PRIEDAS

SKUBAUS ĮSPĖJIMO IR REAGAVIMO SISTEMOS (EWRS) DUOMENŲ APSAUGOS GAIRĖS

1.   ĮŽANGA

EWRS – Europos Komisijos ir valstybių narių bendrai sukurta internetinė taikomoji programa, skirta struktūrizuoti ir nuolatos palaikyti valstybių narių, Komisijos ir kompetentingų visuomenės sveikatos priežiūros įstaigų, atsakingų už priemonių, reikalingų visuomenės sveikatai apsaugoti, nustatymą EEE valstybėse narėse, dialogą. Europos ligų prevencijos ir kontrolės centras (toliau – ECDC) – ES agentūra, nuo 2005 m. taip pat susijusi su EWRS (1).

Nacionalinių sveikatos institucijų bendradarbiavimas yra būtinas siekiant didinti valstybių narių pajėgumus išvengti galimo užkrečiamųjų ligų plitimo ES ir stiprinti jų parengtį koordinuotai ir laiku reaguoti į užkrečiamųjų ligų sukeltus įvykius, kurie gali tapti arba yra grėsmės visuomenės sveikatai.

Ankstesni SŪRS, pandeminio A(H1N1) gripo ir kitų užkrečiamųjų ligų protrūkiai aiškiai parodė, kad anksčiau nežinomos ligos gali sparčiai plisti, sukeldamos didelį mirtingumą ir sergamumą. Dėl greito keliavimo ir globalios prekybos užkrečiamosios ligos lengviau perduodamos ir plinta nepaisant sienų. Ankstyvas nustatymas, veiksmingas informavimas ir koordinavimas Europos ir tarptautiniu lygmeniu yra svarbūs tokiems nenumatytiems atvejams kontroliuoti ir išvengti žalingo poveikio.

EWRS sukurta kaip centralizuotas mechanizmas, kurį taikydamos valstybės narės gali siųsti pranešimus, dalytis informacija ir koordinuoti savo atsaką, laiku ir saugiai, kiek tai susiję su galimai grėsmes sveikatai ES keliančiais atvejais.

2.   GAIRIŲ TAIKYMO SRITIS IR TIKSLAI

EWRS valdymas ir taikymas gali apimti keitimąsi asmens duomenimis konkrečiais atvejais, kai taip nustatyta susijusiose teisinėse priemonėse (žr. 4 dalį dėl keitimosi asmens duomenimis EWRS teisinio pagrindo).

Kompetentingų sveikatos priežiūros institucijų valstybėse narėse keitimasis asmens duomenimis turi atitikti asmens duomenų saugojimo taisykles, išdėstytas nacionaliniuose teisės aktuose, kuriais perkeliama Direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo.

Tačiau, kadangi EWRS naudotojai nėra duomenų apsaugos ekspertai ir daugelis ne visuomet pakankamai išmano teisės aktais nustatytus duomenų apsaugos reikalavimus, patartina EWRS naudotojams pateikti gaires, kurioje naudotojams paprastai ir aiškiai išdėstomas EWRS veikimas duomenų apsaugos požiūriu. Gairėmis taip pat siekiama geriau informuoti apie gerąją patirtį ir skatinti ją taikyti; EWRS naudotojai ir valstybes narės laikosi nuoseklaus ir vienodo požiūrio į duomenų apsaugos taikymą.

Tačiau, reikia pastebėti, kad šios gairės nėra skirtos pateikti išsamią visų duomenų apsaugos klausimų, susijusių su EWRS, apžvalgą. Daugiau patarimų ir pagalbos gali suteikti duomenų apsaugos įstaigos (toliau – DAĮ) valstybėse narėse. Konkrečiai, EWRS naudotojai yra labai raginami teirautis atitinkamų DAĮ dėl geriausio būdo taikyti šias gaires nacionaliniu lygmeniu, kad būtų galima užtikrinti, jog visiškai laikomasi tos šalies duomenų apsaugos reikalavimų. DAĮ sąrašas ir kontaktinė informacija pateikti šiuo adresu:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm.

Galiausiai reikia pabrėžti, kad šios gairės nėra autentiškas ES duomenų apsaugos teisės aktų aiškinimas, nes Sąjungos institucinėje sistemoje ES teisės aiškinimas yra visiškai perduotas Teisingumo Teismui.

3.   TAIKOMA TEISĖ IR PRIEŽIŪRA

Taikomos teisės apibrėžimas priklauso nuo to, kas yra EWRS naudotojas. Konkrečiai, Europos Komisijos ir ECDC pagal sistemos valdymo ir taikymo pagrindą (kiek tai nurodyta kituose dalyse) atliekamas asmens duomenų tvarkymas reguliuojamas Reglamentu (EB) Nr. 45/2001.

Dėl EWRS nacionalinių kompetentingų institucijų atliekamo asmens duomenų tvarkymo, taikomas teisės aktas yra susijęs nacionalinis duomenų apsaugos teisės aktas, kuriuo perkeliama Direktyva 95/46/EB. Pažymėtina, kad ši direktyva palieka valstybėms narėms tam tikrą veiksmų laisvę perkelti jos nuostatas į nacionalinę teisę. Konkrečiai, ši direktyva leidžia valstybėms narėms nustatyti išimtis arba leidžiančias nukrypti nuostatas tam tikrais atvejais. Nacionaliniame duomenų apsaugos teisės akte, taikomame EWRS naudotojui, taip pat gali būti nustatyti griežtesni arba konkrečiai šaliai taikomi duomenų apsaugos reikalavimai, nenustatyti kitų valstybių narių teisės aktuose.

Atsižvelgiant į šias ypatybes, EWRS naudotojams patariama aptarti šias gaires su atitinkamomis DAĮ, kad būtų galima užtikrinti, jog laikomasi visų taikomų nacionalinių teisės aktų reikalavimų. Pavyzdžiui, informacijos, teiktinos duomenų subjektams duomenų rinkimo metu detalumas ir tam tikrų kategorijų asmens duomenų (pvz., susijusių su sveikata) tvarkymo taisyklės valstybėse narėse gali labai skirtis.

Vienas iš pagrindinių ES duomenų apsaugos teisinio pagrindo, kurį sudaro Reglamentas (EB) Nr. 45/2001 ir Direktyva 95/46/EB, aspektų yra tai, kad jo taikymą prižiūri viešos, nepriklausomos duomenų apsaugos institucijos. ES institucijų ir įstaigų atliekamą asmens duomenų tvarkymą prižiūri Europos duomenų apsaugos priežiūros pareigūnas (toliau – EDAPP) (2), o fizinių ir juridinių asmenų, nacionalinių viešųjų institucijų, agentūrų arba kitų valstybių narių įstaigų atliekamą tvarkymą prižiūri atitinkamos DAĮ. Priežiūros institucijoms visose valstybėse narėse suteikti įgaliojimai nagrinėti piliečių pateiktus skundus dėl jų teisių ir laisvių apsaugos, kiek tai susiję su asmens duomenų tvarkymu. Daugiau informacijos kaip tvarkyti duomenų subjektų prašymus arba skundus EWRS naudotojai gali rasti 9 dalyje dėl asmens duomenų prieigos ir kitų duomenų subjektų teisių.

4.   TEISINIS EWRS ASMENS DUOMENŲ MAINŲ PAGRINDAS

Sprendimu Nr. 2119/98/EB nustatytas ES lygmens tinklo (toliau – tinklas), kuriuo, padedant Komisijai, siekiama stiprinti valstybių narių bendradarbiavimą ir koordinavimą kad pagerinti užkrečiamųjų ligų ES prevenciją ir kontrolę (3), steigimas. Pagal šį pagrindą EWRS buvo įsteigta kaip vienas iš tinklo ramsčių; ši sistema skirta keistis informacija, konsultuotis ir koordinuoti veiksmus Europos lygmeniu užkrečiamųjų ligų, galinčių kelti pavojų visuomenės sveikatai ES, sukeltų įvykių atveju.

Reikėtų pastebėti, kad ne visa informacija, kuria keičiamasi EWRS yra asmeninio pobūdžio. Iš tiesų, bendru atveju šiame tinkle nėra keičiamasi fizinių asmenų, kurių tapatybė yra nustatyta arba gali būti nustatyta, su sveikata susijusiais arba kitais duomenimis.

Kas yra asmens duomenys?

Direktyvoje 95/46/EB ir Reglamente (EB) Nr. 45/2001 „asmens duomenys“ reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, visų pirma pagal asmens tapatybės numerį arba vieną ar kelis to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingus veiksnius (4).

Kompetentingos EEE valstybių narių sveikatos priežiūros institucijos, pasinaudodamos EWRS, daugiausia tinklui pateikia informaciją, susijusią su, inter alia, užkrečiamųjų ligų pasireiškimo arba pasikartojimo atvejais, taip pat informaciją apie taikytas kontrolės priemones, arba informaciją apie neįprastą epidemijos atvejį ar naują nežinomos kilmės užkrečiamąją ligą (5), dėl kurios valstybėms narėms gali prireikti imtis savalaikių ir koordinuotų veiksmų, kad apriboti plitimo ES riziką (6). Remdamosi tinkle turima informacija valstybės narės konsultuosis viena su kita pasitelkdamos Komisiją, siekdamos koordinuoti minėtų ligų prevencijos ir kontrolės pastangas, įskaitant kiek tai susiję su priemonėmis, kurias jos priėmė arba ketina priimti nacionaliniu lygmeniu (7).

Tačiau kai kuriais atvejais informacija, kuria keičiamasi per sistemą, iš tiesų yra susijusi su asmenimis ir gali būti laikoma asmens duomenimis.

Visų pirma, nedidelės apimties EWRS naudotojų, turinčių leidimus, asmens duomenų tvarkymas yra neatskiriama sistemos valdymo ir taikymo dalis. Iš tiesų, naudotojų kontaktinių duomenų (vardo ir pavardės, organizacijos, e. pašto adreso, telefono numerio ir t. t.) tvarkymas yra būtinas sistemai įdiegti ir ją taikyti. Šiuos asmens duomenis renka valstybės narės, vėliau jie tvarkomi Komisijos atsakomybe, išimtinai tik veiksmingo bendradarbiavimo valdant EWRS ir susijusį tinklą tikslais.

Svarbu pabrėžti, kad įvykio, susijusio su užkrečiamosiomis ligomis, galinčiomis daryti poveikį ES mastu, atveju susijusioms valstybėms narėms gali prireikti drauge priimti konkrečias kontrolės priemones, vadinamąsias „kontakto atsekimo“ priemones, kad būtų galima nustatyti užsikrėtusius asmenis ir asmenis, kuriems gresia pavojus, bei išvengti pavojingų užkrečiamųjų ligų plitimo. Toks bendradarbiavimas gali apimti valstybių narių, tiesiogiai susijusių su kontakto atsekimo priemonėmis (8), keitimąsi patvirtintai arba tariamai užsikrėtusių asmenų duomenimis, įskaitant neskelbtiną su sveikata susijusią informaciją, per EWRS.

Kas yra asmens duomenų tvarkymas?

Direktyvoje 95/46/EB ir Reglamente (EB) Nr. 45/2001 „asmens duomenų tvarkymas – bet kokia su asmens duomenimis automatizuotomis arba neautomatizuotomis priemonėmis atliekama operacija ar operacijos, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, laikymas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat palyginimas ar sujungimas, blokavimas, ištrynimas ar naikinimas“ (9).

Minėtais atvejais asmens duomenų tvarkymas per EWRS turi būti pagrįstas konkrečiu teisiniu pagrindu. Į tai atsižvelgiant, Direktyvos 95/46/EB 7 straipsnyje ir atitinkamose Reglamento (EB) Nr. 45/2001 5 straipsnio nuostatose išdėstyti teisėto duomenų tvarkymo kriterijai.

Kalbant apie EWRS naudotojų kontaktinius duomenis, šių duomenų tvarkymas yra pagrįstas:

—	Reglamento (EB) Nr. 45/2001 5 straipsnio b dalimi: „tvarkyti reikia vykdant teisinę prievolę, kuri privaloma duomenų valdytojui (10)“; tvarkymas yra būtinas, kad Komisija galėtų valdyti ir taikyti EWRS su ECDC pagalba,

—

ir Reglamento (EB) Nr. 45/2001 5 straipsnio d dalimi: „duomenų subjektas nedviprasmiškai duoda sutikimą“. Kontaktiniai naudotojų duomenys gaunami iš pačių duomenų subjektų, sudarius jiems sąlygas turint pakankamai informacijos pareikšti sutikimą dėl jų asmens duomenų tvarkymo EWRS (žr. 8 dalį dėl informacijos teikimo duomenų subjektams).

Direktyvos 95/46/EB 7 straipsnio c, d ir e dalyse išdėstyti kriterijai yra labiausiai susiję su keitimusi asmenų kontakto atsekimo duomenimis (pvz., užsikrėtusio asmens kontaktiniai duomenys, judėjimas ir kiti duomenys, susiję su asmens kelionės maršrutu ir apsistojimo vietomis, informacija apie aplankytus asmenis ir asmenis, galėjusius užsikrėsti) EWRS sistemoje (11):

—

Direktyvos 95/46/EB 7 straipsnio c dalis: „tvarkyti reikia vykdant teisinę prievolę, kuri privaloma duomenų valdytojui“. Nustatyti Skubaus įspėjimo ir reagavimo sistemą užkrečiamųjų ligų prevencijai ir kontrolei reikalaujama Sprendimu Nr. 2119/98/EB. Šiuo sprendimu valstybės narės privalo per EWRS pranešti apie tam tikrus įvykius, sukeltus užkrečiamųjų ligų, kurios yra arba gali tapti grėsmėmis visuomenės sveikatai (12). Prievolė pranešti taip pat apima kompetentingų susijusių valstybių narių institucijų priemones, taikomas tų ligų prevencijai ir plitimui sustabdyti, įskaitant kontakto atsekimo priemones, taikomas nustatyti užkrėstus asmenis arba asmenis, kuriems galimai kyla pavojus užsikrėsti (13),

—

Direktyvos 95/46/EB 7 straipsnio d punktas: „tvarkyti reikia siekiant apsaugoti gyvybinius duomenų subjekto interesus“. Iš esmės, susijusių valstybių narių keitimasis užsikrėtusių asmenų ir asmenų, kuriems gresia pavojus užsikrėsti, asmens duomenimis yra būtinas, kad suteikti jiems tinkamą priežiūrą arba gydymą, bei atsekti ir nustatyti izoliavimo ir karantino tikslais, siekiant apsaugoti susijusių asmenų ir, galiausiai, visų ES piliečių, sveikatą,

—

ir Direktyvos 95/46/EB 7 straipsnio e dalis: „tvarkyti reikia vykdant užduotį, atliekamą visuomenės labui, arba įgyvendinant oficialius įgaliojimus, suteiktus duomenų valdytojui arba trečiajai šaliai, kuriai atskleidžiami duomenys“. EWRS yra priemonė, sukurta padėti valstybėms narėms koordinuoti pavojingų užkrečiamųjų ligų prevencijos ir kontrolės ES pastangas. Todėl sistema sukurta atlikti valstybėms narėms priklausančią visuomenės sveikatos apsaugojimo užduotį.

Tomis pačiomis visuomenės intereso priežastimis galima pagrįsti valstybių narių atliekamą neskelbtinų su sveikata susijusių duomenų (pvz., informacijos apie grėsmę sveikatai keliantį įvykį, duomenų, susijusių su užsikrėtusių asmenų arba potencialiai galėjusių turėti sąlytį su užkratu asmenų sveikatos būkle) tvarkymą EWRS sistemoje. Nors pagal Direktyvos 95/46/EB 8 straipsnio 1 dalį su sveikata susijusių duomenų tvarkymas iš esmės draudžiamas, šios konkrečios kategorijos duomenų tvarkymui EWRS sistemoje taikoma tos direktyvos 8 straipsnio 3 dalyje numatyta išimtis, jei tokie duomenys tvarkomi „teikiant profilaktines medicinos, medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas ir kai tokius duomenis tvarko sveikatos apsaugos darbuotojas, kuriam pagal nacionalinius įstatymus arba nacionalinių kompetentingų institucijų nustatytas taisykles galioja profesinės paslapties saugojimo pareiga, arba kitas asmuo, kuriam irgi galioja lygiavertė paslapties saugojimo prievolė“.

Papildomos draudimo tvarkyti su asmens sveikata susijusius duomenis išimtys gali būti nustatomos, svarbiais visuomenės intereso tikslais ir atsižvelgiant į taikomos apsaugos priemones, nacionaliniais valstybių narių įstatymais arba valstybių narių nacionalinių DAĮ sprendimu (14).

5.   KAS YRA KAS EWRS? BENDRO VALDYMO KLAUSIMAS

EWRS sukurta kaip daugelio vartotojų sistema, atitinkamomis techninėmis priemonėmis, įskaitant skirtingus struktūrinius komunikacijos kanalus, jungianti paskirtus kontaktinius asmenis iš kompetentingų visuomenės sveikatos priežiūros institucijų EEE valstybėse narėse (toliau – nacionaliniai EWRS kontaktiniai centrai), Komisiją, ECDC ir taip pat (iš dalies) PSO.

Kiekvienas EWRS dalyvis yra atskiras sistemos naudotojas, nors prieiga prie informacijos, kuria keičiamasi sistemoje, atskirta sukuriant skirtingus naudotojo profilius ir atskirus komunikacijos kanalus, kurie yra tinkamos apsaugos priemonės atitikčiai taikomoms duomenų apsaugos taisyklėms užtikrinti.

Konkrečiai, sistemą sudaro du pagrindiniai komunikacijos kanalai. Pirmame kanale, vadinamajame bendrojo pranešimo kanale, kompetentingos sveikatos priežiūros institucijos tam tikroje valstybėje narėje gali pranešti visiems nacionaliniams kontaktiniams centrams, Komisijai, ECDC ir PSO informaciją, susijusią su užkrečiamųjų ligų, galinčių turėti poveikio ES, sukeltais įvykiais, kurie numatyti pagal Sprendime Nr. 2119/98/EB išdėstytas pranešimo prievoles (15).

Bendru atveju bendrojo pranešimo kanale fizinių asmenų, kurių tapatybė yra nustatyta arba gali būti nustatyta, su sveikata susiję arba kiti duomenys nepateikiami. Konkrečios apsaugos priemonės gali būti nustatytos sistemoje siekiant išvengti neteisėto duomenų tvarkymo šiame kanale (žr. 7 dalį).

Tačiau įvykio, susijusio su užkrečiamosiomis ligomis, galinčiomis daryti poveikį ES mastu, atveju susijusioms valstybėms narėms gali prireikti drauge įgyvendinti konkrečias kontakto nustatymo priemones, kad atsekti užsikrėtusius asmenis ir kitus turėjusius sąlytį su užkratu asmenis, siekiant išvengti tų pavojingų ligų plitimo.

Kad būtų galima užtikrinti atitiktį duomenų apsaugos taisyklėms, nustatytos atitinkamos apsaugos priemonės, keitimąsi kontakto atsekimo ir su asmenų sveikata susijusiais duomenimis leidžiant tik valstybėms narėms, tiesiogiai susijusioms su kontakto atsekimo procedūra, kitoms tinklo valstybėms narėms, Komisijai ir ECDC nesuteikiant prieigos prie šių duomenų (16).

Šiuo tikslu EWRS įdiegtas vadinamasis atskiras pranešimo kanalas, kad būtų galima užtikrinti išskirtinį valstybių narių, susijusių su minėta kontakto atsekimo priemone, komunikacijos kanalą.

Keisdamosi asmens duomenimis atskiro pranešimo kanalu kompetentingos institucijos atlieka duomenų valdytojo vaidmenį, kiek tai susiję su tokių asmens duomenų tvarkymu, ir todėl prisiima atsakomybę už tvarkymo veiklos teisėtumą ir užtikrina atitiktį Direktyvą 95/46/EB perkeliančiuose nacionaliniuose teisės aktuose išdėstytos duomenų apsaugos prievolėms.

Kas yra valdytojas?

Direktyvoje 95/46/EB „duomenų valdytojas reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“ (17).

Iš esmės, naudotojai Komisijoje ir ECDC neturi prieigos prie asmens duomenų, kuriais keičiamasi per atskirą pranešimo kanalą (18). Tačiau, dėl techninių priežasčių, už centrinį EWRS sistemos duomenų saugojimą visiškai atsakinga Komisija, kaip sistemos administratorė ir koordinatorė. Pagal šiuos įgaliojimus, Komisija taip pat atsakinga už EWRS naudotojų, turinčių leidimus, asmens duomenų, kurie svarbūs sistemos veikimui, registravimą, saugojimą ir tolesnį tvarkymą.

Todėl EWRS yra aiškus bendro valdymo pavyzdys – duomenų apsaugos užtikrinimo atsakomybę skirtinguose lygmenyse dalijasi Komisija ir valstybės narės. Be to, nuo 2005 m. Komisija ir valstybės narės, kaip bendrai veikiančios valdytojos, nusprendė kasdieninę EWRS taikomosios programos veiklos užtikrinimo užduotį deleguoti ECDC, kuri šią užduotį atlieka Komisijos vardu. Dėl šio delegavimo agentūra kaip tvarkytoja įgijo pareigą užtikrinti sistemoje atliekamos tvarkymo veiklos konfidencialumą ir saugumą pagal Reglamento (EB) Nr. 45/2001 21 ir 22 straipsnius.

Kas yra tvarkytojas ir kokios jo prievolės?

Reglamente (EB) Nr. 45/2001 „duomenų tvarkytojas — fizinis ar juridinis asmuo, valstybinės valdžios institucija, agentūra ar bet kuri kita institucija, kuri duomenų valdytojo vardu tvarko asmens duomenis“ (19).

Reglamente numatyta, kad tuo atveju, kai tvarkymo veikla atliekama jo vardu, valdytojas pasirenka tvarkytoją, teikiantį pakankamas garantijas, kiek tai susiję su techninėmis ir organizacinėmis priemonėmis, reikalingomis duomenų saugumo tikslais. Valdytojas yra visiškai atsakingas už atitiktį šioms priemonėms. Be to, Reglamento 21 ir 22 straipsniuose nurodytos prievolės, susijusios su tvarkymo konfidencialumu ir saugumu taip pat taikomos tvarkytojui. (20)

6.   TAIKOMI DUOMENŲ APSAUGOS PRINCIPAI

Asmens duomenų tvarkymas EWRS privalo atitikti duomenų apsaugos principų rinkinį, išdėstytą Reglamente (EB) Nr. 45/2001.

Atlikdamos valdytojų vaidmenį Komisija ir kompetentingos valstybių narių institucijos atsako už atitiktį šiems principams kiekvieną kartą atlikdamos asmens duomenų tvarkymą EWRS. Toliau pateikiami kai kurie pagrindiniai duomenų apsaugojimo principai. Tai nepažeidžia kitų taikomų duomenų apsaugos reikalavimų, išdėstytų susijusiose teisinėse priemonėse, kurių paaiškinimai pateikti skirtingose šių gairių dalyse. Konkrečiai, EWRS naudotojai turėtų atidžiai perskaityti 8 dalį dėl informacijos teikimo duomenų subjektams ir 9 dalį dėl duomenų subjektų prieigos ir kitų teisių.

6.1.   Su tvarkymo teisėtumu ir tikslo ribojimu susiję principai

Valdytojai turėtų užtikrinti, kad asmens duomenys būtų tvarkomi teisingai ir teisėtai. Pagal šį principą visų pirma asmens duomenų rinkimas ir bet koks tolesnis tvarkymas turėtų būti teisiškai pagrįstas teisės aktais (21). Antra, asmens duomenys gali būti renkami tik nurodytais, aiškiais ir teisėtais tikslais ir neturėtų būti toliau tvarkomi nesilaikant šių tikslų (22).

6.2.   Duomenų kokybės principai

Valdytojai turėtų užtikrinti, kad asmens duomenys yra tinkami, susiję ir neviršija tikslų, kuriais jie yra renkami. Be to, duomenys turėtų būti tikslūs ir savalaikiai (23).

6.3.   Duomenų laikymo principai

Valdytojai turėtų užtikrinti, kad asmens duomenys būtų laikomi tokia forma, kad būtų galima nustatyti duomenų subjektus, ne ilgiau nei tai būtina tais tikslais, kuriais renkami duomenys arba kuriais duomenys yra toliau tvarkomi (24).

6.4.   Konfidencialumo ir duomenų saugumo principai

Valdytojai turėtų užtikrinti, kad bet kuris asmuo, turintis prieigą prie asmens duomenų, veikiantis pagal savo arba duomenų tvarkytojo įgaliojimus, įskaitant patį duomenų tvarkytoją, netvarkytų šių duomenų, išskyrus tuomet, kai jis gauna valdytojo nurodymus (25). Be to, valdytojai turi taikyti tinkamas technines ir organizacines priemones, kad apsaugotų asmens duomenis nuo atsitiktinio, neleistino arba neteisėto sunaikinimo arba praradimo, keitimo, atskleidimo arba prieigos bei nuo visų kitų neteisėtų formų tvarkymo (26).

Kad minėti principai būtų teisingai ir veiksmingai taikomi sistemoje, EWRS naudotojams ypač rekomenduojama:

Kad būtų galima įsitikinti, jog tvarkymo veikla yra teisiškai pagrįsta, kad duomenys surinkti teisėtais ir aiškiais tikslais ir kad jie nėra toliau tvarkomi taip, kad tai neatitinka tų tikslų, kiekvieną kartą surinkdami arba kitaip tvarkydami asmens duomenis per EWRS, EWRS naudotojai turėtų:

—

kiekvienu konkrečiu atveju įvertinti, ar koordinuotų kontakto atsekimo priemonių taikymas ir tolesnis EWRS atskiro kanalo naudojimas keistis susijusiais kontakto atsekimo arba kitais asmens duomenimis yra pagrįstas atsižvelgiant į ligos pobūdį ir moksliškai įrodytą kontakto atsekimo naudą ligos prevencijai arba tolesnio plitimo stabdymui, atsižvelgiant į rizikos vertinimą, pateiktą valstybių narių sveikatos priežiūros institucijų ir esamų mokslinių agentūrų, t. y. ECDC ir PSO,

—

nenaudoti bendrojo pranešimo kanalo keistis kontakto atsekimo ir kitais asmens duomenimis. Ypač turėtų būti užtikrinta, kad tokie duomenys nebūtų įtraukiami į bendruosius jų skelbiamus pranešimus, pateikiami pranešimų prieduose ar bet kokia kita forma. Bendrojo pranešimo kanalo naudojimas kontakto atsekimo tikslais būtų neteisėtas ir neproporcingas, nes tokiu būdu su atitinkama kontakto atsekimo procedūra nesusijusiems gavėjams (įskaitant Komisiją ir ECDC), kuriems nereikia prieigos prie šių duomenų, būtų atskleisti asmens duomenys,

—	naudojant atskyrimo funkciją, taikyti ribotos prieigos principą ir pasirinkti atskirų pranešimų, kuriuose įtraukti asmens duomenys, gavėjais tik valstybių narių kompetentingas institucijas, kurios turi bendradarbiauti vykdydamos kontakto atsekimo procedūrą.

EWRS naudotojai turėtų būti ypatingai budrūs keisdamiesi atskirame pranešimo kanale neskelbtinais duomenimis, susijusiais su asmenų, kurių tapatybė nustatyta arba gali būti nustatyta, sveikatos būkle, pvz., užsikrėtusių arba galimai užsikrėtusių asmenų, kurių kontaktiniai duomenys arba kiti asmens duomenys yra atitinkamai atskleidžiami per EWRS sudarant sąlygas tiesiogiai arba netiesiogiai nustatyti susijusį asmenį. Šiuo atveju, taikomos visos minėtos rekomendacijos; be to, EWRS naudotojai turėtų atminti, kad keitimasis neskelbtinais duomenimis pagal Direktyvą 95/46/EB leidžiamas tik labai ribotomis aplinkybėmis. Konkrečiai (27):

—

asmuo, kuriuo duomenys renkami, davė aiškų sutikimą tvarkyti tokius duomenis (Direktyvos 95/46/EB 8 straipsnio 2 dalies a punktas). Tačiau prireikus laiku įsikišti sanitarinės ekstremalios situacijos atveju duomenų subjektams pateikti visą informaciją, kad jie būtų informuoti ir galėtų duoti sutikimą, gali būti neįmanoma (žr. 8 dalį dėl informacijos teikimo duomenų subjektams). Be to, galimybė, kad duomenys gali būti vėliau atskleisti per EWRS, ne visuomet yra žinoma duomenų rinkimo metu,

—

negavus duomenų subjekto sutikimo, su sveikata susiję duomenys gali būti tvarkomi teisėtai, jei tai būtina „teikiant profilaktines medicinos, medicininės diagnostikos, medicinos priežiūros, gydymo, sveikatos apsaugos paslaugas“ ir kai tokius duomenis tvarko sveikatos priežiūros specialistas, kuriam galioja profesinės paslapties saugojimo pareiga, arba kitas asmuo, kuriam irgi galioja lygiavertė paslapties saugojimo prievolė (Direktyvos 95/46/EB 8 straipsnio 3 dalis). Kitaip tariant, kas kartą kai jie siunčia atskirą pranešimą, kuriame yra neskelbtinų su sveikata susijusių duomenų, gavėjams kitoje valstybėje narėje, EWRS naudotojai turėtų įvertinti, ar tokių duomenų atskleidimas yra absoliučiai būtinas susijusių valstybių narių kompetentingoms institucijoms taikyti konkrečias priemones, kurios būtinos minėtais tikslais. EWRS naudotojams taip pat primenama, kad papildomos su sveikata susijusių duomenų tvarkymo priemonės gali būti numatytos atitinkamais nacionaliniais teisės aktais, kuriais perkeliama Direktyva 95/46/EB, arba jų nacionalinės DAĮ sprendimu (28).

Kad būtų užtikrinta asmens duomenų, kuriais jie keičiasi sistemoje, kokybė, ypač prieš skelbdami atskirą pranešimą, EWRS naudotojai turi įvertinti, ar:

—

asmens duomenys, kuriais jie nori keistis, yra būtini kontakto atsekimo procedūrai veiksmingai atlikti. Kitaip tariant, pranešimą skelbianti kompetentinga institucija turėtų kitos (-ų) susijusios (-ių) valstybės (-ių) narės (-ių) institucijai (-oms) teikti tik tuos asmens duomenis, kurie būtini užsikrėtusiems arba galimai užsikrėtusiems asmenims nustatyti. Orientacinis asmens duomenų, kuriais galima keistis kontakto atsekimo tikslais, sąrašas, pridėtas prie Sprendimo 2009/547/EB, neturėtų būti laikomas visišku ir besąlygišku leidimu tvarkyti šių kategorijų duomenis. Tuo pačiu metu būtina ypač atsargiai tvarkyti asmens duomenis, kurie nėra išvardyti tame priede, nes tokių duomenų atskleidimas veikiausiai būtų perdėtas ir nepagrįstas. Vietoje to reikėtų vertinti pavienius atvejus, ar tam tikrų asmens duomenų įtraukimas yra absoliučiai būtinas konkrečios kontakto atsekimo procedūros tikslais.

Tolesnis asmens duomenų tvarkymas ir saugojimas ne EWRS:

Ypač svarbu pažymėti, kad nacionaliniai duomenų apsaugos teisės aktai, kuriais perkeliama Direktyva 95/46/EB, taip pat taikomi per sistemą gautų asmens duomenų saugojimui ir tolesniam tvarkymui ne EWRS sistemoje. Taip gali nutikti, pavyzdžiui, jei centralizuotai saugomi duomenys toliau saugomi naudotojų vietiniuose kompiuteriuose arba nacionaliniu lygmeniu įsteigtose duomenų bazėse; arba jei šiuos duomenis kompetentingos institucijos, atsakingos už jų tvarkymą EWRS sistemoje, perduoda kitoms institucijoms arba trečiosioms šalims. Tokiais atvejais EWRS naudotojams primenama:

—	duomenų saugojimas ir tolesnis tvarkymas ne EWRS negali neatitikti pradinio tikslo, kuriuo duomenys buvo renkami ir jais keičiamasi EWRS,

—	toks tolesnis tvarkymas turi būti teisiškai pagrįstas atitinkamais nacionaliniais duomenų apsaugos teisės aktais; tai turi būti reikalinga, tinkama, susiję ir neviršyti to, kas numatyta pradiniam duomenų rinkimo EWRS tikslui,

—	duomenys turi būti aktualūs ir ištrinami, kai jie nebėra reikalingi tikslui, kuriuo jie buvo toliau tvarkomi,

—

kai duomenys yra gaunami iš EWRS ir atskleidžiami trečiosioms šalims, valdytojas privalo pranešti duomenų subjektams apie šią aplinkybę, kad užtikrinti sąžiningą tvarkymą, nebent tai būtų neįmanoma arba reikalautų neproporcingų pastangų, arba jei atskleidimas yra konkrečiai nurodytas teisės akte (žr. Direktyvos 95/46/EB 11 straipsnio 2 dalį). Atsižvelgiant į tai, kad atskleisti duomenis gali būti reikalaujama tik pagal vienos susijusios valstybės narės teisės aktus ir todėl apie tai gali būti nežinoma svetur, reikėtų stengtis pateikti informaciją net ir tais atvejais, kai atskleidimas konkrečiai nurodytas teisės akte.

7.   DUOMENŲ APSAUGAI PALANKI APLINKA

Siekiant sustiprinti atitiktį 6 dalyje išdėstytiems duomenų apsaugos principams ir sudaryti sąlygas EWRS naudotojams kas kartą naudojantis sistema įvertinti duomenų apsaugos aspektus, EWRS įdiegtos kelios savybės. Pavyzdžiui:

—

EWRS pranešimų peržiūros puslapyje aiškiai pateikiamas įspėjimas, kuriuo naudotojams pranešama, kad bendrojo pranešimo kanalas nėra skirtas kontakto atsekimo ir kitiems asmens duomenims, nes naudojantis šiuo kanalu tokie duomenys gali būti be priežasties atskleisti gavėjams, kurie nėra numatytieji gavėjai,

—	prieiga prie informacijos, kuria keičiamasi sistemoje, buvo pakeista sukuriant skirtingus naudotojų profilius ir atskirus komunikacijos kanalus. Tai yra tinkamos apsaugos priemonės, skirtos užtikrinti atitiktį duomenų apsaugos taisyklėms;

—

konkrečiai, atskiro pranešimo kanalas EWRS yra išskirtinis komunikacijos kanalas, skirtas tik susijusioms valstybėms narėms keistis asmens duomenimis. Sistemoje nustatyta numatytoji galimybė, kuria Komisija ir ECDC automatiškai neįtraukiamos į atskirų pranešimų, kuriuose yra asmens duomenų, galimų gavėjų sąrašą (29),

—	sistema automatiškai pašalina visus atskiruosius pranešimus, kuriuose yra asmens duomenų, praėjus dvylikai mėnesių po pranešimų paskelbimo datos (daugiau informacijos pateikta 11 dalyje dėl duomenų išsaugojimo),

—

sistemoje įdiegta galimybė naudotojams tiesiogiai ištaisyti arba ištrinti, bet kuriuo metu, tuos atskiruosius pranešimus, kuriuose pateikiami netikslūs, nenauji, nebereikalingi arba kitaip duomenų apsaugos neatitinkantys asmens duomenys. sistema automatiškai praneš kitam (-iems) EWRS naudotojui (-ams), susijusiam (-iems) su tuo konkrečiu keitimusi atskira informacija, kad pranešimas buvo ištrintas arba pakeistas jo turinys, kad būtų galima užtikrinti atitiktį duomenų apsaugos taisyklėms,

—	atskirojo pranešimo kanale įdiegtas specialus mechanizmas, sudarantis galimybę su konkrečiu keitimusi informacija susijusioms nacionalinėms institucijoms bendrauti ir bendradarbiauti prieigos, taisymo, blokavimo arba duomenų subjektų prašymų pašalinimo klausimais.

Be to, vidutinės trukmės laikotarpiu numatyta, kad EWRS programoje bus integruotas mokymo modulis, kad EWRS naudotojai gautų išsamios informacijos apie sistemos veikimą duomenų apsaugos požiūriu. Įvairių savybių ir funkcijų, skirtų padidinti atitiktį duomenų apsaugos taisyklėms, naudojimas bus parodytas praktiniais pavyzdžiais.

Komisija ketina bendradarbiauti su valstybėmis narėmis, kad užtikrintų, jog „privatumo užtikrinimo projektuojant“ principas būtų taikomas iš pat pradžių atliekant šiuos ir būsimus EWRS pakeitimus (30), ir kad priimant sprendimus dėl informacijos, kuria galima keistis EWRS, ir su kuo bei kokiomis sąlygomis, būtų atsižvelgiama į reikalingumo, proporcingumo, riboto tikslingumo ir duomenų minimizavimo principus.

8.   INFORMACIJOS TEIKIMAS DUOMENŲ SUBJEKTAMS

Pagal ES duomenų apsaugos teisinį pagrindą vienas iš pagrindinių reikalavimų yra duomenų valdytojo prievolė pateikti aiškią informaciją duomenų subjektams apie tvarkymo veiksmus, kuriuos jis ketina atlikti su jų duomenimis.

Atsižvelgdama į savo koordinatorės vaidmenį EWRS ir siekdama įvykdyti minėtas prievoles (31), Komisija savo svetainėje, skirtoje EWRS, paskelbė aiškų ir išsamų pranešimą apie privatumą, kiek tai susiję su tvarkymo veiksmais, atliekamais pačios Komisijos atsakomybe ir su kompetentingų institucijų atliekamais veiksmais, ypač susijusiais su kontakto atsekimo veikla.

Tačiau atsakomybė, susijusi su informacijos teikimu duomenų subjektams, taip pat tenka ir valstybių narių nacionalinėms kompetentingoms institucijoms, atliekančioms valdytojų vaidmenį, už atitinkamą tvarkymo veiklą EWRS.

Kokią informaciją nacionalinės EWRS kompetentingos institucijos privalo teikti duomenų subjektams?

Jei duomenys renkami tiesiogiai iš duomenų subjekto, pagal Direktyvos 95/46/EB 10 straipsnį nurodyta, kad valdytojas arba jo atstovas privalo pateikti, rinkimo metu, duomenų subjektui, iš kuro renkami duomenys, bent jau tokią informaciją, išskyrus atvejus, kai duomenų subjektui ši informacija jau pateikta:

a)	valdytojo ir jo atstovo, jei toks yra, tapatybę;

b)	tvarkymo tikslus, kuriems renkami duomenys;

c)	bet kokia išsamesnę informaciją, kaip antai: — duomenų gavėjus arba gavėjų kategorijas, — nurodyti, ar atsakymai į klausimus yra privalomi, ar pasirinktini, taip pat galimas neatsakymo pasekmes, — informaciją apie galiojančią prieigos teisę ir teisę taisyti su juo ar ja susijusius duomenis,

tiek, kiek tokia informacija yra reikalinga, atsižvelgiant į konkrečias aplinkybes, kuriomis renkami duomenys, kad garantuoti sąžiningą tvarkymą duomenų subjekto atžvilgiu.

Direktyvos 95/46/EB 11 straipsnyje nurodyta būtina informacija, kurią reikia pateikti duomenų valdytojui tais atvejais, kai duomenys gauti ne iš duomenų subjekto. Ši informacija privalo būti pateikiama asmens duomenų įrašymo metu arba, jei numatytas atskleidimas trečiosioms šalims, ne vėliau kaip pirmo atskleidimo metu (32).

Tai susiję su minėtomis nuostatomis, kad renkant asmens duomenis iš asmenų (arba ne vėliau kaip pirmą kartą juos atskleidžiant per EWRS), siekiant priimti priemones, reikalingas visuomenės sveikatai apsaugoti, kiek tai susiję su praneštinais įvykiais pagal Sprendimą Nr. 2119/98/EB ir jo įgyvendinimo taisyklėmis, nacionalinės kompetentingos institucijos duomenų subjektams privalo pateikti teisinį pranešimą, kuriame pateikiama Direktyvos 95/46/EB 10 ir 11 straipsniuose nurodyta informacija. Pranešime turėtų būti pateikta trumpa nuoroda į EWRS ir nuoroda į susijusius dokumentus ir pranešimus dėl privatumo kompetentingų institucijų nacionalinėse svetainėse, taip pat nuoroda į Komisijos svetainę, skirtą EWRS.

Teisiniame pranešime pateikiamos informacijos išsamumas valstybėse narėse gali labai skirtis. Kai kuriuose nacionaliniuose teisės aktuose numatytos plataus masto duomenų valdytojų prievolės, apimančios tolesnės informacijos teikimą, kaip antai informacija apie duomenų subjektų teisę taisyti, dėl duomenų laikymo ir saugojimo laikotarpio, dėl duomenų apsaugos priemonių ir t. t.

Suprantama, kad sanitarinių ekstremalių situacijų atveju dėl būtinybės laiku reaguoti gali būti neįmanoma, tuo atveju jei duomenys buvo gauti ne iš duomenų subjekto, duomenų subjektams pranešti apie asmens duomenų tvarkymo tikslus. Į tai atsižvelgiant, Direktyvos 95/46/EB 11 straipsnio 2 dalyje nurodyta, kad duomenų subjektų teisė gauti informacijos gali būti ribojama tais atvejais, „kai tokią informaciją pateikti būtų neįmanoma arba pernelyg sunku, arba jeigu įstatymai aiškiai reikalauja duomenis įrašyti ar atskleisti. Tokiais atvejais valstybės narės užtikrina tinkamas apsaugos priemones“.

Bendrai kalbant, reikėtų pastebėti, kad konkretūs duomenų subjektų teisės gauti informacijos ribojimai gali būti taikomi pagal taikomus nacionalinius duomenų apsaugos teisės aktus, kuriais perkeliama Direktyva 95/46/EB (33). Visi konkrečių šalių ribojimai turėtų būti aiškiai nurodyti duomenų subjektams pateikiamuose pranešimuose dėl privatumo arba kompetentingų institucijų nacionalinėse svetainėse pateikiamuose pranešimuose dėl privatumo.

Valstybių narių nacionalinės kompetentingos institucijos nusprendžia, kokia forma ir kaip pateikti tokią informaciją duomenų subjektams. Kadangi dauguma kompetentingų institucijų atliks kitus, ne informacijos keitimosi EWRS, tvarkymo veiksmus tai, kokiu būdu jos praneša asmenims, jei tinkama, gali atitikti panašios informacijos teikimą kitų tvarkymo veiksmų atveju pagal nacionalinius teisės aktus. Be to, rekomenduojama, kad kompetentingos institucijos atnaujintų arba papildytų pareiškimus dėl duomenų konfidencialumo arba pranešimus – jei tokie jau pateikti jų nacionalinėse svetainėse – konkrečia nuoroda apie keitimąsi asmens duomenimis EWRS.

Dėl minėtų priežasčių ypač svarbu, kad valstybių narių kompetentingos institucijos konsultuotų atitinkamas nacionalines DAĮ dėl standartinių teisinių pranešimų ir pranešimų dėl privatumo kūrimo pagal Direktyvos 95/46/EB 10 ir 11 straipsnius.

9.   PRIEIGA PRIE ASMENS DUOMENŲ IR KITOS DUOMENŲ SUBJEKTŲ TEISĖS

8 dalyje išnagrinėti duomenų apsaugos reikalavimai dėl informacijos teikimo duomenų subjektams yra skirti užtikrinti asmens duomenų tvarkymo veiklos skaidrumą. Skaidrumas yra ir pagrindinis nuostatų dėl duomenų subjektų prieigos teisių, išdėstytų ES duomenų apsaugos teisinėse priemonėse, tikslas (34).

Kas yra duomenų subjekto teisė gauti informaciją?

Duomenų valdytojai privalo kiekvienam duomenų subjektui užtikrinti teisę gauti, be nereikalingo delsimo arba išlaidų, patvirtinimą, ar su juo (ja) susiję asmens duomenys yra tvarkomi, taip pat informaciją apie tokio tvarkymo tikslus ir apie gavėjus, kuriems duomenys gali būti atskleisti.

Duomenų valdytojai taip pat privalo užtikrinti duomenų subjektų teisę ištaisyti, ištrinti arba blokuoti duomenis, kurie tvarkomi nesilaikant taikomų duomenų apsaugos teisės aktų nuostatų, pavyzdžiui, kai duomenys yra neišsamūs ar netikslūs.

Galiausiai, duomenų valdytojai privalo pranešti trečiosioms šalims, kurioms duomenys buvo atskleisti, apie visus atvejus kai teisėtu duomenų subjekto prašymu duomenys buvo ištaisyti, ištrinti ar blokuoti, nebent tai padaryti būtų neįmanoma arba pernelyg sunku.

Komisija ir valstybės narės, veikdamos kaip valdytojos, bendrai atsako už EWRS tvarkomų asmens duomenų prieigos teisės, taisymo, blokavimo arba ištrynimo taikymą toliau nurodytomis sąlygomis.

Komisija atsakinga už nacionalinių EWRS kontaktinių centrų asmens duomenų prieigos suteikimą ir už susijusių prašymų taisyti, blokuoti ir ištrinti tvarkymą. Nacionaliniai kontaktiniai centrai raginami susipažinti su konkrečiomis sąlygomis Komisijos svetainėje, skirtoje EWRS (35), pateiktame išsamiame pranešime dėl privatumo ir gauti daugiau informacijos kaip įgyvendinti duomenų subjektų teises.

EWRS naudotojams taip pat pranešama apie sistemoje įdiegtą galimybę tiesiogiai keisti jų asmens duomenis. Tačiau duomenų laukeliai, pagal kuriuos nustatoma EWRS paskyra (paskirtas naudotojo e. pašto adresas, paskyros tipas, t. t.) negali būti keičiami pačių naudotojų, kad leidimo neturintys naudotojai negalėtų prisijungti prie sistemos. Todėl bet koks prašymas pakeisti šiuos duomenų laukelius turėtų būti pateikiamas duomenų valdytojui Komisijoje, kaip nurodyta Komisijos svetainėje, skirtoje EWRS, pateiktame išsamiame pranešime dėl privatumo.

Atsakomybė už duomenų subjektų prašymus, susijusius su kontakto atsekimu, su sveikata susijusiais duomenimis ir kitais asmens duomenimis, kuriais valstybės narės keičiasi per EWRS, nagrinėjimu tenka atitinkamoms kompetentingoms institucijoms, susijusioms su konkrečiu keitimosi atrinkta informacija atveju. Ši atsakomybė reglamentuojama atitinkamos nacionalinių teisės aktų, kuriais perkeliama Direktyva 95/46/EB, nuostatos.

Tačiau reikėtų pastebėti, kad konkretūs duomenų subjektų duomenų prieigos, taisymo, ištrynimo arba blokavimo ribojimai gali būti taikomi pagal taikomus nacionalinius duomenų apsaugos teisės aktus, kuriais perkeliama Direktyva 95/46/EB (36). Visi tokie ribojimai turėtų būti aiškiai nurodyti duomenų subjektams pateikiamuose pranešimuose dėl privatumo arba kompetentingų institucijų nacionalinėse svetainėse pateikiamuose pranešimuose dėl privatumo. Todėl EWRS kontaktiniams centrams patariama susisiekti su nacionalinėmis DAĮ dėl išsamesnės informacijos šiuo klausimu.

Dėl EWRS sudėtingumo (daug naudotojų, susijusių su bendra tvarkymo veikla) reikia aiškaus ir paprasto požiūrio į duomenų subjektų prieigos teisę, nes duomenų subjektai nežino, kaip veikia sistema, ir jiems turėtų būti sudarytos sąlygos veiksmingai pasinaudoti savo teisėmis.

Rekomenduojamas požiūris – jei duomenų subjektas mano, kad jo asmens duomenys tvarkomi EWRS ir jis pageidauja turėti prieigą prie jų arba juos ištrinti ar taisyti, duomenų subjektui turėtų būti sudaryta galimybė kreiptis į bet kurią iš nacionalinių kompetentingų institucijų, su kuria jis bendravo arba kuri surinko jo duomenis, susijusius su konkrečiu grėsmę visuomenės sveikatai keliančiu įvykiu (pvz., tos šalies, kurios pilietis yra duomenų subjektas, instituciją ir tos šalies, kurioje įvykio metu asmuo buvo apsistojęs, instituciją) ir bet kurią instituciją, susijusią su tuo keitimusi informacija taikant kontakto atsekimo priemones.

Nė viena kompetentinga institucija susijusi su konkrečiu keitimusi informacija neturėtų atsisakyti suteikti prieigos teisę, ištaisyti ar ištrinti duomenis dėl to, kad neįrašė duomenų į EWRS, ar dėl to, kad duomenų subjektas turėtų susisiekti su kita kompetentinga institucija. Ypač, jei duomenų subjekto prašymą gauna kompetentinga institucija, išskyrus paskelbusią pradinę informaciją atskirame keitimosi kanale, jį gaunanti institucija turėtų perduoti prašymą, taikydama 7 dalyje nurodytą konkretų mechanizmą, kompetentingai institucijai, paskelbusiai pradinį pranešimą, kuri nuspręs dėl prašymo.

Jei taikoma, informaciją sistemoje paskelbusi kompetentinga institucija prieš priimdama sprendimą gali susisiekti su kitomis institucijomis, susijusiomis su keitimusi informacija arba kitaip susijusiomis su duomenų subjekto prašymu, taikydama 7 dalyje nurodytą konkretų mechanizmą.

Duomenų subjektams taip pat turėtų būti pranešta, kad jei jie nepatenkinti gautu atsakymu, jie gali kreiptis į kitą kompetentingą instituciją, susijusią su keitimusi informacija. Bet kuriuo atveju, duomenų subjektai turi teisę pateikti iš šių institucijų pasirinktai labiausiai jiems (joms) tinkamai nacionalinei duomenų apsaugos institucijai skundą. Jei būtina ir tinkama, nagrinėdamos skundą nacionalinės DAĮ turėtų bendradarbiauti tarpusavyje (Direktyvos 95/46/EB 28 straipsnis).

Galiausiai, atsižvelgdama į EDAPP nuomonėje pateiktą konkrečią rekomendaciją, Komisija EWRS įdiegė naują galimybę internete pataisyti arba ištrinti, atitikties duomenų apsaugai tikslu, atskirus pranešimus, kuriuose pateikiami netikslūs, nenauji, nebereikalingi arba kitaip duomenų apsaugos reikalavimų neatitinkantys asmens duomenys.

10.   DUOMENŲ SAUGUMAS

Prieiga prie sistemos suteikiama tik Komisijos ir ECDC bei oficialiai paskirtų nacionalinių EWRS kontaktinių centrų naudotojams, turintiems leidimus. Prieiga apsaugota taikant saugią ir asmeninę paskyrą ir slaptažodį.

Asmens duomenų tvarkymo EWRS procedūros išdėstytos pateikiant nuorodą į Reglamento (EB) Nr. 45/2001 21 ir 22 straipsniuose nurodytus reikalavimus.

11.   DUOMENŲ SAUGOJIMAS

Pagal Reglamento (EB) 45/2001 4 straipsnio 1 dalies e punkte ir Direktyvos 95/46/EB 6 straipsnio 1 dalies e punkte išdėstytus reikalavimus, sistema automatiškai pašalins visus atskirus pranešimus, kuriuose yra asmens duomenų, praėjus dvylikai mėnesių po pranešimų paskelbimo datos.

Ši apsaugos priemonė, įdiegta sistemoje, netrukdo EWRS naudotojams, kurie vieninteliai ir asmeniškai yra atsakingi už savo tvarkymo veiksmus atskiro pranešimo kanale, imtis veiksmų pašalinti iš sistemos tokius asmens duomenis, kurie nebereikalingi dar nesibaigus nustatytam vienerių metų laikotarpiui.

Šiuo tikslu Komisija EWRS nustatė galimybę naudotojams tiesiogiai ištrinti, bet kuriuo metu, tuos nebereikalingus atskirus pranešimus, kuriuose yra asmens duomenų.

Galiausiai, turėtų būti primenama, kad nacionalinės kompetentingos institucijos atsakingos už atitiktį jų pačių duomenų apsaugos taisyklėms dėl asmens duomenų saugojimo, nurodyto atitinkamuose teisės aktuose, kuriais perkeliama Direktyva 95/46/EB. Automatinis asmens informacijos, laikomos sistemoje, ištrynimas po vienerių metų netrukdo EWRS naudotojams laikyti tą pačią informaciją ne EWRS skirtingu (t. y. ilgesniu) laikotarpiu, jei tai daroma laikantis prievolių, taikomų pagal atitinkamus jų nacionalinius duomenų apsaugos teisės aktus, ir jei nacionaliniuose teisės aktuose nurodyti laikotarpiai atitinka Direktyvos 95/46/EB 6 straipsnio 1 dalies e punkte išdėstytus reikalavimus.

12.   BENDRADARBIAVIMAS SU NACIONALINĖMIS DUOMENŲ APSAUGOS INSTITUCIJOMIS

Kompetentingos institucijos raginamos konsultuotis su atitinkamomis nacionalinėmis DAĮ, ypač susidūrusios su šiose gairėse nenurodytais duomenų apsaugos klausimais.

Kompetentingos institucijos taip pat privalo žinoti, kad pagal nacionalinius teisės aktus, kuriais perkeliama Direktyva 95/46/EB, gali prireikti pranešti atitinkamoms DAĮ apie jų duomenų tvarkymo veiklą EWRS. Kai kuriose valstybėse narėse gali reikėti išankstinio nacionalinės DAĮ leidimo.

---

(1)  ECDC taip pat remia Komisiją ir padeda jai taikyti EWRS. Ši užduotis skirta ECDC 2004 m. balandžio 21 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 851/2004, įsteigiančiu Europos ligų prevencijos ir kontrolės centrą, ypač jo 8 straipsniu (OL L 142, 2004 4 30, p. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS.

(3)  Užkrečiamųjų ligų, kurioms taikomas tinklas, kategorijos yra tik išvardytosios Sprendimo Nr. 2119/98/EB priede.

(4)  Direktyvos 95/46/EB 2 straipsnio a dalis ir Reglamento (EB) Nr. 45/2001 2 straipsnio a dalis.

(5)  Sprendimo Nr. 2119/98/EB 4 straipsnis.

(6)  Sprendimo 2000/57/EB I priedas dėl įvykių, apie kuriuos turi būti pranešama pasitelkiant EWRS.

(7)  Sprendimo Nr. 2119/98/EB 6 straipsnis.

(8)  Paaiškinimas dėl teisinio asmens duomenų tvarkymo per EWRS įtraukiant „kontakto atsekimo“ duomenis tikslo pagrįstas Sprendimu 2009/547/EB padarytais Komisijos sprendimo 2000/57/EB pakeitimais.

(9)  Direktyvos 95/46/EB 2 straipsnio b punktas ir Reglamento (EB) Nr. 45/2001 2 straipsnio b punktas.

(10)  Duomenų valdytojo apibrėžtį žr. 5 dalyje.

(11)  Orientacinis asmens duomenų, kuriais gali būti keičiamasi kontakto atsekimo tikslais, sąrašas pridėtas prie Sprendimo 2009/547/EB.

(12)  Sprendimo 2000/57/EB 1 straipsnis ir I priedas dėl įvykių, apie kuriuos turi būti pranešama pasitelkiant EWRS.

(13)  Sprendimo 2000/57/EB 2a straipsnis, nustatytas Sprendimu 2009/547/EB.

(14)  Kaip nustatyta Direktyvos 95/46/EEB 8 straipsnio 4 dalyje.

(15)  Palyginkite ypač jo 4, 5 ir 6 straipsnius.

(16)  Sprendimo 2000/57/EB 2a straipsnis, nustatytas Sprendimu 2009/547/EB.

(17)  Direktyvos 95/46/EB 2 straipsnio d punkte pateikta apibrėžtis.

(18)  Esant išskirtinėms aplinkybėms Komisija gali būti įtraukiama į keitimąsi asmens duomenimis per EWRS atskirą kanalą, jei tai yra visiškai būtina koordinuoti arba sudaryti sąlygas laiku ir veiksmingai įgyvendinti visuomenės sveikatos apsaugos priemones, reikalingas pagal Sprendimą Nr. 2119/98/EB ir jo įgyvendinimo taisykles. Tokiais atvejais Komisija užtikrins, kad tvarkymas būtų teisėtas ir atliekamas laikantis Reglamento (EB) Nr. 45/2001 nuostatų.

(19)  Reglamento (EB) Nr. 45/2001 2 straipsnio e punkte nustatyta apibrėžtis.

(20)  Šie principai nustatyti Reglamento (EB) Nr. 45/2001 23 straipsnio 1 dalyje dėl asmens duomenų tvarkymo duomenų valdytojų vardu.

(21)  Tvarkymo teisėtumo principas grindžiamas kartu taikomomis Direktyvos 95/46/EB 6 straipsnio 1 dalies a punkto, 7 straipsnio ir 8 straipsnio nuostatomis. Palyginkite taip pat atitinkamas Reglamento (EB) Nr. 45/2001 nuostatas.

(22)  Tikslo ribojimo principas nustatytas Direktyvos 95/46/EB 6 straipsnio 1 dalies b punkte ir atitinkamoje Reglamento (EB) Nr. 45/2001 4 straipsnio 1 dalies b punkto nuostatoje.

(23)  Direktyvos 95/46/EB 6 straipsnio 1 dalies c ir d punktai ir Reglamento (EB) Nr. 45/2001 4 straipsnio 1 dalies c ir d punktai.

(24)  Direktyvos 95/46/EB 6 straipsnio 1 dalies e punktas ir Reglamento (EB) Nr. 45/2001 4 straipsnio 1 dalies e punktas.

(25)  Konfidencialumo principas išdėstytas Direktyvos 95/46/EB 16 straipsnyje ir atitinkamoje Reglamento (EB) Nr. 45/2001 21 straipsnio nuostatoje.

(26)  Duomenų saugumo principas nurodytas Direktyvos 95/46/EB 17 straipsnyje ir atitinkamoje Reglamento (EB) Nr. 45/2001 22 straipsnio nuostatoje.

(27)  Visas draudimo tvarkyti tam tikrų specialių kategorijų, įskaitant su sveikata susijusius, duomenis išimčių sąrašas pateiktas Direktyvos 95/46/EB 8 straipsnio 2, 3, 4 ir 5 dalyse.

(28)  Direktyvos 95/46/EB 8 straipsnio 4 dalis.

(29)  Nepaisant to, EWRS naudotojai turi kitą galimybę naudoti šį kanalą atskiram dalijimuisi informacija, susijusia su techniniais klausimais, neapimančiais asmens duomenų perdavimo. Kai vietoje numatytosios galimybės pasirenkama kita galimybė, pranešimą skelbianti institucija gali pasirinkti Komisiją ir ECDC gavėjomis. Ši galimybė įdiegta sistemoje, kad būtų atsižvelgta į Komisijos institucinį vaidmenį koordinuojant rizikos ir įvykių valdymo klausimus ir ECDC vaidmenį atliekant rizikos vertinimo užduotis.

(30)  Pagal „privatumo užtikrinimo projektuojant“ principą informacinės ir ryšių technologijos (IRT) kuriamos ir vystomos atsižvelgiant į privatumo ir duomenų apsaugos reikalavimus nuo pat technologijos kūrimo pradžios ir visais jos vystymo etapais.

(31)  Komisijai priskiriama informavimo prievolė pagrįsta Reglamento (EB) Nr. 45/2001 11 ir 12 straipsniais.

(32)  Pateiktina 10 straipsnyje nurodyta informacija pateikiama pridedant susijusių duomenų kategorijas. Ši informacija akivaizdžiai nėra reikalinga jei duomenys renkami tiesiogiai iš duomenų subjekto, kuriam pranešama apie susijusių duomenų kategorijas renkant tuos duomenis.

(33)  Direktyvos 95/46/EB 13 straipsnio 1 dalyje dėl išimčių ir ribojimų nurodyta: „Valstybės narės gali priimti teisines priemones, kad apribotų 6 straipsnio 1 dalyje, 10 straipsnyje, 11 straipsnio 1 dalyje bei 12 ir 21 straipsniuose numatytų prievolių ir teisių mastą, kai toks apribojimas yra reikalinga apsaugos priemonė norint užtikrinti: a) nacionalinį saugumą; b) gynybą; c) visuomenės saugumą; d) kriminalinių nusikaltimų bei reglamentuojamų profesijų etikos pažeidimų prevenciją, tyrimą, išaiškinimą ir persekiojimą; e) svarbius ekonominius ar finansinius valstybės narės ar Europos Sąjungos interesus, įskaitant ir monetarinius, biudžeto ar mokesčių klausimus; f) kontrolės, tikrinimo ar taisyklių nustatymo funkciją, kuri susijusi, bent atsitiktinai, su įgaliojimų vykdymu c, d ir e punktuose nurodytais atvejais; g) duomenų subjekto apsaugą arba kitų asmenų teisių ir laisvių apsaugą.“

(34)  Direktyvos 95/46/EB 12 straipsnis ir Reglamento (EB) Nr. 45/2001 13–18 straipsniai.

(35)  Pranešimas dėl privatumo taip pat pateiktas visiems EWRS naudotojams saugioje EWRS programos dalyje.

(36)  Nurodoma Direktyvos 95/46/EB 13 straipsnio 1 dalis.