Europeiska dataskyddsstyrelsen tog ställning till driftskompatibilitet avseende kontaktspårningsappar samt dataskyddsrättigheter i samband med att gränserna öppnas
Europeiska dataskyddsstyrelsen godkände vid sitt plenum den 16 juni ställningstaganden om driftskompatibilitet avseende kontaktspårningsappar som används i bekämpning av coronaviruspandemin samt om dataskyddsrättigheter i samband med att gränserna åter öppnas inom Schengen-området.
Europeiska dataskyddsstyrelsen har utarbetat ett ställningstagande där den betonar centrala synpunkter som bör beaktas vid utveckling av ett driftskompatibelt applikationsnätverk. Dessa är bland annat transparens, rättsgrund, personuppgiftsansvarig, de registrerades rättigheter, datasäkerhet samt uppgifternas riktighet, lagring och minimering. Ställningstagandet kompletterar riktlinjerna som styrelsen utfärdade i april.
Dataskyddsstyrelsen påpekar att uppgifter om personer som fått en positiv diagnos får endast delas på frivillig grund. Dessutom ska kontaktspårningsapparna ingå i en övergripande folkhälsostrategi för att bekämpa pandemin för att åtgärderna ska bli mer effektiva. Målet av driftskompatibilitet ska heller inte utnyttjas som en grund för att samla in personuppgifter i större utsträckning än vad som är nödvändigt.
Genomförandet av driftskompatibilitet är tekniskt utmanande och det förknippas också med en potentiell risk för dataskyddet. Därför ska de personuppgiftsansvariga säkerställa att åtgärderna är effektiva och proportionerliga samt bedöma om samma mål kan nås med ett mindre ingripande alternativ.
Dataskyddsprinciperna ska beaktas vid behandling av personuppgifter när gränserna öppnas
I sitt andra ställningstagande betonar dataskyddsstyrelsen att medlemsländerna ska särskilt uppmärksamma principerna av den allmänna dataskyddsförordningen när de behandlar personuppgifter i samband med att Schengen-områdets gränser öppnas i och med att coronavirussituationen förbättras.
Åtgärderna som medlemsländerna planerat eller genomfört för att på ett säkert sätt åter öppna gränserna omfattar testning av COVID-19-sjukdomen, krav på intyg utfärdat av hälso- och sjukvårdspersonal och användning av frivilliga kontaktspårningsappar. De flesta av åtgärderna innebär behandling av personuppgifter.
Dataskyddsstyrelsen påminner om att dataskyddslagstiftningen tillämpas fortfarande och att den möjliggör effektiva insatser för att bekämpa pandemin och samtidigt skyddar grundläggande rättigheter och friheter. Behandlingen av personuppgifter måste vara nödvändigt och proportionerligt och nivån av skyddet måste vara enhetlig inom hela Europeiska ekonomiska samarbetsområdet. Beslutet att tillåta tillträde får till exempel inte endast baseras på automatiserade enskilda beslutsfattande tekniker.
Krypteringsförbud och webcamskydd för bärbara datorer under behandling i dataskyddsstyrelsen
Dataskyddsstyrelsen har sammanställt ett svar till en ledamot av Europaparlamentet om betydelsen av krypteringsförbud vid bedömning av nivån av dataskydd när uppgifter överförs till länder där förbuden gäller. Enligt dataskyddsstyrelsen skulle ett krypteringsförbud eller bestämmelser som försvagar kryptering väsentligt undergräva efterlevnad av säkerhetsförpliktelser som omfattar personuppgiftsansvariga och personuppgiftsbiträden, oavsett om det är fråga om förpliktelser som tillämpas i ett tredjeland eller inom EES.
I sitt andra svar tog dataskyddsstyrelsen ställning till parlamentsledamotens förslag enligt vilket hårdvarutillverkare skulle installera webcamskydd i nya bärbara datorer. Styrelsen anser att tillverkaren inte är ansvarig för behandlingen av personuppgifter med apparaten i fråga om den inte själv verkar som personuppgiftsbiträde eller personuppgiftsansvarig. Hårdvarutillverkarna bör dock uppmanas att beakta dataskyddet vid utveckling och planering av utrustning.
Dataskyddsstyrelsen har dessutom godkänt ett förslag om samarbete som den fick från kommittén för europeiska tillsynsorgan för revisorer (CEAOB). Kommittén ber dataskyddsstyrelsen om respons till utkast om administrativa arrangemang för att överföra uppgifter till Public Company Accounting Oversight Board (PCAOB) i USA. Styrelsen säger att den är redo att diskutera med kommittén om dataskyddsfrågor relaterade till överföring av personuppgifter mellan EES och myndigheter utanför EES.
Mer information:
Meddelande av Europeiska dataskyddsstyrelsen: Thirty-second plenary session: Statement on the interoperability of contact tracing applications, statement on the opening of borders and data protection rights, response letters to MEP Körner on laptop camera covers and encryption and letter to the Commi (17.6.2020)