EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020H0518

Komission suositus (EU) 2020/518, annettu 8 päivänä huhtikuuta 2020, unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta

C/2020/3300

OJ L 114, 14.4.2020, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reco/2020/518/oj

14.4.2020   

FI

Euroopan unionin virallinen lehti

L 114/7


KOMISSION SUOSITUS (EU) 2020/518,

annettu 8 päivänä huhtikuuta 2020,

unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 292 artiklan,

sekä katsoo seuraavaa:

(1)

Nykyisen covid-19-pandemian aiheuttama kansanterveyskriisi, jäljempänä ’covid-19-kriisi’, pakottaa unionin ja jäsenvaltiot kohtaamaan ennennäkemättömän haasteen niiden terveydenhuoltojärjestelmille, elämäntavalle, talouden vakaudelle ja arvoille. Mikään yksittäinen jäsenvaltio ei pysty yksin torjumaan covid-19-kriisiä. Näin mittava poikkeuksellinen kriisi edellyttää, että kaikki jäsenvaltiot sekä EU:n toimielimet ja elimet toteuttavat päättäväisiä toimia ja tekevät yhteistyötä aidon solidaarisuuden hengessä.

(2)

Digitaaliteknologialla ja datalla on tärkeä rooli covid-19-kriisin torjunnassa, koska monet ihmiset Euroopassa ovat yhteydessä internetiin mobiililaitteidensa kautta. Tämä teknologia ja data voivat tarjota tärkeän välineen, jolla tiedotetaan yleisölle ja autetaan asianomaisia viranomaisia niiden pyrkimyksissä hillitä viruksen leviämistä tai jonka avulla terveydenhuoltoalan organisaatiot voivat vaihtaa terveystietoja. Hajanainen ja koordinoimaton lähestymistapa saattaa kuitenkin heikentää covid-19-kriisin torjuntaan tähtäävien toimenpiteiden tehokkuutta ja aiheuttaa samalla vakavaa haittaa sisämarkkinoille sekä perusoikeuksille ja -vapauksille.

(3)

Sen vuoksi vastauksena tämänhetkiseen kriisiin on tarpeen kehittää yhteinen lähestymistapa digitaaliteknologian ja datan käyttöön. Tällä lähestymistavalla olisi tehokkaasti tuettava toimivaltaisia kansallisia viranomaisia, erityisesti terveysviranomaisia ja poliittisia päättäjiä, siten, että niille annetaan riittävästi täsmällistä tietoa, jotta voidaan ymmärtää covid-19-viruksen kehittymistä ja leviämistä sekä sen vaikutuksia. Nämä teknologiat voivat myös antaa kansalaisille mahdollisuuden välttää lähikontakteja tehokkaasti ja kohdennetummin. Lisäksi ehdotetulla lähestymistavalla pyritään säilyttämään sisämarkkinoiden eheys ja suojelemaan perusoikeuksia ja -vapauksia, erityisesti oikeutta yksityisyyteen ja henkilötietojen suojaan.

(4)

Mobiilisovelluksilla voidaan tukea terveysviranomaisia kansallisella ja EU:n tasolla tämänhetkisen covid-19-pandemian seurannassa ja hillinnässä. Niiden avulla voidaan antaa opastusta kansalaisille ja helpottaa potilaiden lääketieteellisen seurannan järjestämistä. Varoitus- ja jäljityssovelluksilla voi olla tärkeä rooli kontaktien jäljittämisessä, taudin leviämisen rajoittamisessa ja tartuntaketjujen katkaisemisessa. Sen vuoksi sovelluksilla voi yhdessä asianmukaisten testausstrategioiden ja kontaktien jäljittämisen kanssa olla erityistä merkitystä kerättäessä tietoja viruksen esiintymisestä, arvioitaessa fyysisten kontaktien välttämisen ja eristystoimenpiteiden tehokkuutta ja tiedotettaessa toimenpiteiden purkamiseen tähtäävistä strategioista.

(5)

Euroopan parlamentin ja neuvoston päätöksellä N:o 1082/2013/EU (1) vahvistetaan säännöt valtioiden rajat ylittävien vakavien terveysuhkien epidemiologista seurantaa, seurantaa, varhaisvaroitusta ja torjuntaa varten. Päätöksen 2 artiklan 5 kohdan mukaan komissio varmistaa yhteistyössä jäsenvaltioiden kanssa päätöksellä perustettujen mekanismien ja rakenteiden koordinoinnin ja tietojenvaihdon samankaltaisten unionin tasolla tai Euratomin perustamissopimuksen nojalla perustettujen mekanismien ja rakenteiden kanssa, joiden toiminnalla on vaikutusta rajat ylittävien vakavien terveysuhkien valmius- ja reagointisuunnitteluun, seurantaan, varhaisvaroitukseen ja torjuntaan. Rajat ylittäviin vakaviin terveysuhkiin liittyviä toimia koordinoi terveysturvakomitea, joka on perustettu edellä mainitun päätöksen 17 artiklalla. Päätöksen 6 artiklan 1 kohdalla perustetaan verkosto tartuntatautien ja niihin liittyvien erityisten terveysnäkökohtien epidemiologista seurantaa varten. Verkoston toiminnasta ja koordinoinnista huolehtii Euroopan tautienehkäisy- ja -valvontakeskus.

(6)

Potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa annetun Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (2) säädetään, että sähköisten terveyspalvelujen verkoston tavoitteena on pyrkiä tuottamaan kestäviä taloudellisia ja sosiaalisia etuuksia Euroopan sähköisten terveyspalvelujen järjestelmistä ja palveluista sekä yhteentoimivia sovelluksia, jotta voidaan saavuttaa luottamuksen ja turvallisuuden korkea taso, vahvistaa hoidon jatkuvuutta ja varmistaa turvallisen ja laadukkaan terveydenhuollon saatavuus.

(7)

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (3) säädetään edellytyksistä henkilötietojen, myös terveystietojen, käsittelylle. Tällaisia tietoja voidaan käsitellä muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn tai käsittely on tarpeen yleisen edun vuoksi jäsenvaltion lainsäädännön tai unionin oikeuden perusteella, erityisesti valvonta- ja hälytystarkoituksiin sekä tartuntatautien ja muiden vakavien terveysuhkien estämiseksi tai hallitsemiseksi.

(8)

Useat jäsenvaltiot ovat ottaneet käyttöön erityislainsäädäntöä, jonka nojalla ne voivat käsitellä terveystietoja yleisen edun perusteella (asetuksen (EU) 2016/679 6 artiklan 1 kohdan c tai e alakohta ja 9 artiklan 2 kohdan i alakohta). Joka tapauksessa tietojenkäsittelyn tarkoituksien ja keinojen sekä tiedon siitä, mitä tietoja käsitellään ja kenen toimesta, olisi oltava selkeitä ja täsmällisiä.

(9)

Komissio voi kuulla Euroopan tietosuojavaltuutettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (4) 42 artiklan ja Euroopan tietosuojaneuvostoa asetuksen (EU) 2016/679 70 artiklan mukaisesti.

(10)

Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (5) vahvistetaan säännöt, joita sovelletaan käyttäjän tai tilaajan liikenne- ja paikkatietoihin sekä tietojen tallentamiseen ja päätelaitteelle, kuten mobiililaitteelle, tallennettujen tietojen käyttämiseen. Direktiivin 5 artiklan 3 kohdan mukaan tällainen tallentaminen tai käyttö on sallittua vain tarkoin määritellyissä olosuhteissa tai käyttäjän tai tilaajan suostumuksella sen jälkeen, kun hänelle on annettu selkeät ja kattavat tiedot asetuksen (EU) 2016/679 vaatimusten mukaisesti. Lisäksi direktiivin 15 artiklan 1 kohdassa annetaan jäsenvaltioille mahdollisuus toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan joidenkin direktiivissä, myös 5 artiklassa, säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan tiettyjen tavoitteiden saavuttamiseksi.

(11)

Euroopan komissio ilmoitti tiedonannossaan ”Euroopan datastrategia” (6), että EU loisi sisämarkkinat, joilla data voi virrata EU:n sisällä ja eri sektoreiden välillä kaikkien hyödyksi, joilla noudatetaan asianmukaisesti EU:n sääntöjä, erityisesti yksityisyyden suojaa ja tietosuojaa koskevia sääntöjä sekä kilpailulainsäädäntöä ja joilla datan saantia ja käyttöä koskevat säännöt ovat oikeudenmukaiset, käytännölliset ja selkeät. Komissio totesi erityisesti harkitsevansa lainsäädäntötoimia, joilla edistetään datan jakamista yrityksiltä viranomaisille yleisen edun mukaisiin tarkoituksiin.

(12)

Covid-19-kriisin alkamisen jälkeen on kehitetty erilaisia mobiilisovelluksia, joista osan ovat laatineet viranomaiset, ja jäsenvaltiot ja yksityinen sektori ovat pyytäneet koordinointia unionin tasolla muun muassa kyberturvallisuuteen, turvallisuuteen ja yksityisyyteen liittyvien huolenaiheiden käsittelemiseksi. Näissä sovelluksissa on yleensä kolme yleistä toimintoa: i) tiedottaminen kansalaisille ja kansalaisten neuvonta sekä sellaisten henkilöiden lääketieteellisen seurannan järjestämisen helpottaminen, joilla on oireita, yhdistettynä usein itse tehtyä diagnosointia koskevaan kyselylomakkeeseen; ii) niiden ihmisten varoittaminen, jotka ovat olleet tartunnan saaneen henkilön läheisyydessä, tartuntaketjujen katkaisemiseksi ja tartuntojen uudelleen ilmaantumisen estämiseksi siinä vaiheessa, kun rajoitustoimia aletaan poistaa; ja iii) tartunnan saaneiden henkilöiden karanteenin seuranta ja täytäntöönpano yhdistettynä mahdollisesti tekijöihin, joilla arvioidaan heidän terveydentilaansa karanteenin aikana. Tietyt sovellukset ovat suuren yleisön saatavilla kun taas toiset on tarkoitettu vain suljetuille käyttäjäryhmille työpaikalla tapahtuneiden kohtaamisten jäljittämiseksi. Näiden sovellusten tehokkuutta ei yleensä ole arvioitu. Tiedotukseen ja oireiden tarkistamiseen käytetyt sovellukset voivat olla hyödyllisiä kansalaisten tietoisuuden lisäämisessä. Asiantuntijoiden mukaan kuitenkin sovellukset, joiden tarkoituksena on tiedottaa käyttäjille ja varoittaa heitä, vaikuttavat lupaavimmalta viruksen leviämisen estämisessä, kun otetaan huomioon myös niiden vähäisempi vaikutus yksityisyyteen, ja useat jäsenvaltiot tutkivat parhaillaan niiden käyttöä.

(13)

Joitakin näistä mobiilisovelluksista voitaisiin pitää lääkinnällisinä laitteina, jos valmistaja on tarkoittanut ne käytettäviksi muun muassa sairauden diagnosointiin, ehkäisyyn, seurantaan, ennakointiin, ennusteen laatimiseen, hoitoon tai lievitykseen ja jos ne näin ollen kuuluisivat Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/745 (7) tai neuvoston direktiivin 93/42/ETY (8) soveltamisalaan. Kun on kyse itse tehtyjä diagnooseja ja oireiden tarkistamista koskevista sovelluksista, jotka tarjoavat diagnosointiin, ehkäisyyn, seurantaan, ennakointiin tai ennusteen laatimiseen liittyvää tietoa, olisi arvioitava, voidaanko niitä mahdollisesti pitää lääkinnällisinä laitteina lääkinnällisiä laitteita koskevan lainsäädännön (direktiivi 93/42/ETY tai asetus (EU) 2017/745) nojalla.

(14)

Näiden mobiilisovellusten tehokkuus riippuu useista tekijöistä. Tällaisia tekijöitä ovat käyttäjien määrä eli mobiililaitetta käyttävän väestön prosenttiosuus ja tästä niiden käyttäjien prosenttiosuus, jotka ovat ladanneet sovelluksen ja antaneet suostumuksen itseään koskevien henkilötietojen käsittelyyn ja jotka eivät ole peruuttaneet suostumustaan. Muita tärkeitä tekijöitä ovat yleinen luottamus siihen, että tietoja suojataan asianmukaisilla turvatoimilla ja että niitä käytetään yksinomaan varoittamaan virukselle mahdollisesti altistuneita henkilöitä, kansanterveysviranomaisen hyväksyntä, terveysviranomaisten kyky toteuttaa toimia sovelluksen tuottamien tietojen perusteella, tietojen integrointi ja jakaminen muiden järjestelmien ja sovellusten kanssa sekä rajatylittävä ja alueiden välinen yhteentoimivuus muiden järjestelmien kanssa.

(15)

Varoitus- ja jäljityssovellukset ovat jäsenvaltioille hyödyllisiä kontaktien jäljittämisessä, ja niillä voi olla tärkeä rooli leviämisen estämisen skenaarioissa. Ne voivat myös olla arvokas väline, jonka avulla kansalaiset voivat tehokkaasti ja kohdennetummin välttää fyysisiä lähikontakteja. Niiden vaikutusta voidaan tehostaa strategialla, jolla tuetaan laajempaa testausta. Kontaktien jäljittäminen tarkoittaa sitä, että kansanterveysviranomaiset voivat nopeasti löytää kaikki sellaisen potilaan kontaktit, jonka covid-19-tartunta on vahvistettu, pyytää heitä eristäytymään sekä testata heidät nopeasti ja eristää heidät, jos heillä ilmenee oireita. Lisäksi näistä sovelluksista saatavia anonymisoituja ja yhdistettyjä tietoja yhdessä sairastuvuutta koskevien tietojen kanssa voitaisiin käyttää arvioitaessa lähikontaktien välttämistä koskevien ja muiden suositeltujen hillitsemistoimenpiteiden tehokkuutta. Vaikka nämä sovellukset ovat ilmeisen hyödyllisiä jäsenvaltioille, ne voivat myös tuoda lisäarvoa Euroopan tautien ehkäisy- ja valvontakeskuksen (ECDC) työhön.

(16)

Itse tehtyyn diagnoosiin ja oireiden tarkistukseen käytettävien sovellusten avulla voitaisiin saada tietoa niiden tapausten määrästä, joissa esiintyy covid-19-tartunnan kanssa yhteensopivia oireita, iän ja viikon mukaan eriteltynä tarkkaan määritellyiltä alueilta, joilla sovelluksen käyttö on yleistä. Mikäli tämä onnistuu, kansalliset kansanterveysviranomaiset voivat päättää käyttää sovelluksen tietoja covid-19-oireyhtymän seurantaan perusterveydenhuollossa. Nämä tiedot voitaisiin viikoittain toimittaa ECDC:lle yhdistetyssä muodossa (esim. influenssan kaltaisten tautien (ILI) tai akuuttien hengitystieinfektioiden (ARI) määrä viikossa ikäryhmittäin taudin ilmaantuvuutta seuraavien lääkärien kattamasta kokonaisväestöstä). Näin kansalliset viranomaiset ja ECDC voisivat arvioida hengitystieoireiden positiivisen ennustearvon tietyssä yhteisössä ja antaa näin tietoa viruksen leviämistasosta sovelluksesta saatavien tietojen perusteella.

(17)

Kun otetaan huomioon edellä kuvatut älypuhelinsovellusten toiminnot, niiden käyttö voi vaikuttaa tiettyjen perusoikeuksien, kuten yksityis- ja perhe-elämän kunnioittamista koskevan oikeuden, noudattamiseen. Koska kaiken näihin oikeuksiin puuttumisen on tapahduttava lainsäädännön mukaisesti, jäsenvaltioiden lainsäädännön, jossa säädettäisiin tiettyjen perusoikeuksien kunnioittamisen rajoituksista tai sallittaisiin ne, olisi oltava Euroopan unionista tehdyn sopimuksen 6 artiklassa vahvistettujen unionin oikeuden yleisten periaatteiden, niiden valtiosääntöperinteiden ja niiden kansainvälisen oikeuden mukaisten velvoitteiden mukaista.

(18)

Jotta erityyppiset sovellukset (ja niiden perustana olevat tartuntaketjuja koskevat tietojärjestelmät) voidaan hyväksyä ja jotta voidaan varmistaa, että ne täyttävät epidemiologisen seurannan tavoitteen, asiasta vastaavien kansallisten terveysviranomaisten on yhdenmukaistettava ja pantava koordinoidusti täytäntöön taustalla olevat toimintaperiaatteet, vaatimukset ja tarkastukset. Useiden sellaisten jäsenvaltioiden kokemus, joissa on otettu käyttöön kontaktien jäljittämiseen käytettäviä sovelluksia, osoittaa, että niiden hyväksymisen lisäämiseksi on hyödyllistä, että toimenpiteiden valmistelussa ja toteuttamisessa käytetään yhdennettyä hallintotapaa, johon osallistuvat terveysviranomaisten lisäksi myös muut viranomaiset (kuten tietosuojaviranomaiset) sekä yksityinen sektori, asiantuntijat, tutkijat ja sidosryhmät, kuten potilasryhmät. Sovellusta koskeva laaja tiedottaminen on olennaisen tärkeää myös sen käyttöönoton ja onnistumisen kannalta.

(19)

Jotta voidaan havaita eri jäljityssovelluksia käyttävien henkilöiden läheiset kohtaamiset (tämä skenaario on todennäköisin kansallisten tai alueellisten rajojen yli liikkuvien ihmisten keskuudessa), olisi pyrittävä sovellusten yhteentoimivuuteen. Tartuntaketjuja valvovien kansallisten terveysviranomaisten olisi voitava vaihtaa yhteentoimivia tietoja positiivisen testituloksen saaneista käyttäjistä muiden jäsenvaltioiden tai alueiden kanssa, jotta voidaan käsitellä rajat ylittäviä tartuntaketjuja.

(20)

Tietyt yritykset, kuten televiestintäpalveluja tarjoavat yritykset ja suuret teknologiayhteisöt, ovat julkaisseet tai saattaneet viranomaisten saataville anonymisoitua ja yhdistettyä sijaintidataa. Tällaista dataa tarvitaan viruksen torjuntaa koskevassa tutkimuksessa, viruksen leviämistapojen ymmärtämiseen tähtäävässä mallintamisessa ja kriisin taloudellisten vaikutusten mallintamisessa. Se auttaa erityisesti ymmärtämään ja mallintamaan epidemian alueellista dynamiikkaa sekä arvioimaan sosiaalisen kanssakäymisen vähentämisen (matkustusrajoitukset, muun kuin välttämättömän toiminnan lopettaminen, täydellinen sulku jne.) vaikutusta liikkuvuuteen. Tämä on ensisijaisen tärkeää ensinnäkin siksi, että näin voidaan hillitä viruksen seurauksia ja arvioida etenkin henkilökohtaisia suojavarusteita koskevia ja sairaaloiden teho-osastojen tarpeita, ja toisekseen näin ulospääsystrategiaa voidaan tukea datavetoisilla malleilla, joista saadaan tietoa sosiaalisen kanssakäymisen vähentämisen löysäämisen mahdollisista vaikutuksista.

(21)

Vallitseva kriisi on osoittanut, että viranomaiset ja tutkimuslaitokset hyötyisivät keskeisten tietojen laajemmasta saannista viruksen kehityksen analysoimista ja kansanterveystoimenpiteiden tehokkuuden arvioimista varten.

(22)

Tietyt jäsenvaltiot ovat helpottaneet tarvittavan datan saantia. Lähestymistapojen sirpaleisuus haittaa kuitenkin nykyisellään EU:n yhteisiä toimia viruksen torjunnassa.

(23)

Unionin yhteinen lähestymistapa covid-19-kriisiin on myös tullut tarpeelliseksi siksi, että tietyissä maissa toteutetut toimenpiteet, kuten henkilöiden sijaintitietojen seuranta, teknologian käyttö yksilön terveysriskin tason arvioimiseen ja arkaluonteisten tietojen keskittäminen, herättävät kysymyksiä useiden EU:n oikeusjärjestyksessä taattujen perusoikeuksien ja -vapauksien näkökulmasta. Näihin kuuluvat muun muassa oikeus yksityisyyteen ja oikeus henkilötietojen suojaan. Euroopan unionin perusoikeuskirjan mukaan siinä vahvistettujen perusoikeuksien ja -vapauksien käyttämistä koskevien rajoitusten on joka tapauksessa oltava perusteltuja ja oikeasuhteisia. Tällaisten rajoitusten olisi erityisesti oltava väliaikaisia eli niiden on rajoituttava tiukasti siihen, mikä on tarpeen kriisin torjumiseksi, eikä niitä saa ilman asianmukaisia perusteluja jatkaa, kun kriisi on ohi.

(24)

Maailman terveysjärjestön ja muiden elinten mukaan on myös vaara, että sovellukset ja virheelliset tiedot voivat johtaa sellaisten henkilöiden leimautumiseen, joilla on tiettyjä ominaisuuksia, joilla oletetaan olevan yhteys sairauteen.

(25)

Tietojen minimoinnin periaatteen mukaisesti kansanterveysviranomaisten ja tutkimuslaitosten olisi käsiteltävä henkilötietoja vain silloin, kun se on asianmukaista ja merkityksellistä ja rajoittuu siihen, mikä on tarpeen, ja niiden olisi sovellettava asianmukaisia suojatoimia, kuten pseudonymisointia, yhdistämistä, salausta ja hajauttamista.

(26)

Tehokkaat kyberturvallisuusvaatimukset ja tietoturvatoimenpiteet ovat välttämättömiä tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden suojaamiseksi.

(27)

Tietosuojaviranomaisten kuuleminen henkilötietojen suojaa koskevan unionin lainsäädännön vaatimusten mukaisesti on olennaisen tärkeää sen varmistamiseksi, että henkilötietoja käsitellään lainmukaisesti ja että asianomaisten henkilöiden oikeuksia kunnioitetaan.

(28)

Direktiivin 2011/24/EU 14 artiklan mukaan unioni tukee ja helpottaa yhteistyötä ja tietojen vaihtamista jäsenvaltioiden välillä vapaaehtoisessa verkostossa, joka yhdistää jäsenvaltioiden nimeämät sähköisistä terveyspalveluista vastaavat kansalliset viranomaiset, jäljempänä ’sähköisten terveyspalvelujen verkosto’. Verkoston tavoitteena on pyrkiä tuottamaan kestäviä taloudellisia ja sosiaalisia etuuksia Euroopan sähköisten terveyspalvelujen järjestelmistä ja palveluista sekä yhteentoimivia sovelluksia, jotta voidaan saavuttaa luottamuksen ja turvallisuuden korkea taso, vahvistaa hoidon jatkuvuutta ja varmistaa turvallisen ja laadukkaan terveydenhuollon saatavuus. Komission täytäntöönpanopäätöksessä (EU) 2019/1765 (9) vahvistetaan sähköisten terveyspalvelujen verkoston perustamista, hallinnointia ja avointa toimintaa koskevat säännöt. Sähköisten terveyspalvelujen verkoston olisi kokoonpanonsa ja asiantuntemuksensa vuoksi oltava tärkein foorumi keskusteluille kansanterveysviranomaisten ja tutkimuslaitosten tietotarpeista, ja siihen olisi otettava mukaan myös kansallisten sähköisen viestinnän sääntelyviranomaisten, digitaaliasioista vastaavien ministeriöiden ja tietosuojaviranomaisten virkamiehiä.

(29)

Sähköisten terveyspalvelujen verkoston ja komission olisi myös tehtävä tiivistä yhteistyötä muiden sellaisten elinten ja verkostojen kanssa, jotka voivat antaa tarvittavan panoksen tämän suosituksen täytäntöönpanemiseksi. Tällaisia ovat terveysturvakomitea, tartuntatautien epidemiologisen seurannan verkosto, Euroopan tautienehkäisy- ja valvontakeskus, Euroopan tietosuojaneuvosto, Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin sekä verkkotietojärjestelmien yhteistyöryhmä.

(30)

Avoimuus ja selkeä ja säännöllinen viestintä sekä eniten kärsimään joutuneiden henkilöiden ja yhteisöjen osallistumisen mahdollistaminen ovat ensiarvoisen tärkeitä, jotta voidaan varmistaa kansalaisten luottamus covid-19-kriisiä torjuttaessa.

(31)

Koska tilanne covid-19-kriisin suhteen on muuttunut nopeasti eri jäsenvaltioissa, on olennaisen tärkeää, että jäsenvaltiot jatkavat raportointia ja komissio tarkastelee uudelleen tässä suosituksessa esitettyä lähestymistapaa nopeasti ja säännöllisesti niin kauan kuin kriisi jatkuu.

(32)

Tätä suositusta olisi tarvittaessa täydennettävä komission lisäohjeilla muun muassa varoittamiseen ja ehkäisemiseen käytettävien mobiilisovellusten käytön vaikutuksesta tietosuojaan ja yksityisyyteen.

ON ANTANUT TÄMÄN SUOSITUKSEN:

SUOSITUKSEN TARKOITUS

1)

Tässä suosituksessa esitetään prosessi yhteisen lähestymistavan kehittämiseksi kriisin ratkaisuun digitaalisin keinoin, jäljempänä ’välineistö’. Välineistö koostuu käytännön toimenpiteistä, joilla pyritään teknologioiden ja datan tehokkaaseen hyödyntämiseen ja joissa keskitytään erityisesti kahteen osa-alueeseen:

1)

unionin tasolla koordinoitu yleiseurooppalainen lähestymistapa mobiilisovellusten käyttöön kansalaisten lähikontaktien tehokkaassa ja paremmin kohdennetussa välttämisessä sekä varoituksissa, ennaltaehkäisyssä ja kontaktien jäljittämisessä covid-19-taudin leviämisen rajoittamiseksi. Tähän sisältyy menetelmä, jolla seurataan tällaisten sovellusten tehokkuutta, niiden yhteentoimivuutta ja rajat ylittäviä vaikutuksia sekä turvallisuus-, yksityisyys- ja tietosuojavaatimusten kunnioittamista ja jaetaan näitä koskevia arviointeja; ja

2)

yhteinen järjestelmä väestöryhmien liikkuvuutta koskevan anonymisoidun ja yhdistetyn datan käyttämiseksi i) taudin kehityksen mallintamiseen ja ennustamiseen, ii) jäsenvaltioiden viranomaisten päätöksenteon tehokkuuden seurantaan esimerkiksi lähikontaktien välttämiseen ja eristykseen liittyvien toimenpiteiden osalta ja iii) covid-19-kriisistä ulospääsyä koskevan koordinoidun strategian laatimiseen.

2)

Jäsenvaltioiden olisi toteutettava nämä toimet kiireellisesti sekä tiiviissä yhteistyössä muiden jäsenvaltioiden, komission ja muiden asiaankuuluvien sidosryhmien kanssa, sanotun kuitenkaan rajoittamatta jäsenvaltioiden toimivaltaa kansanterveyden alalla. Jäsenvaltioiden olisi varmistettava, että kaikki toimet toteutetaan unionin oikeuden mukaisesti, etenkin lääkinnällisiä laitteita koskevan lainsäädännön sekä yksityisyyden ja henkilötietojen suojaa koskevan oikeuden ja muiden unionin perusoikeuskirjassa vahvistettujen oikeuksien ja vapauksien mukaisesti. Välineistöä täydennetään komission ohjeilla, kuten mobiililaitteiden varoitus- ja ennaltaehkäisysovellusten käyttöön liittyviä tietosuoja- ja yksityisyysnäkökohtia koskevilla ohjeilla.

MÄÄRITELMÄT

3)

Tässä suosituksessa tarkoitetaan

a)

’mobiilisovelluksella’ älylaitteissa, erityisesti älypuhelimissa, käytettävää ohjelmistosovellusta, joka on yleensä suunniteltu laaja-alaiseen ja kohdennettuun vuorovaikutukseen verkkoresurssien kanssa ja joka käsittelee monilla kaikista älylaitteista löytyvillä antureilla kerättyä läheisyysdataa ja muita kontekstuaalisia tietoja ja joka pystyy vaihtamaan tietoja muiden verkkoon liitettyjen laitteiden kanssa monien verkkorajapintojen kautta;

b)

’sähköisten terveyspalvelujen verkostolla’ direktiivin 2011/24/EU 14 artiklalla perustettua verkostoa, jonka tehtäviä on selkeytetty täytäntöönpanopäätöksellä (EU) 2019/1765;

c)

’terveysturvakomitealla’ jäsenvaltioiden edustajista koostuvaa elintä, joka on perustettu päätöksen N:o 1082/2013/EU 17 artiklalla;

d)

’epidemiologisen seurannan verkostolla’ päätöksen N:o 1082/2013/EU 6 artiklalla tartuntatautien ja niihin liittyvien erityisten terveysnäkökohtien epidemiologista seurantaa varten perustettua verkostoa, jonka toiminnasta ja koordinoinnista huolehtii Euroopan tautienehkäisy- ja -valvontakeskus (ECDC) ja joka luo pysyvän viestintäyhteyden komission, ECDC:n ja epidemiologisesta seurannasta kansallisella tasolla vastaavien toimivaltaisten viranomaisten välille.

TEKNOLOGIAN JA DATAN KÄYTTÖÄ KOSKEVAN VÄLINEISTÖN KEHITTÄMISPROSESSI

4)

Tämän prosessin pitäisi helpottaa sitä, että jäsenvaltiot ja komissio kehittävät ja hyväksyvät kiireellisesti käytännön toimenpiteistä koostuvan välineistön, johon sisältyy eurooppalainen lähestymistapa covid-19-mobiilisovelluksiin sekä liikkuvuusdatan käyttöön viruksen kehityksen mallintamisessa ja ennustamisessa.

5)

Sähköisten terveyspalvelujen verkostossa edustettuina olevien jäsenvaltioiden olisi kokoonnuttava komission ja Euroopan tautienehkäisy- ja -valvontakeskuksen edustajien kanssa välittömästi ja usein sen jälkeen. Niiden olisi vaihdettava näkemyksiä siitä, kuinka eri lähteistä peräisin olevia tietoja voidaan parhaiten käyttää covid-19-kriisin ratkaisemiseen siten, että samalla saavutetaan korkea luottamuksen ja turvallisuuden taso unionin lainsäädännön kanssa yhteensopivalla tavalla erityisesti henkilötietojen ja yksityisyyden suojan osalta, sekä vaihdettava parhaita käytäntöjä ja edistettävä yhteisiä lähestymistapoja tältä osin.

6)

Sähköisten terveyspalvelujen verkoston olisi kokoonnuttava välittömästi tämän suosituksen toteuttamiseksi.

7)

Sähköisten terveyspalvelujen verkostossa edustettuina olevien jäsenvaltioiden olisi tarvittaessa tiedotettava tämän suosituksen täytäntöönpanosta terveysturvakomitealle, Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimelle, verkko- ja tietoturva-alan yhteistyöryhmälle ja asianomaisille komission virastoille, mukaan lukien ENISA, sekä Europolille ja neuvoston työryhmille ja pyydettävä niiltä palautetta.

8)

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu olisi otettava tiiviisti mukaan työhön sen varmistamiseksi, että välineistössä noudatetaan sisäänrakennetun tietosuojan ja yksityisyyden suojan periaatteita.

9)

Jäsenvaltioiden viranomaisten ja komission olisi varmistettava säännöllinen, selkeä ja kattava tiedottaminen yleisölle tämän suosituksen nojalla toteutetuista toimista ja tarjottava yleisölle tilaisuuksia vuorovaikutukseen ja keskusteluun osallistumiseen.

10)

Prosessin kaikissa vaiheissa olisi kunnioitettava kaikkia perusoikeuksia, erityisesti yksityisyyden suojaa ja tietosuojaa sekä valvonnan ja leimautumisen ehkäisemistä. Näiden erityskysymysten osalta välineistössä olisi näin ollen

1)

rajoitettava henkilötietojen käsittely tiukasti tarkoituksiin, jotka ovat välttämättömiä covid-19-kriisin torjumiseksi, ja varmistettava, että henkilötietoja ei käytetä mihinkään muihin tarkoituksiin, kuten lainvalvontaan tai kaupallisiin tarkoituksiin;

2)

varmistettava, että henkilötietojen käsittelyn tarpeellisuutta covid-19-kriisin torjumistarkoituksiin tarkastellaan säännöllisesti uudelleen, ja vahvistettava asianmukaiset raukeamislausekkeet sen varmistamiseksi, että käsittely ei jatku kauemmin kuin mikä on näiden tarkoitusten kannalta ehdottoman välttämätöntä;

3)

toteutettava toimenpiteitä sen varmistamiseksi, että kun tietojen käsittely ei enää ole ehdottoman välttämätöntä, se lopetetaan tosiasiallisesti ja kyseessä olevat henkilötiedot tuhotaan peruuttamattomasti, jolleivat eettiset lautakunnat ja tietosuojaviranomaiset totea, että tietojen tieteellinen arvo yleisen edun kannalta on merkittävämpi kuin vaikutus kyseisiin oikeuksiin, edellyttäen, että toteutetaan asianmukaisia suojatoimia.

11)

Välineistöä olisi kehitettävä asteittain perustuen kaikkien asianomaisten osapuolten kanssa käytäviin keskusteluihin sekä covid-19-pandemian torjunnassa tarvittavien ja kansanterveysviranomaisten ja kansanterveysalan tutkimuslaitosten käytettävissä olevien tietojen lähteitä ja tyyppejä koskevan tilanteen, parhaan käytännön, kysymysten ja ratkaisun seurantaan.

12)

Välineistö olisi jaettava Euroopan unionin kansainvälisten kumppaneiden kanssa, jotta voidaan vaihtaa parhaita käytäntöjä ja auttaa torjumaan viruksen leviämistä maailmanlaajuisesti.

YLEISEUROOPPALAINEN LÄHESTYMISTAPA COVID-19-MOBIILISOVELLUKSIIN

13)

Välineistön ensisijaisena tavoitteena olisi oltava covid-19-mobiilisovelluksia koskeva yleiseurooppalainen lähestymistapa, joka jäsenvaltioiden ja komission olisi kehitettävä yhdessä 15 päivään huhtikuuta 2020 mennessä. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu osallistuvat prosessiin. Lähestymistavan olisi koostuttava seuraavista:

1)

spesifikaatiot, joilla varmistetaan mobiililaitteiden tiedotus-, varoitus- ja jäljityssovellusten toimivuus covid-19-kriisin torjunnassa lääketieteelliseltä ja tekniseltä kannalta;

2)

toimenpiteet, joilla vältetään unionin oikeuden kanssa yhteensopimattomien sovellusten yleistyminen, tuetaan vammaisten henkilöiden esteettömyyttä ja yhteentoimivuutta koskevia vaatimuksia ja edistetään yhteisiä ratkaisuja, myös mahdollista yleiseurooppalaista sovellusta;

3)

terveysviranomaisten käyttöön tarkoitetut hallinnointimekanismit ja yhteistyö ECDC:n kanssa;

4)

hyvien toimintamallien ja mekanismien määrittäminen sovellusten toimintaa koskevien tietojen vaihtamiseksi; ja

5)

tietojen jakaminen asiaankuuluvien epidemiologisten julkisten elinten ja kansanterveysalan tutkimuslaitosten kanssa, mukaan lukien yhdistettyjen tietojen jakaminen ECDC:n kanssa.

14)

Sähköisten terveyspalvelujen verkostossa edustettuina olevien jäsenvaltioiden viranomaisten olisi otettava käyttöön menettely tietojen vaihtamiseksi ja yhteentoimivuuden varmistamiseksi tapauksissa, joihin liittyy rajat ylittäviä skenaarioita.

YKSITYISYYTEEN JA TIETOSUOJAAN LIITTYVÄT NÄKÖKOHDAT MOBIILISOVELLUSTEN KÄYTÖSSÄ

15)

Välineistön kehittämisessä olisi noudatettava yksityisyyden suojaa ja tietosuojaa koskevia periaatteita.

16)

Varoittavien ja ennalta ehkäisevien covid-19-mobiilisovellusten käytössä olisi erityisesti otettava huomioon seuraavat periaatteet:

1)

perusoikeuksien kunnioittamisen ja leimaamisen estämisen varmistaminen suojatoimilla, joiden on katettava erityisesti henkilötietojen suojaa ja viestinnän luottamuksellisuutta koskevat sovellettavat säännöt;

2)

yksityisyyttä vähiten haittaavien mutta tehokkaiden toimenpiteiden suosiminen, mukaan lukien läheisyysdatan käyttö ja henkilöiden sijaintia tai liikkumista koskevan datan käsittelyn välttäminen sekä anonymisoidun ja yhdistetyn datan käyttö mahdollisuuksien mukaan;

(3)

tekniset vaatimukset soveltuville tekniikoille (esim. Bluetooth Low Energy), joilla toteutetaan laitteiden läheisyysseuranta, salaus, tietoturva, tietojen tallennus mobiililaitteeseen, terveysviranomaisten mahdollinen pääsy tietoihin ja tietojen taltiointi;

4)

tehokkaat kyberturvallisuusvaatimukset tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden suojaamiseksi;

5)

toteutettujen toimenpiteiden päättyminen ja näiden toimenpiteiden yhteydessä saatujen henkilötietojen poistaminen viimeistään silloin, kun pandemian on ilmoitettu olevan hallinnassa;

6)

läheisyysdatan lataaminen, jos tartunta on vahvistettu, ja asianmukaiset menetelmät tartunnan saaneeseen henkilöön läheisessä yhteydessä olleiden – edelleen anonyymeiksi jäävien – henkilöiden varoittamiseksi; ja

7)

yksityisyysasetuksia koskevat avoimuusvaatimukset, joilla varmistetaan luottamus sovelluksiin.

17)

Komissio julkaisee ohjeita, joissa täsmennetään edelleen yksityisyyttä ja tietosuojaa koskevia periaatteita, kun välineistön kehittämisestä ja täytäntöönpanosta saadaan käytännön kokemusta.

LIIKKUVUUSDATAN KÄYTTÖ TOIMENPITEITÄ JA ULOSPÄÄSYSTRATEGIAA VARTEN

18)

Välineistön toisena prioriteettina olisi oltava yhteinen lähestymistapa sellaisen anonymisoidun ja yhdistetyn liikkuvuusdatan käyttöön, jota tarvitaan

1)

mallintamiseen, jotta voidaan kartoittaa ja ennustaa taudin leviämistä ja sen vaikutuksia jäsenvaltioiden terveydenhuoltojärjestelmien tarpeisiin, kuten sairaaloiden teho-osastojen ja henkilökohtaisia suojavarusteita koskeviin tarpeisiin muttei yksistään niihin; ja

2)

niiden toimenpiteiden tehokkuuden optimointiin, joilla rajoitetaan covid-19-viruksen leviämistä ja puututaan sen vaikutuksiin, muun muassa eristämiseen (ja eristämisen purkamiseen), sekä hankitaan ja käytetään näitä tietoja.

19)

Lähestymistapaa kehittäessään jäsenvaltioiden (jotka ovat edustettuina sähköisten terveyspalvelujen verkostossa, jonka toiminta koordinoidaan terveysturvakomitean ja ECDC:n epidemiologisen verkoston ja tarvittaessa ENISAn kanssa) olisi vaihdettava liikkuvuusdatan käyttöä koskevia parhaita käytäntöjä, jaettava ja vertailtava viruksen leviämisestä tehtäviä mallinnuksia ja ennusteita sekä seurattava viruksen leviämistä rajoittavien toimenpiteiden vaikutusta.

20)

Tästä olisi saatava tuloksena seuraavat:

1)

anonyymin ja yhdistetyn liikkuvuusdatan asianmukainen käyttö viruksen leviämistapojen ymmärtämiseen tähtäävässä mallintamisessa ja kriisin taloudellisten vaikutusten mallintamisessa;

2)

viranomaisille annettava neuvonta siitä, miten palveluntarjoajilta pyydetään tietoja menetelmistä, joita ne ovat käyttäneet tietojen anonymisoimiseksi, ja miten sovellettujen menetelmien uskottavuus tarkastetaan;

3)

suojatoimet, joilla estetään tietojen de-anonymisointi ja henkilöiden uudelleentunnistaminen, mukaan lukien takeet riittävästä tietoturvasta ja tietoteknisestä turvasta, sekä uudelleentunnistamisriskien arviointi, kun anonymisoituja tietoja vertaillaan muihin tietoihin;

4)

kaikkien sellaisten vahingossa käsiteltyjen tietojen, joista henkilöt voidaan tunnistaa, välitön ja peruuttamaton poistaminen sekä tiedottaminen tietojen toimittajille ja toimivaltaisille viranomaisille vahingossa tapahtuneesta käsittelystä ja poistamisesta;

5)

tietojen poistaminen periaatteessa 90 päivän kuluttua ja joka tapauksessa viimeistään silloin, kun pandemian on ilmoitettu olevan hallinnassa; ja

6)

tietojen käsittelyn rajoittaminen yksinomaan edellä mainittuihin tarkoituksiin ja kielto tietojen jakamisesta kolmansien osapuolten kanssa.

RAPORTOINTI JA UUDELLEENTARKASTELU

21)

Covid-19-mobiilisovelluksia koskeva yleiseurooppalainen lähestymistapa julkaistaan 15. huhtikuuta 2020, ja komissio täydentää sitä yksityisyyden suojaa ja tietosuojaa koskevilla ohjeilla.

22)

Jäsenvaltioiden olisi raportoitava komissiolle tämän suosituksen nojalla toteutetuista toimista viimeistään 31. toukokuuta 2020. Raportoinnin olisi jatkuttava säännöllisesti niin kauan kuin covid-19-kriisi jatkuu.

23)

Jäsenvaltioiden olisi 8. huhtikuuta 2020 alkaen saatettava tämän suosituksen soveltamisalaan kuuluvilla aloilla sovellettavat toimenpiteet muiden jäsenvaltioiden ja komission saataville vertaisarviointia varten. Jäsenvaltiot ja komissio voivat esittää huomautuksia näistä toimenpiteistä viikon kuluessa. Asianomaisen jäsenvaltion olisi otettava esitetyt huomautukset mahdollisimman tarkasti huomioon.

24)

Komissio aloittaa saavutettua edistystä ja tämän suosituksen vaikutuksia koskevan arvioinnin kesäkuussa 2020 jäsenvaltioiden raporttien perusteella. Komissio voi antaa jäsenvaltioille lisäsuosituksia muun muassa tämän suosituksen soveltamisalaan kuuluvilla aloilla toteutettavien toimenpiteiden ajoituksesta.

Tehty Brysselissä 8 päivänä huhtikuuta 2020.

Komission puolesta

Thierry BRETON

Komission jäsen


(1)  Euroopan parlamentin ja neuvoston päätös N:o 1082/2013/EU, annettu 22 päivänä lokakuuta 2013, valtioiden rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 2119/98/EY kumoamisesta (EUVL L 293, 5.11.2013, s. 1).

(2)  Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(3)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(4)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).

(5)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EUVL L 201, 31.7.2002, s. 37).

(6)  Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle, Euroopan datastrategia, COM/2020/66 final.

(7)  Euroopan parlamentin ja neuvoston asetus (EU) 2017/745, annettu 5 päivänä huhtikuuta 2017, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta (EUVL L 117, 5.5.2017, p. 1).

(8)  Neuvoston direktiivi 93/42/ETY, annettu 14 päivänä kesäkuuta 1993, lääkinnällisistä laitteista (EYVL L 169, 12.7.1993, s. 1).

(9)  Komission täytäntöönpanopäätös (EU) 2019/1765, annettu 22 päivänä lokakuuta 2019, sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevista säännöistä ja täytäntöönpanopäätöksen 2011/890/EU kumoamisesta (EUVL L 270, 24.10.2019, s. 83).


Top