Eiropas Datu aizsardzības kolēģija

Eiropas Datu aizsardzības kolēģija – 32. plenārsesija: Paziņojums par kontaktu izsekošanas lietojumprogrammu sadarbspēju, paziņojums par robežu atvēršanu un datu aizsardzības tiesībām, atbildes vēstules EP deputātam Körner par klēpjdatora kameru apvalkiem

Wednesday, 17 June, 2020
EDPB

Briselē, 17. jūnijā. Eiropas Datu aizsardzības kolēģija 32. plenārsesijā pieņēma paziņojumu par kontaktu izsekošanas lietotņu sadarbspēju, kā arī paziņojumu par robežu atvēršanu un datu aizsardzības tiesībām. Kolēģija arī pieņēma divas vēstules EP deputātam Körner – par šifrēšanu un par VDAR 25. pantu, kā arī vēstuli CEAOB par PCAOB pasākumiem.

EDAK pieņēma paziņojumu par kontaktu izsekošanas lietojumprogrammu sadarbspēju, pamatojoties uz EDAK pamatnostādnēm 04/2020 par atrašanās vietas datu un kontaktu izsekošanas rīku izmantošanu saistībā ar COVID-19 uzliesmojumu. Paziņojumā ir sniegta pamatīgāka analīze par galvenajiem aspektiem, tostarp pārredzamību, juridisko pamatu, kontroli, datu subjektu tiesībām, datu saglabāšanu un minimizēšanu, informācijas drošību un datu precizitāti saistībā ar sadarbspējīga lietojumprogrammu tīkla izveidi, kas jāapsver papildus tiem, kuri uzsvērti EDAK pamatnostādnēs 04/2020.

EDAK uzsver, ka datu apmaiņa par indivīdiem, kas ir diagnosticēti vai pārbaudīti pozitīvi ar šādām sadarbspējīgām lietotnēm, būtu jāuzsāk tikai ar lietotāja brīvprātīgu rīcību. Sniedzot datu subjektiem informāciju un kontroli, palielināsies viņu uzticība risinājumiem un to potenciālajai izmantošanai. Sadarbspējas mērķi nevajadzētu izmantot kā argumentu, lai paplašinātu personas datu vākšanu, pārsniedzot to, kas ir nepieciešams.

Turklāt kontaktu izsekošanas lietotnēm ir jābūt daļai no visaptverošas sabiedrības veselības stratēģijas pandēmijas apkarošanai, piemēram, testēšanai un turpmākai manuālai kontaktu izsekošanai, lai uzlabotu veikto pasākumu efektivitāti.

Sadarbspējas nodrošināšana ir ne tikai tehniski sarežģīta un dažkārt neiespējama bez nesamērīgiem kompromisiem, bet arī rada potenciālu paaugstinātu datu aizsardzības risku. Tāpēc pārziņiem ir jānodrošina, ka pasākumi ir efektīvi un samērīgi, un jānovērtē, vai to pašu mērķi var sasniegt ar mazāk ierobežojošu alternatīvu.

EDAK pieņēma paziņojumu par personas datu apstrādi saistībā ar Šengenas robežu atkal atvēršanu pēc COVID-19 uzliesmojuma. Dalībvalstu pašlaik paredzētie vai īstenotie pasākumi, kas ļauj droši atkal atvērt robežas, ietver COVID-19 testēšanu, kuras veikšanai nepieciešami veselības aprūpes speciālistu izsniegti sertifikāti un brīvprātīgas kontaktu izsekošanas lietotnes izmantošana. Lielākā daļa pasākumu ir saistīti ar personas datu apstrādi.

EDAK atgādina, ka datu aizsardzības tiesību akti joprojām ir piemērojami un ļauj efektīvi reaģēt uz pandēmiju, vienlaikus aizsargājot pamattiesības un pamatbrīvības. EDAK uzsver, ka personas datu apstrādei jābūt nepieciešamai un samērīgai un aizsardzības līmenim jābūt konsekventam visā EEZ. Paziņojumā EDAK mudina dalībvalstis pieņemt kopēju Eiropas pieeju, lemjot par to, kura personas datu apstrāde ir nepieciešama šajā kontekstā.

Paziņojumā aplūkoti arī VDAR principi, kuriem dalībvalstīm jāpievērš īpaša uzmanība, apstrādājot personas datus saistībā ar robežas atkal atvēršanu. Tie ietver likumību, taisnīgumu un pārredzamību, mērķa ierobežojumus, datu minimizēšanu, uzglabāšanas ierobežojumus, datu drošību un integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma. Turklāt lēmumam atļaut ieceļot valstī nevajadzētu būt balstītam tikai uz automatizētajām individuālajām lēmumu pieņemšanas tehnoloģijām. Jebkurā gadījumā uz šādiem lēmumiem būtu jāattiecina atbilstošas garantijas, kurās būtu jāietver konkrēta informācija datu subjektam un tiesības panākt cilvēka iejaukšanos, paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šāda novērtējuma, un apstrīdēt lēmumu. Automatizēti individuālo lēmumu pieņemšanas pasākumi nebūtu jāattiecina uz bērniem.

Visbeidzot, EDAK uzsver, cik svarīga ir iepriekšēja apspriešanās ar kompetentajām valsts uzraudzības iestādēm, ja dalībvalstis šajā sakarā plāno apstrādāt personas datus.

EDAK pieņēma atbildi uz EP deputāta Moritz Körner vēstuli par šifrēšanas aizliegumu nozīmi trešās valstīs, lai novērtētu datu aizsardzības līmeni, kad personas dati tiek nosūtīti uz valstīm, kurās šie aizliegumi pastāv. EDAK uzskata, ka jebkurš šifrēšanas aizliegums vai noteikumi, kas vājina šifrēšanu, nopietni apdraudētu atbilstību VDAR drošības pienākumiem, kas piemērojami pārziņiem un apstrādātājiem, neatkarīgi no tā, vai tie ir trešā valstī vai EEZ. Drošības pasākumi ir viens no elementiem, kas Eiropas Komisijai jāņem vērā, novērtējot aizsardzības līmeņa pietiekamību trešā valstī.

Otra vēstule EP deputātam Körner attiecas uz klēpjdatora kameru apvalku tematu. EP deputāts Körner uzsvēra, ka šī tehnoloģija varētu palīdzēt ievērot VDAR, un ierosināja ar to aprīkot jaunus klēpjdatorus. Savā atbildē kolēģija precizē, ka, lai gan klēpjdatoru ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, izstrādājot un attīstot šādus produktus, tie nav atbildīgi par apstrādi, kas veikta ar minētajiem produktiem, un VDAR nenosaka juridiskus pienākumus ražotājiem, ja vien tie nerīkojas arī kā pārziņi vai apstrādātāji. Pārziņiem jānovērtē katras apstrādes riski un jāizvēlas atbilstoši aizsardzības pasākumi, lai nodrošinātu atbilstību VDAR, tostarp integrētajai privātuma aizsardzībai un privātuma aizsardzībai pēc noklusējuma, kas paredzēta VDAR 25. pantā.

Visbeidzot, EDAK pieņēma vēstuli Eiropas  Revīzijas pārraudzības struktūru komitejai (CEAOB). EDAK saņēma priekšlikumu no CEAOB, kas apvieno valstu revidentu pārraudzības struktūras ES līmenī, lai sadarbotos un saņemtu atsauksmes par sarunām attiecībā uz administratīvo pasākumu projektu datu nodošanai ASV Atklātu akciju sabiedrību grāmatvedības uzraudzības padomei (PCAOB). EDAK atzinīgi vērtē šo priekšlikumu un norāda, ka ir iespējams veikt informācijas apmaiņu ar CEAOB, lai precizētu visus iespējamos jautājumus par datu aizsardzības prasībām saistībā ar šādiem pasākumiem, ņemot vērā EDAK pamatnostādnes 2/2020 par VDAR 46. panta 2. punkta a) apakšpunktu un 46. panta 3. punkta b) apakšpunktu attiecībā uz personas datu nosūtīšanu starp EEZ un ārpus EEZ esošām publiskām iestādēm. Viedokļu apmaiņā varētu iesaistīt arī PCAOB, ja CEAOB un tās locekļi to uzskatītu par lietderīgu darbam pie šiem pasākumiem.

Piezīme redaktoriem
Lūdzam ņemt vērā, ka visiem EDAK plenārsēdē pieņemtajiem dokumentiem tiek veiktas nepieciešamās juridiskās, lingvistiskās un formatēšanas pārbaudes un tie būs pieejami EDAK tīmekļa vietnē pēc minēto pārbaužu pabeigšanas.