Koronavírussal kapcsolatos adatkezelési kérdések Koronavírus
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az Európai Adatvédelmi Testület (EDPB) 32. plenáris ülésén nyilatkozatot fogadott el a különböző koronavírus kontaktokat nyomon követő alkalmazások közötti adatmegosztásról, valamint a határok megnyitásáról kapcsolatos adatkezelések adatvédelmi aspektusairól. Az EDPB Moritz Körner EP-képvisel titkosítás és a GDPR 25. cikkének értelmezése tárgyában írt leveleire is válaszolt, illetve az Európai Könyvvizsgálói Felügyeleti Testületek Bizottságának (CEAOB) küldött levelében állást foglalt az amerikai Könyvelési Ellenőrző Bizottsággal (PCAOB) kötendő megállapodásokról.
A koronavírus fertőzötteket nyomon követő alkalmazások átjárhatósága
Az EDPB nyilatkozatot fogadott el az koronavírus kontaktokat nyomon követő alkalmazások átjárhatóságáról, a 04/2020. számú irányelve alapján, amely a helymeghatározási adatok és az érintkezéseket nyomon követő eszközök használatával kapcsolatos adatkezelésekről rendelkezik. A nyilatkozat főbb pontjai, az átláthatóság, a jogalap, az ellenőrzés, az érintettek jogai, az adatok megőrzése és minimalizálása, az információbiztonság és az adatok pontossága terén bővíti az eddigi állásfoglalást, illetve kimondja a nyomkövető alkalmazások interoperabilitását.
Az EDPB hangsúlyozta, hogy az alkalmazások által pozitívként diagnosztizált egyének adatait csak a felhasználó önkéntes döntése alapján lehet megosztani az alkalmazásokon keresztül az illetékes hatóságokkal. Ha megfelelő információkat és ellenőrzési lehetőséget biztosítanak az érintetteknek az növeli a nyomon követő megoldásokba vetett bizalmat és a potenciális felhasználók számát. Az interoperabilitásra hivatkozva nem lehet a szükségesnél több személyes adatot gyűjteni az érintettekről.
Ezenkívül a kontakt követő alkalmazásoknak a világjárvány leküzdésére szolgáló átfogó közegészségügyi stratégia részét kell képezniük, például tesztelést és az azt követő kézi kapcsolat követést, hogy az intézkedések kellően hatékonyak legyenek.
Az interoperabilitás biztosítása nemcsak műszaki szempontból nehéz és időnként lehetetlen aránytalan kompromisszumok nélkül, hanem fokozott adatvédelmi kockázatot is jelent. Ezért az adatkezelőknek gondoskodniuk kell az intézkedések hatékonyságáról és arányosságáról, és fel kell mérniük, hogy egy az érintettek magánéletébe kevésbé beavatkozó alternatív lehetőség, képes-e ugyanazt a célt elérni.
A határnyitásokkal kapcsolatos adatkezlés
Az EDPB nyilatkozatot fogadott el a koronavírus járványt követően a schengeni határok megnyitásával kapcsolatos adatkezelésekről. A tagállamok által jelenleg tervezett vagy meglépett határnyitással kapcsolatos intézkedések közé tartozik a határátlépők tesztelése, az orvosi igazolás megkövetelése és a nyomkövető alkalmazások használata. A legtöbb ilyen intézkedés személyes adatok kezelésével jár.
Az EDPB emlékeztet arra, hogy az adatvédelmi jogszabályok továbbra is alkalmazandók, és segítenek a világjárvány hatékony kezelésében, ugyanakkor védik az alapvető jogokat és szabadságokat. Az EDPB hangsúlyozza, hogy a személyes adatok kezelésének szükségesnek és arányosnak kell lennie, és a védelem szintjének az EGT-ben egységesen kell érvényesülnie. A nyilatkozatban az EDPB sürgeti a tagállamokat, hogy alakítsanak ki közös európai állásponton arról, hogy milyen személyes adatok kezelése szükséges a határok megnyitásához.
A nyilatkozat foglalkozik továbbá a GDPR azon elveivel, amelyekre a tagállamoknak különös figyelmet kell fordítaniuk a személyes adatok határnyitási célból történő kezelése során. Az EDPB a jogszerűség, a méltányosság és az átláthatóság, a célhoz kötött adatkezelés, az adatok minimalizálása, a korlátozott tárolhatóság, az adatok biztonsága és beépített adatvédelem elveire hívta fel a figyelmet. Ezenkívül az országba való belépés engedélyezéséről nem lehet pusztán automatizált döntéshozatallal dönteni. Az ilyen határozathozatal során megfelelő biztosítékokat kell alkalmazni, amelyeknek tartalmazniuk kell az érintettekre vonatkozó konkrét információkat és az emberi beavatkozás kérvényezésének lehetőségét, az érintettek véleményének kifejtéséhez való jogát, illetve a döntést indokolni kell és biztosítani kell a jogorvoslat lehetőségét. Az automatizált döntéshozatalt gyermekek esetében nem lehet alkalmazni.
Végül, az EDPB szerint fontos az illetékes nemzeti felügyeleti hatóságokat is felkeresni egy előzetes konzultáció érdekében, mielőtt a tagállamok határnyitási célból akarják kezelni a személyes adatokat.
Titkosítás tilalma a harmadik országokban
Az EDPB válaszolt európai parlamenti képviselő levelére, amelyben a harmadik országokban alkalmazott titkosítási tilalmak adatvédelem értékelését kérte az EDPB-től, illetve arra várt választ, hogy hogyan továbbíthatók személyes adatokat az ilyen tilalmat alkalmazó harmadik országokba. Az EDPB szerint a titkosítás bármilyen tilalma vagy a titkosítást gyengítő rendelkezés súlyosan gyengítené a GDPR által az adatkezelőkre és az adatfeldolgozókra előírt biztonsági intézkedések betartását, legyen az akár a harmadik országban vagy az EGT-ben. A biztonsági intézkedés az egyik olyan elem, amelyet az Európai Bizottságnak figyelembe kell vennie, amikor az adatvédelem szintjét értékeli egy harmadik országban.
Moritz Körner második levele a laptopokba épített kamerák eltakarásával kapcsolatos. Körner képviselő kiemelte, hogy ez a technológia hozzájárulhat a GDPR betartásához, és javasolta, hogy új laptopokat ilyen kameratakaróval kelljen felszerelni az EU-ban. Válaszában az EDPB úgy foglalt állást, hogy a laptop gyártókat arra kell ösztönözni, hogy az ilyen termékek fejlesztésekor és tervezésekor vegyék figyelembe az adatvédelemhez való jogot, de a gyártók nem tehetők felelőssé az laptopokkal végzett adatkezelését, és a GDPR nem ír elő jogi kötelezettségeket a gyártókra, kivéve, ha adatkezelési vagy feldolgozási tevékenységet végeznek. Az adatkezelőknek értékelniük kell az egyes adatkezelési kockázatokat, és meg kell választaniuk a megfelelő biztosítékokat a GDPR betartásához, ideértve a GDPR 25. cikke szerinti beépített és alapértelmezett adatvédelmet is.
Az európai és amerikai könyvizsgálói felügyelet együttműködése
Végül az EDPB levelet fogadott el az Európai Könyvvizsgálói Felügyeleti Testületek Bizottságának (CEAOB). Az EDPB javaslatot kapott a CEAOB-tól, amely arra ösztönzi az uniós szintű nemzeti könyvvizsgálói felügyeleti testületeket, hogy működjenek együtt és visszacsatolást kapjanak az Egyesült Államok Könyvvizsgálói Felügyeleti Testülete (PCAOB) részére történő adattovábbításra vonatkozó adminisztratív intézkedések tervezetéről szóló tárgyalásokról. Az EDPB üdvözli ezt a javaslatot, és jelzi, hogy rendelkezésre áll információcsere a CEAOB-val, hogy tisztázza az ilyen megállapodásokkal kapcsolatos adatvédelmi kérdéseket, tekintettel az EDPB 2/2020 ajánlására és a GDPR 46. cikke (2) bekezdésének a) és (3) bekezdésének b) pontja a személyes adatoknak az EGT és az EGT-n kívüli hatóságok közötti továbbítására.
Az egyeztetésekbe bevonhatják a PCAOB-t is, ha a CEAOB és tagjai hasznosnak tartják azt.
(edpb.europa.eu)