Comitetul european pentru protecția datelor - a 32-a ședință plenară: Declarație privind interoperabilitatea aplicațiilor de urmărire a contactelor, declarație privind deschiderea frontierelor și drepturile în materie de protecție a datelor, scrisori de

17 June 2020

Bruxelles, 17 iunie - La a 32-a ședință plenară, CEPD a adoptat o declarație privind interoperabilitatea aplicațiilor de urmărire a contactelor, precum și o declarație privind deschiderea frontierelor și drepturile în materie de protecție a datelor. Comitetul a adoptat, de asemenea, două scrisori adresate domnului Körner, deputat în Parlamentul European, privind criptarea și privind articolul 25 din RGPD, precum și o scrisoare adresată COESA privind acordurile încheiate cu Public Company Accounting Oversight Board (PCAOB).

CEPD a adoptat o declarație privind interoperabilitatea aplicațiilor de urmărire a contactelor, pe baza Orientărilor 4/2020 ale CEPD privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19. Declarația oferă o analiză mai aprofundată a principalelor aspecte, inclusiv transparența, temeiul juridic, controlul, drepturile persoanelor vizate, păstrarea datelor și reducerea la minimum a datelor, securitatea informațiilor și exactitatea datelor în contextul creării unei rețele interoperabile de aplicații, care trebuie avute în vedere în plus față de cele evidențiate în Orientările 4/2020 ale CEPD.

CEPD subliniază că schimbul de date despre persoanele care au fost diagnosticate sau depistate pozitiv în urma testării cu astfel de aplicații interoperabile trebuie declanșat numai de o acțiune voluntară a utilizatorului. Informarea persoanelor vizate și conferirea controlului către acestea vor spori încrederea lor în soluții și potențiala asimilare a acestora. Scopul interoperabilității nu trebuie utilizat ca argument pentru extinderea culegerii de date cu caracter personal mai mult decât este necesar.

În plus, aplicațiile de urmărire a contactelor trebuie să facă parte dintr-o strategie cuprinzătoare în domeniul sănătății publice pentru combaterea pandemiei, precum testarea și urmărirea manuală ulterioară a contactelor în scopul îmbunătățirii eficacității măsurilor luate.

Asigurarea interoperabilității nu este doar dificilă din punct de vedere tehnic și uneori imposibilă în lipsa unor compromisuri disproporționate, ci determină, de asemenea, un risc potențial sporit în materie de protecție a datelor. Prin urmare, operatorii trebuie să se asigure că măsurile sunt eficace și proporționale și trebuie să evalueze dacă o alternativă mai puțin intruzivă poate să îndeplinească același scop.

CEPD a adoptat o declarație privind prelucrarea datelor cu caracter personal în contextul redeschiderii frontierelor Schengen în urma pandemiei de COVID-19. Măsurile care permit redeschiderea în siguranță a frontierelor, avute în vedere sau puse în aplicare în prezent de statele membre, cuprind testarea pentru COVID-19, solicitarea de certificate emise de profesioniști în domeniul sănătății și utilizarea voluntară a unei aplicații de urmărire a contactelor. Majoritatea măsurilor implică prelucrarea de date cu caracter personal.

CEPD reamintește că legislația privind protecția datelor se aplică în continuare și permite luarea unor măsuri eficiente de răspuns în fața pandemiei, protejând totodată drepturile și libertățile fundamentale. CEPD subliniază că prelucrarea datelor cu caracter personal trebuie să fie necesară și proporțională, iar nivelul de protecție trebuie să fie uniform pe întreg teritoriul SEE. În declarația sa, CEPD îndeamnă statele membre să aibă o abordare europeană comună atunci când decid care prelucrare de date cu caracter personal este necesară în acest context.

Declarația se referă, de asemenea, la principiile RGPD cărora statele membre trebuie să le acorde atenție specială atunci când prelucrează date cu caracter personal în contextul redeschiderii frontierelor. Acestea includ legalitatea, echitatea și transparența, limitările legate de scop, reducerea la minimum a datelor, limitările legate de stocare, securitatea datelor și asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. În plus, decizia de a permite intrarea într-o țară nu trebuie să se bazeze numai pe tehnologii decizionale individuale automatizate. În orice caz, astfel de decizii trebuie să facă obiectul unor garanții corespunzătoare, care trebuie să includă informarea specifică a persoanei vizate și dreptul său de a obține o intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. Măsurile decizionale individuale automatizate nu trebuie să se aplice copiilor.

În final, CEPD subliniază importanța unei consultări prealabile cu autoritățile naționale de supraveghere competente atunci când statele membre intenționează să prelucreze date cu caracter personal în acest context.

CEPD a adoptat un răspuns la scrisoarea domnului Moritz Körner, deputat în Parlamentul European, privind relevanța interzicerii criptării în țările terțe pentru evaluarea nivelului de protecție a datelor atunci când se transferă date cu caracter personal către țările în care există aceste interdicții. Conform CEPD, interdicțiile privind criptarea sau dispozițiile prin care se slăbește criptarea ar afecta serios respectarea obligațiilor de securitate din RGPD aplicabile operatorilor și persoanelor împuternicite de operatori, indiferent dacă au loc într-o țară terță sau în SEE. Măsurile de securitate reprezintă unul dintre elementele de care Comisia Europeană trebuie să țină cont atunci când evaluează caracterul adecvat al nivelului de protecție dintr-o țară terță.

O a doua scrisoare adresată domnului Körner, deputat în Parlamentul European, abordează tema huselor pentru camerele video ale laptopurilor. Domnul Körner, deputat în Parlamentul European, a subliniat că această tehnologie ar putea contribui la respectarea RGPD și a sugerat să fie prevăzută pentru laptopurile noi. În răspunsul său, Comitetul clarifică faptul că, deși producătorii de laptopuri trebuie să fie încurajați să ia în considerare dreptul la protecția datelor atunci când dezvoltă și proiectează astfel de produse, aceștia nu sunt responsabili pentru prelucrarea efectuată cu produsele respective, iar RGPD nu stabilește obligații legale pentru producători, cu excepția cazului în care aceștia acționează și ca operatori sau persoane împuternicite de operatori. Operatorii trebuie să evalueze riscurile fiecărei prelucrări și să selecteze garanțiile adecvate pentru a respecta RGPD, inclusiv asigurarea confidențialității începând cu momentul conceperii și în mod implicit, prevăzută la articolul 25 din RGPD.

În final, CEPD a adoptat o scrisoare adresată Comitetului Organismelor Europene de Supraveghere a Auditului (COESA). CEPD a primit o propunere din partea COESA, care reunește organismele de supraveghere a auditului la nivelul UE, de a coopera și de a primi feedback privind negocierile proiectelor de acorduri administrative pentru transferul de date către Public Company Accounting Oversight Board (PCAOB) din Statele Unite. CEPD salută această propunere și indică disponibilitatea sa de a avea un schimb de opinii cu COESA pentru a clarifica eventualele întrebări privind cerințele în materie de protecția datelor referitoare la aceste acorduri, ținând cont de Orientările 2/2020 ale CEPD privind articolul 46 alineatul (2) litera (a) și articolul 46 alineatul (3) litera (b) din RGPD pentru transferurile de date cu caracter personal între SEE și autoritățile publice din afara SEE. Schimbul de opinii ar putea implica, de asemenea, PCAOB, în cazul în care COESA și membrii săi consideră că acest lucru este benefic pentru activitatea lor în ceea ce privește aceste acorduri.

 

Notă pentru redactori:
Vă rugăm să rețineți că toate documentele adoptate în plenara CEPD trec prin verificările juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul CEPD imediat după încheierea lor.

EDPB_Press Release_2020_11