ПРИЛОЖЕНИЕ

НАСОКИ ЗА ЗАЩИТА НА ДАННИТЕ В СИСТЕМАТА ЗА РАННО ПРЕДУПРЕЖДЕНИЕ И РЕАГИРАНЕ (СРПР)

1.   ВЪВЕДЕНИЕ

СРПР е уеб-базирано приложение, разработено от Европейската комисия в сътрудничество с държавите-членки с цел да се осигури структурирана и постоянна комуникация между Комисията и компетентните здравни органи на държавите-членки от ЕИП, които отговарят за определянето на необходимите мерки за опазване на общественото здраве. Европейският център за профилактика и контрол върху заболяванията (наричан по-долу за краткост „ЕСDC“), който е агенция на ЕС, също е свързан към СРПР от 2005 г. (1)

Сътрудничеството между националните здравни органи е от съществено значение за повишаването на капацитета на държавите-членки за предотвратяване на потенциалното разпространение на заразни болести в рамките на ЕС, както и на готовността им да реагират по координиран и своевременен начин на събития, причинени от заразни болести, които са или могат да се превърнат в заплаха за общественото здраве.

Предишни епидемии от ТОРС, пандемичен грип А (H1N1) и други заразни болести показват ясно как непознати досега болести могат да се разпространят бързо и да причинят висока смъртност и заболеваемост. Бързото придвижване и глобалната търговия улесняват предаването на заразни болести, за които не съществуват граници. Ранното откриване и ефективната комуникация и координация на европейско и международно ниво са от съществено значение за контрола на подобни неочаквани събития и за предотвратяването на тежки последици.

СРПР е създадена с цел да играе ролята на централизиран механизъм, който да позволи на държавите-членки да изпращат сигнали, да споделят информация и да координират реакциите си по своевременен и сигурен начин в случай на събития, които представляват потенциална заплаха за здравето на гражданите на ЕС.

2.   ОБХВАТ И ЦЕЛИ НА НАСОКИТЕ

Управлението и използването на СРПР може да включва обмен на лични данни в конкретни случаи, когато това е разрешено от съответните правни инструменти (вж. раздел 4 относно правните основания за обмен на лична информация в СРПР).

Обменът на лична информация между компетентните здравни органи в държавите-членки трябва да става в съответствие с правилата за защита на личните данни, определени в националното законодателство, с което се транспонира Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.

Тъй като ползвателите на СРПР не са експерти в областта на защитата на данни и може да не са винаги достатъчно наясно с изискванията за защитата на данните, предвидени в закона, е препоръчително да им се предоставят насоки, в които по лесен и разбираем начин да е обяснено как функционира СРПР от гледна точка на защитата на данните. Насоките имат за цел да повишат осведомеността и да насърчат използването на най-добрите практики и на последователен и единен подход за спазване на правилата за защитата на данни сред ползвателите на СРПР в държавите-членки.

Трябва обаче да се отбележи, че тези насоки нямат за цел да предоставят цялостен преглед на всички въпроси, отнасящи се до защитата на данните във връзка със СРПР. Допълнителни указания и помощ може да бъдат получени от органите за защита на данните (наричани по-долу за краткост „ОЗД“) в държавите-членки. По-специално, ползвателите на СРПР настоятелно се приканват да се консултират със съответните ОЗД относно най-добрия начин за прилагане на тези насоки на национално ниво, така че специфичните за съответната държава изисквания за защита на данните да бъдат напълно спазени. Списък на ОЗД и данни за връзка с тях могат да бъдат намерени на следния интернет адрес:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm

И накрая трябва да се подчертае, че тези насоки не представляват автентично тълкуване на правото на ЕС за защита на данните, тъй като в институционалната система на Европейския съюз единствено Съдът на Европейските общности има изключителната компетентност да тълкува това право.

3.   ПРИЛОЖИМО ПРАВО И НАДЗОР

Приложимото право се определя в зависимост от това кой е ползвателят на СРПР. По-специално, обработването на лични данни от Комисията и ECDC в рамките на управлението и експлоатацията на системата (до степента, посочена в следващите раздели) се ръководи от Регламент (ЕО) № 45/2001.

По отношение на обработването на лични данни от компетентните национални органи, отговорни за СРПР, за приложимо право се счита съответното национално законодателство за защита на данните, с което се транспонира Директива 95/46/ЕО. Трябва да се отбележи, че тази директива оставя известна свобода на действие на държавите-членки при транспонирането на нейните разпоредби в националното им законодателство. По-специално директивата позволява на държавите-членки в определени случаи да предвидят изключения или дерогации от редица нейни разпоредби. Едновременно с това националното право за защита на данните, приложимо за съответните ползватели на СРПР, може да определя по-строги или специфични за страната изисквания за защита на данните, които не са предвидени в законите на други държави-членки.

Предвид тези особености, на ползвателите на СРПР се препоръчва да обсъдят настоящите насоки със съответните ОЗД, за да се уверят, че са изпълнени всички изисквания, произтичащи от приложимото национално законодателство. Например степента на подробност на информацията, която се предоставя на субектите на данни по време на събирането на данни, както и правилата за обработването на специални категории лични данни (например здравни данни) на физическите лица, може да се различават значително в различните държави-членки.

Една от основните особености на правната рамка на ЕС в областта на защитата на данните, състояща се от Регламент (ЕО) № 45/2001 и Директива 95/46/ЕО, е надзорът от страна на независими обществени органи за защита на данните. Обработването на лични данни от институциите и органите на ЕС се наблюдава от Европейския надзорен орган по защита на данните (наричан по-долу за краткост „ЕНОЗД“) (2), докато обработването от физически или юридически лица, национални обществени институции, агенции или други органи в държавите-членки се контролира от съответните ОЗД. Във всички държави-членки надзорните органи са оправомощени да разглеждат искове, подадени от граждани и отнасящи се до защитата на техните права и свободи по отношение на обработката на лични данни. Ползвателите на СРПР могат да намерят повече информация за това как да разглеждат искания или жалби на субекти на данни в раздел 9 относно достъпа до лични данни и други права на субектите на данни.

4.   ПРАВНИ ОСНОВАНИЯ ЗА ОБМЕНА НА ЛИЧНА ИНФОРМАЦИЯ В СРПР

С Решение № 2119/98/ЕО се създаде мрежа на ниво ЕС (наричана по-долу за краткост „Мрежата“) за насърчаване на сътрудничеството и координацията между държавите-членки със съдействието на Комисията, с цел подобряване на превенцията и контрола на заразните болести в ЕС (3). В рамките на тази инициатива беше създадена СРПР като един от опорните стълбове на Мрежата, даващ възможност за обмен на информация, консултация и координация на европейско равнище при настъпване на събития, причинени от заразни болести, които имат потенциала да застрашат общественото здраве в ЕС.

Трябва да се отбележи, че не цялата информация, която се обменя в рамките на СРПР, е от личен характер. На практика в тези рамки като цяло не се обменя здравна или друга лична информация, отнасяща се до физически лица с установена или подлежаща на установяване самоличност.

Какво означава „лични данни“?

За целите на Директива 95/46/ЕО и Регламент (ЕО) № 45/2001 лични данни означава всяка информация, свързана с физическо лице с установена или подлежаща на установяване самоличност („субект на данните“); лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално по идентификационен номер или по един или повече специфични фактора за неговата/нейната физическа, психологическа, психична, икономическа, културна или социална самоличност (4).

Компетентните здравни органи в държавите-членки на ЕИП пускат в Мрежата чрез СРПР предимно информация информация относно, inter alia, появата или повторната поява на случаи на заразни болести, заедно с информация относно приложените мерки за контрол, или за необичайни епидемични явления или нови заразни болести от неизвестен произход (5), което може да изисква своевременни и съгласувани действия от страна на държавите-членки за намаляване до минимум на риска от разпространение в рамките на ЕС (6). Въз основа на наличната в Мрежата информация държавите-членки ще се консултират помежду си в сътрудничество с Комисията, за да координират усилията си за превенция и контрол на тези болести, включително и по отношение на мерките, които са приели или възнамеряват да приемат на национално равнище (7).

В някои случаи обаче информацията, която се обменя в системата, действително се отнася до физически лица и може да се счита за лична информация.

На първо място, обработването на ограничено количество лични данни на оправомощени ползватели на СРПР е заложено в управлението и експлоатацията на системата. Обработването на данните за връзка с ползвателите (име, организация, адрес на електронна поща, телефонен номер и др.) е от съществено значение за създаването и управлението на системата. Тези лични данни се събират от държавите-членки и допълнително се обработват под отговорността на Комисията единствено за целите на ефективното сътрудничество в областта на управлението на СРПР и на Мрежата.

По-важното е, че настъпването на събитие, свързано със заразни болести, представляващи потенциална заплаха за ЕС, може да изисква прилагането на конкретни мерки за контрол, така наречените мерки за „проследяване на контакти“, от засегнатите държави-членки в сътрудничество помежду им, с цел да се идентифицират инфектираните лица и лицата, които са потенциално застрашени, и да се предотврати предаването на сериозни заразни болести. Подобно сътрудничество може да е свързано с обмен чрез СРПР на лични данни, включително и чувствителни здравни данни, на потвърдени или вероятни случаи на заразени лица между държавите-членки, пряко заинтересовани от мерки за проследяване на контакти (8).

Какво означава „обработка на лични данни“?

За целите на Директива 95/46/ЕО и Регламент (ЕО) № 45/2001 „обработка на лични данни означава всяка операция или съвкупност от операции, които се извършват със или без автоматични средства по отношение на личните данни, като събиране, записване, организиране, съхраняване, адаптиране или промяна, извличане, справка, използване, разкриване чрез изпращане, разпространение или другояче предоставяне, подреждане или комбиниране, блокиране, заличаване или унищожаване“ (9).

В горепосочените случаи обработването на лични данни в рамките на СРПР трябва да бъде обосновано от конкретни правни основания. В тази връзка, член 7 от Директива 95/46/ЕО, както и съответните разпоредби на член 5 от Регламент (ЕО) № 45/2001 определят критериите за законосъобразно обработване на данните.

Обработването на данните за връзка с ползвателите на СПРП се основава на:

—	член 5, буква б) от Регламент (ЕО) № 45/2001: „обработката е необходима за съобразяване със законно задължение, което се прилага спрямо контролиращия орган (10).“ Обработката е необходима за управлението и експлоатацията на СРПР от Комисията с подкрепата на ECDC;

—

и член 5, буква г) от Регламент (ЕО) № 45/2001: „субектът на данните недвусмислено е дал своето съгласие“. Данните за връзка с ползвателите са получени от самите субекти на данни, след като са дали информирано съгласие личните им данни да се обработват в рамките на СРПР (вж. раздел 8 относно предоставянето на информация на субектите на данни).

Критериите, определени в член 7, букви в), г) и д) от Директива 95/46/ЕО, са най-релевантни по отношение на обмена на данни за проследяване на контакти (например данни за връзка със заразеното лице, данни за превозното средство и други данни, свързани с маршрута на лицето и местата на пребиваване, информация за посетените лица и лицата, изложени на потенциален риск от заразяване) в рамките на СРПР (11):

—

член 7, буква в) от Директива 95/46/ЕО: „обработването е необходимо за спазването на правно задължение, чийто субект е администраторът“. Създаването на система за ранно предупреждение и реагиране с цел превенция и контрол на заразните болести в ЕС се изисква съгласно Решение № 2119/98/ЕО. В това решение се предвижда задължение за държавите-членки да докладват чрез СРПР определени събития, причинени от заразни болести, които са или имат потенциала да се превърнат в заплаха за общественото здраве (12). Задължението за докладване обхваща също така и мерките, предприети от компетентните органи в съответните държави-членки за предотвратяване и спиране на разпространението на тези болести, включително мерки за проследяване на контакти, въведени с цел проследяване на заразените лица или на лицата, които са изложени на потенциален риск от заразяване (13);

—

член 7, буква г) от Директива 95/46/ЕО: „обработването е необходимо, за да бъдат защитени жизнено важни интереси на съответното физическо лице“. По принцип обменът между заинтересованите държави-членки на лични данни на заразените лица и на лицата, които са изложени на непосредствен риск от заразяване, е необходим, за да им се предоставят подходящи грижи или лечение и да се позволи проследяването и идентифицирането на контакти с цел изолация и карантина, за да се опази здравето на засегнатите лица и, в крайна сметка, здравето на гражданите на ЕС като цяло;

—

и член 7, буква д) от Директива 95/46/ЕО: „обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес или при упражняване на официалните правомощия, които са предоставени на администратора или трето лице, на което се разкриват данните“. СРПР е инструмент, предназначен да помогне на държавите-членки да координират усилията си за превенция и контрол на сериозни заразни болести в рамките на ЕС. Поради тази причина системата е създадена, за да служи за осъществяването на задачи от обществен интерес, възложени на държавите-членки с цел опазване на общественото здраве.

Обработването от страна на държавите-членки на чувствителни данни, отнасящи се до здравето (например информация за събитието, което представлява заплаха за здравето, данни, отнасящи се до здравословното състояние на заразените лица и на лицата, които са изложени на потенциален риск от заразяване), в рамките на СРПР се обосновава от същите съображения, свързани с обществения интерес. Въпреки че обработването на данни, отнасящи се до здравето, принципно се забранява от член 8, параграф 1 от Директива 95/46/ЕО, обработването на тази специална категория данни в рамките на СРПР попада в обхвата на изключението, предвидено в член 8, параграф 3 от същата Директива, доколкото обработването е „необходимо за целите на профилактичната медицина, поставяне на медицинска диагноза, предоставяне на грижи или лечение, или за управлението на здравни служби, когато данните се обработват от медицинско лице, което, по силата на националното законодателство или на правила, установени от компетентни национални органи, е длъжно да спазва професионална тайна, или от друго лице, което е също обвързано с равностойно задължение за пазене на тайна.“

Допълнителни изключения от забраната за обработване на лични данни, отнасящи се до здравето, могат да бъдат предвидени в националните законодателства на държавите-членки, или в решение на националните ОЗД в държавите-членки (14), по съображения, свързани със значим обществен интерес, и при условие че са осигурени подходящи гаранции.

5.   КОЙ КОЙ Е В СРПР? ВЪПРОСИ, СВЪРЗАНИ С ОСЪЩЕСТВЯВАНЕТО НА СЪВМЕСТНО АДМИНИСТРИРАНЕ

СРПР е замислена като система с множество ползватели, която да свързва чрез подходящи технически средства и чрез различни структурирани комуникационни канали лицата за контакт, определени от компетентните органи за обществено здравеопазване в държавите-членки на ЕИП (наричани по-долу за краткост „национални координатори на СРПР“), Комисията, ECDC, както и, до известна степен, СЗО.

Всеки един от тези участници в СРПР е отделен ползвател на системата, въпреки че достъпът до информацията, която се обменя в рамките на системата, е модулиран чрез създаването на различни потребителски профили и на „селективни“ комуникационни канали, които осигуряват подходяща защита в съответствие с приложимите правила за защита на данните.

По-специално, системата се състои от два основни комуникационни канала. Първият канал, така нареченият канал за „общи съобщения“, позволява на компетентния здравен орган в дадена държава-членка да уведоми всички национални координатори на СРПР, Комисията, ECDC и СЗО относно събития, причинени от заразни болести, които потенциално могат да се разпространят в ЕС и които попадат в задълженията за докладване, определени в Решение№ 2119/98/ЕО (15).

Като цяло чрез канала за общи съобщения не се обменя здравна или друга лична информация, отнасяща се до физически лица с установена или подлежаща на установяване самоличност. В системата са въведени специални предпазни мерки срещу неразрешеното обработване на данни в рамките на този канал (вж. раздел 7).

Въпреки това при настъпване на събития, причинени от заразни болести, които потенциално могат да се разпространят в ЕС, може да се наложи засегнатите държави-членки в сътрудничество помежду си да въведат конкретни мерки за проследяване на контакти с цел идентифициране на заразените лица и на други лица, които са изложени на риск от заразяване, за да се спре разпространението на тези сериозни болести.

За да се гарантира спазването на правилата за защита на данните, бяха въведени подходящи предпазни мерки за ограничаване на обмена на данни за проследяване на контакти и на здравни данни на физическите лица само до държавите-членки, които са пряко заинтересовани от дадена процедура за проследяване на контакти, и за изключване на достъпа до тези данни от страна на другите държави-членки от Мрежата, Комисията и ECDC (16).

За тази цел е създаден така нареченият канал за „селективно съобщаване“ в СРПР, който да служи като изключителен канал за комуникация между държавите-членки, заинтересовани от дадена мярка за проследяване на контакти.

Чрез обмена на лична информация посредством канала за селективно съобщаване компетентните органи изпълняват ролята на „администратори“ по отношение на обработването на тези лични данни и по този начин поемат отговорността за законосъобразността на обработването на данните и за спазването на задълженията за защита на данните, посочени в приложимото национално законодателство, с което се транспонира Директива 95/46/ЕО.

Кой е „администраторът“?

За целите на Директива 95/46/ЕО „администратор означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни“ (17).

По принцип ползвателите в Комисията и ECDC не разполагат с достъп до лични данни, обменяни чрез канала за селективно съобщаване (18). Въпреки това по технически причини Комисията носи окончателната отговорност за централното съхранение на данните в СРПР в качеството си на системен администратор и координатор. В това си качество Комисията също така отговаря и за регистрацията, съхранението и допълнителното обработване на личните данни на оправомощените ползватели на СРПР, необходими за управлението на системата.

Така СРПР е ясен пример за осъществяване на съвместно администриране, при което отговорността за осигуряване на защита на данните се разпределя на различни равнища между Комисията и държавите-членки. Освен това, от 2005 г. Комисията и държавите-членки в качеството си на съадминистратори делегират текущото управление на софтуерното приложение за СРПР на ECDC, който изпълнява тази задача от името на Комисията. В допълнение към тези делегирани задължения, ECDC е поел отговорността да гарантира в качеството си на „обработващо лице“ поверителността и сигурността на операциите по обработка на данните, извършени в рамките на системата, в съответствие със задълженията, предвидени в членове 21 и 22 от Регламент (ЕО) № 45/2001.

Кой е „обработващо лице“ и какви са неговите задължения?

За целите на Регламент (ЕО) № 45/2001 „обработващо лице означава физическо или юридическо лице, публична власт, агенция или друг орган, който извършва обработка на лични данни от името на контролиращия орган“ (19).

Регламентът предвижда, че когато обработката се извършва от негово име, контролиращият орган избира обработващо лице, което предоставя достатъчни гаранции по отношение на техническите и организационните мерки, необходими с оглед на сигурността на данните. Контролиращият орган носи окончателната отговорност за осигуряване на спазването на тези мерки. Въпреки това задълженията, предвидени в членове 21 и 22 от Регламента по отношение на поверителността и сигурността на обработката, се отнасят също и за обработващото лице (20).

6.   ПРИЛОЖИМИ ПРИНЦИПИ ЗА ЗАЩИТА НА ДАННИТЕ

Обработването на лични данни в рамките на СРПР трябва да отговаря на принципите за защита на данните, определени в Регламент (ЕО) № 45/2001 и в Директива 95/46/ЕО.

В качеството си на администратори, Комисията и компетентните органи в държавите-членки трябва да гарантират спазването на тези принципи при всяко обработване на лични данни чрез СРПР. Някои от основните принципи за защита на данните са посочени по-долу. Това не засяга други приложими изисквания за защита на данните, установени в съответните правни инструменти, за които се дават указания в други раздели от настоящите насоки. По-специално на ползвателите на СРПР се препоръчва да прочетат внимателно раздел 8 относно предоставянето на информация на субектите на данни и раздел 9 относно достъпа и други права на субектите на данни.

6.1.   Принципи, отнасящи се до законосъобразността на обработката и до ограничаването на целите

Администраторите следва да гарантират, че личните данни се обработват по справедлив и законосъобразен начин. Този принцип предполага на първо място, че събирането и по-нататъшното обработване на лични данни трябва да се извършва на базата на легитимни основания, предвидени от закона (21). На второ място лични данни могат да се събират само за конкретни, ясно формулирани и законни цели и не трябва да бъдат допълнително обработвани по начин, който е несъвместим с тези цели (22).

6.2.   Принципи, отнасящи се до качеството на данните

Администраторите следва да гарантират, че личните данни са достатъчни, уместни и не повече от необходимото предвид целите, за които се събират. Освен това данните трябва да бъдат точни и актуални (23).

6.3.   Принципи, отнасящи се до запазването на данните

Администраторите следва да гарантират, че личните данни се съхраняват по начин, който позволява установяване на самоличността на субектите на данни в продължение на период, който не надвишава необходимото за целите, за които се събират или впоследствие обработват данните (24).

6.4.   Принципи, отнасящи се до поверителността и сигурността на данните

Администраторите следва да гарантират, че всяко лице, имащо достъп до лични данни и действащо под тяхното ръководство или под ръководството на обработващото лице, в това число самото обработващо лице, следва да обработва тези данни само по нареждане на администратора (25). Освен това, администраторите трябва да прилагат подходящи технически и организационни мерки за защита на личните данни от случайно, непозволено или незаконно унищожаване или загуба, промяна, разкриване или достъп, както и от всякакви други незаконни форми на обработка (26).

С оглед на правилното и ефективно прилагане на горепосочените принципи при използването на системата, на ползвателите на СРПР се препоръчва следното:

За да се уверят, че операциите по обработка се извършват на базата на правно основание, че данните се събират за законни и ясно формулирани цели и че те не се обработват допълнително по начин, който е несъвместим с тези цели, при всяко събиране или обработване по някакъв друг начин на лични данни чрез СРПР ползвателите на СРПР следва да:

—

оценяват за всеки отделен случай дали въвеждането на координирани мерки за проследяване на контакти и последващото активиране на селективния канал на СРПР за обмен на свързани с това данни за проследяване на контакти и други лични данни е оправдано предвид естеството на заболяването и научно доказаните ползи от проследяването на контакти за предотвратяването или намаляването на по-нататъшното разпространение на болестта, като се вземе предвид оценката на риска, направена от здравните органи в държавите-членки и от съществуващите агенции за научни изследвания, а именно ECDC и СЗО;

—

не използват канала за общи съобщения при обмена на данни за проследяване на контакти и други лични данни. Те следва по-конкретно да гарантират, че такива данни не се съдържат в текста на общите съобщения, които публикуват, в прикачените файлове или под каквато и да било друга форма. Използването на канала за общи съобщения за целите на проследяване на контактите би било незаконосъобразно и непропорционално, тъй като би довело до разкриване на лични данни на получатели (в това число на Комисията и на ECDC), които нямат отношение към дадена процедура за проследяване на контакти и не се нуждаят от достъп до тези данни;

—

при използването на функцията за селективно съобщаване да използват подход, основан на действителната необходимост от достъп до информацията, и да избират за получатели на селективни съобщения, съдържащи лични данни, само компетентните органи в държавите-членки, които трябва да си сътрудничат във връзка с дадена процедура за проследяване на контакти.

Ползвателите на СРПР следва да бъдат особено внимателни, когато обменят посредством канала за селективно съобщаване чувствителни данни, отнасящи се до здравословното състояние на физическо лице с установена или подлежаща на установяване самоличност, като заразени лица или лица, изложени на потенциален риск от заразяване, чиито данни за връзка или друга лична информация се оповестяват едновременно чрез СРПР, така че въпросното лице да може да бъде пряко или непряко идентифицирано. В този случай всички горепосочени препоръки продължават да бъдат приложими; освен това ползвателите на СРПР не трябва да забравят, че съгласно Директива 95/46/ЕО обменът на чувствителни данни е възможен само при строго ограничени обстоятелства. По-специално (27):

—

ако лицето, чиито данни се събират, е дало своето изрично съгласие за тяхното обработване (член 8, параграф 2, буква а) от Директива 95/46/ЕО). Въпреки това нуждата от своевременна намеса в спешни медицински ситуации може да направи невъзможно предоставянето на цялата информация, от която субектите на данни се нуждаят, за да дадат своето информирано съгласие (вж. раздел 8 относно предоставянето на информация на субектите на данни). Освен това вероятността данните евентуално да бъдат разкрити чрез СРПР може да не е известна към момента на тяхното събиране;

—

при липса на съгласие от страна на субектите на данни, обработването на данни, отнасящи се до здравето, може да се счита за законосъобразно, ако е необходимо за „целите на профилактичната медицина, поставяне на медицинска диагноза, предоставяне на грижи или лечение, или за управлението на здравни служби“, когато здравните данни се обработват от медицинско лице, което е длъжно да спазва задълженията за професионална тайна, или от друго лице, което е също обвързано с равностойно задължение за пазене на тайна (член 8, параграф 3 от Директива 95/46/ЕО). С други думи, всеки път, когато изпращат селективни съобщения, съдържащи чувствителни здравни данни, на получатели в други държави-членки, ползвателите на СРПР трябва да преценят дали разкриването на такива данни е абсолютно необходимо, за да могат компетентните органи в съответните държави-членки да приложат конкретни мерки за постигането на някоя от горепосочените цели. На ползвателите на СРПР също така се напомня, че допълнителни основания за обработване на здравни данни могат да бъдат предвидени в съответните техни национални закони, с които се транспонира Директива 95/46/ЕО, или в решение на техния национален ОЗД (28).

За да се гарантира качеството на личните данни, които те обменят чрез системата, и по-специално преди да публикуват селективни съобщения, ползвателите на СРПР трябва да преценят дали:

—

Личните данни, които искат да обменят, са абсолютно необходими за ефективното провеждане на процедура за проследяване на контакти. С други думи, компетентният орган, който публикува съобщението, следва да предостави на органа или органите в другата заинтересована държава-членка или държави-членки само тези лични данни, които са необходими за недвусмисленото идентифициране на заразените лица или на лицата, изложени на потенциален риск от заразяване. Примерният списък на лични данни, които могат да се обменят при проследяване на контактите, приложен към Решение 2009/547/ЕО, не трябва да се възприема като предоставяне на общо и безусловно разрешение за обработване на тези категории данни. Едновременно с това трябва да се проявява изключителна предпазливост при обработването на лични данни, различни от тези, изброени в това приложение, тъй като е вероятно разкриването да бъде прекомерно и неуместно. Вместо това, трябва да се извършва оценка на всеки отделен случай, за да се прецени дали включването на определени лични данни е абсолютно необходимо за целите на дадена процедура за проследяване на контакти.

Допълнителна обработване и съхранение на лични данни извън СРПР:

От изключителна важност е да се отбележи, че националните закони за защита на данните, с които се транспонира Директива 95/46/ЕО, се прилагат и по отношение на съхранението и допълнителното обработване извън СРПР на лични данни, получени чрез системата. Те са приложими например в случаите, когато личните данни, съхранявани централно от системата, след това се съхраняват в локалните компютри на ползвателите или в национални бази данни; или ако тези данни бъдат предадени от компетентния орган, отговорен за обработването им в рамките на СРПР, на други органи или на трети страни. В тези случаи на ползвателите на СРПР се напомня, че:

—	съхранението и допълнителното обработване извън СРПР не трябва да бъдат несъвместими с първоначалните цели, за които данните са били събрани и обменени в рамките на СРПР;

—	това допълнително обработване трябва да се опира на правно основание в съответните национални закони за защита на данните; то трябва да бъде необходимо, адекватно, релевантно и не трябва да бъде прекомерно по отношение на първоначалните цели, за които данните са били събрани в СРПР;

—	данните трябва да се актуализират и да бъдат заличени веднага щом престанат да бъдат необходими за целите, за които са били допълнително обработени;

—

при извличането на данни от СРПР и предоставянето им на трети страни администраторът трябва да информира субектите на данни за това обстоятелство, за да се гарантира справедливо обработване, освен в случаите, когато това е невъзможно или е свързано с непропорционално големи усилия, или разкриването е изрично позволено от закона (вж. член 11, параграф 2 от Директива 95/46/ЕО). Предвид факта, че разкриването може да се изисква от законодателството само на една от участващите държави-членки, и следователно това обстоятелство може да не е известно на всички, трябва да се положат усилия за предоставянето на информация, дори когато разкриването е предвидено изрично в закона.

7.   БЛАГОПРИЯТНА СРЕДА ЗА ЗАЩИТА НА ДАННИТЕ

СРПР вече съдържа няколко механизма, които подобряват спазването на принципите за защита на данните, посочени в раздел 6, и насърчават ползвателите на СРПР да оценяват аспектите, свързани със защита на данните, при всяко ползване на системата. Например:

—

на страницата за преглед на съобщенията се показва предупреждение, което информира ползвателите, че каналът за общи съобщения не е предназначен за предоставяне на данни, свързани с проследяването на контакти и други лични данни, тъй като използването на този канал може да доведе до ненужно разкриване на тези данни и на други получатели освен тези, които се нуждаят от достъп до тях;

—	достъпът до информацията, която се обменя в рамките на системата, е модулиран чрез създаването на различни потребителски профили и на селективни комуникационни канали, които осигуряват подходяща защита в съответствие с правилата за защита на личните данни;

—

по-специално, каналът за селективни съобщения на СРПР предоставя възможност за ексклузивен обмен на лична информация единствено между заинтересованите държави-членки. Системата разполага със стандартна опция, която автоматично изключва Комисията и ECDC от списъка на възможните получатели на селективни съобщения, съдържащи лични данни (29);

—	системата автоматично изтрива всички селективни съобщения, които съдържат лична информация, дванадесет месеца след датата на публикуването им (за повече информация вж. раздел 11 относно запазването на данни);

—

системата разполага с функция, която позволява на ползвателите директно да поправят или изтриват по всяко време селективни съобщения, съдържащи лична информация, която е неточна, неактуална, вече не е необходима или по някакъв начин не отговаря на изискванията за защита на данните. Системата автоматично уведомява другите ползватели на СРПР, които участват в този конкретен обмен на селективна информация, че съобщението е било изтрито или че неговото съдържание е било поправено, с цел да се гарантира спазването на правилата за защита на данните;

—	каналът за селективни съобщения разполага със специален механизъм, който позволява на националните органи, участващи в даден обмен на информация, да комуникират и да си сътрудничат по отношение на искания за достъп, поправка, блокиране или изтриване, отправени от субектите на данни.

Освен това, в средносрочен план се предвижда в приложението за СРПР да бъде интегриран модул за обучение, който да предостави на ползвателите на СРПР подробни обяснения относно функционирането на системата от гледна точка на защита на данните. Използването на различните функции и възможности, имащи за цел да засилят спазването на правилата за защита на данните, ще бъде онагледено с практически примери.

Комисията има намерението да работи съвместно с държавите-членки с цел да се гарантира, че принципът на неприкосновеност на личния живот чрез проектното решение ще залегне в основата на тези и всякакви други бъдещи развития в СРПР (30), и че принципите на необходимост, пропорционалност, ограничаване на целите и минимизиране на данните ще бъдат взети под внимание, когато се вземат решения относно това, каква информация може да бъде обменяна чрез СРПР, с кого и при какви условия.

8.   ПРЕДОСТАВЯНЕ НА ИНФОРМАЦИЯ НА СУБЕКТИТЕ НА ДАННИ

Едно от основните изисквания на правната рамка на ЕС за защита на данните е задължението всеки администратор на данни да предоставя ясна информация на субектите на данни относно операциите по обработка на техните лични данни, които той възнамерява да извърши.

В съответствие със своята координираща роля в рамките на СРПР и с цел да се изпълни гореспоменатото задължение (31), Комисията публикува ясна и изчерпателна декларация за защита на личните данни на своята интернет страница, посветена на СРПР, във връзка с операциите по обработка, извършени под отговорността на самата Комисия, както и с тези, извършени от компетентните органи, по-специално при проследяването на контакти.

Въпреки това националните компетентни органи в държавите-членки в качеството си на администратори също имат задължението да предоставят информация на субектите на данни относно своите операции по обработка на данните в рамките на СРПР.

Каква „информация“ трябва да предоставят националните компетентни органи, отговарящи за СРПР, на субектите на данни?

Когато данните се събират директно от субекта на данните, съгласно член 10 от Директива 95/46/ЕО в момента на събирането администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, най-малкото следната информация, освен в случаите, когато то вече я притежава:

а)	самоличността на администратора или на неговия представител, когато има такъв;

б)	целта на обработването, за което данните са предназначени;

в)	всякаква друга информация, например: — получателите или категориите получатели на данни, — дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор, — наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна допълнителна информация е необходима, като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице.

Член 11 от Директива 95/46/ЕО определя минималната информация, която администраторът на данни трябва да предостави в случаите, когато данните не са получени от съответното физическо лице. Тази информация трябва да се предостави при записването на личните данни или ако се предвижда разкриването им на трета страна, не по-късно от момента, когато данните се разкриват за пръв път (32).

Съгласно горепосочените разпоредби при събирането на лични данни от физически лица (или най-късно към момента, в който данните се разкриват за първи път чрез СРПР) с цел да се въведат необходимите мерки за опазване на общественото здраве във връзка със събития, които трябва да бъдат съобщени по силата на Решение № 2119/98/ЕО и на правилата за неговото прилагане, субектите на данни трябва да получат правна забележка, съдържаща информацията, посочена в членове 10 и 11 от Директива 95/46/ЕО, директно от националните компетентни органи. Забележката трябва да включва и кратка справка за СРПР и връзка към съответните документи и декларации за защита на личните данни в интернет страниците на националните компетентни органи, както и към интернет страницата на Комисията, посветена на СРПР.

Точната информация, която трябва да се съдържа в правната забележка, може значително да се различава в отделните държави-членки. Някои национални закони предвиждат повече задължения за предоставяне на допълнителна информация от страна на администраторите на данни, като например информация относно правото на субектите на данни да получат обезщетение, относно съхранението на данните и срока за запазването им, относно мерките за сигурност за защита на данните и др.

Вярно е, че когато данните не са получени от субекта на данни, необходимостта от своевременна намеса в спешни медицински случаи може да направи невъзможно предоставянето на информация на субектите на данни относно целта на обработката на техните лични данни. В тази връзка член 11, параграф 2 от Директива 95/46/ЕО гласи, че правото на информация на субектите на данни може да бъде ограничено в случаите, когато „предоставянето на подобна информация се оказва невъзможно или е свързано с прекомерно усилие, или ако записът или разкриването е постановено изрично от закона. В тези случаи държавите-членки предоставят подходящи гаранции.“

Като цяло трябва да се отбележи, че специфични забрани или ограничения, засягащи правото на информация на субектите на данни, може да се прилагат по силата на националните закони за защита на данните, с които се транспонира Директива 95/46/ЕО (33). Всякакви такива национални забрани или ограничения трябва да бъдат ясно упоменати в съобщенията за защита на личните данни, които се предоставят на субектите на данни, или в декларациите за защита на личните данни, публикувани на интернет страниците на компетентните национални органи.

Националните компетентни органи в държавите-членки трябва сами да решат в каква форма и как точно да предадат тази информация на субектите на данни. Тъй като повечето компетентни органи ще извършват операции по обработка на данните, различни от обмена на информация в рамките на СРПР, начинът, по който те трябва да информират физическите лица, може, ако е уместно, да бъде същият като този, който те използват за съобщаването на подобна информация относно други операции по обработка на данните съгласно националното законодателство. Освен това се препоръчва компетентните органи да актуализират или допълват политиките или декларациите за защита на личните данни, в случай че вече са публикували такива на своите национални интернет страници, по-специално по отношение на обмена на лични данни в рамките на СРПР.

Предвид гореспоменатите причини е изключително важно компетентните органи в държавите-членки да се консултират със съответните национални ОЗД при изготвянето на стандартни правни забележки и декларации за защита на личните данни в съответствие с членове 10 и 11 от Директива 95/46/ЕО.

9.   ДОСТЪП ДО ЛИЧНИ ДАННИ И ДРУГИ ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Изискванията за защита на данните, отнасящи се до предоставянето на информация на субектите на данни, разгледани в предходния раздел 8, имат за крайна цел да гарантират прозрачността на операциите по обработка на личните данни. Прозрачността е и основната цел на разпоредбите относно правата на достъп на субектите на данни, предвидени в правните инструменти на ЕС за защита на данните (34).

Какво е „правото на достъп до данни“ на субекта на данни?

Администраторите на данни са длъжни да гарантират на всеки субект на данни правото да получи без излишно забавяне или излишни разходи потвърждение за това дали се обработват негови лични данни, както и информация за целите на това обработване и за получателите, пред които могат да бъдат разкривани данните.

Администраторите на данни трябва също така да гарантират правото на субектите на данни да поискат коригиране, заличаване или блокиране на данни, чието обработване не се извършва в съответствие с приложимите закони за защита на данните, като например поради непълнота или неточност на данните.

И накрая, администраторите на данни трябва да уведомят трети страни, пред които са били разкрити данните, за всяко коригиране, заличаване или блокиране, извършени при основателно искане на субекта на данни, освен ако това е невъзможно или е свързано с прекомерно големи усилия.

Комисията и държавите-членки, в качеството си на администратори, носят обща отговорност за предоставянето на права на достъп, коригиране, блокиране и заличаване на лични данни, обработвани в рамките на СРПР при посочените по-долу условия.

Комисията носи отговорност за предоставянето на достъп до лични данни на националните координатори на СРПР, както и за разглеждането на искания за коригиране, блокиране и заличаване на тези данни. Националните координатори могат да намерят повече информация относно това, как да упражняват своите права като субекти на данни, в конкретната клауза от пълната декларация за защита на личните данни, публикувана на интернет страницата на Комисията, посветена на СРПР (35).

Ползвателите на СРПР също така трябва да знаят, че системата вече разполага с функция, която им позволява директно да променят своите лични данни. Данните, с които ползвателите се идентифицират в системата (проверен потребителски адрес на електронна поща, вид профил и др.), не могат да бъдат променяни от самите ползватели, за да се попречи на неоправомощени ползватели да получат достъп до системата. Поради тази причина всяко искане за промяна на тези полета с данни трябва да бъде адресирано до администратора на данни към Комисията, както е посочено в пълната декларация за защита на личните данни, публикувана на интернет страницата на Комисията, посветена на СРПР.

Отговорността за разглеждането на искания, отправени от субекти на данни, отнасящи се до проследяването на контакти, до здравето и до други лични данни, обменяни между държавите-членки чрез СРПР, се носи от съответните компетентни органи, участващи в дадения обмен на селективна информация. Тази отговорност се урежда от съответните разпоредби на националните закони за защита на данните, с които се транспонира Директива 95/46/ЕО.

Трябва да се отбележи обаче, че специфични забрани или ограничения, засягащи правото на субектите на данни на достъп, коригиране, заличаване или блокиране на данни, може да се прилагат по силата на националните закони за защита на данните, с които се транспонира Директива 95/46/ЕО (36). Всякакви такива забрани или ограничения трябва да бъдат ясно упоменати в съобщенията за защита на личните данни, които се предоставят на субектите на данни, или в декларациите за защита на личните данни, публикувани на интернет страниците на компетентните национални органи. Поради тази причина на контактните звена по СРПР се препоръчва да се свържат със своите национални ОЗД, за да получат повече информация по този въпрос.

Сложността на СРПР, където множество ползватели участват в съвместни операции по обработка на данни, изисква ясен и прост подход по отношение на правото на достъп на субектите на данни, тъй като те не са запознати с функционирането на системата и следва да им бъде предоставена възможност ефективно да упражняват своите права.

Възможен подход, който се препоръчва е, когато субектът на данните смята, че неговите или нейните лични данни се обработват в рамките на СРПР и желае да има достъп до тях или да ги заличи или коригира, той да може да се обърне към всеки национален компетентен орган, с който е имал контакт и/или който е събрал неговите данни във връзка с конкретно събитие, представляващо риск за общественото здраве (например органа на страната, на която съответният субект на данни е гражданин, както и органа на страната, в която лицето пребивава по време на събитието), както и към всеки друг орган, който участва в този обмен на информация във връзка с прилагането на мерки за проследяване на контакти.

Никой компетентен орган, участващ във въпросната обмяна на информация, няма право да отказва достъп, коригиране или заличаване на данни на основанието, че не е бил органът, който е въвел данните в СРПР, или че субектът на данните трябва да се обърне към друг компетентен орган. По-специално, ако искането, подадено от субекта на данните е получено от компетентен орган, различен от този, който е публикувал първоначалната информация чрез канала за селективен обмен, получаващият орган следва да препрати искането посредством механизма, посочен в раздел 7, на компетентния орган, публикувал оригиналното съобщение, който следва да се произнесе по искането.

Ако е целесъобразно, преди да вземе решение компетентният орган, който е публикувал информацията в системата, може да се свърже с други компетентни органи, участващи в обмена на информация или свързани с искането по някакъв друг начин, посредством специфичния механизъм, посочен в раздел 7.

Субектите на данни трябва също да знаят, че ако не са доволни от получения отговор, могат да се обърнат към друг компетентен орган, участващ в обмена на информация. При всички случаи, субектите на данните имат право да подадат жалба до най-подходящия национален орган за защита на данните в държава, където се намира някой от горепосочените компетентни органи. Ако е необходимо и целесъобразно, националните органи за защита на данните следва да си сътрудничат при разглеждането на жалбата (член 28 от Директива 95/46/ЕО).

На последно място, вследствие на конкретна препоръка, направена от Европейския надзорен орган по защита на данните в неговото становище, Комисията въведе нова функция в СРПР, която позволява онлайн коригиране и заличаване, в съответствие с правилата за защита на данните, на селективни съобщения, съдържащи лична информация, която е неточна, неактуална, вече не е необходима или по някакъв начин не отговаря на изискванията за защита на данните.

10.   СИГУРНОСТ НА ДАННИТЕ

Достъпът до системата е ограничен само за оправомощени ползватели от Комисията и ECDC и за официално определените национални координатори на СРПР. Достъпът е защитен със сигурен и персонализиран потребителски профил и парола.

Процедурите за обработване на лична информация в СРПР са предвидени във връзка с изискванията, посочени в членове 21 и 22 от Регламент (ЕО) № 45/2001.

11.   ЗАПАЗВАНЕ НА ДАННИ

Съгласно изискванията за защита на данните, предвидени в член 4, параграф 1, буква д) от Регламент (ЕО) № 45/2001 и член 6, параграф 1, буква д) от Директива 95/46/ЕО, системата автоматично изтрива всички селективни съобщения, които съдържат лична информация, дванадесет месеца след датата на публикуването им.

Тази предпазна мярка, която е заложена в системата, не освобождава ползвателите на СРПР, като единствено и индивидуално отговорни за своите собствени операции по обработка на данните в рамките на канала за селективни съобщения, от задължението да предприемат действия за премахването от системата на тези лични данни, които вече не са необходими, преди изтичането на предвидения едногодишния срок.

За тази цел Комисията е въвела нова функция в СРПР, която да позволява на ползвателите директно да изтриват по всяко време селективни съобщения, съдържащи лична информация, която вече не е необходима.

И накрая трябва да се припомни, че националните компетентни органи отговарят за спазването на своите собствени правила за защита на данните, отнасящи се до запазването на лични данни, предвидени в съответното законодателство, с което се транспонира Директива 95/46/ЕО. Автоматичното изтриване на съхраняваната в системата лична информация след изтичането на една година не възпрепятства ползвателите на СРПР да съхраняват тази информация извън СРПР за различни (напр. по-дълги) периоди, при условие че това се извършва в съответствие със задълженията, произтичащи от съответните национални закони за защита на личните данни, и че сроковете, предвидени в националното законодателство, отговарят на изискванията, определени в член 6, параграф 1, буква д) от Директива 95/46/ЕО.

12.   СЪТРУДНИЧЕСТВО С НАЦИОНАЛНИТЕ ОРГАНИ ЗА ЗАЩИТА НА ДАННИТЕ

Компетентните органи се насърчават да се консултират със съответните национални ОЗД, особено когато се сблъскват с въпроси, свързани със защита на данните, които не са засегнати в настоящите насоки.

Компетентните органи трябва също да са наясно, че съгласно разпоредбите на националните закони, с които се транспонира Директива 95/46/ЕО, може да е необходимо да уведомяват съответните органи за защита на данните относно своите дейности по обработка на данните в рамките на СРПР. В някои държави-членки може дори да се изисква предварително разрешение от националния ОЗД.

---

(1)  ECDC също подкрепя и подпомага Комисията при управлението на приложението за СРПР. Тази задача е възложена на ECDC по силата на Регламент (ЕО) № 851/2004 на Европейския парламент и на Съвета от 21 април 2004 г. за създаване на Европейски център за профилактика и контрол върху заболяванията, и по-специално член 8 от него (ОВ L 142, 30.4.2004 г., стр. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS.

(3)  Категориите заразни болести, попадащи в обхвата на Мрежата, са ограничени до тези, изброени в приложението към Решение № 2119/98/ЕО.

(4)  Член 2, буква а) от Директива 95/46/ЕО и член 2, буква а) от Регламент (ЕО) № 45/2001.

(5)  Член 4 от Решение № 2119/98/ЕО.

(6)  Приложение I към Решение 2000/57/ЕО относно дефиницията за „събития“, които следва да бъдат докладвани в рамките на СРПР.

(7)  Член 6 от Решение № 2119/98/ЕО.

(8)  Уточняването на законните цели за обработка на лични данни в рамките на СРПР и включването на данните за „проследяване на контакти“ към тях е резултат от измененията, направени в Решение 2000/57/ЕО на Комисията с Решение 2009/547/ЕО.

(9)  Член 2, буква б) от Директива 95/46/ЕО и член 2, буква б) от Регламент (ЕО) № 45/2001.

(10)  Във връзка с определението за „контролиращ орган“ вижте раздел 5 по-долу.

(11)  Примерен списък на личните данни, които могат да се обменят за целите на проследяването на контакти, е приложен към Решение 2009/547/ЕО.

(12)  Член 1 от Решение 2000/57/ЕО и приложение I към него относно определението за „събития“, които следва да бъдат докладвани в рамките на СРПР.

(13)  Член 2а от Решение 2000/57/ЕО, въведен с Решение 2009/547/ЕО.

(14)  Както е предвидено в член 8, параграф 4от Директива 95/46/ЕО.

(15)  Вж. по-специално членове 4, 5 и 6 от него.

(16)  Член 2а от Решение 2000/57/ЕО, въведен с Решение 2009/547/ЕО.

(17)  Дефиниция, определена в член 2, буква г) от Директива 95/46/ЕО.

(18)  При извънредни обстоятелства Комисията може да участва в обмена на лични данни посредством селективния канал на СРПР, когато е абсолютно наложително да координира или да позволи навременното и ефективно изпълнение на мерки за опазване на общественото здраве, които се изискват съгласно Решение № 2119/98/ЕО и съгласно правилата за неговото прилагане. В тези случаи Комисията следва да гарантира, че обработката на данните се извършва по законосъобразен начин и в съответствие с разпоредбите на Регламент (ЕО) № 45/2001.

(19)  Дефиниция, определена в член 2, буква д) от Регламент (ЕО) № 45/2001.

(20)  Тези принципи са заложени в член 23, параграф 1 от Регламент (ЕО) № 45/2001 относно обработката на лични данни от името на контролиращите органи.

(21)  Принципът за законосъобразност на обработването на данни произтича от общите разпоредби на член 6, параграф 1, буква а), член 7 и член 8 от Директива 95/46/ЕО. Вж. също и съответстващите разпоредби на Регламент (ЕО) № 45/2001.

(22)  Принципът за ограничаване на целите е формулиран в член 6, параграф 1, буква б) от Директива 95/46/ЕО и в съответстващата разпоредба на член 4, параграф 1, буква б) от Регламент (ЕО) № 45/2001.

(23)  Член 6, параграф 1, букви в) и г) от Директива 95/46/ЕО и член 4, параграф 1, букви в) и г) от Регламент (ЕО) № 45/2001.

(24)  Член 6, параграф 1, буква д) от Директива 95/46/ЕО и член 4, параграф 1, буква д) от Регламент (ЕО) № 45/2001.

(25)  Принципът на поверителност е формулиран в член 16 от Директива 95/46/ЕО и съответстващата разпоредба на член 21 от Регламент (ЕО) № 45/2001.

(26)  Принципът на сигурност на данните е формулиран в член 17 от Директива 95/46/ЕО и съответстващата разпоредба на член 22 от Регламент (ЕО) № 45/2001.

(27)  За пълния списък на изключенията от забраната за обработването на някои специални категории данни, включително здравни данни, вж. член 8, параграфи 2, 3, 4 и 5 от Директива 95/46/ЕО.

(28)  Член 8, параграф 4 от Директива 95/46/ЕО.

(29)  Независимо от това, ползвателите на СРПР имат алтернативната възможност да използват този канал за селективен обмен на информация, отнасяща се до технически въпроси, които не са свързани с пренос на лични данни. При избор на алтернативния вариант вместо стандартния, Комисията и ECDC може да бъдат избрани за получатели от органа, публикуващ съобщението. Тази функция е въведена в системата с цел да се вземе предвид институционалната роля на Комисията при координирането на въпроси, свързани с управлението на риска и събитията, и на ECDC при изпълнението на дейности по оценка на риска.

(30)  Според принципа на „неприкосновеност на личния живот чрез проектното решение“ следва да бъдат проектирани и разработени информационни и комуникационни технологии (ИКТ), като се вземат предвид изискванията за неприкосновеност на личния живот и защита на данните още в самото начало на разработването на технологията и на всички етапи от нейното развитие.

(31)  Задължението за информиране, което има Комисията, се основава на член 11 и член 12 от Регламент (ЕО) № 45/2001.

(32)  Информацията, която трябва да бъде предоставена, е посочена в член 10, заедно със съответните категории данни. Тази информация очевидно не се изисква при събиране на данни директно от субекта на данни, който е информиран относно въпросните категории данни в момента на събирането им.

(33)  Член 13, параграф 1 от Директива 95/46/ЕО относно изключенията и ограниченията гласи следното: „Държавите-членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени в член 6, параграф 1, член 10, член 11, параграф 1, член 12 и член 21, ако подобно ограничаване представлява необходима мярка за гарантиране на: а) националната сигурност; б) отбраната; в) обществената сигурност; г) предотвратяването, разследването, разкриването и преследването на углавни престъпления или за нарушения на етичните кодекси при регламентираните професии; д) важни икономически и финансови интереси на държавата-членка или на Европейския съюз, включително валутни, бюджетни и данъчни въпроси; е) функции по наблюдение, проверка или регламентиране, свързани, дори случайно, с упражняването на официални правомощия в случаите, посочени в букви в), г) и д); ж) защита на съответното физическо лице или на правата и свободите на други лица“.

(34)  Член 12 от Директива 95/46/ЕО и членове 13—18 от Регламент (ЕО) № 45/2001.

(35)  Декларацията за защита на личните данни може също да бъде намерена от всички ползватели на СРПР в защитената част на приложението за СРПР.

(36)  Цитиран е член 13, параграф 1 от Директива 95/46/ЕО.