PRILOGA

SMERNICE ZA VARSTVO PODATKOV PRI SISTEMU ZGODNJEGA OBVEŠČANJA IN ODZIVANJA (SISTEM EWRS)

1.   UVOD

Sistem EWRS je spletna aplikacija, ki jo je oblikovala Evropska komisija v sodelovanju z državami članicami, da bi vzpostavila strukturirano in trajno komunikacijo med Komisijo in pristojnimi javnozdravstvenimi organi v državah članicah Evropskega gospodarskega prostora, odgovornimi za pripravo ukrepov, ki so potrebni za varovanje javnega zdravja. Evropski center za preprečevanje in obvladovanje bolezni (v nadaljnjem besedilu: center ECDC), ki je agencija EU, je od leta 2005 prav tako povezan s sistemom EWRS (1).

Sodelovanje med nacionalnimi organi na področju zdravja je bistveno za povečanje zmogljivosti držav članic, da preprečijo morebitno širjenje nalezljivih bolezni v EU, in njihovo pripravljenost za usklajen in pravočasen odziv na dogodke, ki jih povzročijo nalezljive bolezni, ki ogrožajo ali lahko ogrožajo javno zdravje.

Prejšnji izbruhi sindroma akutnega oteženega dihanja (SARS), pandemične gripe A(H1N1) in drugih nalezljivih bolezni so jasno pokazali, kako hitro se lahko širijo prej neznane bolezni, pri tem pa povzročajo visoko stopnjo smrtnosti in obolevnosti. Hitro potovanje in svetovna trgovina pospešujeta prenos nalezljivih bolezni, ki ne poznajo meja. Zgodnje odkrivanje ter učinkovito sporočanje in usklajevanje na evropski in mednarodni ravni sta bistvena za obvladovanje takih nepredvidljivih dogodkov in preprečevanje zelo škodljivega razpleta dogodkov.

Sistem EWRS je bil oblikovan kot centraliziran mehanizem, ki naj bi državam članicam omogočal pravočasno in varno pošiljanje opozoril, izmenjavo informacij in usklajevanje odziva v zvezi z dogodki, ki morebiti ogrožajo zdravje v EU.

2.   PODROČJE UPORABE IN CILJI SMERNIC

Upravljanje in uporaba sistema EWRS lahko v posebnih primerih vključujeta izmenjavo osebnih podatkov, če tako določajo ustrezni pravni instrumenti (glej razdelek 4 o pravnih podlagah za izmenjavo osebnih podatkov v sistemu EWRS).

Izmenjave osebnih podatkov med pristojnimi organi na področju zdravja v državah članicah morajo biti skladne s pravili o varstvu osebnih podatkov, opredeljenimi v nacionalnih zakonih, ki prenašajo Direktivo 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.

Ker pa uporabniki sistema EWRS niso strokovnjaki za varstvo podatkov in se morda vedno ne zavedajo dovolj zahtev o varstvu podatkov, ki jih nalaga zakonodaja, jim je priporočljivo zagotoviti smernice, v katerih je uporabniku prijazno in lahko razumljivo razloženo delovanje sistema EWRS z vidika varstva podatkov. Smernice so namenjene tudi povečanju ozaveščenosti ter spodbujanju najboljših praks ter doslednega in enotnega pristopa k spoštovanju varstva podatkov pri uporabnikih sistema EWRS v državah članicah.

Vendar je treba omeniti, da te smernice niso namenjene celovitemu pregledu vseh vprašanj s področja varstva podatkov, povezanih s sistemom EWRS. Dodatna navodila in pomoč je mogoče dobiti pri organih za varstvo podatkov v državah članicah. Zlasti pa se uporabnike sistema EWRS močno spodbuja, da se pri zadevnem organu za varstvo podatkov pozanimajo o najboljšem načinu izvajanja teh smernic na nacionalni ravni, da bi zagotovili popolno spoštovanje zahtev glede varstva podatkov, ki so značilne za posamezno državo. Seznam organov za varstvo podatkov in njihovih kontaktnih podatkov je na voljo na naslednjem spletnem naslovu:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm.

Nazadnje je treba poudariti, da te smernice niso merodajna razlaga zakonodaje EU na področju varstva podatkov, saj je v institucionalnem sistemu Unije za razlago zakonodaje EU izključno pristojno Sodišče Evropske unije.

3.   PRAVO, KI SE UPORABLJA, IN NADZOR

Določitev prava, ki se uporablja, je odvisna od tega, kdo je uporabnik sistema EWRS. Obdelava osebnih podatkov s strani Komisije in centra ECDC v okviru upravljanja in delovanja sistema (v obsegu, predstavljenem v naslednjih razdelkih) je zlasti urejena z Uredbo (ES) št. 45/2001.

Glede obdelave osebnih podatkov s strani nacionalnih pristojnih organov za sistem EWRS je pravo, ki se uporablja, ustrezna nacionalna zakonodaja na področju varstva podatkov, ki prenaša Direktivo 95/46/ES. Omeniti je treba, da ta direktiva pušča državam članicam nekaj manevrskega prostora za prenos njenih določb v nacionalno zakonodajo. Direktiva zlasti omogoča državam članicam, da v posebnih primerih uvedejo izjeme ali odstopanja za številne njene določbe. Hkrati lahko nacionalna zakonodaja na področju varstva podatkov, ki se uporablja za uporabnika sistema EWRS, določi strožje zahteve ali zahteve, značilne za posamezno državo, ki v zakonodajah drugih držav članic niso predvidene.

Ob upoštevanju vseh teh posebnosti se uporabnikom sistema EWRS svetuje, da se o navedenih smernicah pogovorijo z zadevnimi organi za varstvo podatkov zaradi zagotovitve, da so izpolnjene vse zahteve, ki jih nalagajo veljavne nacionalne zakonodaje. Na primer, podrobnosti informacij, ki jih je ob zbiranju podatkov treba zagotoviti posameznikom, na katere se nanašajo osebni podatki, se lahko od ene države članice do druge precej razlikujejo, enako pa velja tudi za pravila za obdelavo posebnih vrst osebnih podatkov (na primer zdravstvenih podatkov) posameznikov.

Ena od glavnih značilnosti pravnega okvira EU na področju varstva podatkov, ki ga sestavljata Uredba (ES) št. 45/2001 in Direktiva 95/46/ES, je nadzor, ki ga izvajajo javni in neodvisni organi za varstvo podatkov. Obdelavo osebnih podatkov s strani institucij in organov EU nadzira Evropski nadzornik za varstvo podatkov (v nadaljnjem besedilu: ENVP) (2), medtem ko obdelavo podatkov s strani fizičnih ali pravnih oseb, nacionalnih javnih organov, agencij ali drugih organov v državah članicah nadzirajo zadevni organi za varstvo podatkov. Nadzorni organi so v vseh državah članicah pooblaščeni za obravnavo pritožb, ki jih državljani vložijo v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Za podrobnejše informacije o tem, kako obravnavati zahtevke ali pritožbe posameznikov, na katere se nanašajo osebni podatki, so uporabniki sistema EWRS vabljeni, da si ogledajo razdelek 9 o dostopu do osebnih podatkov in drugih pravicah posameznikov, na katere se nanašajo osebni podatki.

4.   PRAVNE PODLAGE ZA IZMENJAVO OSEBNIH PODATKOV V SISTEMU EWRS

Odločba št. 2119/98/ES je vzpostavila mrežo na ravni EU (v nadaljnjem besedilu: mreža) za spodbujanje sodelovanja in usklajevanja med državami članicami, ob pomoči Komisije, katere namen je izboljšati preprečevanje in obvladovanje nalezljivih bolezni v EU (3). V tem okviru je bil vzpostavljen sistem EWRS kot eden od stebrov mreže, ki omogoča izmenjavo informacij, posvetovanje in usklajevanje na evropski ravni, če pride do dogodkov, ki so jih povzročile nalezljive bolezni in bi lahko ogrozili javno zdravje v EU.

Opozoriti je treba, da niso vse informacije, izmenjane v okviru sistema EWRS, osebne narave. Dejansko se na splošno v tem okviru ne izmenjujejo podatki, povezani z zdravjem, ali drugi podatki določenih ali določljivih fizičnih oseb.

Kaj je „osebni podatek“?

V Direktivi 95/46/ES in Uredbi (ES) št. 45/2001 pomeni osebni podatek katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo („posameznik, na katerega se nanašajo osebni podatki“); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, zlasti s pomočjo identifikacijske številke ali enega ali več dejavnikov, značilnih za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno istovetnost (4).

Pristojni zdravstveni organi v državi članici Evropskega gospodarskega prostora večinoma v mrežo prek sistema EWRS sporočajo informacije o, med drugim, pojavu ali ponovnem pojavu primerov nalezljivih bolezni, skupaj z informacijami o uporabljenih ukrepih za obvladovanje, ali informacije o nenavadnih epidemijskih pojavih ali novih nalezljivih boleznih neznanega izvora (5), zaradi katerih se od držav članic pričakuje pravočasno in usklajeno ukrepanje, da obvladajo nevarnost širjenja v EU (6). Države članice se bodo na podlagi informacij, ki so na voljo prek mreže, med seboj in v povezavi s Komisijo posvetovale glede uskladitve svojih prizadevanj za preprečevanje in obvladovanje teh bolezni, vključno z ukrepi, ki so jih sprejele ali jih nameravajo sprejeti na nacionalni ravni (7).

Vendar v nekaterih primerih informacije, izmenjane prek sistema, dejansko zadevajo posameznike in se lahko štejejo za osebne podatke.

Prvič, obdelava omejene količine osebnih podatkov pooblaščenih uporabnikov sistema EWRS je sestavni del njegovega upravljanja in delovanja. Dejansko je obdelava kontaktnih podatkov uporabnikov (ime, organizacija, elektronski naslov, telefonska številka itd.) bistvena za vzpostavitev in delovanje sistema. Te osebne podatke zbirajo države članice, dalje pa se jih obdeluje v skladu z odgovornostjo Komisije, izključno za namene učinkovitega sodelovanja glede upravljanja sistema EWRS in zadevne mreže.

Pomembneje je, da se zaradi dogodka, povezanega z nalezljivimi boleznimi, z možno razsežnostjo na ravni EU, morda zahteva, da države članice v medsebojnem sodelovanju izvajajo posebne ukrepe za obvladovanje, tako imenovane ukrepe za „sledenje stikov“, zaradi določitve okuženih oseb in možnih ogroženih posameznikov ter preprečitve prenosa hudih nalezljivih bolezni. Tako sodelovanje lahko obsega izmenjavo osebnih podatkov prek sistema EWRS, vključno z občutljivimi zdravstvenimi podatki, o potrjenih ali sumljivih primerih pri ljudeh med državami članicami, ki jih ukrepi za sledenje stikov neposredno zadevajo (8).

Kaj je „obdelava osebnih podatkov“?

V Direktivi 95/46/ES in Uredbi (ES) št. 45/2001 „obdelava osebnih podatkov pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje“ (9).

V zgoraj navedenih primerih mora biti obdelava osebnih podatkov v sistemu EWRS utemeljena s posebnimi pravnimi podlagami. V zvezi s tem člen 7 Direktive 95/46/ES in ustrezne določbe člena 5 Uredbe (ES) št. 45/2001 določajo merila za zakonitost obdelave podatkov.

Obdelava kontaktnih podatkov uporabnikov sistema EWRS temelji na:

—	členu 5(b) Uredbe (ES) št. 45/2001: „obdelava je potrebna zaradi skladnosti s pravno zavezo, ki ji je zavezan upravljavec (10)“. Obdelava je potrebna za upravljanje in zagotavljanje delovanja sistema EWRS s strani Komisije ob podpori centra ECDC;

—

in členu 5(d) Uredbe (ES) št. 45/2001: „posameznik, na katerega se nanašajo osebni podatki, je nedvoumno dal svojo privolitev“. Kontaktni podatki uporabnikov so bili pridobljeni od posameznikov, na katere se nanašajo osebni podatki, potem ko jim je bilo omogočeno, da na podlagi vnaprejšnjega obveščanja dajo privolitev k obdelavi svojih osebnih podatkov v sistemu EWRS (glej razdelek 8 o zagotavljanju informacij posameznikom, na katere se nanašajo osebni podatki).

Merila iz člena 7(c), (d) in (e) Direktive 95/46/ES so najbolj pomembna za izmenjavo podatkov iz sledenja stikov (na primer kontaktnih podatkov okužene osebe, podatkov o prevoznem sredstvu in drugih podatkov, povezanih z načrtom potovanja zadevne osebe in kraji bivanja, informacijami o obiskanih osebah in osebah, ki so morda bile izpostavljene okužbi) posameznikov v sistemu EWRS (11):

—

člen 7(c) Direktive 95/46/ES: „obdelava je potrebna za skladnost z zakonsko obveznostjo, ki velja za upravljavca“. Odločba št. 2119/98/ES zahteva uvedbo sistema zgodnjega obveščanja in odzivanja zaradi preprečevanja in obvladovanja nalezljivih bolezni v EU. Ta odločba nalaga obveznost državam članicam, da prek sistema EWRS poročajo o nekaterih dogodkih, ki so jih povzročile nalezljive bolezni, ki ogrožajo ali lahko ogrožajo javno zdravje (12). Obveznost poročanja zajema tudi ukrepe, ki jih sprejmejo pristojni organi v zadevnih državah članicah, za preprečevanje in zaustavitev širjenja navedenih bolezni, vključno z ukrepi za sledenje stikov, ki se izvedejo zaradi izsleditve okuženih oseb ali tistih, ki bi se morda lahko okužile (13);

—

člen 7(d) Direktive 95/46/ES: „obdelava je potrebna za varstvo življenjskih interesov posameznikov, na katere se nanašajo osebni podatki“. Načeloma je izmenjava osebnih podatkov okuženih posameznikov in posameznikov, ki so v neposredni nevarnosti, da se okužijo, med državami članicami potrebna, da se tem posameznikom zagotovi ustrezna oskrba ali zdravljenje ter da se omogočita sledenje in identifikacija zaradi izolacije in karantene, s čimer se varuje zdravje zadevnih posameznikov in navsezadnje državljanov EU na splošno;

—

člen 7(e) Direktive 95/46/ES: „obdelava je potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki, ki so ji posredovani podatki“. Sistem EWRS je orodje, namenjeno v pomoč državam članicam pri usklajevanju njihovih prizadevanj za preprečevanje in obvladovanje hudih nalezljivih bolezni v EU. Zato je sistem načrtovan tako, da podpira izvajanje naloge v javnem interesu, zaupane državam članicam za varovanje javnega zdravja.

Zaradi enakih razlogov javnega interesa je lahko upravičena obdelava občutljivih zdravstvenih podatkov s strani držav članic (na primer informacij o dogodku, ki pomeni nevarnost za zdravje, podatkov o zdravstvenem stanju okuženih oseb in oseb, ki so morda bile izpostavljene okužbi) v sistemu EWRS. Čeprav je obdelava podatkov o zdravju načeloma prepovedana s členom 8(1) Direktive 95/46/ES, je obdelava te posebne vrste podatkov v sistemu EWRS zajeta v izjemi iz člena 8(3) Direktive, kadar se podatki obdelujejo „za potrebe preventivne medicine, zdravstvene diagnoze, za zagotovitev oskrbe, ali zdravljenja, ali vodenje zdravstvenih služb in kadar te podatke obdeluje zdravstveni delavec na podlagi nacionalne zakonodaje ali pravil, ki jih sprejmejo pristojni nacionalni organi glede dolžnosti poklicne molčečnosti, ali druga oseba, ki je prav tako zavezana enaki dolžnosti molčečnosti“.

Z nacionalno zakonodajo držav članic ali odločitvijo nacionalnega organa za varstvo podatkov se lahko zaradi javnega interesa bistvenega pomena in ob upoštevanju ustreznih zaščitnih ukrepov določijo dodatne izjeme glede prepovedi obdelave osebnih podatkov (14).

5.   KDO JE KDO V SISTEMU EWRS? VPRAŠANJE SKUPNEGA UPRAVLJANJA

Sistem EWRS je bil načrtovan kot sistem za več uporabnikov, ki prek ustreznih tehničnih sredstev, vključno z različnimi strukturiranimi komunikacijskimi kanali, povezuje imenovane kontaktne osebe iz pristojnih javnozdravstvenih organov v državah članicah Evropskega gospodarskega prostora (v nadaljnjem besedilu: nacionalne kontaktne točke za sistem EWRS), Komisijo, center ECDC, v omejenem obsegu pa tudi Svetovno zdravstveno organizacijo.

Vsak od teh akterjev je ločen uporabnik sistema EWRS, čeprav se dostop do informacij, izmenjanih v sistemu, modulira z oblikovanjem različnih uporabniških računov in „izbirnih“ komunikacijskih kanalov, ki zagotavljajo ustrezne zaščitne ukrepe za zagotavljanje skladnosti z veljavnimi pravili na področju varstva podatkov.

Sistem zlasti zajema dva glavna komunikacijska kanala. Prvi kanal, tako imenovani kanal „splošnega sporočanja“, omogoča pristojnemu zdravstvenemu organu v zadevni državi članici, da vsem nacionalnim kontaktnim točkam za sistem EWRS, Komisiji, centru ECDC in Svetovni zdravstveni organizaciji sporoči informacije o dogodkih, ki so jih povzročile nalezljive bolezni z možno razsežnostjo na ravni EU, zajete v obveznostih poročanja, opredeljenih v Odločbi št. 2119/98/ES (15).

Na splošno se z zdravjem povezani podatki in drugi osebni podatki določenih ali določljivih fizičnih oseb ne sporočajo prek kanala splošnega sporočanja. V sistem so bila vgrajena posebna varovala, da bi preprečili nezakonito obdelavo podatkov znotraj tega kanala (glej razdelek 7).

Če pa pride do dogodkov, ki so jih povzročile nalezljive bolezni z možno razsežnostjo na ravni EU, je za prizadete države članice morda potrebno, da v medsebojnem sodelovanju izvedejo nekatere ukrepe za sledenje stikov zaradi izsleditve okuženih oseb in drugih posameznikov, ki so bili izpostavljeni okužbi, da se prepreči širjenje navedenih hudih bolezni.

Zaradi zagotovitve skladnosti s pravili na področju varstva podatkov so bili uvedeni ustrezni zaščitni ukrepi, da bi izmenjavo podatkov iz sledenja stikov in zdravstvenih podatkov posameznikov omejili le na države članice, ki jih postopek sledenja stikov neposredno zadeva, in da bi drugim državam članicam v mreži, Komisiji in centru ECDC onemogočili dostop do teh podatkov (16).

V ta namen je bil v sistem EWRS vgrajen tako imenovani kanal „izbirnega sporočanja“, da bi zagotovili izključni komunikacijski kanal med državami članicami, ki jih zadeva posamezen ukrep za sledenje stikov.

Z izmenjavo osebnih podatkov prek kanala izbirnega sporočanja pristojni organi prevzamejo vlogo „upravljavca“ glede obdelave teh osebnih podatkov in s tem odgovornost za zakonitost njihove obdelave in za zagotavljanje skladnosti z obveznostmi varstva podatkov, opredeljenimi v veljavnih nacionalnih zakonodajah, ki prenašajo Direktivo 95/46/ES.

Kdo je „upravljavec“?

V Direktivi 95/46/ES „upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov“ (17).

Uporabniki pri Komisiji in centru ECDC načeloma nimajo dostopa do osebnih podatkov, izmenjanih prek kanala izbirnega sporočanja (18). Vendar je iz tehničnih razlogov za osrednjo hrambo podatkov v sistemu EWRS na koncu odgovorna Komisija kot upravljavec in koordinator sistema. Komisija je v tej vlogi odgovorna tudi za evidentiranje, shranjevanje in nadaljnjo obdelavo osebnih podatkov pooblaščenih uporabnikov sistema EWRS, potrebnih za delovanje sistema.

Zato je sistem EWRS očiten primer skupnega upravljanja, kjer je odgovornost za zagotavljanje varstva podatkov na različnih ravneh razdeljena med Komisijo in državami članicami. Poleg tega so se Komisija in države članice v vlogi soupravljavk z letom 2005 odločile, da bodo odgovornost za vsakodnevno delovanje informacijskih aplikacij EWRS zaupale centru ECDC, ki izvaja to nalogo v imenu Komisije. S tem je agencija prevzela odgovornost, da kot „obdelovalec“ zagotovi zaupnost in varnost postopkov obdelave, izvedenih v okviru sistema, v skladu z obveznostmi iz členov 21 in 22 Uredbe (ES) št. 45/2001.

Kdo je „obdelovalec“ in katere so njegove obveznosti?

V Uredbi (ES) št. 45/2001 „obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drugi organ, ki obdeluje osebne podatke v imenu upravljavca“ (19).

Uredba določa, da upravljavec izbere obdelovalca, ki zagotovi zadostna jamstva v zvezi s tehničnimi in organizacijskimi ukrepi za varnost podatkov, kadar se postopek obdelave izvaja v imenu upravljavca. Na koncu je upravljavec odgovoren za zagotavljanje skladnosti z navedenimi ukrepi. Vendar obveznosti iz členov 21 in 22 glede zaupnosti in varnosti obdelave veljajo tudi za obdelovalca (20).

6.   VELJAVNA NAČELA VARSTVA PODATKOV

Obdelava osebnih podatkov v sistemu EWRS mora biti skladna s sklopom načel varstva podatkov iz Uredbe (ES) št. 45/2001 in Direktive 95/46/ES.

Komisija in pristojni organi v državah članicah so v vlogi upravljavcev odgovorni za zagotavljanje skladnosti s temi načeli, vsakič ko obdelujejo osebne podatke prek sistema EWRS. V nadaljevanju je predstavljen izbor ključnih načel varstva podatkov. To je brez poseganja v druge veljavne zahteve za varstvo podatkov opredeljeno v ustreznih pravnih instrumentih, za katere so smernice navedene v različnih razdelkih sedanjih smernic. Uporabniki sistema EWRS so zlasti vabljeni, da pozorno preberejo razdelek 8 o zagotavljanju informacij posameznikom, na katere se nanašajo osebni podatki, ter razdelek 9 o dostopu in drugih pravicah posameznikov, na katere se nanašajo osebni podatki.

6.1   Načela v zvezi z zakonitostjo obdelave in namenom omejevanja

Upravljavci zagotovijo, da se osebni podatki obdelujejo pošteno in zakonito. To načelo pomeni, prvič, da morata zbiranje in kakršna koli nadaljnja obdelava osebnih podatkov temeljiti na zakoniti podlagi, ki jo zagotavlja zakonodaja (21). Drugič, osebni podatki se lahko zbirajo le za določene, izrecne in zakonite namene in se ne smejo dalje obdelovati na način, ki ni združljiv s temi nameni (22).

6.2   Načela glede kakovosti podatkov

Upravljavci zagotovijo, da so osebni podatki primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo. Poleg tega morajo biti točni in posodobljeni (23).

6.3   Načela glede hrambe podatkov

Upravljavci zagotovijo, da so osebni podatki shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kakor je potrebno za namene, za katere so bili zbrani ali za katere se dalje obdelujejo (24).

6.4   Načela glede zaupnosti in varnosti podatkov

Upravljavci zagotovijo, da nobena oseba, ki ima dostop do osebnih podatkov in odgovarja upravljavcu ali obdelovalcu, vključno s samim obdelovalcem, teh podatkov ne sme obdelovati brez navodil upravljavca (25). Poleg tega se od upravljavcev zahteva, da izvedejo ustrezne tehnične in organizacijske ukrepe za varstvo osebnih podatkov pred naključnim, nepooblaščenim ali nezakonitim uničenjem oziroma izgubo, spremembo, posredovanjem ali dostopom, ter pred vsemi drugimi nezakonitimi načini obdelave (26).

Zaradi pravilne in učinkovite uporabe zgornjih načel v okviru uporabe sistema EWRS se uporabnikom sistema EWRS priporoča zlasti naslednje:

Zaradi zagotovitve, da ima postopek obdelave pravno podlago, da se podatki zbirajo za zakonite in izrecne namene ter da se dalje ne obdelujejo na način, ki ni skladen z navedenimi načeli, vsakič ko se zbirajo ali kako drugače obdelujejo prek sistema EWRS, uporabniki sistema EWRS:

—

za vsak primer posebej ocenijo, ali gre za upravičeno uporabo usklajenih ukrepov za sledenje stikov in posledično za aktivacijo izbirnega kanala sistema EWRS za izmenjavo zadevnih podatkov iz sledenja stikov in drugih osebnih podatkov, glede na naravo bolezni in znanstveno dokazanih koristi sledenja stikov za preprečevanje ali zmanjševanje nadaljnjega širjenja te bolezni, ob upoštevanju ocene tveganja, ki so jo pripravili zdravstveni organi v državah članicah in obstoječe znanstvene agencije, tj. center ECDC in Svetovna zdravstvena organizacija,

—

ne uporabljajo kanala splošnega sporočanja za izmenjavo podatkov iz sledenja stikov in drugih osebnih podatkov. Zlasti morajo zagotoviti, da se taki podatki ne vključijo v besedilo splošnih sporočil, ki jih pošiljajo, v njihove priloge ali kakršne koli druge oblike. Uporaba kanala splošnega sporočanja za namene sledenja stikov bi bila nezakonita in nesorazmerna, saj bi povzročila razkritje osebnih podatkov prejemnikom (vključno s Komisijo in centrom ECDC), ki jih zadevni postopek sledenja stikov ne zadeva in ki ne potrebujejo dostopa do navedenih podatkov,

—	imajo pri uporabi izbirne funkcionalnosti pristop po načelu „treba je vedeti“ in za prejemnike izbirnih sporočil, ki vsebujejo osebne podatke, izberejo le pristojne organe v državah članicah, ki morajo sodelovati v zadevnem postopku sledenja stikov.

Uporabniki sistema EWRS morajo biti še posebej pozorni, kadar prek kanala izbirnega sporočanja izmenjujejo občutljive podatke o zdravstvenem stanju določene ali določljive fizične osebe, na primer okuženih oseb in oseb, ki so morda bile izpostavljene okužbi in katerih kontaktni podatki ali drugi osebni podatki se hkrati razkrijejo prek sistema EWRS, tako da je mogoče zadevno osebo neposredno ali posredno identificirati. V tem primeru se še naprej uporabljajo vsa zgoraj navedena priporočila; poleg tega pa uporabniki sistema EWRS ne smejo pozabiti, da je izmenjava občutljivih podatkov v skladu z Direktivo 95/46/ES dovoljena le v zelo omejenih primerih. Zlasti pa (27):

—

posameznik, na katerega se nanašajo zbrani podatki, je dal svojo izrecno privolitev k obdelavi teh podatkov (člen 8(2)(a) Direktive 95/46/ES). Vendar je zaradi potrebe po pravočasnem ukrepanju v nujnih sanitarnih primerih lahko nemogoče posameznikom, na katere se nanašajo osebni podatki, zagotoviti vse informacije, ki jih potrebujejo, da na podlagi vnaprejšnjega obveščanja dajo privolitev (glej razdelek 8 glede določbe o obveščanju posameznikov, na katere se nanašajo osebni podatki). Poleg tega ni nujno, da je med zbiranjem podatkov znana možnost, da bodo podatki morebiti razkriti prek sistema EWRS,

—

če ni privolitve posameznikov, na katere se nanašajo osebni podatki, lahko obdelava osebnih podatkov velja za zakonito, če je nujna „za potrebe preventivne medicine, zdravstvene diagnoze, zagotovitev oskrbe, zdravljenja, ali vodenje zdravstvenih služb“, kadar te podatke obdeluje zdravstveni delavec, zavezan obveznosti poklicne molčečnosti, ali druga oseba, ki je prav tako zavezana enaki obveznosti molčečnosti (člen 8(3) Direktive 95/46/ES). To pomeni, da morajo uporabniki sistema EWRS, vsakič ko prejemnikom v drugih državah članicah pošljejo izbirno sporočilo, ki vsebuje občutljive zdravstvene podatke, oceniti, ali so ti podatki zares potrebni, da se pristojnim organom v zadevnih državah članicah omogoči izvajanje posebnih ukrepov, potrebnih za enega od zgoraj navedenih namenov. Uporabniki sistema EWRS tudi ne smejo pozabiti, da so z zadevno nacionalno zakonodajo, ki prenaša Direktivo 95/46/ES, ali odločitvijo organa za varstvo podatkov lahko predpisani dodatni razlogi za obdelavo zdravstvenih podatkov (28).

Zaradi zagotovitve kakovosti osebnih podatkov, izmenjanih prek sistema, zlasti pa pred pošiljanjem izbirnega sporočila, morajo uporabniki sistema EWRS premisliti, ali:

—

so osebni podatki, ki jih želijo izmenjati, nujno potrebni, da se omogoči učinkovit postopek sledenja stikov. To pomeni, da pristojni organ, ki pošlje sporočilo, organom v drugih zadevnih državah članicah zagotovi le tiste osebne podatke, ki so potrebni za nedvoumno identifikacijo okuženih ali izpostavljenih oseb. Okvirni seznam osebnih podatkov, ki se jih sme izmenjati za namene sledenja stikov, priložen k Odločbi 2009/547/ES, ne pomeni odobritve prostega in brezpogojnega pooblastila za obdelavo teh vrst podatkov. Hkrati je potrebna izredna previdnost glede obdelave osebnih podatkov, ki niso navedeni v zadevni prilogi, saj bi lahko prišlo do pretiranega in nerazumnega posredovanja. Namesto tega je treba preučiti vsak primer posebej, da se ugotovi, ali je za namene zadevnega postopka sledenja stikov nujno treba vključiti nekatere osebne podatke.

Nadaljnja obdelava in hramba podatkov zunaj sistema EWRS:

Izredno pomembno je navesti, da se nacionalna zakonodaja na področju varstva podatkov, ki prenaša Direktivo 95/46/ES, uporablja tudi za hrambo in nadaljnjo obdelavo osebnih podatkov, pridobljenih prek sistema, ki poteka zunaj sistema EWRS. Do tega lahko na primer pride, ko se osebni podatki, centralno shranjeni v sistemu, pozneje shranijo na lokalnih osebnih računalnikih uporabnikov ali v zbirkah podatkov, vzpostavljenih na nacionalni ravni; ali ko pristojni organ, odgovoren za njihovo obdelavo v sistemu EWRS, te podatke pošlje drugim organom ali katerim koli tretjim strankam. V teh primerih uporabniki sistema EWRS ne smejo pozabiti, da:

—	hramba in nadaljnja obdelava zunaj sistema EWRS ne smeta biti neskladni s prvotnimi nameni, zaradi katerih so bili podatki zbrani in izmenjani v sistemu EWRS,

—	mora imeti ta nadaljnja obdelava pravno podlago v zadevnih nacionalnih zakonih o varstvu podatkov ter da mora biti potrebna, primerna, ustrezna in ne pretirana glede na prvotne namene zbiranja v sistemu EWRS,

—	je treba podatke posodabljati in jih izbrisati, ko niso več potrebni za namene, za katere so bili dalje obdelani,

—

mora upravljavec po pridobitvi podatkov iz sistema EWRS in njihovem razkritju tretjim strankam o teh okoliščinah obvestiti posameznike, na katere se nanašajo osebni podatki, da se zagotovi poštena obdelava, razen če se to izkaže za nemogoče oziroma bi vključevalo nesorazmeren napor, ali pa zakon izrecno določa posredovanje (glej člen 11(2) Direktive 95/46/ES). Ker se posredovanje morda zahteva le po zakonodaji ene od vpletenih držav članic, in zato drugod morda ni splošno znano, si je treba prizadevati za zagotovitev informacij tudi takrat, kadar je posredovanje izrecno predpisano z zakonom.

7.   PRIJAZNO OKOLJE ZA VARSTVO PODATKOV

V sistem EWRS je bilo vgrajenih že več funkcij, da bi povečali skladnost z načeli varstva podatkov iz razdelka 6 in spodbudili uporabnike sistema EWRS k presoji vidikov varstva podatkov, vsakič ko uporabljajo sistem. Na primer:

—

na strani za pregled sporočila v sistemu EWRS je dobro vidno opozorilo, ki uporabnike obvešča, da kanal splošnega sporočanja ni namenjen podatkom iz sledenja stikov ali drugim osebnim podatkov, ker lahko uporaba tega kanala pripelje do nepotrebnega posredovanja teh podatkov prejemnikom, ki niso zadolženi za njihovo presojo,

—	dostop do informacij, izmenjanih v sistemu, se modulira z oblikovanjem različnih uporabniških računov in izbirnih komunikacijskih kanalov, ki zagotavljajo ustrezne zaščitne ukrepe za zagotavljanje skladnosti s pravili na področju varstva podatkov,

—

kanal izbirnega sporočanja v sistemu EWRS zlasti zagotavlja posebni komunikacijski kanal za izmenjavo osebnih podatkov samo med zadevnimi državami članicami. V sistem je bila vgrajena privzeta možnost, ki Komisijo in center ECDC samodejno izloči s seznama morebitnih prejemnikov izbirnih sporočil, ki vsebujejo osebne podatke (29),

—	sistem dvanajst mesecev po datumu pošiljanja sporočil samodejno izbriše vsa izbirna sporočila, ki vsebujejo osebne podatke (več podrobnosti je na voljo v razdelku 11 o hrambi podatkov),

—

v sistem je bila vgrajena funkcija, ki uporabnikom omogoča, da kadar koli neposredno popravijo ali izbrišejo tista izbirna sporočila, ki vsebujejo osebne podatke, ki so netočni, neposodobljeni, nepotrebni ali kako drugače neskladni z zahtevami varstva podatkov. Sistem EWRS bo druge uporabnike sistema, vključene v zadevno posebno izmenjavo izbirnih podatkov, samodejno obvestil, da je bilo sporočilo izbrisano oziroma popravljeno, za zagotovitev skladnosti s pravili varstva podatkov,

—	v kanalu izbirnega sporočanja je bil omogočen poseben mehanizem, ki nacionalnim organom, vpletenim v zadevno izmenjavo informacij, omogoča komunikacijo in sodelovanje v zvezi z dostopom, popravkom, blokiranjem ali izbrisom zahtevkov posameznikov, na katere se nanašajo osebni podatki.

Poleg tega je srednjeročno predvideno, da bo vgrajen modul za usposabljanje, ki bo na voljo v aplikaciji EWRS in prek katerega bodo uporabniki sistema EWRS dobili izčrpno razlago o delovanju sistema z vidika varstva podatkov. Uporaba različnih funkcij in funkcionalnosti, namenjena povečanju skladnosti s pravili o varstvu podatkov, bo ponazorjena s praktičnimi primeri.

Komisija namerava sodelovati z državami članicami zaradi zagotovitve, da bodo od vsega začetka obveščene o konceptu vgrajene zasebnosti in katerem koli drugem prihodnjem razpletu dogodkov v sistemu EWRS (30) in da bodo ustrezno upoštevana načela potrebnosti, sorazmernosti, omejitve namena in čim manjšega zbiranja podatkov, kadar se odloča o tem, katere informacije se lahko izmenjujejo prek sistema EWRS, s kom in pod katerimi pogoji.

8.   POSREDOVANJE INFORMACIJ POSAMEZNIKOM, NA KATERE SE NANAŠAJO OSEBNI PODATKI

Ena glavnih zahtev v skladu s pravnim okvirom EU na področju varstva podatkov je obveznost upravljavca podatkov, da posameznikom, na katere se nanašajo osebni podatki, zagotovi jasne informacije o postopkih obdelave, ki jih namerava izvesti glede njihovih osebnih podatkov.

Komisija je skladno z usklajevalno vlogo znotraj sistema EWRS in zaradi izpolnjevanja zgoraj navedene obveznosti (31) na svoji spletni strani objavila jasno in celovito izjavo o varstvu podatkov, namenjeno sistemu EWRS, glede postopkov obdelave, za izvajanje katerih je odgovorna sama Komisija, in glede tistih, ki jih izvajajo pristojni organi, zlasti v okviru dejavnosti sledenja stikov.

Vendar so za zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, glede zadevnih postopkov obdelave v sistemu EWRS odgovorni tudi pristojni nacionalni organi v državah članicah, ki imajo vlogo upravljavcev.

Katere „informacije“ morajo nacionalni organi, pristojni za sistem EWRS, zagotoviti posameznikom, na katere se nanašajo osebni podatki?

Pri zbiranju podatkov neposredno od posameznika, na katerega se osebni podatki nanašajo, člen 10 Direktive 95/46/ES določa, da mora upravljavec ali njegov predstavnik med zbiranjem informacij zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:

(a)	istovetnost upravljavca ali njegovega predstavnika, če obstaja;

(b)	namene obdelave podatkov;

(c)	vse nadaljnje informacije, na primer: — prejemnike ali vrste prejemnikov podatkov, — ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori, — obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,

v kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.

Člen 11 Direktive 95/46/ES navaja minimalne informacije, ki jih mora zagotoviti upravljavec podatkov, kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo. Te informacije je treba posredovati med zbiranjem osebnih podatkov ali, če se predvideva posredovanje tretji stranki, najpozneje tedaj, ko se podatki prvič posredujejo (32).

Iz zgoraj navedenih določb izhaja, da morajo nacionalni pristojni organi med zbiranjem osebnih podatkov od posameznikov (ali najpozneje, ko se podatki prvič posredujejo prek sistema EWRS) zaradi sprejetja ukrepov, potrebnih za zaščito javnega zdravja v zvezi z dogodki, ki jih je treba priglasiti v skladu z Odločbo št. 2119/98/ES in njenimi izvedbenimi predpisi, posameznikom, na katere se nanašajo osebni podatki, neposredno posredovati pravno obvestilo z informacijami iz členov 10 in 11 Direktive 95/46/ES. Obvestilo vključuje tudi kratko sklicevanje na sistem EWRS ter povezavo na ustrezne dokumente in izjave o varstvu podatkov na nacionalnih spletnih straneh pristojnih organov ter na spletno stran Komisije, namenjeno sistemu EWRS.

Podrobne informacije, ki jih je treba posredovati v pravnem obvestilu, se lahko od ene države članice do druge precej razlikujejo. Nekatere nacionalne zakonodaje zahtevajo razširjene obveznosti za upravljavce podatkov, ki zajemajo posredovanje nadaljnjih informacij, kot so informacije o pravici posameznika, na katerega se nanašajo osebni podatki, do pravnih sredstev, o obdobjih hrambe podatkov, o ukrepih za varnost podatkov itd.

Drži, da je zaradi potrebe po pravočasnem ukrepanju v nujnih sanitarnih razmerah morda nemogoče – ko podatki niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki –, da se tem posameznikom pošlje obvestilo in se jih tako obvesti o namenih obdelave njihovih osebnih podatkov. Člen 11(2) Direktive 95/46/ES glede tega navaja, da je pravico do obveščenosti posameznikov, na katere se nanašajo osebni podatki, mogoče omejiti, kjer se „zagotovitev takih informacij izkaže za nemogočo, ali bi vključevala nesorazmeren napor, ali pa zakon izrecno določa zbiranje oziroma posredovanje. V teh primerih države članice zagotovijo ustrezne zaščitne ukrepe.“

Na splošno je treba navesti, da se v skladu z nacionalnimi zakonodajami na področju varstva podatkov, ki prenašajo Direktivo 95/46/ES (33), lahko uporabljajo posebne omejitve pravice do obveščanja posameznikov, na katere se nanašajo osebni podatki. Vse take omejitve, značilne za posamezno državo, je treba nedvoumno navesti v obvestilih o varstvu podatkov, posredovanih posameznikom, na katere se nanašajo osebni podatki, ali izjavah o varstvu podatkov, objavljenih na nacionalnih spletnih straneh pristojnih organov.

Nacionalni pristojni organi v državah članicah odločijo, v kakšni obliki in kako točno bodo te informacije posredovane posameznikom, na katere se nanašajo osebni podatki. Ker bo večina pristojnih organov izvajala postopke obdelave, kjer ne gre za izmenjavo informacij v okviru sistema EWRS, se lahko pri izbiri načina obveščanja posameznikov, če je primerno, odločijo za isti način, kot je bil izbran za posredovanje podobnih informacij pri drugih postopkih obdelave v skladu z nacionalno zakonodajo. Poleg tega se priporoča, da pristojni organi posodobijo ali dopolnijo politike ali izjave o varstvu podatkov – če jih že imajo na nacionalnih spletnih straneh – s posebnim sklicevanjem na izmenjavo osebnih podatkov v okviru sistema EWRS.

Zaradi vseh zgornjih razlogov je bistvenega pomena, da se pristojni organi v državah članicah posvetujejo z zadevnimi nacionalnimi organi za varstvo podatkov, ko pripravljajo standardna pravna obvestila in izjave o varstvu podatkov v skladu s členoma 10 in 11 Direktive 95/46/ES.

9.   DOSTOP DO OSEBNIH PODATKOV IN DRUGE PRAVICE POSAMEZNIKOV, NA KATERE SE NANAŠAJO OSEBNI PODATKI

Zahteve na področju varstva podatkov glede posredovanja informacij posameznikom, na katere se nanašajo osebni podatki, iz razdelka 8 so navsezadnje namenjene zagotavljanju preglednosti postopkov obdelave osebnih podatkov. Preglednost je tudi osnovni cilj določb o pravicah do dostopa posameznikov, na katere se nanašajo osebni podatki, iz pravnih instrumentov EU o varstvu podatkov (34).

Kaj je „pravica do dostopa do podatkov“ posameznika, na katerega se nanašajo osebni podatki?

Od upravljavcev podatkov se zahteva, da vsakemu posamezniku, na katerega se osebni podatki nanašajo, jamčijo pravico, da pridobi brez omejitev v razumnem času in brez večjih zamud ali stroškov potrditev tega, ali se osebni podatki v zvezi z njim obdelujejo ali ne, ter informacije glede namenov te obdelave in prejemnikov, ki so jim podatki posredovani.

Upravljavci podatkov morajo posameznikom, na katere se nanašajo osebni podatki, tudi jamčiti pravico do popravka, izbrisa ali blokiranja podatkov, katerih obdelava ni v skladu z veljavnimi zakonodajami na področju varstva podatkov, na primer zaradi nepopolnih ali netočnih podatkov.

Nazadnje pa morajo upravljavci obvestiti tretje stranke, ki so jim bili posredovani podatki, o kakršnem koli popravku, izbrisu ali blokiranju, izvedenem na podlagi zakonite zahteve posameznika, na katerega se nanašajo osebni podatki, razen če se to izkaže za nemogoče ali če vključuje nesorazmerna prizadevanja.

Komisija in države članice si v vlogi upravljavcev delijo odgovornost v zvezi z zagotavljanjem pravic do dostopa, popravka, blokiranja in izbrisa osebnih podatkov, obdelanih v sistemu EWRS, kot je navedeno v nadaljevanju.

Komisija je odgovorna za zagotavljanje dostopa do osebnih podatkov nacionalnih kontaktnih točk za sistem EWRS in za obravnavanje popravka, blokiranja ali izbrisa zahtevkov. Nacionalne kontaktne točke so vabljene, da se glede podrobnejših informacij o uresničevanju svojih pravic kot posameznikov, na katere se nanašajo osebni podatki, obrnejo na posebno klavzulo v izčrpni izjavi o varstvu podatkov na spletni strani Komisije, namenjeni sistemu EWRS (35).

Uporabniki sistema EWRS so tudi obveščeni, da je bila v sistem že vgrajena funkcija, ki jim omogoča, da neposredno spreminjajo svoje osebne podatke. Vendar uporabniki sami ne morejo spreminjati podatkovnih polj, na podlagi katerih se ugotavlja istovetnost zadevnega računa sistema EWRS (akreditiran elektronski naslov uporabnika, vrsta računa itd.), da bi se preprečila nevarnost dostopa nepooblaščenih uporabnikov do sistema. Zato je treba vsak zahtevek za spremembo teh podatkovnih polj nasloviti na upravljavca podatkov pri Komisiji, kot je navedeno v izčrpni izjavi o varstvu podatkov na spletni strani Komisije, namenjeni sistemu EWRS.

Za obravnavanje zahtevkov posameznikov, na katere se nanašajo osebni podatki, v zvezi s podatki iz sledenja stikov, zdravstvenimi podatki in drugimi osebnimi podatki, izmenjanimi med državami članicami prek sistema EWRS, so odgovorni pristojni organi, vključeni v zadevno izmenjavo izbirnih informacij. Ta odgovornost je urejena z ustreznimi določbami nacionalnih zakonodaj na področju varstva podatkov, ki prenašajo Direktivo 95/46/ES.

Vendar je treba navesti, da se v skladu z nacionalnimi zakonodajami na področju varstva podatkov, ki prenašajo Direktivo 95/46/ES (36), lahko uporabljajo posebne omejitve pravic posameznikov, na katere se nanašajo osebni podatki, do dostopa, popravka, izbrisa ali blokiranja podatkov. Vse take omejitve je treba nedvoumno navesti v obvestilih o varstvu podatkov, posredovanih posameznikom, na katere se nanašajo osebni podatki, ali izjavah o varstvu podatkov, objavljenih na nacionalnih spletnih straneh pristojnih organov. Zato se kontaktnim točkam za sistem EWRS svetuje, da se za več informacij o tej zadevi obrnejo na svoje nacionalne organe za varstvo podatkov.

Zaradi zapletenosti sistema EWRS, pri čemer v skupnih postopkih obdelave sodeluje več uporabnikov, je potreben jasen in preprost dostop v smislu pravice do dostopa posameznikov, na katere se nanašajo osebni podatki, saj ti posamezniki niso seznanjeni z delovanjem sistema in jih je treba usposobiti za učinkovito uresničevanje svojih pravic.

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da se njegovi podatki obdelujejo v okviru sistema EWRS, in bi si želel dostop do teh podatkov oziroma njihov izbris ali popravek, se temu posamezniku omogoči, da se obrne na nacionalne pristojne organe, s katerimi je bil v stiku in/ali ki so zbrali njegove podatke o nekem dogodku, ki ogroža javno zdravje (na primer na organ države, katere državljan je ta posameznik, in organ države, v kateri oseba biva v času tega dogodka), in kateri koli drug organ, vključen v zadevno izmenjavo informacij v zvezi z izvajanjem ukrepov za sledenje stikov.

Noben pristojni organ, vključen v zadevno izmenjavo informacij, ne sme zavrniti dostopa, popravka ali izbrisa, ker ni bil sam tisti, ki je vnesel podatke v sistem EWRS, ali ker bi se moral posameznik, na katerega se nanašajo osebni podatki, obrniti na drug pristojni organ. Zlasti če zahtevek posameznika, na katerega se nanašajo informacije, prejme pristojni organ, ki ni tisti organ, ki je prvotne informacije poslal prek kanala za izbirno izmenjavo, mora organ prejemnik poslati zahtevek prek posebnega mehanizma iz razdelka 7 pristojnemu organu, ki je poslal prvotno sporočilo, ta pa bo odločil o zahtevku.

Pristojni organ, ki je informacijo poslal v sistem, se lahko pred sprejetjem odločitve po potrebi prek posebnega mehanizma iz razdelka 7 obrne na druge pristojne organe, ki so vključeni v izmenjavo informacij ali ki jih zahtevek posameznika, na katerega se nanašajo osebni podatki, kako drugače zadeva.

Posameznike, na katere se nanašajo osebni podatki, je treba tudi obvestiti, da se lahko obrnejo na drug pristojni organ, vključen v izmenjavo informacij, kadar niso zadovoljni s prejetim odgovorom. Ti posamezniki imajo v vsakem primeru pravico vložiti pritožbo pri nacionalnem organu za varstvo podatkov enega od teh pristojnih organov, ki jim najbolj ustreza. Če je potrebno in primerno, nacionalni organi za varstvo podatkov sodelujejo pri obravnavanju pritožbe (člen 28 Direktive 95/46/ES).

Nazadnje, Komisija je v skladu s posebnim priporočilom, ki ga je dal ENVP v svojem mnenju, v sistem EWRS vgradila novo funkcijo, ki za namene spoštovanja varstva podatkov omogoča spletni popravek in izbris izbirnih sporočil, ki vsebujejo osebne podatke, ki so netočni, neposodobljeni, nepotrebni ali kako drugače neskladni z zahtevami varstva podatkov.

10.   VARNOST PODATKOV

Dostop do sistema je omejen na pooblaščene uporabnike iz Komisije in centra ECDC ter uradno imenovane nacionalne kontaktne točke za sistem EWRS. Dostop je zaščiten prek zavarovanega osebnega uporabniškega računa in gesla.

Postopki za ravnanje z osebnimi podatki v sistemu EWRS so vzpostavljeni glede na zahteve iz členov 21 in 22 Uredbe (ES) št. 45/2001.

11.   HRAMBA PODATKOV

V skladu z zahtevami varstva podatkov iz člena 4(1)(e) Uredbe (ES) št. 45/2001 in člena 6(1)(e) Direktive 95/46/ES bo sistem dvanajst mesecev po datumu pošiljanja sporočil samodejno izbrisal vsa izbirna sporočila, ki vsebujejo osebne podatke.

Ta zaščitni ukrep, ki je sestavni del sistema, pa uporabnikov sistema EWRS – ker so izključno in individualno odgovorni za svoje postopke obdelave v okviru kanala za pošiljanje izbirnih sporočil – ne odvezuje ukrepanja, da pred potekom privzetega enoletnega obdobja iz sistema odstranijo nepotrebne osebne podatke.

Komisija je v ta namen v sistem EWSR vgradila novo funkcijo, da bi uporabnikom omogočila, da lahko kadar koli izbrišejo izbirna sporočila z nepotrebnimi osebnimi podatki.

Nazadnje je treba spomniti, da so nacionalni pristojni organi odgovorni za spoštovanje svojih pravil s področja varstva podatkov o hrambi osebnih podatkov, opredeljenih v ustrezni zakonodaji, ki prenaša Direktivo 95/46/ES. Samodejni izbris osebnih podatkov, shranjenih v sistemu, predviden po enem letu, uporabnikom sistema EWRS ne preprečuje shranjevanja istih informacij zunaj sistema EWRS za različna (na primer daljša) obdobja, če je to v skladu z obveznostmi, ki izhajajo iz njihovih zadevnih nacionalnih zakonodaj s področja varstva podatkov, in če so obdobja, opredeljena v nacionalni zakonodaji, skladna z zahtevami iz člena 6(1)(e) Direktive 95/46/ES.

12.   SODELOVANJE Z NACIONALNIMI ORGANI ZA VARSTVO PODATKOV

Pristojnim organom se priporoča, da se za nasvete obrnejo na ustrezne nacionalne organe za varstvo podatkov, zlasti ko obravnavajo vprašanja v zvezi z varstvom podatkov, ki niso zajeta v teh smernicah.

Pristojni organi se morajo tudi zavedati, da bodo v skladu z nacionalnimi zakonodajami, ki prenašajo Direktivo 95/46/ES, morda morali obvestiti zadevne organe za varstvo podatkov o svojih dejavnostih obdelave podatkov v sistemu EWRS. V nekaterih državah članicah bo morda celo potrebna predhodna odobritev nacionalnega organa za varstvo podatkov.

---

(1)  Center ECDC tudi podpira Komisijo in ji pomaga pri zagotavljanju delovanja aplikacije EWRS. Ta naloga je bila centru ECDC dodeljena z Uredbo (ES) št. 851/2004 Evropskega parlamenta in Sveta z dne 21. aprila 2004 o ustanovitvi Evropskega centra za preprečevanje in obvladovanje bolezni in zlasti členom 8 Uredbe (UL L 142, 30.4.2004, str. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS

(3)  Vrste nalezljivih bolezni, ki jih zajema mreža, so omejene na tiste, ki so navedene v Prilogi k Odločbi št. 2119/98/ES.

(4)  Člen 2(a) Direktive 95/46/ES in člen 2(a) Uredbe (ES) št. 45/2001.

(5)  Člen 4 Odločbe št. 2119/98/ES.

(6)  Priloga I k Odločbi 2000/57/ES o določitvi „dogodkov“, o katerih je treba poročati v okviru sistema EWRS.

(7)  Člen 6 Odločbe št. 2119/98/ES.

(8)  Pojasnilo o zakonitih razlogih za vključitev podatkov iz „sledenja stikov“ v obdelavo osebnih podatkov v okviru sistema EWRS je bilo posledica sprememb Odločbe 2000/57/ES, ki jih je uvedla Odločba 2009/547/ES.

(9)  Člen 2(b) Direktive 95/46/ES in člen 2(b) Uredbe (ES) št. 45/2001.

(10)  Glede opredelitve pojma „upravljavec“ glej razdelek 5 spodaj.

(11)  Okvirni seznam osebnih podatkov, ki se jih sme izmenjevati za namene sledenja stikov, je priložen k Odločbi 2009/547/ES.

(12)  Člen 1 Odločbe 2000/57/ES o določitvi „dogodkov“, o katerih je treba poročati v okviru sistema EWRS, in Priloga I k tej odločbi.

(13)  Člen 2a Odločbe 2000/57/ES, uveden z Odločbo Komisije 2009/547/ES.

(14)  Kot je predvideno s členom 8(4) Direktive 95/46/ES.

(15)  Glej zlasti člene 4, 5 in 6 Odločbe.

(16)  Člen 2a Odločbe 2000/57/ES, uveden z Odločbo 2009/547/ES.

(17)  Opredelitev pojma iz člena 2(d) Direktive 95/46/ES.

(18)  Komisija je v izrednih okoliščinah lahko vključena v izmenjavo osebnih podatkov prek izbirnega kanala sistema EWRS, če je to absolutno potrebno za usklajevanje ali omogočitev pravočasnega in učinkovitega izvajanja ukrepov na področju javnega zdravja, ki jih zahtevajo Odločba št. 2119/98/ES in njeni izvedbeni predpisi. V teh primerih bo Komisija zagotovila, da bo obdelava zakonita in izvedena v skladu z določbami Uredbe (ES) št. 45/2001.

(19)  Opredelitev pojma iz člena 2(e) Uredbe (ES) št. 45/2001.

(20)  Ta načela temeljijo na členu 23(1) Uredbe (ES) št. 45/2001 o obdelavi osebnih podatkov v imenu upravljavca.

(21)  Načelo zakonitosti obdelave izhaja iz skupnih določb člena 6(1)(a), člena 7 in člena 8 Direktive 95/46/ES. Glej tudi ustrezne določbe Uredbe (ES) št. 45/2001.

(22)  Načelo omejitve namena je navedeno v členu 6(1)(b) Direktive 95/46/ES in ustrezni določbi člena 4(1)(b) Uredbe (ES) št. 45/2001.

(23)  Člen 6(1)(c) in (d) Direktive 95/46/ES in člen 4(1)(c) in (d) Uredbe (ES) št. 45/2001.

(24)  Člen 6(1)(e) Direktive 95/46/ES in člen 4(1)(e) Uredbe (ES) št. 45/2001.

(25)  Načelo zaupnosti obdelave podatkov je določeno v členu 16 Direktive 95/46/ES in ustrezni določbi člena 21 Uredbe (ES) št. 45/2001.

(26)  Načelo varnosti podatkov je določeno v členu 17 Direktive 95/46/ES in ustrezni določbi člena 22 Uredbe (ES) št. 45/2001.

(27)  Za celoten seznam izjem iz prepovedi obdelave nekaterih posebnih kategorij podatkov, vključno s podatki v zvezi z zdravjem, glej člen 8(2), (3), (4) in (5) Direktive 95/46/ES.

(28)  Člen 8(4) Direktive 95/46/ES.

(29)  Vendar je uporabnikom sistema EWRS dana alternativna možnost, da ta kanal uporabljajo tudi za izbirno izmenjavo informacij, povezanih s tehničnimi vprašanji, ki ne vključujejo prenosa osebnih podatkov. Kadar se namesto privzete možnosti izbere druga možnost, lahko organ, ki pošilja sporočilo, izbere Komisijo in center ECDC kot prejemnika. Ta funkcija je bila v sistemu omogočena, da se upoštevata institucionalna vloga Komisije pri usklajevanju vprašanj, povezanih z obvladovanjem groženj in dogodkov, ter vloga centra ECDC pri izvajanju nalog na področju ocenjevanja tveganj.

(30)  V skladu z načelom „vgrajene zasebnosti“ je treba informacijske in komunikacijske tehnologije (IKT) načrtovati in razvijati tako, da se zahteve po zasebnosti in varstvu podatkov upoštevajo že pri sami zasnovi tehnologije in v vseh fazah njenega razvoja.

(31)  Obveznost glede informacij, ki jo ima Komisija, temelji na členih 11 in 12 Uredbe (ES) št. 45/2001.

(32)  Predložiti je treba informacije iz člena 10 ob dodatni navedbi zadevnih vrst podatkov. Te informacije se očitno ne zahtevajo, kadar se podatki zbirajo neposredno od posameznika, na katerega se osebni podatki nanašajo in ki je obveščen o vrstah zadevnih podatkov, medtem ko se ti zbirajo.

(33)  Člen 13(1) Direktive 95/46/ES o izjemah in omejitvah navaja: „Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito: (a) državne varnosti; (b) obrambe; (c) javne varnosti; (d) preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice; (e) pomembnega gospodarskega ali finančnega interesa države članice ali Evropske unije, vključno z denarnimi, proračunskimi in davčnimi zadevami; (f) spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e); (g) posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.“

(34)  Člen 12 Direktive 95/46/ES in členi od 13 do 18 Uredbe (ES) št. 45/2001.

(35)  Izjava o varstvu podatkov je vsem uporabnikom sistema EWRS na voljo tudi v okviru zaščitene rubrike aplikacije EWRS.

(36)  Člen 13(1) Direktive 95/46/ES.