PRÍLOHA

USMERNENIA K OCHRANE ÚDAJOV PRE SYSTÉM VČASNÉHO VAROVANIA A REAKCIE (EWRS)

1.   ÚVOD

EWRS je webová aplikácia vytvorená Európskou komisiou v spolupráci s členskými štátmi s cieľom zaviesť štruktúrovanú a trvalú komunikáciu medzi Komisiou a príslušnými orgánmi verejného zdravotníctva zodpovednými v členských štátoch EHP za stanovenie opatrení nevyhnutných na ochranu verejného zdravia. S EWRS je od roku 2005 spojené aj Európske centrum pre prevenciu a kontrolu chorôb (ďalej len „ECDC“), ktoré je agentúrou EÚ (1).

Spolupráca medzi vnútroštátnymi zdravotníckymi orgánmi je nevyhnutná na posilnenie schopnosti členských štátov zabrániť potenciálnemu šíreniu prenosných ochorení v rámci EÚ, ako aj ich pripravenosti reagovať koordinovane a včas na udalosti spôsobené prenosnými ochoreniami, ktoré sú alebo majú potenciál stať sa hrozbou pre verejné zdravie.

Prípady vypuknutia SARS, pandemickej chrípky A(H1N1) a ďalších prenosných ochorení v minulosti jasne poukázali na to, ako sa predtým neznáme choroby môžu rýchlo šíriť a spôsobiť veľkú úmrtnosť a chorobnosť. Rýchle cestovanie a celosvetový obchod uľahčujú prenášanie prenosných ochorení, ktoré neuznávajú štátne hranice. Včasné odhalenie a účinná komunikácia a koordinácia na európskej a medzinárodnej úrovni sú nevyhnutné na kontrolu takýchto nepredvídaných udalostí a zabránenie závažne poškodzujúcemu vývoju.

EWRS bol vytvorený ako centralizovaný mechanizmus umožňujúci členským štátom zasielať varovania, spoločne využívať informácie a koordinovať ich reakciu včas a bezpečne, pokiaľ ide o udalosti, ktoré predstavujú potenciálnu zdravotnú hrozbu pre EÚ.

2.   ROZSAH A CIELE USMERNENÍ

Riadenie a využívanie EWRS môže zahŕňať výmenu osobných údajov v špecifických prípadoch, keď to stanovujú príslušné právne nástroje (pozri oddiel 4 o právnych dôvodoch na výmenu osobných informácií v EWRS).

Výmeny osobných informácií medzi príslušnými zdravotníckymi orgánmi v členských štátoch musia byť v súlade s pravidlami o ochrane osobných údajov stanovenými vo vnútroštátnych právnych predpisoch, ktorými sa transponuje smernica 95/46/ES o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe týchto údajov.

Keďže však používatelia EWRS nie sú odborníkmi v oblasti ochrany údajov a nemusia byť vždy dostatočne informovaní o požiadavkách na ochranu údajov uložených zákonom, odporúča sa poskytnúť používateľom EWRS usmernenia, v ktorých je jednoducho a zrozumiteľne vysvetlené fungovanie EWRS z hľadiska ochrany údajov. Cieľom usmernení je aj zvýšiť informovanosť a podporiť najlepšie postupy a dôsledný a jednotný prístup k dodržiavaniu ochrany údajov medzi používateľmi EWRS v členských štátoch.

Je však potrebné uviesť, že tieto usmernenia nie sú určené na to, aby poskytli komplexné preskúmanie všetkých otázok týkajúcich sa ochrany údajov v spojení s EWRS. Ďalšie usmernenie a pomoc možno získať od orgánov na ochranu údajov (ďalej len „DPA“) v členských štátoch. Najmä používateľom EWRS sa dôrazne odporúča, aby svoje príslušné DPA požiadali o radu, pokiaľ ide o najlepší spôsob vykonávania týchto usmernení na vnútroštátnej úrovni, aby sa zabezpečilo úplné dodržiavanie požiadaviek na ochranu údajov špecifických pre danú krajinu. Zoznam DPA a kontaktné údaje o nich možno nájsť na tejto adrese:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm

Nakoniec je potrebné zdôrazniť, že tieto usmernenia nie sú autentickým výkladom práva EÚ v oblasti ochrany údajov, keďže v inštitucionálnom systéme Únie pripadá úloha vykladať právne predpisy Únie výlučne Súdnemu dvoru.

3.   UPLATNITEĽNÉ PRÁVNE PREDPISY A DOHĽAD

Stanovenie uplatniteľných právnych predpisov závisí od toho, kto je používateľom EWRS. Spracovanie osobných údajov Komisiou a ECDC v rámci riadenia a prevádzkovania systému (do miery objasnenej v týchto oddieloch) sa riadi najmä nariadením Európskeho parlamentu a Rady (ES) č. 45/2001.

Pokiaľ ide o spracovanie osobných údajov vnútroštátnymi príslušnými orgánmi EWRS, uplatniteľnými právnymi predpismi sú príslušné vnútroštátne právne predpisy v oblasti ochrany údajov, ktorými sa transponuje smernica 95/46/ES. Je potrebné uviesť, že táto smernica ponecháva členským štátom určitý manévrovací priestor na transponovanie jej ustanovení do vnútroštátnych právnych predpisov. Smernica najmä umožňuje členským štátom v osobitných prípadoch zaviesť výnimky z jej mnohých ustanovení. Vo vnútroštátnych právnych predpisoch v oblasti ochrany údajov, ktorým podlieha používateľ EWRS, môžu byť súčasne stanovené prísnejšie požiadavky na ochranu údajov alebo požiadavky na ochranu údajov špecifickejšie pre danú krajinu, ktoré nie sú stanovené v právnych predpisoch iných členských štátov.

Pri zohľadnení týchto osobitostí sa používateľom EWRS odporúča, aby prerokovali tieto usmernenia so svojimi príslušnými DPA, aby sa zabezpečilo splnenie všetkých požiadaviek stanovených v uplatniteľných vnútroštátnych právnych predpisoch. Napríklad miera podrobnosti informácií, ktoré sa majú poskytnúť dotknutým osobám v čase zberu údajov, sa medzi jednotlivými členskými štátmi môže výrazne líšiť, rovnako ako pravidlá spracovania osobitných kategórií osobných údajov (napríklad údajov o zdravotnom stave) jednotlivcov.

Jednou z hlavných vlastností právneho rámca EÚ v oblasti ochrany údajov pozostávajúceho z nariadenia (ES) č. 45/2001 a smernice 95/46/ES je dohľad zo strany verejných, nezávislých orgánov na ochranu údajov. Dohľad nad spracúvaním osobných údajov inštitúciami a orgánmi EÚ vykonáva európsky dozorný úradník pre ochranu údajov (ďalej len „EDPS“) (2), zatiaľ čo dohľad nad spracovaním fyzickými alebo právnickými osobami, vnútroštátnymi verejnými orgánmi, agentúrami alebo inými orgánmi v členských štátoch vykonávajú ich príslušné DPA. Dozorné orgány boli vo všetkých členských štátoch poverené vyšetrovaním žiadostí podaných občanmi, ktoré sa týkajú ochrany ich práv a slobôd, pokiaľ ide o spracovanie osobných údajov. Používatelia EWRS nájdu podrobnejšie informácie o tom, ako riešiť žiadosti alebo podnety dotknutých osôb, v oddiele 9 o prístupe k osobným údajom a ďalších právach dotknutých osôb.

4.   PRÁVNE DÔVODY NA VÝMENU OSOBNÝCH INFORMÁCIÍ V EWRS

V rozhodnutí č. 2119/98/ES sa ustanovuje zriadenie siete na úrovni EÚ (ďalej len „sieť“) na podporu spolupráce a koordinácie medzi členskými štátmi s pomocou Komisie s cieľom zlepšiť prevenciu a kontrolu prenosných ochorení v EÚ (3). V rámci tohto rámca bol EWRS vytvorený ako jeden z pilierov siete, ktorý umožňuje výmenu informácií, konzultácie a koordináciu na európskej úrovni v prípade udalostí spôsobených prenosnými ochoreniami, ktoré majú potenciál ohroziť verejné zdravie v EÚ.

Je potrebné uviesť, že nie všetky informácie vymieňané v rámci EWRS sú osobnej povahy. Všeobecne možno povedať, že sa v rámci tohto systému v skutočnosti nevymieňajú žiadne zdravotné ani iné osobné údaje o identifikovanej alebo identifikovateľnej fyzickej osobe.

Čo sú „osobné údaje“?

Na účely smernice 95/46/ES a nariadenia (ES) č. 45/2001 osobné údaje znamenajú akékoľvek informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby („dotknutá osoba“); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jej fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu (4).

Prostredníctvom EWRS príslušné zdravotnícke orgány v členských štátoch EHP väčšinou podávajú sieti informácie týkajúce sa inter alia výskytu alebo opätovného výskytu prípadov prenosných ochorení, spolu s informáciami o uplatňovaných kontrolných opatreniach, alebo informácie o neobvyklých epidemických javoch alebo nových prenosných ochoreniach neznámeho pôvodu (5), ktoré si môžu vyžiadať včasné a koordinované opatrenia členských štátov na potlačenie rizika šírenia v rámci EÚ (6). Na základe informácií dostupných prostredníctvom siete sa členské štáty budú navzájom radiť, v spolupráci Komisiou, s cieľom koordinovať svoje úsilie v oblasti prevencie a kontroly týchto ochorení, vrátane pokiaľ ide o opatrenia, ktoré prijali alebo chcú prijať na vnútroštátnej úrovni (7).

V niektorých prípadoch sa však v skutočnosti informácie vymieňané prostredníctvom systému týkajú jednotlivcov a môžu byť považované za osobné údaje.

Spracovanie obmedzeného množstva osobných údajov oprávnených používateľov EWRS je predovšetkým súčasťou riadenia a prevádzky systému. Spracovanie kontaktných údajov používateľov (názov, organizácia, e-mailová adresa, telefónne číslo atď.) je v skutočnosti nevyhnutné pre vytvorenie a prevádzku systému. Tieto osobné údaje zhromažďujú členské štáty a za ich ďalšie spracúvanie zodpovedá Komisia, výlučne na účely účinnej spolupráce pri riadení EWRS a hlavnej siete.

Oveľa dôležitejšie je, že výskyt udalosti týkajúcej sa prenosných ochorení s potenciálnym rozsahom na úrovni EÚ si môže vyžiadať uskutočnenie osobitných kontrolných opatrení, takzvaných opatrení „vysledovania kontaktov“, dotknutými členskými štátmi vo vzájomnej spolupráci s cieľom určiť nakazené osoby a potenciálne ohrozené osoby a zabrániť prenosu vážnych prenosných ochorení. Takáto spolupráca môže zahŕňať výmenu osobných údajov prostredníctvom EWRS vrátane citlivých údajov o zdravotnom stave, potvrdených alebo podozrivých prípadov u ľudí medzi členskými štátmi, ktoré sú priamo dotknuté opatreniami na vysledovanie kontaktov (8).

Čo je „spracovanie osobných údajov“?

Na účely smernice 95/46/ES a nariadenia (ES) č. 45/2001 „spracovanie osobných údajov („spracovanie“) znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa s osobnými údajmi vykonávajú, či už automatizovane alebo nie, ako je zber, zaznamenávanie, organizácia, uchovanie, úprava alebo zmena, vyvolanie, konzultácia, použitie, zverejnenie prenosom, rozširovaním alebo iným sprístupnením, zoradením alebo kombináciou, blokovaním, vymazaním alebo zničením“ (9).

V uvedených prípadoch musí byť spracovanie osobných údajov v rámci EWRS odôvodnené na základe osobitných právnych dôvodov. V tejto súvislosti článok 7 smernice 95/46/ES a príslušné ustanovenia článku 5 nariadenia (ES) č. 45/2001 stanovujú kritériá týkajúce sa zákonnosti spracovania údajov.

Pokiaľ ide o kontaktné údaje používateľov EWRS, spracovanie týchto údajov je založené na:

—	článku 5 písm. b) nariadenia (ES) č. 45/2001: „spracovanie je nevyhnutné kvôli súladu s právnymi záväzkami, ktorým podlieha prevádzkovateľ (10)“. Spracovanie je nevyhnutné pre riadenie a prevádzku EWRS Komisiou, s podporou zo strany ECDC,

—

a článku 5 písm. d) nariadenia (ES) č. 45/2001: „dotknutá osoba jednoznačne dala svoj súhlas“. Kontaktné údaje používateľov sa získavajú od samotných dotknutých osôb po tom, čo boli zaistené podmienky na udelenie informovaného súhlasu so spracovaním ich osobných údajov v rámci EWRS (pozri oddiel 8 o poskytovaní informácií dotknutým osobám).

Kritériá stanovené v článku 7 písm. c), d) a e) smernice 95/46/ES sú najrelevantnejšie pre výmenu údajov o vysledovaní kontaktov (napríklad kontaktné údaje nakazenej osoby, údaje o šírení a ďalšie údaje týkajúce sa plánu cesty osoby a miest pobytu, informácie o navštívených osobách a osobách potenciálne vystavených nákaze) jednotlivcov v rámci EWRS (11):

—

článok 7 písm. c) smernice 95/46/ES: „spracovanie je nevyhnutné na vyhovenie právnemu záväzku, ktorého subjektom je kontrolór“. Zavedenie systému včasného varovania a reakcie na prevenciu a kontrolu prenosných ochorení v EÚ sa vyžaduje na základe rozhodnutia č. 2119/98/ES. Toto rozhodnutie predstavuje povinnosť členských štátov oznamovať prostredníctvom EWRS určité udalosti spôsobené prenosnými ochoreniami, ktoré sú alebo majú potenciál stať sa hrozbami pre verejné zdravie (12). Oznamovacia povinnosť sa týka aj opatrení prijatých príslušnými orgánmi v dotknutých členských štátoch s cieľom zabrániť šíreniu týchto ochorení a zastaviť ich šírenie vrátane opatrení na vysledovanie kontaktov vykonávaných s cieľom vysledovať nakazené osoby alebo osoby, ktoré sú potenciálne ohrozené nakazením (13),

—

článok 7 písm. d) smernice 95/46/ES: „spracovanie je nevyhnutné na to, aby sa ochránili životne dôležité záujmy dotknutej osoby“. Výmena osobných údajov o nakazených osobách medzi dotknutými členskými štátmi a o osobách, ktoré sú bezprostredne ohrozené nakazením, je v zásade nevyhnutné na to, aby im bola poskytnutá primeraná starostlivosť alebo liečenie, ako aj na povolenie vysledovania a určenie na účely izolácie a karantény s cieľom ochrany zdravia dotknutých osôb a hlavne ochrany zdravia občanov EÚ všeobecne,

—

a článok 7 písm. e) smernice 95/46/ES: „spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone oficiálneho poverenia zvereného kontrolórovi alebo tretej strane, ktorej sa údaje sprístupnia“. EWRS je nástroj, ktorý má pomôcť členským štátom koordinovať ich úsilie o prevenciu a kontrolu závažných prenosných ochorení v rámci EÚ. Preto je systém vytvorený tak, aby slúžil na plnenie úlohy vo verejnom záujme, ktorá bola zverená členským štátom s cieľom chrániť verejné zdravie.

Rovnakými dôvodmi verejného záujmu možno odôvodniť spracovanie citlivých údajov o zdravotnom stave členskými štátmi (napríklad informácie o udalosti, ktorá predstavuje hrozbu pre zdravie, údaje o zdravotnom stave nakazených osôb a osôb, ktoré sú potenciálne vystavené nákaze) v rámci EWRS. Hoci spracovanie údajov o zdravotnom stave je v zásade zakázané podľa článku 8 ods. 1 smernice 95/46/ES, na spracovanie tejto špeciálnej kategórie údajov v rámci EWRS sa vzťahuje výnimka poskytnutá na základe článku 8 ods. 3 tej istej smernice, pokiaľ sa spracovanie „vyžaduje na účely preventívnej medicíny, lekárskych diagnóz, poskytnutia starostlivosti alebo liečenia alebo riadenia zdravotníckych služieb, a ak sú tieto údaje spracovávané profesionálnym zdravotníckym pracovníkom podliehajúcim záväzku zachovania služobného tajomstva alebo inou osobou taktiež podliehajúcou podobnému záväzku mlčanlivosti v súlade s vnútroštátnym právom alebo pravidlami stanovenými vnútroštátnymi príslušnými orgánmi“.

Ďalšie výnimky zo zákazu spracúvať osobné zdravotné údaje sa môžu povoliť z dôvodov značného verejného záujmu a pod podmienkou zabezpečenia vhodných ochranných opatrení prostredníctvom vnútroštátnych právnych predpisov členských štátov alebo rozhodnutia vnútroštátnych DPA v členských štátoch (14).

5.   KTO JE KTO V EWRS? OTÁZKA SPOLOČNEJ KONTROLY

EWRS bol vytvorený ako systém mnohých používateľov, ktorý prostredníctvom primeraných technických prostriedkov, vrátane rôznych štruktúrovaných komunikačných kanálov, spája určené kontaktné osoby z príslušných orgánov verejného zdravotníctva v členských štátoch EHP (ďalej len „vnútroštátne kontaktné miesta EWRS“), Komisiu, ECDC a v obmedzenej miere aj WHO.

Každý z týchto subjektov EWRS je samostatným používateľom systému, hoci prístup k informáciám vymieňaným v rámci systému bol modulovaný prostredníctvom vytvorenia rôznych užívateľských profilov a „selektívnych“ komunikačných kanálov, ktoré poskytujú primerané ochranné opatrenia na zabezpečenie dodržiavania platných pravidiel o ochrane údajov.

Systém pozostáva najmä z dvoch hlavných komunikačných kanálov. Prvý kanál, takzvaný „všeobecný oznamovací“ kanál, umožňuje príslušnému zdravotnému orgánu v danom členskom štáte oznámiť všetkým vnútroštátnym kontaktným miestam EWRS, Komisii, ECDC a WHO informácie o udalostiach spôsobených prenosnými ochoreniami s potenciálnym rozsahom na úrovni EÚ, na ktoré sa vzťahuje oznamovacia povinnosť ustanovená v rozhodnutí č. 2119/98/ES (15).

Prostredníctvom všeobecného oznamovacieho kanála sa vo všeobecnosti neoznamujú žiadne údaje o zdravotnom stave alebo iné osobné údaje identifikovaných alebo identifikovateľných fyzických osôb. Do systému boli zavedené osobitné ochranné opatrenia, ktoré majú zabrániť nezákonnému spracovaniu údajov v rámci tohto kanála (pozri oddiel 7).

V prípade výskytu udalostí spôsobených prenosnými ochoreniami s potenciálnym rozsahom na úrovni EÚ však môže byť nevyhnutné, aby dotknuté členské štáty vo vzájomnej spolupráci uskutočnili konkrétne opatrenia týkajúce sa vysledovania kontaktov s cieľom vysledovať nakazené osoby a ďalších jednotlivcov vystavených nákaze, aby sa zabránilo šíreniu týchto závažných chorôb.

Aby sa zabezpečil súlad s pravidlami o ochrane údajov, boli zavedené primerané ochranné opatrenia obmedzujúce výmenu údajov týkajúcich sa vysledovania kontaktov a zdravotného stavu osôb iba na členské štáty, ktoré sú priamo dotknuté daným postupom vysledovania kontaktov, a vylučujúce, aby ostatné členské štáty siete, Komisia a ECDC mali prístup k týmto údajom (16).

Na tento účel bol do EWRS zabudovaný takzvaný „selektívny oznamovací“ kanál, aby sa zaručil výlučný komunikačný kanál medzi členskými štátmi dotknutými daným opatrením vysledovania kontaktov.

Výmenou osobných informácií prostredníctvom selektívneho oznamovacieho kanálu príslušné orgány preberajú na seba úlohu „kontrolóra“, pokiaľ ide o spracovanie týchto osobných údajov, a preto preberajú zodpovednosť za zákonnosť svojich činností spracovania a za zabezpečenie dodržiavania povinností súvisiacich s ochranou údajov, ktoré sú stanovené v platných vnútroštátnych právnych predpisoch, ktorými sa transponuje smernica 95/46/ES.

Kto je „kontrolór“?

Na účely smernice 95/46/ES „kontrolór znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov“ (17).

Používatelia v Komisii a ECDC nemajú v zásade prístup k osobným údajom vymieňaným prostredníctvom selektívneho oznamovacieho kanála (18). Z technických dôvodov však za centrálne uchovávanie údajov v EWRS nesie konečnú zodpovednosť Komisia ako správca a koordinátor systému. Z tohto dôvodu je Komisia zodpovedná aj za registráciu, uchovávanie, a ďalšie spracovanie osobných údajov oprávnených používateľov EWRS, ktoré sú potrebné na prevádzku systému.

EWRS je preto jasným príkladom spoločnej kontroly, pri ktorej zodpovednosť za zabezpečenie ochrany údajov je rozdelená na rôznych úrovniach medzi Komisiou a členskými štátmi. Okrem toho sa Komisia a členské štáty vo svojej funkcii spoločných kontrolórov rozhodli preniesť od roku 2005 každodennú prevádzku informatickej aplikácie EWRS na ECDC, ktoré vykonáva túto úlohu v mene Komisie. Pokiaľ ide o toto prenesenie právomoci, táto agentúra prevzala zodpovednosť za zabezpečenie, keďže je „spracovateľom“ utajenia a bezpečnosti činností spracovania, ktoré sa vykonávajú v rámci systému, v súlade s povinnosťami ustanovenými v článkoch 21 a 22 nariadenia (ES) č. 45/2001.

Kto je „spracovateľ“ a aké sú jeho povinnosti?

Na účely nariadenia (ES) č. 45/2001, „spracovateľ znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý spracováva osobné údaje v mene prevádzkovateľa“ (19).

V nariadení sa stanovuje, že ak je operácia spracovania vykonávaná v jeho mene, prevádzkovateľ si zvolí spracovateľa poskytujúceho dostatočné záruky vzhľadom na opatrenia technickej a organizačnej bezpečnosti požadované na účely bezpečnosti údajov. Prevádzkovateľ nesie konečnú zodpovednosť za zabezpečenie dodržiavania týchto opatrení. Povinnosti stanovené v článkoch 21 a 22 nariadenia, pokiaľ ide o utajenie a bezpečnosť spracovania, platia aj pre spracovateľa (20).

6.   UPLATŇOVANÉ ZÁSADY OCHRANY ÚDAJOV

Spracovanie osobných údajov v rámci EWRS musí byť v súlade so súborom zásad o ochrane údajov, ktoré sú stanovené v nariadení (ES) č. 45/2001 a smernici 95/46/ES.

Komisia a príslušné orgány v členských štátoch sú vo svojej funkcii kontrolórov zodpovedné za zabezpečenie dodržiavania týchto zásad vždy, keď spracúvajú osobné údaje prostredníctvom EWRS. Výber hlavných zásad o ochrane údajov je uvedený ďalej v texte. Tento výber nemá vplyv na ďalšie platné požiadavky na ochranu údajov, ktoré sú stanovené v príslušných právnych nástrojoch, ku ktorým je poskytnuté usmernenie v rámci rôznych oddielov týchto usmernení. Používateľov EWRS vyzývame najmä k tomu, aby si dôkladne prečítali oddiel 8 o poskytovaní informácií dotknutým osobám a oddiel 9 o prístupe a ďalších právach dotknutých osôb.

6.1.   Zásady týkajúce sa zákonnosti spracovania a obmedzenia účelu

Kontrolóri by mali zabezpečiť, aby boli osobné údaje spracúvané spravodlivo a zákonne. Táto zásada znamená predovšetkým to, že zber a akékoľvek ďalšie spracovanie osobných údajov by mali byť založené na zákonných dôvodoch stanovených zákonom (21). Po druhé, osobné údaje možno zhromažďovať iba na konkrétne, explicitné a legitímne účely a nemali by sa ďalej spracúvať spôsobom, ktorý je nezlučiteľný s týmito účelmi (22).

6.2.   Zásady týkajúce sa kvality údajov

Kontrolóri by mali zabezpečiť, aby osobné údaje boli adekvátne, relevantné a nie neprimerané vo vzťahu k účelom, na ktoré sa zhromažďujú. Okrem toho by údaje mali byť presné a aktualizované (23).

6.3.   Zásady týkajúce sa uchovávania údajov

Kontrolóri by mali zabezpečiť, aby osobné údaje boli uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb nie dlhšie, než je potrebné na účel, na ktorý boli tieto údaje zhromaždené, alebo na ktorý sú ďalej spracúvané (24).

6.4.   Zásady týkajúce sa utajenia a bezpečnosti údajov

Kontrolóri by mali zabezpečiť, aby akákoľvek osoba, ktorá má prístup k osobným údajom a ktorá koná v rámci právomoci spracovateľa, vrátane samotného spracovateľa, nespracovali tieto údaje inak, ako podľa pokynov kontrolóra (25). Okrem toho sa od kontrolórov vyžaduje, aby vykonali primerané technické a organizačné opatrenia na ochranu osobných údajov pred náhodným, nepovoleným alebo nezákonným zničením alebo stratou, pozmenením, prezradením alebo prístupom a pred všetkými ostatnými nezákonnými formami spracovania (26).

Vzhľadom na správne a účinné uplatňovanie uvedených zásad v kontexte využívania systému používateľmi sa používateľom EWRS odporúča najmä:

Aby sa zabezpečilo, že operácia spracovania má právny základ, že sa údaje zhromažďujú na zákonné a explicitné účely a že nie sú ďalej spracúvané spôsobom, ktorý je nezlučiteľný s týmito účelmi, zakaždým, keď zhromažďujú alebo inak spracúvajú osobné údaje prostredníctvom EWRS, používatelia EWRS:

—

by mali na základe jednotlivých prípadov posúdiť, či vykonávanie koordinovaných opatrení vysledovania kontaktov a následná aktivácia selektívneho kanála EWRS na výmenu súvisiacich údajov o vysledovaní kontaktov a ďalších osobných údajov je odôvodnené vzhľadom na povahu ochorenia a vedecky preukázané prínosy vysledovania kontaktov pre prevenciu alebo zníženie ďalšieho šírenia ochorenia, pri zohľadnení posúdenia rizika zdravotníckymi orgánmi v členských štátoch a existujúcimi vedeckými agentúrami, konkrétne ECDC a WHO,

—

by nemali používať všeobecný oznamovací kanál na výmenu údajov o vysledovaní kontaktov a ďalších osobných údajov. Mali by najmä zabezpečiť, aby žiadne takéto údaje neboli zahrnuté do súboru všeobecných správ, ktoré zasielajú, v ich prílohách alebo akejkoľvek inej forme. Využívanie všeobecného oznamovacieho kanála na účely vysledovania kontaktov by bolo nezákonné a neprimerané, pretože by to viedlo k prezradeniu osobných údajov príjemcom (vrátane Komisie a ECDC), ktorých sa netýka daný postup vysledovania kontaktov a ktorí nemusia mať prístup k týmto údajom,

—	keď používajú selektívnu funkciu, mali by prijať prístup „je potrebné vedieť“ a vybrať za príjemcov selektívnych správ obsahujúcich osobné údaje iba príslušné orgány v členských štátoch, ktoré musia spolupracovať v danom postupe vysledovania kontaktov.

Používatelia EWRS by mali byť osobitne ostražití v prípade, keď si prostredníctvom selektívneho oznamovacieho kanála vymieňajú citlivé údaje o zdravotnom stave identifikovanej alebo identifikovateľnej osoby, napríklad nakazených alebo potenciálne nakazených osôb, ktorých kontaktné údaje alebo iné osobné informácie sú súbežne zverejňované prostredníctvom EWRS, aby daná osoba mohla byť priamo alebo nepriamo identifikovaná. V tomto prípade sa naďalej uplatňujú už uvedené odporúčania; používatelia EWRS by okrem toho mali mať na pamäti, že výmena citlivých údajov je povolená na základe smernice 95/46/ES iba vo veľmi obmedzených prípadoch. Konkrétne (27):

—

Osoba, ktorej údaje sa zhromažďujú, dala výslovný súhlas s ich spracovaním (článok 8 ods. 2 písm. a) smernice 95/46/ES). Potreba včas zasiahnuť v prípade nepredvídaných zdravotných udalostí však môže spôsobiť, že nie je možné poskytnúť dotknutým osobám všetky informácie, ktoré sú pre nich potrebné, aby mohli dať informovaný súhlas (pozri oddiel 8 o poskytovaní informácií dotknutým osobám). Okrem toho sa o možnosti prípadného zverejnenia týchto údajov prostredníctvom EWRS nemusí vždy vedieť v čase, keď sú údaje zhromažďované,

—

V prípade neexistencie súhlasu dotknutých osôb môže byť spracovanie údajov o zdravotnom stave považované za zákonné, ak je nevyhnutné na „účely preventívnej medicíny, lekárskych diagnóz, poskytnutia starostlivosti alebo liečenia alebo riadenia zdravotníckych služieb“ za predpokladu, že údaje o zdravotnom stave sú spracúvané profesionálnym zdravotníckym subjektom podliehajúcim záväzku zachovania služobného tajomstva alebo inou osobou taktiež podliehajúcou podobnému záväzku (článok 8 ods. 3 smernice 95/46/ES). Inými slovami, vždy, keď používatelia EWRS zasielajú selektívnu správu obsahujúcu citlivé údaje o zdravotnom stave príjemcom v iných členských štátoch, mali by posúdiť, či zverejnenie takýchto údajov je skutočne nevyhnutné, aby príslušné orgány v dotknutých členských štátoch mohli uskutočniť osobitné opatrenia nevyhnutné na jeden z už uvedených účelov. Používateľom EWRS takisto pripomíname, že ďalšie dôvody na spracovanie údajov o zdravotnom stave môžu byť stanovené prostredníctvom ich príslušných vnútroštátnych právnych predpisov, ktorými sa transponuje smernica 95/46/ES, alebo prostredníctvom rozhodnutia ich vnútroštátneho DPA (28).

Aby sa zabezpečila kvalita osobných údajov, ktoré si používatelia EWRS vymieňajú prostredníctvom systému, a najmä pred odoslaním selektívnej správy, používatelia EWRS musia posúdiť, či:

—

osobné údaje, ktoré chcú vymieňať, sú skutočne potrebné na účinný postup vysledovania kontaktov. Inými slovami, príslušný orgán odosielajúci správu by mal poskytnúť orgánom v ostatných dotknutých členských štátoch iba tie osobné údaje, ktoré sú potrebné na jednoznačné určenie nakazených osôb alebo osôb vystavených nákaze. Orientačný zoznam osobných údajov, ktoré možno vymieňať na účely vysledovania kontaktov, pripojený k rozhodnutiu 2009/547/ES by sa mal chápať ako poskytnutie všeobecného a nepodmieneného povolenia na spracovanie týchto kategórií údajov. Súčasne je nevyhnutné byť mimoriadne obozretný, pokiaľ ide o spracovanie iných osobných údajov, ako sú údaje uvedené v danej prílohe, keďže je pravdepodobné, že zverejnenie bude neprimerané a nevhodné. Namiesto toho by sa malo uskutočniť individuálne posúdenie, či zahrnutie určitých osobných údajov je vyložene nevyhnutné na účely daného postupu vysledovania kontaktov.

Ďalšie spracovanie a uchovávanie osobných údajov mimo EWRS:

Je veľmi dôležité poznamenať, že vnútroštátne právne predpisy v oblasti ochrany údajov, ktorými sa transponuje smernica 95/46/ES, sa vzťahujú aj na uchovávanie a ďalšie spracovanie, mimo systému EWRS, osobných údajov získaných prostredníctvom systému. Táto situácia môže nastať napríklad vtedy, ak osobné údaje centrálne uchovávané v systéme sú potom uchovávané v miestnych osobných počítačoch používateľov alebo v databázach vytvorených na vnútroštátnej úrovni alebo ak sú tieto údaje sú zasielané príslušným orgánom zodpovedným za ich spracovanie v rámci EWRS ďalším orgánom alebo akýmkoľvek tretím stranám. Používateľov EWRS upozorňujeme, že v týchto prípadoch:

—	uchovávanie a ďalšie spracovanie údajov mimo EWRS nesmie byť nezlučiteľné s pôvodným účelom, na ktorý boli údaje zhromaždené a vymieňané v rámci EWRS,

—	toto ďalšie spracovanie musí mať právny základ v príslušných vnútroštátnych právnych predpisoch v oblasti ochrany údajov, musí byť nevyhnutné, vhodné, relevantné a nesmie byť neprimerané s ohľadom na pôvodné účely zberu v EWRS,

—	údaje musia byť aktualizované a odstránené, keď už nie sú potrebné na účely, na ktoré boli ďalej spracované,

—

keď sú údaje vybrané zo systému EWRS a poskytnuté tretím stranám, kontrolór musí informovať dotknuté osoby o tejto skutočnosti, aby sa zabezpečilo spravodlivé spracovanie, pokiaľ by to nebolo nemožné alebo by si to nevyžiadalo neprimerané úsilie, alebo ak poskytnutie týchto informácií je výslovne stanovené zákonom (článok 11 ods. 2 smernice 95/46/ES). Vzhľadom na to, že poskytnutie údajov sa môže vyžadovať na základe právnych predpisov iba jedného z príslušných členských štátov a tieto údaje nemusia byť inde známe, malo by sa vyvinúť úsilie na poskytnutie informácií aj vtedy, ak poskytnutie údajov je výslovne stanovené v právnych predpisoch.

7.   PROSTREDIE, V KTOROM SÚ ÚDAJE DOBRE CHRÁNENÉ

Do EWRS už bolo zabudovaných niekoľko funkcií na posilnenie dodržiavania zásad o ochrane údajov opísaných v oddiele 6 a na podnietenie používateľov EWRS, aby posúdili aspekty ochrany údajov vždy, keď používajú systém. Napríklad:

—

upozornenie je viditeľne zobrazené na stránke obsahujúcej prehľad správ EWRS a informuje používateľov o tom, že všeobecný oznamovací kanál nie je určený na úpravu údajov o vysledovaní kontaktov a iných osobných údajov, keďže používanie tohto kanála môže viesť k tomu, že tieto údaje budú zbytočne poskytnuté iným príjemcom, ako sú príjemcovia, ktorí k nim musia mať prístup,

—	prístup k informáciám vymieňaným v rámci systému bol upravený prostredníctvom vytvorenia rôznych užívateľských profilov a selektívnych komunikačných kanálov, ktoré poskytujú primerané ochranné opatrenia na zabezpečenie dodržiavania pravidiel v oblasti ochrany údajov,

—

najmä selektívny oznamovací kanál EWRS poskytuje výlučný komunikačný kanál na výmenu osobných informácií iba medzi dotknutými členskými štátmi. Do systému bola zabudovaná štandardná možnosť, ktorá automaticky vylučuje Komisiu a ECDC zo zoznamu možných prijímateľov selektívnych správ obsahujúcich osobné údaje (29),

—	systém automaticky vymaže všetky selektívne správy obsahujúce osobné informácie po dvanástich mesiacoch od dátumu zaslania správ (podrobnejšie údaje sú uvedené v oddiele 11 o uchovávaní údajov),

—

do systému bola zabudovaná funkcia umožňujúca používateľom kedykoľvek priamo upraviť alebo odstrániť selektívne správy obsahujúce osobné informácie, ktoré sú nepresné, neaktuálne, ktoré už nie sú potrebné alebo ktoré už nie sú inak v súlade s požiadavkami na ochranu údajov. Systém automaticky oznámi ostatným používateľom EWRS zapojeným do uvedenej osobitnej výmeny selektívnych informácií, že správa bola odstránená alebo že jej obsah bol upravený, s cieľom zabezpečiť dodržiavanie pravidiel o ochrane údajov,

—	v selektívnom oznamovacom kanáli bol sprístupnený osobitný mechanizmus umožňujúci vnútroštátnym orgánom, ktorých sa týka daná výmena informácií, komunikovať a spolupracovať pri žiadostiach dotknutých osôb o prístup, skorigovanie, blokovanie alebo odstránenie údajov.

Okrem toho sa predpokladá, že v strednodobom horizonte bude zaradený modul odbornej prípravy, ktorý je k dispozícii v rámci aplikácie EWRS, s cieľom poskytnúť používateľom EWRS rozsiahle vysvetlenie fungovania systému z hľadiska ochrany údajov. Používanie rôznych vlastností a funkcií zamerané na posilnenie dodržiavania pravidiel ochrany údajov bude objasnené pomocou praktických príkladov.

Zámerom Komisie je spolupracovať s členskými štátmi s cieľom zabezpečiť, aby koncept ochrany osobných údajov už v štádiu návrhu príslušných technológií prenikol do tohto a akéhokoľvek ďalšieho budúceho rozvoja EWRS od úplného začiatku (30) a aby zásady nutnosti, proporcionality, obmedzenia účelu a minimalizácie údajov boli riadne zohľadnené pri prijímaní rozhodnutí o tom, ktoré informácie sa môžu vymieňať prostredníctvom EWRS, s kým a za akých podmienok.

8.   POSKYTOVANIE INFORMÁCIÍ DOTKNUTÝM OSOBÁM

Jednou z hlavných požiadaviek na základe právneho rámca EÚ v oblasti ochrany údajov je povinnosť kontrolóra údajov poskytnúť jasné informácie dotknutým osobám o činnostiach spracovania, ktoré chce vykonať s ich osobnými údajmi.

V súlade s koordinačnou úlohou Komisie v rámci EWRS a s cieľom splniť už uvedenú povinnosť (31) Komisia sprístupnila jasné a komplexné vyhlásenie o ochrane osobných údajov na svojej webovej stránke venovanej EWRS, pokiaľ ide o činnosti spracovania, za ktorých vykonávanie je zodpovedná Komisia, a činnosti, ktoré vykonávajú príslušné orgány, najmä v rámci činností vysledovania kontaktov.

Zodpovednosť za poskytnutie informácií dotknutým osobám však nesú aj vnútroštátne príslušné orgány v členských štátoch vo svojej funkcii kontrolórov údajov, pokiaľ ide o ich príslušné činnosti spracovania v rámci EWRS.

Ktoré „informácie“ musia vnútroštátne príslušné orgány EWRS poskytnúť dotknutým osobám?

V prípade zberu údajov priamo od dotknutej osoby sa v článku 10 smernice 95/46/ES uvádza, že kontrolór alebo jeho zástupca musí v čase zberu údajov poskytnúť dotknutej osobe, od ktorej sa údaje zbierajú, aspoň tieto informácie, ak s nimi ešte dotknutá osoba nebola oboznámená:

a)	totožnosť kontrolóra a prípadne jeho zástupcu;

b)	účely spracovania, na ktoré sú údaje určené;

c)	akékoľvek ďalšie informácie ako: — príjemcovia alebo kategórie príjemcov údajov, — či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neposkytnutia odpovede, — existencia práva prístupu k údajom a právo na opravu údajov, ktoré sa týkajú dotknutej osoby,

pokiaľ sú takéto ďalšie informácie potrebné so zreteľom na špecifické okolnosti, za ktorých sa údaje zhromažďujú, aby sa zabezpečilo správne spracovanie, pokiaľ ide o dotknutú osobu.

V článku 11 smernice 95/46/ES sú uvedené minimálne informácie, ktoré má poskytnúť správca údajov v prípade, že údaje neboli získané od dotknutej osoby. Tieto informácie musia byť poskytnuté v čase vykonávania záznamu osobných údajov, alebo ak sa predpokladá poskytnutie informácií tretím stranám, najneskôr v čase, keď boli údaje poskytnuté po prvýkrát (32).

Z už uvedených ustanovení vyplýva, že v čase zberu osobných údajov od jednotlivcov (alebo najneskôr v čase, keď sú údaje poskytnuté po prvýkrát prostredníctvom EWRS) na účely prijatia opatrení nevyhnutných na ochranu verejného zdravia vo vzťahu k udalostiam, ktoré sa majú oznamovať na základe rozhodnutia č. 2119/98/ES a jeho vykonávacích predpisov, musia príslušné vnútroštátne orgány zaslať priamo dotknutým osobám právne oznámenia obsahujúce informácie uvedené v článkoch 10 a 11 smernice 95/46/ES. Toto oznámenie by malo obsahovať aj stručný odkaz na EWRS a odkaz na príslušné dokumenty a vyhlásenia o ochrane osobných údajov na vnútroštátnych webových stránkach príslušných orgánov, ako aj na webovú stránku Komisie venovanú EWRS.

Presná miera podrobnosti informácií, ktoré sa majú poskytnúť v právnom oznámení, sa môže medzi jednotlivými členskými štátmi výrazne líšiť. V určitých vnútroštátnych právnych predpisoch sa stanovujú rozsiahlejšie povinnosti kontrolórov údajov týkajúce sa poskytovania ďalších informácií, medzi ktoré patria informácie o práve dotknutých osôb na získanie odškodnenia, o uchovávaní údajov a lehotách ich uchovávania, o bezpečnostných opatreniach atď.

Je pravda, že potreba včasného zásahu v prípade nepredvídaných zdravotných udalostí môže spôsobiť, že nie je možné, keď údaje neboli získané od dotknutej osoby, poskytnúť dotknutým osobám oznámenie s cieľom informovať ich o účeloch spracovania ich osobných údajov. V tejto súvislosti sa v článku 11 ods. 2 smernice 95/46/ES uvádza, že právo dotknutých osôb na informácie môže byť obmedzené v prípade, že „poskytnutie takýchto informácií sa javí ako nemožné alebo by predstavovalo neprimerané úsilie, alebo ak je zaznamenanie alebo poskytnutie výslovne stanovené zákonom. V takýchto prípadoch členské štáty zabezpečia primerané ochranné opatrenia“.

Všeobecnejšie, je potrebné uviesť, že osobitné obmedzenia práva dotknutých osôb na informácie sa môžu uplatniť na základe vnútroštátnych právnych predpisov v oblasti ochrany údajov, ktorými sa transponuje smernica 95/46/ES (33). Akékoľvek obmedzenia špecifické pre krajinu by mali byť jednoznačne uvedené v oznámeniach o ochrane osobných údajov poskytnutých dotknutým subjektom alebo vo vyhláseniach o ochrane osobných údajov uverejnených na vnútroštátnych webových stránkach príslušných orgánov.

Je na vnútroštátnych príslušných orgánoch v členských štátoch, aby rozhodli, akou formou a ako presne oznámiť tieto informácie dotknutým osobám. Keďže väčšina príslušných orgánov bude vykonávať iné činnosti spracovania, ako výmenu informácií v rámci EWRS, spôsob, akým budú informovať jednotlivcov, môže byť v prípade potreby rovnaký, ako spôsob zvolený na oznámenie podobných informácií v prípade činností spracovania na základe vnútroštátnych právnych predpisov. Okrem toho sa odporúča, aby príslušné orgány aktualizovali alebo dopĺňali politiky alebo vyhlásenia týkajúce sa ochrany osobných údajov – ak už nejaké majú na svojich vnútroštátnych webových stránkach – s osobitným odkazom na výmenu osobných údajov v rámci EWRS.

Zo všetkých už uvedených dôvodov je veľmi dôležité, aby sa príslušné orgány v členských štátoch poradili so svojimi príslušnými vnútroštátnymi DPA, keď vypracúvajú štandardné právne oznámenia a vyhlásenia o ochrane osobných údajov v súlade s článkami 10 a 11 smernice 95/46/ES.

9.   PRÍSTUP K OSOBNÝM ÚDAJOM A ĎALŠIE PRÁVA DOTKNUTÝCH OSÔB

Požiadavky na ochranu údajov týkajúce sa poskytovania informácií dotknutým osobám preskúmané v oddiele 8 sú zamerané najmä na zabezpečenie transparentnosti činností spracovania osobných údajov. Transparentnosť je takisto hlavným cieľom ustanovení o práve dotknutých osôb na prístup k údajom, ktoré je ustanovené v právnych nástrojoch EÚ v oblasti ochrany údajov (34).

Čo je „právo dotknutých osôb na prístup k údajom“?

Od kontrolórov údajov sa vyžaduje, aby každej dotknutej osobe zaručili právo získať, bez neprimeraného odkladu alebo výdavkov, potvrdenie o tom, či osobné údaje, ktoré sa jej týkajú, sú alebo nie sú spracúvané, ako aj informácie o účeloch tohto spracovania a o príjemcoch, ktorým sa údaje môžu poskytnúť.

Správcovia údajov musia zaručiť dotknutým osobám aj právo dosiahnuť opravu, odstránenie alebo zablokovanie údajov, ktorých spracovanie nie je v súlade s platnými právnymi predpismi v oblasti ochrany údajov, napríklad v dôsledku neúplnosti alebo nepresnosti údajov.

Nakoniec, kontrolóri údajov musia informovať tretie strany, ktorým boli údaje poskytnuté, o akejkoľvek oprave, odstránení alebo zablokovaní, ktoré sa vykonali na základe oprávnenej žiadosti dotknutej osoby, pokiaľ sa neukáže, že je to nemožné alebo si to vyžaduje neprimerané úsilie.

Komisia a členské štáty vo svojej funkcii kontrolórov nesú spoločne zodpovednosť, pokiaľ ide o zabezpečenie práv na prístup, opravu, zablokovanie a odstránenie osobných údajov spracovaných v rámci EWRS za podmienok opísaných ďalej v texte.

Komisia nesie zodpovednosť za poskytnutie prístupu k osobným údajom vnútroštátnych kontaktných miest EWRS a za riešenie žiadostí súvisiacich s opravou, zablokovaním a odstránením údajov. Vyzývame vnútroštátne kontaktné miesta, aby si pozreli osobitné ustanovenie v komplexnom vyhlásení o ochrane osobných údajov na webovej stránke Komisie venovanej EWRS (35), kde získajú podrobnejšie informácie o tom, ako uplatňovať svoje práva ako dotknuté osoby.

Používatelia EWRS sú informovaní aj o tom, že do systému už bola zabudovaná funkcia, ktorá im umožňuje priamo upraviť ich osobné údaje. Dátové polia, na ktorých je identifikovaný účet EWRS (akreditovaná e-mailová adresa používateľa, druh účtu atď.), však používatelia nemôžu zmeniť sami, aby sa zabránilo riziku, že neoprávnení používatelia získajú prístup do systému. Preto akákoľvek žiadosť o úpravu týchto dátových polí by mala byť adresovaná kontrolórovi údajov v Komisii, ako je uvedené v komplexnom vyhlásení o ochrane osobných údajov na webovej stránke Komisie venovanej EWRS.

Zodpovednosť za riešenie žiadostí dotknutých osôb týkajúcich sa údajov o vysledovaní kontaktov, údajov o zdravotnom stave a ďalších osobných údajov vymieňaných medzi členskými štátmi prostredníctvom EWRS nesú príslušné orgány zapojené do danej selektívnej výmeny informácií. Táto zodpovednosť sa riadi ustanoveniami vnútroštátnych právnych predpisov v oblasti ochrany údajov, ktorými sa transponuje smernica 95/46/ES.

Je však potrebné poznamenať, že osobitné zákazy alebo obmedzenia práv dotknutých osôb na prístup, opravu, odstránenie alebo zablokovanie údajov sa môžu uplatňovať na základe vnútroštátnych právnych predpisov v oblasti ochrany údajov, ktorými sa transponuje smernica 95/46/ES (36). Akékoľvek takéto zákazy a obmedzenia by mali byť jednoznačne uvedené v oznámeniach o ochrane osobných údajov poskytnutých dotknutým osobám alebo vo vyhláseniach o ochrane údajoch uverejnených na vnútroštátnych webových stránkach príslušných orgánov. Kontaktným miestam EWRS sa preto odporúča, aby sa obrátili na svoje vnútroštátne DPA, aby od nich získali viac informácií o tejto otázke.

Zložitosť EWRS, s mnohými používateľmi zapojenými do činností spoločného spracovania, si vyžaduje jasný a jednoduchý prístup k právu dotknutých osôb na prístup k údajom, keďže dotknuté osoby nie sú oboznámené s fungovaním systému a malo by im byť umožnené, aby účinne uplatňovali svoje práva.

Odporúčaný prístup by bol taký, že ak by sa dotknutá osoba domnievala, že sa jej osobné údaje spracúvajú v rámci EWRS a chcela by mať prístup k nim alebo by chcela, aby boli odstránené alebo opravené, mala by mať možnosť obrátiť sa na akýkoľvek z vnútroštátnych príslušných orgánov, s ktorým mala kontakty a/alebo ktorý zhromaždil jej údaje vo vzťahu k osobitnej udalosti predstavujúcej riziko pre verejné zdravie (napríklad orgán krajiny, ktorej je dotknutá osoba štátnym príslušníkom, aj orgán krajiny pobytu osoby v čase udalosti), ako aj na akýkoľvek iný orgán zapojený do danej výmeny informácií vo vzťahu k vykonávaniu opatrení týkajúcich sa vysledovania kontaktov.

Žiadny príslušný orgán zapojený do príslušnej výmeny informácií by nemal odmietnuť prístup, opravu alebo odstránenie údajov na základe odôvodnenia, že nevložil údaje do EWRS, alebo že dotknutá osoba sa má obrátiť na iný príslušný orgán. Najmä ak príslušnému orgánu bude doručená žiadosť inej dotknutej osoby, ako je osoba, ktorá zaslala pôvodné informácie prostredníctvom selektívneho kanálu na výmenu, prijímajúci orgán by mal postúpiť žiadosť, prostredníctvom osobitného mechanizmu uvedeného v oddiele 7, príslušnému orgánu, ktorý zaslal pôvodnú správu a ktorý rozhodne o žiadosti.

Ak je to vhodné, príslušný orgán, ktorý zaslal informácie do systému, sa môže pred prijatím rozhodnutia obrátiť na iné príslušné orgány zapojené do výmeny informácií alebo inak dotknuté žiadosťou dotknutej osoby prostredníctvom osobitného mechanizmu uvedeného v oddiele 7.

Dotknuté osoby by mali byť informované aj o tom, že ak nebudú spokojné s doručenou odpoveďou, môžu sa obrátiť na iný príslušný orgán zapojený do výmeny informácií. Dotknuté osoby majú v každom prípade právo podať podnet vnútroštátnemu orgánu na ochranu údajov, ktorý je jedným z týchto príslušných orgánov, ktorý je pre nich najvhodnejší. Ak je to nevyhnutné a vhodné, vnútroštátne DPA by mali navzájom spolupracovať pri riešení podnetu (článok 28 smernice 95/46/ES).

Nakoniec, okrem osobitného odporúčania uvedeného v stanovisku EDPS Komisia zaviedla do EWRS novú funkciu, ktorá umožňuje on-line opravu a odstránenie, na účely dodržania ochrany údajov, selektívnych správ obsahujúcich osobné informácie, ktoré sú nepresné, neaktuálne, ktoré už nie sú potrebné alebo ktoré nie sú inak v súlade s požiadavkami na ochranu údajov.

10.   BEZPEČNOSŤ ÚDAJOV

Prístup do systému je obmedzený na oprávnených používateľov z Komisie a ECDC a na formálne určené vnútroštátne kontaktné miesta EWRS. Prístup je chránený prostredníctvom zabezpečeného a personalizovaného užívateľského účtu a hesla.

Postupy týkajúce sa zaobchádzania s osobnými informáciami v EWRS sú stanovené s odkazom na požiadavky uvedené v článkoch 21 a 22 nariadenia (ES) č. 45/2001.

11.   UCHOVÁVANIE ÚDAJOV

V súlade s požiadavkami na ochranu údajov podľa článku 4 ods. 1 písm. e) nariadenia (ES) 45/2001 a článku 6 ods. 1 písm. e) smernice 95/46/ES systém automaticky odstráni všetky selektívne správy obsahujúce osobné informácie po dvanástich mesiacoch odo dňa zaslania týchto správ.

Toto ochranné opatrenie, ktoré je súčasťou návrhu systému, však nezbavuje používateľov EWRS – keďže sú výhradne a individuálne zodpovední za svoje vlastné činnosti spracovania v rámci selektívneho oznamovacieho kanála – povinnosti prijať opatrenia na odstránenie osobných údajov, ktoré už nie sú potrebné, zo systému pred skončením štandardného jednoročného obdobia.

Na tento účel Komisia zaviedla do EWRS novú funkciu, ktorá umožňuje používateľom kedykoľvek priamo odstrániť selektívne správy obsahujúce osobné informácie, ktoré už nie sú potrebné.

Nakoniec je potrebné pripomenúť, že vnútroštátne príslušné orgány sú zodpovedné za dodržiavanie svojich vlastných pravidiel v oblasti ochrany údajov, pokiaľ ide o uchovávanie osobných údajov, ktoré sú stanovené v príslušných právnych predpisoch, ktorými sa transponuje smernica 95/46/ES. Automatické odstránenie osobných informácií uchovaných v systéme po jednom roku nebráni používateľom EWRS, aby tie isté informácie uchovávali mimo EWRS počas rôznych (napríklad dlhších) období za predpokladu, že je to v súlade s povinnosťami vyplývajúcimi z ich príslušných vnútroštátnych právnych predpisov v oblasti ochrany údajov a že obdobia stanovené vo vnútroštátnych právnych predpisoch sú zlučiteľné s požiadavkami stanovenými v článku 6 ods. 1 písm. e) smernice 95/46/ES.

12.   SPOLUPRÁCA S VNÚTROŠTÁTNYMI ORGÁNMI NA OCHRANU ÚDAJOV

Vyzývame príslušné orgány, aby sa obrátili na svoje príslušné vnútroštátne DPA, najmä keď čelia problémom súvisiacim s ochranou údajov, na ktoré sa nevzťahujú tieto usmernenia.

Príslušné orgány si musia takisto uvedomiť, že na základe vnútroštátnych právnych predpisov, ktorými sa transponuje smernica 95/46/ES, by mohlo byť nevyhnutné, aby informovali svoje príslušné DPA o svojich vlastných činnostiach spracovania údajov v rámci EWRS. V určitých členských štátoch by sa dokonca mohlo vyžadovať predchádzajúce povolenie od vnútroštátneho DPA.

---

(1)  ECDC takisto podporuje Komisiu a pomáha jej pri prevádzkovaní aplikácie EWRS. Táto úloha bola uložená ECDC nariadením Európskeho parlamentu a Rady (ES) č. 851/2004 z 21. apríla 2004, ktorým sa zriaďuje Európske centrum pre prevenciu a kontrolu chorôb, a najmä jeho článkom 8 (Ú. v. EÚ L 142, 30.4.2004, s. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS.

(3)  Kategórie prenosných ochorení, ktorých sa sieť týka, sú obmedzené na kategórie uvedené v prílohe k rozhodnutiu č. 2119/98/ES.

(4)  Článok 2 písm. a) smernice 95/46/ES a článok 2 písm. a) nariadenia (ES) č. 45/2001.

(5)  Článok 4 rozhodnutia č. 2119/98/ES.

(6)  Príloha I k rozhodnutiu 2000/57/ES o vymedzení „udalostí“, ktoré sa majú oznamovať v rámci EWRS.

(7)  Článok 6 rozhodnutia č. 2119/98/ES.

(8)  Objasnenie zákonných účelov spracovania osobných údajov v rámci EWRS, aby obsahovali údaje o „vysledovaní kontaktov“, bolo výsledkom zmien a doplnení zavedených v rozhodnutí Komisie 2000/57/ES nariadením 2009/547/ES.

(9)  Článok 2 písm. b) smernice 95/46/ES a článok 2 písm. b) nariadenia (ES) č. 45/2001.

(10)  Pokiaľ ide o vymedzenie pojmu „kontrolór“, pozri oddiel 5 ďalej v texte.

(11)  Orientačný zoznam osobných údajov, ktoré možno vymieňať na účely vysledovania kontaktov, je uvedený v prílohe k rozhodnutiu 2009/547/ES.

(12)  Článok 1 a príloha I k rozhodnutiu 2000/57/ES o vymedzení „udalostí“, ktoré sa majú oznamovať v rámci EWRS.

(13)  Článok 2a rozhodnutia 2000/57/ES zavedený rozhodnutím 2009/547/ES.

(14)  Ako je uvedené v článku 8 ods. 4 smernice 95/46/ES.

(15)  Pozri najmä jeho články 4, 5 a 6.

(16)  Článok 2a rozhodnutia 2000/57/ES zavedený rozhodnutím 2009/547/ES.

(17)  Vymedzenie pojmov ustanovené v článku 2 písm. d) smernice 95/46/ES.

(18)  Vo výnimočných prípadoch môže byť Komisia zapojená do výmeny osobných údajov prostredníctvom selektívneho kanála EWRS v prípade, keď je to absolútne nevyhnutné z dôvodu koordinácie alebo umožnenia včasného a účinného vykonania opatrení v oblasti verejného zdravia, ktoré sú požadované na základe rozhodnutia č. 2119/98/ES a jeho vykonávacích predpisov. V týchto prípadoch Komisia zabezpečí, aby spracovanie bolo zákonné a aby sa uskutočnilo v súlade s ustanoveniami nariadenia (ES) č. 45/2001.

(19)  Vymedzenie pojmov ustanovené v článku 2 písm. e) nariadenia (ES) č. 45/2001.

(20)  Tieto zásady sú zakotvené v článku 23 ods. 1 nariadenia (ES) č. 45/2001 o spracovaní osobných údajov v mene prevádzkovateľov.

(21)  Zásada zákonnosti spracovania vyplýva zo spoločných ustanovení článku 6 ods. 1 písm. a), článku 7 a článku 8 smernice 95/46/ES. Pozri aj príslušné ustanovenia nariadenia (ES) č. 45/2001.

(22)  Zásada obmedzenia účelu je uvedená v článku 6 ods. 1 písm. b) smernice 95/46/ES a v príslušnom ustanovení článku 4 ods. 1 písm. b) nariadenia (ES) č. 45/2001.

(23)  Článok 6 ods. 1 písm. c) a d) smernice 95/46/ES a článok 4 ods. 1 písm. c) a d) nariadenia (ES) č. 45/2001.

(24)  Článok 6 ods. 1 písm. e) smernice 95/46/ES a článok 4 ods. 1 písm. e) nariadenia (ES) č. 45/2001.

(25)  Zásada utajenia je ustanovená v článku 16 smernice 95/46/ES a príslušnom ustanovení článku 21 nariadenia (ES) č. 45/2001.

(26)  Zásada bezpečnosti údajov je uvedená v článku 17 smernice 95/46/ES a príslušnom ustanovení článku 22 nariadenia (ES) č. 45/2001.

(27)  Úplný zoznam výnimiek zo zákazu spracovania určitých osobitných kategórií údajov, vrátane údajov o zdravotnom stave, je uvedený v článku 8 ods. 2, 3, 4 a 5 smernice 95/46/ES.

(28)  Článok 8 ods. 4 smernice 95/46/ES.

(29)  Používateľom EWRS sa však poskytuje alternatívna možnosť používať tento kanál aj na selektívne spoločné využívanie informácií týkajúcich sa technických otázok, ktoré nezahŕňajú prenos osobných údajov. V prípade, že namiesto štandardnej možnosti sa vyberie alternatívna možnosť, orgán zasielajúci správu si môže za príjemcov vybrať Komisiu a ECDC. Táto funkcia bola umožnená v systéme s cieľom zohľadniť inštitucionálnu úlohu Komisie v koordinácii otázok riadenia rizika a udalostí a úlohu ECDC pri plnení úloh posudzovania rizika.

(30)  Podľa zásady „ochrana súkromia už v štádiu návrhu príslušných technológií“ sa informačné a komunikačné technológie (IKT) majú navrhovať a rozvíjať pri zohľadnení požiadaviek na ochranu súkromia a údajov od úplného počiatku technológie a vo všetkých fázach jej rozvoja.

(31)  Povinnosť Komisie poskytnúť informácie je založená na článkoch 11 a 12 nariadenia (ES) č. 45/2001.

(32)  Informácie, ktoré sa majú poskytnúť, sú informácie uvedené v článku 10 s pridaním príslušných kategórií údajov. Tieto informácie sa pochopiteľne nevyžadujú v prípade zberu priamo od dotknutej osoby, ktorá je informovaná o príslušných kategóriách údajov, keďže tieto sa zhromažďujú.

(33)  V článku 13 ods. 1 smernice 95/46/ES o výnimkách a obmedzeniach sa uvádza toto: „Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv uvedených v článkoch 6 ods. 1, v článku 10 a 11 ods. 1, v článkoch 12 a 21, keď takéto obmedzenie vytvára nevyhnutné opatrenia na zabezpečenie údajov o: a) štátnej bezpečnosti; b) obrane; c) verejnej bezpečnosti; d) prevencii, vyšetrovaní, pátraní a trestnom konaní alebo porušení etiky pre predpísané profesie; e) dôležitom hospodárskom alebo finančnom záujme členského štátu alebo Európskej únie, vrátane peňažných, rozpočtových a daňových záležitostí; f) monitorovaní, inšpekcii alebo regulačnej funkcii spojenej aj s výkonom oficiálneho orgánu v prípadoch uvedených v písmenách c), d) a e); g) ochrane dotknutej osoby alebo práv a slobôd ostatných“.

(34)  Článok 12 smernice 95/46/ES a články 13 až 18 nariadenia (ES) č. 45/2001.

(35)  Vyhlásenie o ochrane osobných údajov je k dispozícii aj všetkým používateľom EWRS z bezpečnej časti aplikácie EWRS.

(36)  Článok 13 ods. 1 smernice 95/46/ES.