Euroopan tietosuojaneuvosto otti kantaa kontaktinjäljityssovellusten yhteentoimivuuteen ja tietosuojaoikeuksiin rajojen avaamisen yhteydessä

Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan 16. kesäkuuta kannanotot koronaviruspandemian torjunnassa käytettävien kontaktinjäljityssovellusten yhteentoimivuudesta sekä Schengen-alueen rajojen uudelleen avaamiseen liittyvistä tietosuojaoikeuksista.

Euroopan tietosuojaneuvosto on laatinut kannanoton, jossa se korostaa keskeisiä näkökohtia, jotka tulisi huomioida EU-alueella yhteentoimivan sovellusverkoston kehittämisessä. Niitä ovat muun muassa läpinäkyvyys, oikeusperusta, rekisterinpitäjä, rekisteröityjen oikeudet, tietoturva sekä tietojen tarkkuus, säilyttäminen ja minimointi. Kannanotto täydentää neuvoston huhtikuussa antamaa ohjeistusta.

Tietosuojaneuvosto huomauttaa, että positiivisen diagnoosin saaneiden henkilöiden tietoja tulisi jakaa vain käyttäjän vapaaehtoisuuteen perustuen. Lisäksi kontaktien jäljityssovellusten on oltava osa kattavaa kansanterveysstrategiaa pandemian torjumiseksi, jotta toimenpiteiden tehokkuutta voidaan lisätä. Yhteentoimivuuden tavoitetta ei myöskään pidä käyttää perusteena henkilötietojen keräämiseen laajemmin kuin on tarpeen.

Yhteentoimivuuden toteuttaminen on teknisesti haastavaa, minkä lisäksi siihen liittyy mahdollinen tietosuojariski. Tämän vuoksi rekisterinpitäjien on varmistettava, että toimenpiteet ovat tehokkaita ja oikeasuhteisia sekä arvioitava, voidaanko samaan päämäärään päästä lievemmällä vaihtoehdolla.

Tietosuojaperiaatteet on huomioitava henkilötietojen käsittelyssä rajojen avaamisen yhteydessä

Toisessa kannanotossaan tietosuojaneuvosto painottaa, että jäsenmaiden on kiinnitettävä erityistä huomiota yleisen tietosuoja-asetuksen periaatteisiin, kun ne käsittelevät henkilötietoja Schengen-alueen rajojen avaamisen yhteydessä koronavirustilanteen parantuessa.

Jäsenmaiden suunnittelemiin tai toteuttamiin toimenpiteisiin rajojen turvallista uudelleenavaamista varten kuuluvat COVID-19-taudin testaus, terveydenhuollon ammattihenkilöiden myöntämien todistusten vaatiminen ja vapaaehtoisen kontaktien jäljittämissovelluksen käyttö. Useimpiin toimenpiteisiin liittyy henkilötietojen käsittelyä.

Tietosuojaneuvosto muistuttaa, että tietosuojalainsäädäntöä sovelletaan edelleen ja että se mahdollistaa tehokkaan reagoinnin pandemiaan suojellen samalla perusoikeuksia ja -vapauksia. Henkilötietojen käsittelyn on oltava välttämätöntä ja oikeasuhteista, ja suojan tason on oltava yhdenmukainen kaikkialla Euroopan talousalueella. Päätös maahan pääsyn sallimisesta ei esimerkiksi saa perustua pelkästään automatisoituihin yksittäisiin päätöksentekoteknologioihin.

Salauskielto ja kannettavien tietokoneiden kamerasuojat tietosuojaneuvoston käsittelyssä

Tietosuojaneuvosto on laatinut vastauksen Euroopan parlamentin jäsenelle salauskiellon merkityksestä tietosuojan tason arvioinnissa, kun tietoja siirretään sellaisiin maihin, joissa kiellot ovat voimassa. Tietosuojaneuvoston mukaan salauskielto tai salauksen heikentämistä koskevat säännökset horjuttaisivat olennaisesti rekisterinpitäjiin ja henkilötietojen käsittelijöihin sovellettavien turvallisuusvelvoitteiden noudattamista, oli kyse sitten kolmannessa maassa tai ETA-alueella sovellettavista velvoitteista.

Toisessa vastauksessa tietosuojaneuvosto otti kantaa parlamentin jäsenen ehdotukseen, jonka mukaan laitevalmistajat voisivat asentaa kamerasuojat uusiin kannettaviin tietokoneisiin. Neuvosto katsoo, että valmistaja ei ole vastuussa henkilötietojen käsittelystä kyseisellä laitteella, ellei se itse toimi henkilötietojen käsittelijänä tai rekisterinpitäjänä. Laitevalmistajia tulee kuitenkin kannustaa huomioimaan tietosuoja laitteiden kehityksessä ja suunnittelussa.   

Tietosuojaneuvosto on lisäksi hyväksynyt yhteistyöehdotuksen, jonka se on saanut Euroopan tilintarkastajien valvontaelinten komitealta (CEAOB). Komitea pyytää tietosuojaneuvostolta palautetta luonnoksiin, jotka liittyvät hallinnollisiin järjestelyihin tietojen siirtämiseksi Yhdysvaltojen Public Company Accounting Oversight Boardille (PCAOB). Neuvosto kertoo olevansa valmis keskustelemaan komitean kanssa henkilötietojen siirtoihin liittyvistä tietosuojakysymyksistä ETA-alueen ja alueen ulkopuolisten viranomaisten välillä.

Lisätietoja:

Euroopan tietosuojaneuvoston tiedote: Thirty-second plenary session: Statement on the interoperability of contact tracing applications, statement on the opening of borders and data protection rights, response letters to MEP Körner on laptop camera covers and encryption and letter to the Commi (17.6.2020)