da, iako proizvođače prijenosnih računala treba poticati da prilikom razvoja i projektiranja takvih proizvoda uzmu u obzir pravo na zaštitu osobnih podataka, oni nisu odgovorni za obradu koja se provodi pomoću tih proizvoda, a Opća uredba o zaštiti podataka ne uspostavlja pravne obveze za proizvođače ako oni nisu ujedno i voditelji ili izvršitelji obrade. Voditelji obrade moraju procijeniti rizike svake obrade i odabrati odgovarajuće zaštitne mjere radi poštovanja odredaba Opće uredbe o zaštiti podataka, uključujući tehničku i integriranu zaštitu podataka određenu u članku 25. te Uredbe.

Konačno, Europski odbor za zaštitu podataka usvojio je dopis Odboru europskih tijela za nadzor revizije (CEAOB). Europski odbor za zaštitu podataka primio je prijedlog od CEAOB-a, koji okuplja nacionalna revizorska nadzorna tijela na razini EU-a, za suradnju i primanje povratnih informacija o pregovorima o nacrtima administrativnih aranžmana za prijenos podataka američkom Odboru za nadzor nad računovodstvom javnih poduzeća (PCAOB). Europski odbor za zaštitu podataka pozdravlja ovaj prijedlog i navodi da je dostupan za komunikaciju s CEAOB-om radi pojašnjenja svih potencijalnih pitanja o obvezi zaštite podataka koja se odnosi na takve aranžmane u smislu Smjernica Europskog odbora za zaštitu podataka 2/2020 o članku 46. stavku 2. točki (a) i članku 46. stavku 3. točki (b) Opće uredbe o zaštiti podataka u pogledu prijenosa osobnih podataka između javnih tijela unutar i izvan EGP-a. Komunikacija bi mogla uključiti i PCAOB ako CEAOB i njegovi članovi smatraju da je to korisno za njihov rad na ovim aranžmanima.

 

Napomena urednicima:
Napominjemo da svi dokumenti usvojeni tijekom plenarne sjednice Europskog odbora za zaštitu podataka podliježu potrebnim pravnim, jezičnim i oblikovnim provjerama te će biti dostupni na mrežnom mjestu Odbora nakon tih provjera.

EDPB_Press Release_2020_11