Komisja Europejska opublikowała w piątek wytyczne w sprawie tworzenia nowych aplikacji wspierających walkę z koronawirusem w kontekście ochrony danych. Tworzenie takich aplikacji oraz ich stosowanie przez obywateli może mieć istotny wpływ na eliminację wirusa i może odgrywać ważną rolę w strategii znoszenia środków powstrzymujących rozprzestrzenianie się koronawirusa, stanowiąc uzupełnienie innych środków, takich jak zwiększenie liczby wykonywanych testów. Ważne jest jednak zadbanie o to, by obywatele UE mogli w pełni zaufać takim innowacyjnym rozwiązaniom cyfrowym i mogli z nich korzystać bez obaw. Aby wykorzystać pełen potencjał aplikacji służących do ustalania kontaktów zakaźnych, konieczny jest możliwie szeroki udział obywateli Unii.

Unijne przepisy, w szczególności ogólne rozporządzenie o ochronie danych (RODO) i dyrektywa o prywatności i łączności elektronicznej, zapewniają najsilniejsze gwarancje wiarygodności (tj. podejście oparte na zasadzie dobrowolności, minimalizacja danych, ograniczenie czasowe), które są niezbędne, aby tego rodzaju aplikacje mogły bezbłędnie funkcjonować na szeroką skalę. Celem wspomnianych wytycznych jest zapewnienie niezbędnych ram prawnych gwarantujących obywatelom odpowiednią ochronę ich danych osobowych oraz ograniczenie ryzyka inwigilacji przy korzystaniu z takich aplikacji. Projekt wytycznych skonsultowano z Europejską Radą Ochrony Danych. Zobowiązując się do przestrzegania tych standardów, można zapewnić pełną skuteczność takich narzędzi przy jednoczesnej zgodności z przepisami, nawet w czasach kryzysu.

Wiceprzewodnicząca ds. wartości i przejrzystości Věra Jourová powiedziała: To pierwszy światowy kryzys, w którym możemy wykorzystać pełen potencjał technologii, aby zaoferować skuteczne rozwiązania i wspierać strategie wyjścia z pandemii. Zaufanie Europejczyków będzie miało kluczowe znaczenie dla powodzenia aplikacji mobilnych służących do ustalania kontaktów zakaźnych. Przestrzeganie unijnych przepisów dotyczących ochrony danych przyczyni się do utrzymania naszej prywatności i praw podstawowych oraz zagwarantuje, że europejskie podejście będzie przejrzyste i proporcjonalne.

Didier Reynders, komisarz ds. sprawiedliwości, powiedział: Korzystanie z aplikacji mobilnych może rzeczywiście pomóc w walce z koronawirusem, np. umożliwiając użytkownikom stawianie samodzielnej diagnozy, jako bezpieczny kanał komunikacji między lekarzami i pacjentami, czy też ostrzegając użytkowników, którzy są potencjalnie narażeni na zakażenie wirusem; może także nam pomóc w znoszeniu środków izolacji. Jednocześnie ich stosowanie wiąże się z gromadzeniem bardzo wrażliwych danych na temat zdrowia naszych obywateli, które to dane jesteśmy zobowiązani chronić. Nasze wytyczne wspierają bezpieczne tworzenie aplikacji i zapewniają ochronę danych osobowych obywateli zgodnie z rygorystycznymi unijnymi przepisami o ochronie danych. Wyjdziemy z tego kryzysu sanitarnego, zachowując jednocześnie nasze nienaruszalne prawa podstawowe.

Wytyczne te stanowią uzupełnienie niedawno opublikowanego zalecenia Komisji w sprawie wspólnego podejścia UE do korzystania z aplikacji mobilnych i danych na temat mobilności oraz towarzyszą unijnemu zestawowi instrumentów dotyczących aplikacji służących do ustalania kontaktów zakaźnych, który również opublikowano w dniu dzisiejszym.

Jakiego rodzaju aplikacje i funkcje?

Wytyczne koncentrują się na dobrowolnie stosowanych aplikacjach, które oferują co najmniej jedną z następujących funkcji:

• udostępnianie użytkownikom dokładnych informacji na temat pandemii koronawirusa;
• kwestionariusze do samodzielnej diagnozy i wytyczne dla obywateli (funkcja weryfikacji objawów);
• ostrzeżenia dla osób, które znalazły się w pobliżu osoby zakażonej, by mogły poddać się badaniu lub samoizolacji (funkcja ustalania kontaktów zakaźnych i funkcja ostrzegawcza); oraz
• forum komunikacji między pacjentami w samoizolacji i lekarzami, w tym w przypadku zapewnienia dalszej diagnostyki i doradztwa w zakresie leczenia (telemedycyna).

Główne kryteria tworzenia aplikacji służących walce z koronawirusem

• Rola krajowych organów ds. zdrowia: od samego początku należy jasno określić, kto jest odpowiedzialny za zapewnienie przestrzegania unijnych przepisów o ochronie danych osobowych. Z uwagi na wysoce wrażliwy charakter danych i ostateczny cel tych aplikacji Komisja uważa, że rolę tę powinny odgrywać krajowe organy ds. zdrowia, które byłyby odpowiedzialne za zapewnienie przestrzegania RODO w kontekście wykorzystywania przez nie gromadzonych danych, w tym za przekazywanie osobom fizycznym wszelkich niezbędnych informacji związanych z przetwarzaniem ich danych osobowych.
• Użytkownicy zachowują pełną kontrolę nad swoimi danymi: instalacja aplikacji na urządzeniu użytkownika powinna być dobrowolna; użytkownik powinien mieć możliwość wyrażenia odrębnej zgody na korzystanie z poszczególnych funkcji aplikacji. Jeżeli wykorzystuje się dane dotyczące bliskości fizycznej, dane te powinny być przechowywane na urządzeniu użytkownika i udostępniane wyłącznie za jego zgodą; użytkownicy powinni mieć możliwość korzystania z praw przysługujących im na mocy RODO.
• Ograniczone wykorzystanie danych osobowych: aplikacja powinna być zgodna z zasadą minimalizacji danych, zgodnie z którą przetwarzać można wyłącznie dane osobowe, które są istotne i ograniczone do danego celu. Komisja uważa, że dane dotyczące lokalizacji nie są konieczne do celów związanych z ustalaniem kontaktów zakaźnych, i zaleca, by nie stosować danych dotyczących lokalizacji w tym kontekście.
• Ścisłe ograniczenia dotyczące przechowywania danych: dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne. Okres przechowywania danych powinien zależeć od istotności tych danych z medycznego punktu widzenia oraz uwzględniać realistyczny termin realizacji niezbędnych czynności administracyjnych, które należy wykonać.
• Bezpieczeństwo danych: dane powinny być przechowywane na urządzeniu użytkownika w formie zaszyfrowanej.
• Zapewnienie dokładności przetwarzanych danych: zgodnie z unijnymi przepisami o ochronie danych osobowych wszelkie dane osobowe przetwarzane przez osobę trzecią muszą być dokładne. W celu zapewnienia jak największej dokładności, która jest również niezbędna do zapewnienia skuteczności aplikacji umożliwiających ustalanie kontaktów zakaźnych, do zapewnienia bardziej precyzyjnej oceny wzajemnych kontaktów poszczególnych osób należy stosować odpowiednie technologie, takie jak technologia Bluetooth.
• Zaangażowanie krajowych organów ochrony danych: organy ochrony danych powinny być w pełni zaangażowane i konsultowane przy tworzeniu aplikacji i powinny być odpowiedzialne za przegląd procesu wprowadzania aplikacji do użytku.
•  

Kontekst

Po przyjęciu zalecenia Komisji w sprawie wspólnego podejścia UE do stosowania technologii i danych w walce z koronawirusem państwa członkowskie, wspierane przez Komisję, opublikowały w piątek unijny zestaw instrumentów na potrzeby aplikacji mobilnych służących ustalaniu kontaktów zakaźnych i mobilnych aplikacji ostrzegawczych. Aby zagwarantować, że dane obywateli Unii będą cały czas chronione zgodnie z unijnymi przepisami o ochronie danych, wspomniane wytyczne dołączono do zestawu instrumentów, aby zaoferować porady przydatne przy tworzeniu nowych aplikacji i wykorzystywaniu gromadzonych za ich pośrednictwem danych przez krajowe organy ds. zdrowia.

Dodatkowe informacje

Wytyczne mające zapewnić pełne przestrzeganie standardów ochrony danych w przypadku wykorzystywania aplikacji pomocnych w walce z pandemią

Zalecenie Komisji w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego

Strona Komisji: Działania w kontekście koronawirusa

Technologie cyfrowe w odpowiedzi na pandemię koronawirusa

Ogólne rozporządzenie o ochronie danych

Dyrektywa o prywatności i łączności elektronicznej