Európsky výbor pre ochranu údajov – 32. plenárna schôdza: Vyhlásenie o interoperabilite aplikácií na sledovanie kontaktov, vyhlásenie o otvorení hraníc a právach na ochranu údajov, písomné odpovede poslancovi Európskeho parlamentu Körnerovi o krytoch na k

17 June 2020

Brusel 17. júna – Počas svojej 32. plenárnej schôdze EDPB prijal vyhlásenie o interoperabilite aplikácií na sledovanie kontaktov, ako aj vyhlásenie o otvorení hraníc a právach na ochranu údajov. Výbor tiež prijal dva listy, jeden pre poslanca EP Körnera – o šifrovaní a o článku 25 všeobecného nariadenia o ochrane údajov – a druhý pre CEAOB o opatreniach týkajúcich sa PCAOB.

EDPB prijal vyhlásenie o interoperabilite aplikácií na sledovanie kontaktov na základe Usmernení EDPB 4/2020 týkajúcich sa lokalizačných údajov a nástrojov na sledovanie kontaktov v kontexte vypuknutia nákazy COVID-19. Vyhlásenie obsahuje podrobnejšiu analýzu kľúčových aspektov vrátane transparentnosti, právneho základu, prevádzkovateľov, práv dotknutých osôb, lehoty uchovávania a minimalizácie údajov, bezpečnosti informácií a správnosti údajov v kontexte vytvárania interoperabilnej siete aplikácií, ktoré je potrebné zvážiť spolu s aspektmi, na ktoré sa poukazuje v Usmerneniach EDPB 4/2020.

EDPB zdôrazňuje, že výmena údajov o osobách, ktorým bolo diagnostikované alebo mali pozitívny výsledok testu v týchto interoperabilných aplikáciách, by sa mala aktivovať len dobrovoľným úkonom používateľa. Poskytovaním informácií a kontroly dotknutým osobám sa zvýši ich dôvera v riešenia a možné využitie týchto riešení. Interoperabilita ako cieľ by sa nemala používať ako argument na rozširovanie získavania osobných údajov nad rámec toho, čo je nevyhnutné.

Aplikácie na sledovanie kontaktov navyše musia byť súčasťou komplexnej stratégie v oblasti verejného zdravia zameranej na boj proti pandémii, ako je testovanie a následné manuálne sledovanie kontaktov na účely zlepšenia účinnosti vykonávaných opatrení.

Zabezpečenie interoperability je nielen technicky náročné a niekedy nemožné bez neprimeraných kompromisov, ale vedie aj k potenciálnemu zvýšeniu rizika v oblasti ochrany údajov. Prevádzkovatelia preto musia zabezpečiť, aby boli opatrenia účinné a primerané, a musia posúdiť, či by sa menej rušivými alternatívami dosiahol ten istý účel.

EDPB prijal vyhlásenie o spracúvaní osobných údajov v súvislosti s opätovným otvorením schengenských hraníc po pandémii COVID-19. Opatrenia umožňujúce bezpečné opätovné otvorenie hraníc, ktoré v súčasnosti plánujú alebo vykonávajú členské štáty, zahŕňajú testovanie na COVID-19, čo si vyžaduje certifikáty vydané zdravotníckymi pracovníkmi a používanie dobrovoľnej aplikácie na sledovanie kontaktov. Väčšina opatrení zahŕňa spracúvanie osobných údajov.

EDPB pripomína, že právne predpisy v oblasti ochrany údajov ostávajú v platnosti a umožňujú účinne reagovať na pandémiu a súčasne chrániť základné práva a slobody. EDPB zdôrazňuje, že spracúvanie osobných údajov musí byť nevyhnutné a primerané a úroveň ochrany by mala byť konzistentná v rámci celého EHP. Vo vyhlásení EDPB vyzýva členské štáty, aby pri rozhodovaní o tom, aké spracúvanie osobných údajov je v tejto súvislosti potrebné, uplatňovali spoločný európsky prístup.

Vyhlásenie sa týka aj zásad všeobecného nariadenia o ochrane údajov, ktorým musia členské štáty venovať osobitnú pozornosť pri spracúvaní osobných údajov v súvislosti s opätovným otvorením hraníc. Patria k nim zákonnosť, spravodlivosť a transparentnosť, obmedzenie účelu, minimalizácia údajov, minimalizácia uchovávania, bezpečnosť údajov a špecificky navrhnutá a štandardná ochrana údajov. Okrem toho by rozhodnutia o povolení vstupu do krajiny nemali byť založené len na technológii využívajúcej automatizované individuálne rozhodovanie. V každom prípade by takéto rozhodnutia mali podliehať vhodným zárukám, ktoré by mali zahŕňať konkrétne informácie pre dotknutú osobu a právo na ľudský zásah, právo vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a právo napadnúť toto rozhodnutie. Opatrenia na základe automatizovaného individuálneho rozhodovania by sa nemali vzťahovať na deti.

Na záver EDPB zdôrazňuje význam predchádzajúcej konzultácie s príslušnými národnými dozornými orgánmi, keď členské štáty plánujú v tejto súvislosti spracúvať osobné údaje.

EDPB prijal odpoveď na list poslanca EP Moritza Körnera o relevantnosti zákazu šifrovania v tretích krajinách pri posudzovaní úrovne ochrany údajov pri prenose osobných údajov do krajín, v ktorých tieto zákazy existujú. Podľa EDPB by akýkoľvek zákaz šifrovania alebo ustanovenia oslabujúce šifrovanie vážne narušili dodržiavanie povinností týkajúcich sa bezpečnosti, ktoré prevádzkovateľom a sprostredkovateľom vyplývajú zo všeobecného nariadenia o ochrane údajov, či už v tretej krajine alebo v EHP. Bezpečnostné opatrenia sú jedným z prvkov, ktoré musí Európska komisia zohľadniť pri posudzovaní primeranosti úrovne ochrany v tretej krajine.

V druhom liste adresovanom poslancovi EP Körnerovi sa rieši téma krytov na kamery prenosných počítačov. Poslanec EP Körner zdôraznil, že táto technológia by mohla pomôcť pri dodržiavaní všeobecného nariadenia o ochrane údajov a navrhol, že nové prenosné počítače by ňou mali byť vybavené. Vo svojej odpovedi Výbor objasňuje, že hoci by sa výrobcovia prenosných počítačov mali podporovať v tom, aby zohľadňovali právo na ochranu údajov pri vývoji a navrhovaní takýchto výrobkov, nie sú zodpovední za spracúvanie vykonávané za pomoci týchto výrobkov a vo všeobecnom nariadení o ochrane údajov sa nestanovujú právne povinnosti pre výrobcov, pokiaľ nekonajú aj ako prevádzkovatelia alebo sprostredkovatelia. Prevádzkovatelia musia vyhodnotiť riziká každého spracúvania a vybrať primerané záruky na dodržiavanie všeobecného nariadenia o ochrane údajov vrátane špecificky navrhnutej a štandardnej ochrany súkromia zakotvenej v článku 25 všeobecného nariadenia o ochrane údajov.

Na záver EDPB prijal list pre Výbor európskych orgánov pre dohľad nad výkonom auditu (CEAOB). EDPB prijal návrh CEAOB, ktorý je združením vnútroštátnych orgánov pre dohľad nad výkonom auditu na úrovni EÚ, na spoluprácu a prijímanie spätnej väzby k rokovaniam o návrhu administratívnych dojednaní o prenose údajov Rade Spojených štátov amerických pre dohľad nad audítorskými spoločnosťami (PCAOB). EDPB víta tento návrh a uvádza, že je k dispozícii na účely výmeny názorov s CEAOB s cieľom objasniť prípadné otázky týkajúce sa požiadaviek na ochranu údajov súvisiacich s takýmito dojednaniami v kontexte Usmernení EDPB 2/2020 týkajúceho sa článku 46 ods. 2 písm. a) a článku 46 ods. 3 písm. b) všeobecného nariadenia o ochrane údajov k prenosom osobných údajov medzi subjektmi verejného sektora v rámci EHP a mimo EHP. Výmena by mohla zahŕňať aj PCAOB, ak to CEAOB a jeho členovia považujú za prínosné pre ich prácu na týchto opatreniach.

 

Poznámky pre redaktorov:
Pripomíname, že všetky dokumenty schválené počas plenárnej schôdze EDPB sú podrobené potrebným právnym a jazykovým kontrolám, ako aj kontrole v oblasti formátovania a po ich ukončení budú sprístupnené na webovom sídle EDPB.

EDPB_Press Release_2020_11