ANEXĂ

ORIENTĂRI REFERITOARE LA PROTECȚIA DATELOR PENTRU SISTEMUL DE AVERTIZARE ȘI REACȚIE RAPIDĂ (EWRS)

1.   INTRODUCERE

EWRS este o aplicație online concepută de Comisia Europeană, în cooperare cu statele membre, cu scopul de a stabili o comunicare structurată și permanentă între Comisie și autoritățile competente în domeniul sănătății publice din statele membre responsabile pentru stabilirea măsurilor necesare pentru protecția sănătății publice. Începând cu anul 2005, Centrul European de Prevenire și Control al Bolilor (denumit în continuare „ECDC”), o agenție a UE, este de asemenea conectat la EWRS (1).

Cooperarea dintre autoritățile naționale din domeniul sănătății este vitală pentru consolidarea capacității statelor membre de a preveni posibila răspândire a bolilor transmisibile în UE, precum și disponibilitatea lor de a reacționa în mod coordonat și în timp util la evenimente cauzate de boli transmisibile care sunt sau pot deveni amenințări la adresa sănătății publice.

Focare anterioare de SARS (sindromul respirator acut sever), gripă pandemică A(H1N1) și alte boli transmisibile au demonstrat în mod clar cum boli necunoscute anterior se pot răspândi rapid, provocând un nivel ridicat de mortalitate și de morbiditate. Călătoriile rapide și comerțul la nivel mondial facilitează răspândirea bolilor transmisibile, care nu țin cont de frontiere. Detectarea rapidă și comunicarea și coordonarea eficientă la nivel european și internațional sunt esențiale pentru a controla astfel de evenimente neprevăzute și a împiedica o evoluție care să aibă consecințe grave.

EWRS a fost conceput ca un mecanism centralizat care să permită statelor membre să lanseze alerte, să facă schimb de informații și să își coordoneze reacțiile, în mod rapid și sigur, în legătură cu evenimentele care reprezintă o potențială amenințare la adresa sănătății în UE.

2.   DOMENIUL DE APLICARE ȘI OBIECTIVELE ORIENTĂRILOR

Administrarea și utilizarea EWRS poate implica schimbul de date personale, în cazurile specifice în care instrumentele juridice relevante prevăd acest lucru (a se vedea secțiunea 4 privind temeiul juridic al schimburilor de informații în cadrul EWRS).

Schimbul de informații cu caracter personal între autoritățile de sănătate competente din statele membre trebuie să respecte normele privind protecția datelor cu caracter personal prevăzute de actele naționale de transpunere a Directivei 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.

Cu toate acestea, având în vedere că utilizatorii EWRS nu sunt experți în domeniul protecției datelor și pot să nu cunoască întotdeauna suficient de bine cerințele privind protecția datelor impuse de lege, este recomandabil să se furnizeze utilizatorilor orientări care să explice funcționarea EWRS din perspectiva protecției datelor într-un mod ușor de utilizat și de înțeles. De asemenea, orientările au obiectivul de a sensibiliza și de a promova cele mai bune practici, precum și o abordare coerentă și uniformă în ceea ce privește respectarea protecției datelor de către utilizatorii EWRS din statele membre.

Cu toate acestea, este necesar să se precizeze că aceste orientări nu au scopul de a furniza o analiză completă a tuturor aspectelor legate de protecția datelor în contextul EWRS. Îndrumări și asistență suplimentară se pot obține de la autoritățile pentru protecția datelor (denumite în continuare „APD”) din statele membre. În special, utilizatorii EWRS sunt puternic încurajați să solicite APD de care aparțin îndrumări privind cele mai adecvate modalități de a aplica prezentele orientări la nivel național, pentru a se asigura că cerințele specifice fiecărei țări în domeniul protecției datelor sunt respectate pe deplin. O listă a APD și a coordonatelor lor de contact poate fi consultată la următoarea adresă:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm.

În cele din urmă, trebuie subliniat faptul că prezentele orientări nu constituie o interpretare oficială a legislației UE privind protecția datelor, deoarece, în cadrul sistemului instituțional al Uniunii, sarcina de a interpreta legislația UE îi revine exclusiv Curții de Justiție.

3.   LEGISLAȚIA APLICABILĂ ȘI CONTROLUL

Stabilirea legislației aplicabile depinde de cine este utilizatorul EWRS. În special, prelucrarea datelor cu caracter personal de către Comisie și ECDC în cadrul administrării și operării sistemului (în măsura ilustrată în secțiunile următoare) este reglementată de Regulamentul (CE) nr. 45/2001.

În ceea ce privește prelucrarea datelor cu caracter personal în cadrul EWRS de către autoritățile naționale competente, legislația aplicabilă este legislația națională privind protecția datelor care transpune Directiva 95/46/CE. Este necesar să se precizeze că directiva respectivă lasă o anumită marjă de manevră statelor membre în ceea ce privește transpunerea dispozițiilor sale în legislația națională. În special, directiva permite statelor membre să introducă, în cazuri specifice, scutiri sau derogări de la anumite dispoziții. În același timp, legislația națională privind protecția datelor aplicabilă utilizatorilor EWRS poate prevedea cerințe de protecție a datelor mai stricte sau specifice unei anumite țări, care nu există în legislațiile altor state membre.

Având în vedere aceste particularități, utilizatorilor EWRS li se recomandă să discute prezentele orientări cu autoritățile pentru protecția datelor de care aparțin, pentru a se asigura că sunt respectate toate cerințele prevăzute de legislația națională aplicabilă. De exemplu, pot exista diferențe importante de la un stat membru la altul în ceea ce privește nivelul de detaliere al informațiilor care trebuie furnizate persoanelor care fac obiectul datelor, precum și normele pentru prelucrarea unor categorii speciale de date cu caracter personal (de exemplu, date medicale).

Una dintre principalele caracteristici ale cadrului juridic al UE privind protecția datelor, reprezentat de Regulamentul (CE) nr. 45/2001 și de Directiva 95/46/CE, este supravegherea exercitată de autorități publice independente de protecție a datelor. Prelucrarea datelor cu caracter personal de către instituțiile și organismele UE este supravegheată de Autoritatea Europeană pentru Protecția Datelor (denumită în continuare „AEPD”) (2), în timp ce prelucrarea efectuată de persoanele fizice sau juridice, autoritățile publice naționale, agenții sau alte organisme din statele membre este supravegheată de autoritățile de protecție a datelor de care acestea aparțin. Autoritățile de supraveghere au fost împuternicite, în toate statele membre, să examineze plângeri ale cetățenilor în legătură cu protecția drepturilor și libertăților lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru mai multe informații despre modul în care se tratează cererile sau plângerile persoanelor vizate, utilizatorii EWRS sunt invitați să consulte secțiunea 9 privind accesul la datele cu caracter personal și alte drepturi ale persoanelor vizate.

4.   TEMEIUL JURIDIC AL SCHIMBURILOR DE INFORMAȚII CU CARACTER PERSONAL ÎN CADRUL EWRS

Decizia nr. 2119/98/CE prevede instituirea unei rețele la nivelul UE (denumită în continuare „rețeaua”) pentru a promova cooperarea și coordonarea între statele membre, cu sprijinul Comisiei, în vederea îmbunătățirii prevenirii și controlului bolilor transmisibile în UE (3). În acest cadru, EWRS a fost creat ca unul dintre elementele principale ale rețelei, care să permită schimbul de informații, consultarea și coordonarea la nivel european în cazul apariției unor evenimente cauzate de boli transmisibile care au potențialul de a pune în pericol sănătatea publică din UE.

Este necesar să se precizeze că nu toate informațiile care fac obiectul schimburilor în cadrul EWRS sunt informații cu caracter personal. De fapt, în general, în acest cadru nu sunt comunicate date personale privind sănătatea sau de alt tip ale unor persoane fizice identificate sau identificabile.

Ce înseamnă „date cu caracter personal”?

În sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001, date cu caracter personal înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale (4).

Autoritățile de sănătate competente din statele membre ale SEE comunică rețelei, prin EWRS, în special informații privind apariția sau reapariția unor cazuri de boli transmisibile, împreună cu informații privind măsurile de control aplicate, sau informații privind fenomene epidemice neobișnuite sau boli transmisibile noi de origine necunoscută (5), care pot necesita o reacție promptă și coordonată a statelor membre pentru a limita riscul de propagare în UE (6). Pe baza informațiilor disponibile prin intermediul rețelei, statele membre se vor consulta reciproc, în cooperare cu Comisia, pentru a-și coordona eforturile de prevenire și control al bolilor respective, inclusiv în ceea ce privește măsurile pe care le-au adoptat sau intenționează să le adopte la nivel național (7).

Cu toate acestea, în anumite cazuri, informațiile transmise prin sistem se referă totuși la persoane fizice și pot fi considerate date cu caracter personal.

În primul rând, prelucrarea unui volum limitat de date cu caracter personal ale utilizatorilor autorizați ai EWRS este inerentă administrării și operării sistemului. Prelucrarea datelor de contact (nume, organizație, adresă de e-mail, număr de telefon etc.) este esențială pentru crearea și utilizarea sistemului. Aceste date cu caracter personal sunt colectate de statele membre și prelucrate ulterior sub responsabilitatea Comisiei, exclusiv în scopul cooperării eficiente la administrarea EWRS și a rețelei pe care acesta se bazează.

Mai important, apariția unui eveniment legat de boli transmisibile cu o posibilă dimensiune UE poate necesita ca statele membre afectate să aplice, colaborând între ele, măsuri de control specifice, așa-numitele măsuri „de depistare a contacților”, pentru a identifica persoanele infectate și persoanele care ar putea fi în pericol și pentru a preveni răspândirea bolilor transmisibile grave. O astfel de colaborare poate implica schimbul prin intermediul EWRS al unor date cu caracter personal, inclusiv date medicale sensibile, privind cazuri umane suspectate între statele membre vizate în mod direct de măsurile de depistare a contacților (8).

Ce înseamnă „prelucrarea datelor cu caracter personal”?

În sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001, „prelucrarea datelor cu caracter personal înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea” (9).

În cazurile menționate mai sus, prelucrarea datelor cu caracter personal în cadrul EWRS trebuie să fie justificată pe baza unor temeiuri juridice specifice. În această privință, articolul 7 din Directiva 95/46/CE și dispozițiile corespunzătoare de la articolul 5 din Regulamentul (CE) nr. 45/2001 stabilesc criteriile de legitimitate a prelucrării datelor.

Prelucrarea datelor de contact ale utilizatorilor EWRS se bazează pe:

—	articolul 5 litera (b) din Regulamentul (CE) nr. 45/2001: „prelucrarea este necesară pentru a se respecta obligația legală a operatorului (10)”. Prelucrarea este necesară pentru administrarea și operarea EWRS de către Comisie, cu sprijinul ECDC;

—

articolul 5 litera (d) din Regulamentul (CE) nr. 45/2001: „persoana vizată și-a dat în mod clar consimțământul”. Datele de contact ale utilizatorilor sunt obținute direct de la persoanele vizate, după ce au fost create condițiile pentru ca acestea să poată accepta în cunoștință de cauză ca datele lor personale să fie prelucrate în cadrul EWRS (a se vedea secțiunea 8 privind furnizarea de informații persoanelor vizate).

Criteriile prevăzute la articolul 7 literele (c), (d) și (e) din Directiva 95/46/CE sunt cele mai relevante în ceea ce privește schimbul de date de depistare a contacților (de exemplu, datele de contact ale persoanei infectate, date privind mijloacele de deplasare și alte date legate de itinerarul de călătorie al persoanei și locurile în care aceasta s-a aflat, informații privind persoanele vizitate și persoanele potențial expuse la contaminare) (11) în cadrul EWRS:

—

articolul 7 litera (c) din Directiva 95/46/CE: „prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului”. Instituirea unui sistem de avertizare și reacție rapidă pentru prevenirea și controlul bolilor transmisibile în UE este prevăzută în Decizia nr. 2119/98/CE. Decizia respectivă cere statelor membre să raporteze prin intermediul EWRS anumite evenimente cauzate de boli transmisibile care sunt sau pot deveni amenințări pentru sănătatea publică (12). Obligația de raportare se aplică, de asemenea, măsurilor luate de autoritățile competente din statele membre în cauză pentru a preveni și a opri răspândirea bolilor respective, inclusiv măsurile de depistare a contacților aplicate pentru a depista persoanele infectate sau cele expuse riscului de a fi infectate (13);

—

articolul 7 litera (d) din Directiva 95/46/CE: „prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate”. În principiu, schimbul între statele membre al datelor cu caracter personal ale persoanelor infectate și ale celor aflate în pericol iminent de a fi infectate este necesar pentru a furniza acestor persoane îngrijirile sau tratamentul adecvat, precum și pentru a permite depistarea și identificarea în scopul izolării și al punerii în carantină, în scopul de a proteja sănătatea persoanelor în cauză și, în definitiv, cea a cetățenilor UE în general;

—

articolul 7 litera (e) din Directiva 95/46/CE: „prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele”. EWRS este un instrument conceput pentru a ajuta statele membre să-și coordoneze eforturile de prevenire și control al bolilor transmisibile grave în cadrul UE. Prin urmare, sistemul este conceput pentru a contribui la îndeplinirea unei sarcini de interes public care revine statelor membre, și anume protecția sănătății publice.

Interesul public poate justifica, de asemenea, prelucrarea în cadrul EWRS de către statele membre a datelor medicale sensibile (precum informații privind evenimentul care reprezintă o amenințare la adresa sănătății publice, datele legate de starea de sănătate a persoanelor infectate și a persoanelor potențial expuse contaminării). Deși prelucrarea datelor privind sănătatea este interzisă în principiu de articolul 8 alineatul (1) din Directiva 95/46/CE, prelucrarea acestei categorii specifice de date în cadrul EWRS este acoperită de derogarea prevăzută la articolul 8 alineatul (3) din directiva menționată anterior în măsura în care este „necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente sau de gestionare a serviciilor de sănătate și atunci când datele sunt prelucrate de un cadru medical supus, în conformitate cu dreptul intern sau cu normele stabilite de autoritățile naționale competente, secretului profesional ori de altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește secretul”.

Alte derogări de la interdicția de a prelucra datele medicale cu caracter personal pot fi prevăzute, din motive de interes public major și sub rezerva asigurării unor garanții corespunzătoare, de legislația națională a statelor membre sau prin decizia autorităților naționale pentru protecția datelor din statele membre (14).

5.   CARE SUNT ROLURILE ÎN CADRUL EWRS? CHESTIUNEA CONTROLULUI COMUN

EWRS a fost conceput ca un sistem cu utilizatori multipli care conectează, prin modalități tehnice adecvate, inclusiv prin diferite modalități de comunicare structurate, persoanele de contact desemnate din cadrul autorităților competente din domeniul sănătății publice din statele SEE (denumite în continuare „punctele de contact naționale”), Comisia, ECDC și, într-o mai mică măsură, OMS.

Fiecare participant din cadrul EWRS este un utilizator separat al sistemului, deși accesul la informațiile schimbate în cadrul sistemului a fost adaptat prin crearea unor profiluri de utilizator diferite și a unor modalități de comunicare „selective”, care oferă garanții corespunzătoare în ceea ce privește asigurarea conformității cu normele aplicabile privind protecția datelor.

Sistemul este compus din două modalități de comunicare principale. Prima modalitate, și anume transmiterea generală a mesajelor, permite autorității competente din domeniul sănătății publice dintr-un anumit stat membru să notifice tuturor punctelor de contact naționale EWRS, Comisiei, ECDC și OMS informațiile privind evenimente cauzate de boli transmisibile cu o posibilă dimensiune UE care sunt acoperite de obligațiile de raportare prevăzute de Decizia nr. 2119/98/CE (15).

În general, datele cu caracter personal privind sănătatea sau de alt tip al unor persoane identificate sau identificabile nu se comunică prin modalitatea de transmitere generală. Există garanții specifice introduse în sistem pentru a împiedica operațiunile ilegale de prelucrare a datelor transmise prin această modalitate (a se vedea secțiunea 7).

Cu toate acestea, în cazul unor evenimente provocate de boli transmisibile cu o potențială dimensiune UE, poate fi necesar ca statele membre să aplice, colaborând între ele, anumite măsuri de depistare a contacților pentru a găsi persoanele infectate și alte persoane expuse la contaminare, în scopul de a preveni răspândirea bolilor grave respective.

Pentru a garanta respectarea normelor de protecție a datelor, au fost instituite garanții corespunzătoare pentru a limita schimbul de date de depistare a contacților și de date medicale ale persoanelor fizice doar la statele membre vizate în mod direct de o anumită procedură de depistare a contacților, excluzând accesul celorlalte state membre din rețea, al Comisiei și al ECDC la datele respective (16).

În acest scop, s-a introdus în EWRS o modalitate de transmitere selectivă a mesajelor, pentru a oferi o modalitate de comunicare exclusiv între statele membre vizate de o anumită măsură de depistare a contacților.

Atunci când schimbă informații cu caracter personal prin modalitatea de transmitere selectivă a mesajelor, autoritățile competente au rolul de „operator” în ceea ce privește prelucrarea datelor respective și, prin urmare, își asumă responsabilitatea în ceea ce privește legalitatea activităților lor de prelucrare și asigurarea respectării cerințelor de protecție a datelor stabilite de legislația națională de transpunere a Directivei 95/46/CE.

Cine este „operatorul”?

În sensul Directivei 95/46/CE, „operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal” (17).

În principiu, utilizatorii din cadrul Comisiei și al ECDC nu au acces la datele cu caracter personal comunicate prin modalitatea de transmitere selectivă (18). Cu toate acestea, din motive tehnice, stocarea centralizată a datelor în EWRS este responsabilitatea finală a Comisiei în calitate de administrator de sistem și coordonator. În această calitate, Comisia este, de asemenea, responsabilă pentru înregistrarea, stocarea și prelucrarea ulterioară a datelor cu caracter personal ale utilizatorilor autorizați ai EWRS care sunt necesare pentru operarea sistemului.

Prin urmare, EWRS reprezintă un exemplu clar de control exercitat în comun, în care responsabilitatea pentru asigurarea protecției datelor este împărțită, la niveluri diferite, între Comisie și statele membre. În plus, din 2005, Comisia și statele membre, în calitate de co-operatori, au decis să delege operarea curentă a aplicației informatice EWRS Centrului European de Prevenire și Control al Bolilor (ECDC), care îndeplinește această sarcină în numele Comisiei. În urma acestei delegări, agenția și-a asumat responsabilitatea de a asigura, în calitate de „persoană împuternicită de către operator”, confidențialitatea și securitatea operațiunilor de prelucrare efectuate în cadrul sistemului, în conformitate cu obligațiile prevăzute la articolele 21 și 22 din Regulamentul (CE) nr. 45/2001.

Cine este „persoana împuternicită de către operator” și care sunt obligațiile sale?

În sensul Regulamentului (CE) nr. 45/2001, „persoana împuternicită de către operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal pe seama operatorului” (19).

Regulamentul prevede că, în cazul în care prelucrarea se efectuează în numele operatorului, acesta alege o persoană împuternicită care să ofere garanții suficiente în privința măsurilor tehnice și organizatorice necesare pentru securitatea datelor. Operatorul este responsabil, în cele din urmă, pentru a asigura conformitatea cu măsurile respective. Cu toate acestea, obligațiile prevăzute la articolele 21 și 22 din regulament cu privire la confidențialitate și securitatea prelucrării incumbă, de asemenea, persoanei împuternicite de către operator (20).

6.   PRINCIPIILE APLICABILE PRIVIND PROTECȚIA DATELOR

Prelucrarea datelor cu caracter personal în cadrul EWRS trebuie să respecte o serie de principii de protecție a datelor prevăzute în Regulamentul (CE) nr. 45/2001 și în Directiva 95/46/CE.

În calitate de operatori, Comisia și autoritățile competente din statele membre au răspunderea de a asigura respectarea acestor principii de fiecare dată când prelucrează date cu caracter personal prin intermediul EWRS. În cele ce urmează se prezintă o selecție de principii de bază în domeniul protecției datelor. Acestea nu aduc atingere altor cerințe aplicabile privind protecția datelor prevăzute de instrumentele juridice relevante, pentru care se oferă indicații în cadrul diferitelor secțiuni ale prezentelor orientări. În special, utilizatorii EWRS sunt invitați să citească cu atenție secțiunea 8 privind furnizarea de informații persoanelor vizate și secțiunea 9 privind accesul și alte drepturi ale persoanelor vizate.

6.1.   Principii referitoare la legalitatea prelucrării și la limitarea scopului

Operatorii ar trebui să se asigure că datele cu caracter personal sunt prelucrate în mod corect și legal. Acest principiu presupune, în primul rând, că atât culegerea, cât și prelucrarea ulterioară a datelor trebuie să se bazeze pe motive justificate prevăzute de lege (21). În al doilea rând, datele cu caracter personal pot fi colectate numai în scopuri specificate, explicite și legitimate și nu trebuie supuse niciunei prelucrări ulterioare incompatibile cu scopurile respective (22).

6.2.   Principii privind calitatea datelor

Operatorii trebuie să se asigure că datele cu caracter personal sunt adecvate, relevante și nu sunt excesive față de scopul pentru care sunt colectate. De asemenea, datele trebuie să fie exacte și actualizate (23).

6.3.   Principii privind păstrarea datelor

Operatorii trebuie să se asigure că datele cu caracter personal sunt păstrate într-o formă care să permită identificarea persoanelor vizate pentru o durată care să nu depășească perioada necesară scopului pentru care au fost culese sau pentru care sunt prelucrate ulterior (24).

6.4.   Principii privind confidențialitatea și securitatea datelor

Operatorii trebuie să se asigure că orice persoană care are acces la datele cu caracter personal și care acționează sub autoritatea lor sau sub autoritatea persoanei împuternicite de către operator, inclusiv persoana împuternicită, nu prelucrează aceste date decât în urma instrucțiunilor operatorului (25). De asemenea, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva distrugerii sau pierderii, modificării, dezvăluirii sau accesului accidentale, neautorizate sau ilegale și împotriva oricăror alte forme ilegale de prelucrare (26).

Pentru a asigura o aplicare corectă și eficace a principiilor menționate mai sus în contextul utilizării lor în cadrul sistemului, utilizatorilor EWRS li se recomandă, în special, următoarele:

Pentru a garanta că operațiunea de prelucrare este întemeiată din punct de vedere juridic, că datele sunt colectate pentru scopuri legitime și explicite și că nu sunt prelucrate ulterior într-un mod incompatibil cu scopurile respective, de fiecare dată când utilizatorii EWRS colectează sau prelucrează ulterior date cu caracter personal prin intermediul EWRS, aceștia trebuie:

—

să evalueze, de la caz la caz, dacă aplicarea măsurilor coordonate de depistare a contacților și utilizarea modalității de transmitere selectivă din EWRS pentru schimbul de date de depistare a contacților și alte date cu caracter personal relevante este justificată având în vedere natura bolii și avantajele, demonstrate științific, ale depistării contacților în ceea ce privește prevenirea sau reducerea răspândirii bolii, ținând cont de evaluarea impactului furnizată de autoritățile din domeniul sănătății din statele membre și de agențiile științifice existente, și anume ECDC și OMS;

—

să nu utilizeze modalitatea de transmitere generală pentru comunicarea datelor de depistare a contacților și a altor date cu caracter personal. Statele membre ar trebui să se asigure, în special, că aceste date nu sunt incluse în conținutul mesajelor pe care le introduc, în documentele atașate sau comunicate sub orice altă formă. Utilizarea modalității de transmitere generală în scopul depistării contacților ar fi nelegitimă și disproporționată, deoarece în acest fel datele ar fi comunicate unor destinatari (inclusiv Comisia și ECDC) care nu sunt vizați de o anumită măsură de depistare a contacților și care nu au nevoie să aibă acces la aceste date;

—

atunci când se utilizează transmiterea selectivă, să adopte principiul „necesității de a cunoaște” și să includă ca destinatari ai mesajelor transmise selectiv care conțin date cu caracter personal numai autoritățile competente din statele membre care trebuie să coopereze în cadrul unei anumite proceduri de depistare a contacților.

Utilizatorii EWRS ar trebui să fie deosebit de vigilenți atunci când comunică, prin intermediul modalității de transmitere selectivă a mesajelor, date sensibile privind starea de sănătate a unei persoane identificate sau identificabile, de exemplu ale persoanelor infectate sau potențial expuse ale căror date de contact sau alte informații personale sunt făcute cunoscute concomitent prin intermediul EWRS, astfel încât persoana în cauză să poată fi identificată direct sau indirect. În acest caz, toate recomandările menționate anterior continuă să se aplice; în plus, utilizatorii sistemului EWRS trebuie să aibă în vedere faptul că schimbul de date sensibile este permis în temeiul Directivei 95/46/CE numai într-un număr foarte restrâns de circumstanțe, în special în următoarele cazuri (27):

—

persoana ale cărei date sunt colectate și-a dat consimțământul explicit pentru prelucrarea acestora [articolul 8 alineatul (2) litera (a) din Directiva 95/46/CE]. Cu toate acestea, ținând cont de necesitatea de a interveni la timp în situații de urgență sanitară, în anumite cazuri ar putea fi imposibil ca persoanelor vizate să le fie furnizate toate informațiile necesare pentru ca acestea să-și dea consimțământul în cunoștință de cauză (a se vedea secțiunea 8 privind furnizarea de informații persoanelor vizate). În plus, posibilitatea ca datele să fie, ulterior, comunicate prin intermediul EWRS nu este întotdeauna cunoscută în momentul colectării acestora;

—

în absența consimțământului persoanelor vizate, prelucrarea datelor medicale poate fi considerată legală dacă este necesară „în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate”, cu condiția ca datele cu caracter medical să fie prelucrate de un cadru medical supus secretului profesional sau de altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește secretul [articolul 8 alineatul (3) din Directiva 95/46/CE]. Cu alte cuvinte, de fiecare dată când transmit selectiv un mesaj care conține date medicale sensibile către destinatari din alte state membre, utilizatorii EWRS trebuie să evalueze dacă dezvăluirea datelor respective este strict necesară pentru a permite autorităților competente din statul membru în cauză să pună în aplicare măsurile specifice necesare în unul dintre scopurile menționate mai sus. De asemenea, se reamintește utilizatorilor EWRS că motive suplimentare privind prelucrarea datelor cu caracter medical pot fi prevăzute în legislația lor internă de transpunere a Directivei 95/46/CE sau prin decizia autorității lor naționale de protecție a datelor (28).

Pentru a garanta calitatea datelor cu caracter personal pe care le schimbă între ele prin sistem și, în special, înainte de introducerea unui mesaj transmis selectiv, utilizatorii trebuie să analizeze dacă:

—

datele cu caracter personal pe care intenționează să le transmită sunt strict necesare pentru a permite realizarea unei proceduri eficiente de depistare a contacților. Cu alte cuvinte, autoritatea competentă care introduce mesajul trebuie să transmită autorității (autorităților) din celălalt stat membru (celelalte state membre) în cauză numai datele cu caracter personal care sunt necesare pentru identificarea inechivocă a persoanelor infectate sau expuse. Lista indicativă a datelor cu caracter personal care pot fi comunicate în scopul depistării contacților, anexată la Decizia 2009/547/CE, nu ar trebui considerată o autorizare generală și necondiționată privind prelucrarea categoriilor de date respective. În același timp, este necesară cea mai mare precauție în ceea ce privește prelucrarea altor categorii de date cu caracter personal decât cele enumerate în anexa respectivă, întrucât este probabil ca dezvăluirea lor să fie excesivă și nejustificată. Ar trebui, în schimb, analizat de la caz la caz dacă includerea anumitor date cu caracter personal este strict necesară pentru procedura relevantă de depistare a contacților.

Prelucrarea ulterioară și stocarea datelor cu caracter personal în afara EWRS:

Este extrem de important să se precizeze că legislația națională privind protecția datelor de transpunere a Directivei 95/46/CE se aplică, de asemenea, depozitării și prelucrării ulterioare în afara EWRS a datelor personale obținute în cadrul sistemului. Acest lucru se poate întâmpla, de exemplu, atunci când datele cu caracter personal stocate la nivel central în sistem sunt apoi stocate în calculatoarele utilizatorilor sau în baze de date create la nivel național sau când aceste date sunt transmise de autoritatea competentă responsabilă pentru prelucrarea lor în cadrul EWRS către alte autorități sau către părți terțe. În aceste cazuri, se reamintește utilizatorilor EWRS că:

—	stocarea și prelucrarea ulterioară în afara EWRS nu trebuie să fie incompatibilă cu scopurile inițiale pentru care datele au fost colectate și au făcut obiectul schimburilor în cadrul EWRS;

—	această prelucrare ulterioară trebuie să aibă un temei juridic oferit de legislația națională relevantă privind protecția datelor, să fie necesară, adecvată, relevantă și neexcesivă în raport cu scopurile inițiale ale colectării în cadrul EWRS;

—	datele trebuie să fie actualizate și să fie șterse atunci când nu mai sunt necesare în scopurile pentru care au fost prelucrate ulterior;

—

atunci când datele sunt extrase din EWRS și făcute cunoscute unor părți terțe, operatorul trebuie să informeze persoanele vizate în legătură cu acest lucru, pentru a garanta o prelucrare corectă, cu excepția cazurilor în care acest lucru ar fi imposibil sau ar necesita un efort disproporționat sau dezvăluirea este prevăzută în mod expres de lege [a se vedea articolul 11 alineatul (2) din Directiva 95/46/CE]. Având în vedere că dezvăluirea poate fi impusă doar de legislația unuia dintre statele membre implicate și, prin urmare, este posibil ca această cerință să nu fie bine cunoscută în afara statului membru respectiv, ar trebui să se facă eforturi pentru a oferi informații chiar dacă dezvăluirea este prevăzută expres de lege.

7.   UN MEDIU FAVORABIL PROTECȚIEI DATELOR

Există mai multe caracteristici care au fost deja incluse în EWRS pentru a îmbunătăți respectarea principiilor de protecție a datelor prezentate în secțiunea 6 și pentru a încuraja utilizatorii EWRS să evalueze aspectele legate de protecția datelor de fiecare dată când folosesc sistemul. De exemplu:

—

pe pagina de afișare a listei de mesaje din EWRS există o avertizare ușor de observat, care informează utilizatorii în legătură cu faptul că modalitatea de transmitere generală a mesajelor nu este concepută pentru includerea datelor de depistare a contacților sau a altor date cu caracter personal, deoarece prin utilizarea acestei modalități datele ar putea fi dezvăluite în mod inutil altor destinatari decât cei cărora le sunt necesare;

—	accesul la informațiile schimbate în cadrul sistemului a fost adaptat prin crearea unor profile de utilizator diferite și a unor modalități de comunicare selectivă, care introduc garanții adecvate în ceea ce privește respectarea normelor de protecția a datelor;

—

în special, modalitatea de transmitere selectivă din cadrul EWRS oferă posibilitatea de a face schimb de informații cu caracter personal exclusiv între statele membre vizate. În sistem a fost integrată o opțiune implicită care exclude în mod automat Comisia și ECDC din lista destinatarilor posibili ai mesajelor transmise selectiv care conțin date cu caracter personal (29);

—	sistemul elimină automat toate mesajele transmise selectiv care conțin informații cu caracter personal la douăsprezece luni de la data introducerii mesajelor (pentru mai multe detalii, a se consulta secțiunea 11 privind păstrarea datelor);

—

o caracteristică introdusă în sistem permite utilizatorilor să rectifice sau să elimine în mod direct, în orice moment, mesajele transmise selectiv conținând informații cu caracter personal și care sunt inexacte, neactualizate, nu mai sunt necesare sau care nu îndeplinesc din alte motive cerințele de protecție a datelor. Sistemul va avertiza automat ceilalți utilizatori EWRS implicați într-un anumit schimb de informații în legătură cu faptul că un mesaj a fost eliminat sau conținutul acestuia a fost rectificat, pentru a asigura respectarea normelor de protecție a datelor;

—	în cadrul modalității de transmitere selectivă a fost creat un mecanism specific care permite autorităților implicate într-un anumit schimb de informații să comunice și să coopereze în ceea ce privește cererile de acces, de rectificare, de blocare sau de eliminare ale persoanelor vizate.

În plus, pe termen mediu se preconizează integrarea modulului de formare disponibil în cadrul aplicației EWRS pentru a oferi utilizatorilor EWRS explicații detaliate privind funcționarea sistemului în ceea ce privește protecția datelor. Utilizarea diferitelor caracteristici și funcționalități care au ca scop consolidarea respectării normelor de protecție a datelor va fi ilustrată prin exemple practice.

Comisia intenționează să colaboreze cu statele membre pentru a garanta că principiul confidențialității prin concepție este aplicat de la bun început pentru modificările în curs de realizare și pentru orice alte modificări aduse sistemului EWRS (30), precum și că se va acorda suficientă atenție principiilor necesității, proporționalității, limitării scopului și reducerii la minimum a datelor atunci când se decide ce informații pot fi transmise prin EWRS și în ce condiții.

8.   COMUNICAREA DE INFORMAȚII PERSOANELOR VIZATE

Una dintre cerințele principale ale cadrului juridic al UE în domeniul protecției datelor este obligația operatorului de date de a furniza informații clare persoanelor vizate în legătură cu operațiunile de prelucrare pe care intenționează să le realizeze utilizând datele lor personale.

În conformitate cu rolul său de coordonare în cadrul EWRS și pentru a îndeplini obligația menționată (31), Comisia a publicat o declarație de confidențialitate clară și cuprinzătoare pe pagina sa de internet dedicată EWRS, în legătură cu operațiunile de prelucrare realizate sub responsabilitatea Comisiei și cele realizate de autoritățile competente, în special în contextul activităților de depistare a contacților.

Cu toate acestea, responsabilitatea cu privire la furnizarea de informații persoanelor vizate revine, de asemenea, autorităților naționale competente din statele membre, în calitate de operatori, în ceea ce privește operațiunile lor de prelucrare în cadrul EWRS.

Care sunt „informațiile” pe care autoritățile naționale competente pentru EWRS trebuie să le furnizeze persoanelor vizate?

În cazul colectării datelor direct de la persoana vizată, articolul 10 din Directiva 95/46/CE prevede că operatorul sau reprezentantul său trebuie să furnizeze persoanei vizate de la care colectează date, în momentul colectării, cel puțin următoarele informații, cu excepția cazului în care persoana vizată deține deja informațiile respective:

(a)	identitatea operatorului și, dacă este cazul, a reprezentantului său;

(b)	scopurile prelucrării căreia îi sunt destinate datele;

(c)

orice alte informații suplimentare, cum ar fi: — destinatarii sau categoriile de destinatari ai datelor; — dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului; — existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

Articolul 11 din Directiva 95/46/CE prezintă informațiile minime care trebuie furnizate de operatorul de date în cazul în care datele nu au fost obținute de la persoana vizată. Aceste informații trebuie să fie furnizate în momentul înregistrării datelor cu caracter personal sau, dacă se intenționează ca datele să fie făcute cunoscute unor părți terțe, cel târziu în momentul primei comunicări a datelor (32).

Din prevederile menționate rezultă că, în momentul colectării datelor cu caracter personal de la persoane fizice (sau cel târziu în momentul în care datele sunt făcute cunoscute pentru prima oară în cadrul EWRS), în scopul adoptării măsurilor necesare pentru protecția sănătății publice în relație cu evenimente care trebuie notificate în temeiul Deciziei nr. 2119/98/CE și al normelor de punere în aplicare a acesteia, autoritățile naționale competente trebuie să furnizeze direct persoanelor vizate un aviz juridic conținând informațiile menționate la articolele 10 și 11 din Directiva 95/46/CE. Avizul trebui să includă și o scurtă trimitere la EWRS și un link către documentele relevante și declarațiile privind confidențialitatea de pe site-urile internet naționale ale autorităților competente, precum și către pagina internet privind EWRS a Comisiei.

Nivelul de detaliere al informațiilor care trebuie furnizate în avizul juridic poate varia semnificativ de la un stat membru la altul. Anumite legislații naționale prevăd obligații mai mari pentru operatorii de date, acoperind furnizarea unor informații suplimentare, precum informațiile privind dreptul persoanelor vizate de a obține măsuri de reparare a prejudiciului, privind stocarea datelor și perioadele de păstrare, măsurile de securitate a datelor etc.

Ținând cont de necesitatea de a interveni la timp în situații de urgență sanitară, uneori poate fi imposibil, atunci când datele nu au fost obținute de la persoanele vizate, să se furnizeze acestora un aviz pentru a le informa în legătură cu scopul prelucrării datelor lor personale. În această privință, articolul 11 alineatul (2) din Directiva 95/46/CE prevede că dreptul la informare al persoanelor vizate poate fi restricționat în cazul în care informarea „se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanții corespunzătoare.”

În mod mai general, ar trebui remarcat că anumite restricții și limitări în ceea ce privește dreptul la informare al persoanelor vizate pot fi aplicabile în temeiul legislațiilor naționale privind protecția datelor care transpun Directiva 95/46/CE (33). Orice astfel de limitări sau restricții specifice unei țări trebuie să fie clar menționate în declarațiile de confidențialitate furnizate persoanelor vizate sau în avizele de confidențialitate furnizate persoanelor vizate sau în declarațiile de confidențialitate publicate pe site-urile naționale ale autorităților competente.

Este de datoria autorităților competente din statele membre să decidă în ce formă și în ce mod exact să transmită aceste informații persoanelor vizate. Întrucât majoritatea autorităților competente vor efectua și alte operațiuni de prelucrare pe lângă schimburile de informații din cadrul EWRS, modul de informare a persoanelor poate fi, dacă acest lucru este adecvat, același cu modul de transmitere a unor informații similare în contextul altor operațiuni de prelucrare în temeiul legislației naționale. În plus, se recomandă autorităților competente să-și actualizeze sau să-și completeze avizele sau declarațiile de confidențialitate – dacă acestea sunt publicate pe site-urile lor naționale – prin menționarea explicită a schimbului de date personale în cadrul EWRS.

Pentru toate motivele menționate mai sus, este extrem de important ca autoritățile competente din statele membre să consulte autoritățile lor naționale atunci când elaborează avizele juridice și declarațiile de confidențialitate standard în conformitate cu articolele 10 și 11 din Directiva 95/46/CE.

9.   ACCESUL LA DATELE PERSONALE ȘI ALTE DREPTURI ALE PERSOANELOR VIZATE

Cerințele de protecție a datelor privind furnizarea de informații către persoanele vizate, analizate în secțiunea 8 de mai sus, au ca scop, în ultimă instanță, asigurarea transparenței operațiunilor de prelucrare a datelor cu caracter personal. Transparența reprezintă, de asemenea, obiectivul aflat la baza dispozițiilor privind drepturile de acces ale persoanelor vizate stabilite de instrumentele juridice ale UE în domeniul protecției datelor (34).

Care sunt „drepturile de acces la date” ale persoanei vizate?

Operatorilor de date li se cere să garanteze dreptul fiecărei persoane vizate de a obține, fără întârzieri sau cheltuieli excesive, confirmarea că datele cu caracter personal care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării și destinatarii cărora le-ar putea fi comunicate datele.

De asemenea, operatorii de date trebuie să garanteze dreptul persoanelor vizate de a obține rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact al datelor.

De asemenea, operatorii de date trebuie să transmită părților terțe cărora le-au fost comunicate datele o notificare privind orice rectificare, ștergere sau blocare efectuată ca urmare a unei cereri legitime din partea persoanei vizate, cu excepția cazurilor în care o astfel de notificare se dovedește imposibilă sau nu presupune un efort disproporționat.

În calitate de operatori, Comisia și statele membre au o responsabilitate comună în ceea ce privește furnizarea drepturilor de acces, rectificare, blocare și ștergere a datelor cu caracter personal prelucrate în cadrul EWRS în condițiile descrise în continuare.

Comisia are responsabilitatea de a permite accesul la datele cu caracter personal ale punctelor de contact naționale ale EWRS și de a trata cererile de rectificare, blocare sau ștergere aferente. Pentru informații mai detaliate privind modalitățile de exercitare a drepturilor în calitate de persoane vizate, punctele de contact naționale sunt invitate să consulte clauza specifică din declarația completă privind confidențialitatea de pe pagina de internet a Comisiei dedicată EWRS (35).

De asemenea, utilizatorii EWRS sunt informați în legătură cu faptul că în sistem a fost introdusă deja o caracteristică pentru a le permite să modifice direct datele lor personale. Cu toate acestea, câmpurile de date în care este identificat un anumit cont EWRS (adresa de e-mail acreditată a utilizatorului, tipul de cont etc.) nu pot fi modificate de utilizatori, pentru a preveni riscul accesării sistemului de către utilizatori neautorizați. Prin urmare, orice cerere de a modifica aceste câmpuri de date trebuie transmisă operatorului de date din cadrul Comisiei, conform indicațiilor din declarația completă privind confidențialitatea de pe pagina de internet privind EWRS a Comisiei.

Responsabilitatea de a trata cererile persoanelor vizate privind datele de depistare a contacților, datele medicale și alte date cu caracter personal supuse schimburilor între statele membre prin intermediul EWRS revine autorităților competente implicate într-un anumit schimb de informații transmise selectiv. Această responsabilitate este reglementată prin dispozițiile relevante din legislația națională privind protecția datelor de transpunere a Directivei 95/46/CE.

Ar trebui însă remarcat că anumite restricții sau limitări în ceea ce privește drepturile persoanelor vizate la accesul, rectificarea, ștergerea sau blocarea datelor pot fi aplicabile în temeiul legislațiilor naționale privind protecția datelor care transpun Directiva 95/46/CE (36). Orice astfel de limitări sau restricții trebuie să fie clar menționate în avizele de confidențialitate furnizate persoanelor vizate sau în declarațiile de confidențialitate publicate pe site-urile naționale ale autorităților competente. Prin urmare, punctelor de contact EWRS li se recomandă să contacteze autoritățile lor naționale de protecție a datelor pentru a obține mai multe informații privind acest aspect.

Complexitatea EWRS, în cadrul căruia mai mulți utilizatori participă la operațiuni comune de prelucrare, necesită o abordare clară și simplă a drepturilor de acces ale persoanelor vizate, ținând cont de faptul că acestea nu cunosc funcționarea sistemului și că este necesar să se creeze condițiile pentru ca acestea să-și poată exercita efectiv drepturile.

O abordare recomandată ar fi ca, dacă o persoană vizată crede că datele sale personale sunt prelucrate în cadrul EWRS și dorește să aibă acces la aceste date sau ca acestea să fie rectificate sau eliminate, aceasta să se poată adresa oricăreia dintre autoritățile naționale competente cu care a intrat în contact și/sau care a colectat datele persoanei respective în relație cu un eveniment specific prezentând riscuri pentru sănătatea publică (de exemplu, atât autoritatea din țara de cetățenie a persoanei vizate, cât și autoritatea din țara de ședere a persoanei la data evenimentului), precum și oricărei alte autorități implicate în schimbul de informații respectiv în legătură cu punerea în aplicare a măsurilor de depistare a contacților.

Nicio autoritate competentă implicată într-un anumit schimb de informații nu trebuie să refuze accesul, rectificarea sau ștergerea pe motiv că datele nu au fost introduse în EWRS de autoritatea respectivă sau că persoana vizată trebuie să se adreseze altei autorități competente. În special, dacă cererea persoanei vizate este primită de altă autoritate competentă decât cea care a introdus informațiile inițiale utilizând modalitatea de transmitere selectivă, autoritatea destinatară trebuie să transmită mai departe mesajul, prin mecanismul specific menționat în secțiunea 7, autorității competente care a introdus mesajul original, care va lua decizia în legătură cu cererea respectivă.

Dacă este cazul, autoritatea care a introdus informațiile în sistem poate să contacteze, înainte de a lua o decizie, alte autorități competente implicate în schimbul de informații sau altfel vizate de cererea persoanei vizate prin intermediul mecanismului specific menționat în secțiunea 7.

De asemenea, este necesar ca persoanele vizate să fie informate în legătură cu faptul că, dacă nu sunt satisfăcute de răspunsul primit, pot contacta altă autoritate competentă implicată în schimbul de informații. În orice caz, persoanele vizate au dreptul de a înainta o plângere autorității naționale pentru protecția datelor din țara în care se află una dintre aceste autorități competente, la libera sa alegere. Dacă este necesar și adecvat, autoritățile naționale pentru protecția datelor trebuie să coopereze pentru a trata plângerea (articolul 28 din Directiva 95/46/CE).

În cele din urmă, ca urmare a unei recomandări specifice din avizul AEPD, Comisia a introdus în EWRS o nouă caracteristică, pentru a permite rectificarea și ștergerea online, în scopuri legate de respectarea cerințelor de protecție a datelor, a mesajelor transmise selectiv conținând informații cu caracter personal care sunt inexacte, neactualizate, nu mai sunt necesare sau nu îndeplinesc din alte motive cerințele de protecție a datelor.

10.   SECURITATEA DATELOR

Accesul la sistem este limitat la utilizatorii autorizați din cadrul Comisiei și al ECDC și la punctele de contact naționale numite în mod oficial. Accesul este protejat prin utilizarea unor conturi de utilizator și a unor parole securizate.

Procedurile de gestionare a informațiilor cu caracter personal în cadrul EWRS sunt stabilite ținând cont de cerințele indicate la articolele 21 și 22 din Regulamentul (CE) nr. 45/2001.

11.   PĂSTRAREA DATELOR

În conformitate cu cerințele de protecție a datelor de la articolul 4 alineatul (1) litera (e) din Regulamentul (CE) nr. 45/2001 și de la articolul 6 alineatul (1) litera (e) din Directiva 95/46/CE, sistemul va șterge automat toate mesajele transmise selectiv care conțin informații cu caracter personal la douăsprezece luni de la data introducerii mesajelor.

Această garanție, care este o parte integrantă a sistemului, nu dispensează utilizatorii EWRS – care sunt singurii responsabili, în mod individual, pentru propriile operațiuni de prelucrare în contextul modalității de transmitere selectivă a mesajelor – de sarcina de a elimina din sistem acele date cu caracter personal care devin inutile înainte de expirarea perioadei-limită de un an aplicabile implicit.

În acest scop, Comisia a introdus o nouă caracteristică în cadrul EWRS pentru a permite utilizatorilor să șteargă, în orice moment, mesajele transmise selectiv conținând informații cu caracter personal care nu mai sunt necesare.

În fine, trebuie reamintit faptul că autoritățile naționale competente sunt responsabile pentru respectarea propriilor norme de protecție a datelor privind păstrarea datelor cu caracter personal stabilite în legislația relevantă de transpunere a Directivei 95/46/CE. Ștergerea automată a informațiilor cu caracter personal stocate în sistem după un an nu exclude posibilitatea ca utilizatorii EWRS să stocheze aceleași informații în afara EWRS pentru o perioadă diferită (mai lungă), cu condiția ca acest lucru să se realizeze respectând obligațiile care decurg din legislația lor națională privind protecția datelor și ca perioadele prevăzute de legislația națională să fie compatibile cu cerințele de la articolul 6 alineatul (1) litera (e) din Directiva 95/46/CE.

12.   COOPERAREA CU AUTORITĂȚILE NAȚIONALE DE PROTECȚIE A DATELOR

Autoritățile competente sunt încurajate să solicite îndrumări din partea autorităților lor naționale de protecție a datelor, în special atunci când se confruntă cu probleme legate de protecția datelor care nu sunt acoperite de prezentele orientări.

De asemenea, autoritățile competente trebuie să ia cunoștință de faptul că în temeiul legislației naționale de transpunere a Directivei 95/46/CE ar putea fi necesar ca acestea să notifice autorităților lor naționale de protecție a datelor propriile activități de prelucrare în cadrul EWRS. În anumite state membre, ar putea fi chiar necesară o autorizație prealabilă din partea autorităților lor naționale de protecție a datelor.

---

(1)  ECDC susține și asistă Comisia în ceea ce privește operarea aplicației EWRS. Această sarcină a fost încredințată ECDC prin Regulamentul (CE) nr. 851/2004 al Parlamentului European și al Consiliului din 21 aprilie 2004 de creare a unui Centru European de Prevenire și Control al Bolilor, în special articolul 8 (JO L 142, 30.4.2004, p. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS.

(3)  Categoriile de boli transmisibile vizate de rețea sunt limitate la cele enumerate în anexa la Decizia nr. 2119/98/CE.

(4)  Articolul 2 litera (a) din Directiva 95/46/CE și articolul 2 litera (a) din Regulamentul (CE) nr. 45/2001.

(5)  Articolul 4 din Decizia nr. 2119/98/CE.

(6)  Anexa I la Decizia 2000/57/CE privind definiția „evenimentelor” care trebuie raportate în cadrul EWRS.

(7)  Articolul 6 din Decizia nr. 2119/98/CE.

(8)  Scopurile legitime ale prelucrării de date personale în cadrul EWRS au fost clarificate, astfel încât să includă datele de depistare a contacților, ca urmare a modificării Deciziei 2000/57/CE prin Decizia 2009/547/CE.

(9)  Articolul 2 litera (b) din Directiva 95/46/CE și articolul 2 litera (b) din Regulamentul (CE) nr. 45/2001.

(10)  În legătură cu definirea termenului de „operator”, a se vedea secțiunea 5 de mai jos.

(11)  O listă indicativă a datelor cu caracter personal care pot fi schimbate în scopul depistării contacților este anexată la Decizia 2009/547/CE.

(12)  Articolul 1 și Anexa I la Decizia 2000/57/CE pentru definiția „evenimentelor” care trebuie raportate în cadrul EWRS.

(13)  Articolul 2a din Decizia 2000/57/CE, introdus prin Decizia 2009/547/CE.

(14)  Astfel cum se prevede la articolul 8 alineatul (4) din Directiva 95/46/CE.

(15)  A se vedea, în special, articolele 4, 5 și 6.

(16)  Articolul 2a din Decizia 2000/57/CE, introdus prin Decizia 2009/547/CE.

(17)  Definiție prevăzută la articolul 2 litera (d) din Directiva 95/46/CE.

(18)  În circumstanțe excepționale, Comisia ar putea fi implicată în schimbul de date cu caracter personal prin modalitatea de transmitere selectivă, dacă acest lucru este absolut necesar pentru a coordona sau pentru a permite aplicarea eficace și la timp a măsurilor de sănătate publică prevăzute de Decizia nr. 2119/98/CE și de normele sale de implementare. În aceste cazuri, Comisia se va asigura că prelucrarea respectă legislația și că se realizează în conformitate cu dispozițiile Regulamentului (CE) nr. 45/2001.

(19)  Definiție prevăzută la articolul 2 litera (e) din Regulamentul (CE) nr. 45/2001.

(20)  Aceste principii sunt integrate în articolul 23 alineatul (1) din Regulamentul (CE) nr. 45/2001 în ceea ce privește prelucrarea datelor cu caracter personal în numele operatorilor.

(21)  Principiul legalității prelucrării rezultă din dispozițiile comune ale articolului 6 alineatul (1) litera (a) și articolelor 7 și 8 din Directiva 95/46/CE. A se vedea, de asemenea, dispozițiile corespunzătoare din Regulamentul (CE) nr. 45/2001.

(22)  Principiul limitării scopului este formulat la articolul 6 alineatul (1) litera (b) din Directiva 95/46/CE și prin dispozițiile corespunzătoare de la articolul 4 alineatul (1) litera (b) din Regulamentul (CE) nr. 45/2001.

(23)  Articolul 6 alineatul (1) literele (c) și (d) din Directiva 95/46/CE și articolul 4 alineatul (1) literele (c) și (d) din Regulamentul (CE) nr. 45/2001.

(24)  Articolul 6 alineatul (1) litera (e) din Directiva 95/46/CE și articolul 4 alineatul (1) litera (e) din Regulamentul (CE) nr. 45/2001.

(25)  Principiul confidențialității este prevăzut la articolul 16 din Directiva 95/46/CE și prin dispozițiile corespunzătoare de la articolul 21 din Regulamentul (CE) nr. 45/2001.

(26)  Principiul securității datelor este formulat la articolul 17 din Directiva 95/46/CE și prin dispozițiile corespunzătoare de la articolul 22 din Regulamentul (CE) nr. 45/2001.

(27)  Pentru lista completă a derogărilor de la interdicția de a prelucra anumite categorii speciale de date, inclusiv datele cu caracter medical, a se vedea articolul 8 alineatele (2), (3), (4) și (5) din Directiva 95/46/CE.

(28)  Articolul 8 alineatul (4) din Directiva 95/46/CE.

(29)  Cu toate acestea, utilizatorii EWRS au de asemenea opțiunea de a utiliza această modalitate pentru schimbul selectiv de informații legate de aspecte tehnice, care nu implică schimbul de date cu caracter personal. Dacă este selectată opțiunea alternativă în locul celei implicite, Comisia și ECDC pot fi selectate ca destinatari de către autoritatea care introduce mesajul. Această caracteristică a fost introdusă în sistem pentru a ține cont de rolul instituțional al Comisiei în ceea ce privește coordonarea aspectelor legate de gestionarea riscurilor și a evenimentelor și de rolul ECDC în contextul îndeplinirii sarcinilor de evaluare a riscului.

(30)  Conform principiului „confidențialității prin concepție”, tehnologiile informației și comunicațiilor (TIC) trebuie concepute și realizate ținând cont de cerințele de confidențialitate și de protecție a datelor din etapa inițială și în toate etapele de realizare a unei tehnologii.

(31)  Obligația de informare care revine Comisiei se bazează pe articolele 11 și 12 din Regulamentul (CE) nr. 45/2001.

(32)  Informațiile care trebuie furnizate sunt cele menționate la articolul 10 citat, cu adăugarea categoriilor de date în cauză. Aceste informații nu sunt necesare în cazul culegerii direct de la persoana vizată, care este informată cu privire la categoriile de date în cauză pe măsură ce acestea sunt colectate.

(33)  Articolul 13 alineatul (1) din Directiva 95/46/CE, cu privire la excepții și restricții, prevede următoarele: „Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja: (a) securitatea statului; (b) apărarea; (c) siguranța publică; (d) prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate; (e) un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal; (f) o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e); (g) protecția persoanei vizate sau a drepturilor și libertăților altora.”

(34)  Articolul 12 din Directiva 95/46/CE și articolele 13-18 din Regulamentul (CE) nr. 45/2001.

(35)  Declarația de confidențialitate se află, de asemenea, la dispoziția tuturor utilizatorilor EWRS în cadrul secțiunii securizate a aplicației EWRS.

(36)  Articolul 13 alineatul (1) din Directiva 95/46/CE menționată.