17.4.2020   

FI

Euroopan unionin virallinen lehti

CI 124/1


KOMISSION TIEDONANTO

Covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet

(2020/C 124 I/01)

1   TAUSTA

Covid-19-pandemia on ennennäkemätön haaste unionille ja sen jäsenvaltioille, niiden terveydenhuoltojärjestelmille, elämäntavalle, talouden vakaudelle ja arvoille. Covid-19-kriisin torjunnassa tärkeässä asemassa ovat digitaaliteknologia ja tieto. Mobiilisovelluksilla, jotka useimmiten asennetaan älypuhelimiin, voidaan tukea terveysviranomaisia kansallisella ja EU:n tasolla covid-19-pandemian seurannassa ja hillinnässä. Erityisen tärkeitä ne ovat rajoittamistoimenpiteiden purkamisvaiheessa. Sovellusten avulla kansalaisille voidaan antaa suoraa opastusta, ja niillä voidaan tukea kontaktien jäljittämistä. Monissa maissa sekä EU:ssa että maailmanlaajuisesti kansalliset ja alueelliset viranomaiset tai kehittäjät ovat ilmoittaneet tuovansa käytettäviksi sovelluksia, joissa on erilaisia viruksen torjunnan tukemiseen tarkoitettuja toimintoja.

Komissio antoi 8. huhtikuuta 2020 suosituksen unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta (1), jäljempänä ’suositus’. Suosituksen tarkoituksena on muun muassa kehittää EU:n tasolla koordinoitu yhteinen eurooppalainen lähestymistapa (”välineistö”) mobiilisovellusten käyttöön kansalaisten lähikontaktien tehokkaassa välttämisessä sekä varoituksissa, ennaltaehkäisyssä ja kontaktien jäljittämisessä covid-19-taudin leviämisen rajoittamiseksi. Suosituksessa esitetään yleiset periaatteet, joiden olisi ohjattava tällaisen välineistön kehittämistä, ja todetaan komission julkaisevan lisäohjeita muun muassa asiaan liittyvien sovellusten käytön vaikutuksesta henkilötietojen ja yksityisyyden suojaan.

Yhteisessä eurooppalaisessa etenemissuunnitelmassa covid-19-rajoitusten purkamiseksi komissio vahvisti yhteistyössä Eurooppa-neuvoston puheenjohtajan kanssa periaatteita, joilla ohjataan covid-19-epidemian johdosta asetettujen rajoittamistoimenpiteiden asteittaista purkamista. Tässä yhteydessä mobiilisovelluksilla, kuten kontaktien jäljitystoiminnoilla, voi olla tärkeä rooli. Riippuen sovellusten ominaisuuksista ja niiden käytön laajuudesta väestön keskuudessa niillä voi olla huomattava vaikutus covid-19-taudin diagnosointiin, hoitoon ja hallintaan sairaalaympäristössä ja sen ulkopuolella. Ne ovat erityisen merkityksellisiä siinä vaiheessa, kun rajoittamistoimenpiteitä puretaan ja tartuntariski kasvaa sitä mukaa kuin yhä useammat ihmiset ovat kontaktissa toisiinsa. Nämä sovellukset voivat auttaa katkaisemaan tartuntaketjut nopeammin ja tehokkaammin kuin yleiset rajoittamistoimenpiteet ja supistaa viruksen merkittävän leviämisen riskiä. Sen vuoksi niiden olisi oltava tärkeä osa ulospääsystrategiaa ja täydennettävä muita toimenpiteitä, kuten testauskapasiteetin lisäämistä. (2) Tärkeä edellytys tällaisten sovellusten kehittämiselle sekä niiden hyväksymiselle ja käyttöönotolle yksityishenkilöiden keskuudessa on luottamus. Ihmisten on voitava olla varmoja siitä, että perusoikeuksien noudattaminen taataan ja että sovelluksia käytetään ainoastaan niille nimenomaisesti määritettyihin tarkoituksiin, että niitä ei käytetä laajamittaiseen valvontaan ja että yksityishenkilöillä säilyy mahdollisuus hallita tietojaan. Tältä pohjalta määräytyy sovellusten tarkkuus ja tehokkuus viruksen leviämisen hillitsemisessä. Sen vuoksi on olennaisen tärkeää löytää ratkaisuja, jotka haittaavat yksityisyyttä mahdollisimman vähän ja jotka ovat kaikilta osin EU:n lainsäädännössä vahvistettujen henkilötietojen suojaa ja yksityisyyden suojaa koskevien vaatimusten mukaisia. Lisäksi sovellukset olisi deaktivoitava viimeistään silloin, kun pandemian on ilmoitettu olevan hallinnassa. Myös sovellusten tietoturvan olisi oltava huipputasoa.

Näissä ohjeissa otetaan huomioon Euroopan tietosuojaneuvoston panos (3) ja sähköisten terveyspalvelujen verkoston piirissä käydyt keskustelut. Euroopan tietosuojaneuvosto aikoo julkaista lähipäivinä ohjeet geopaikannuksesta ja muista jäljitysvälineistä covid-19-epidemian yhteydessä.

Ohjeiden soveltamisala

Jotta voidaan taata koko EU:n laajuinen yhtenäinen lähestymistapa ja antaa ohjeita jäsenvaltioille ja sovellusten kehittäjille, tässä asiakirjassa esitetään ominaisuuksia, joita sovelluksilla on oltava, ja vaatimuksia, jotka sovellusten on täytettävä, jotta varmistetaan yksityisyyden ja henkilötietojen suojaa koskevan EU:n lainsäädännön ja erityisesti yleisen tietosuoja-asetuksen (4) ja sähköisen viestinnän tietosuojadirektiivin (5) noudattaminen. Nämä ohjeet eivät koske muita terveystietojen käsittelyä koskevia ehtoja tai rajoituksia, joita jäsenvaltiot ovat saattaneet sisällyttää kansalliseen lainsäädäntöönsä.

Nämä ohjeet eivät ole oikeudellisesti sitovia. Ne eivät vaikuta unionin tuomioistuimen rooliin, sillä se on ainoa toimielin, joka voi esittää sitovia tulkintoja EU:n lainsäädännöstä.

Nämä ohjeet koskevat ainoastaan covid-19-pandemian torjuntaa tukevia vapaaehtoisia sovelluksia (yksityishenkilöiden vapaaehtoisesti lataamia, asentamia ja käyttämiä sovelluksia), joissa on yksi tai useampi seuraavista toiminnoista:

niillä annetaan yksityishenkilöille covid-19-pandemiaa koskevaa paikkansapitävää tietoa;

niillä tarjotaan yksityishenkilöille itsearviointia tukevia kyselylomakkeita ja opastusta (oireiden tarkistustoiminto) (6);

niiden avulla kohdistetaan varoituksia henkilöille, jotka ovat olleet tietyn ajan tartunnan saaneen henkilön läheisyydessä, jotta heille voidaan antaa tietoa esimerkiksi siitä, onko heidän eristäydyttävä ja missä he voivat testauttaa itsensä (kontaktien jäljitys ja varoitus -toiminto);

niissä tarjotaan käyttöön foorumi potilaiden ja lääkäreiden väliselle viestinnälle omaehtoisen karanteenin tilanteissa tai lisäohjeiden antamiseksi diagnosointia ja hoitoa varten (etälääketieteen käytön lisääminen).

Sähköisen viestinnän tietosuojadirektiivin mukaan sellaisen sovelluksen käyttö, johon liittyy direktiivin 5 artiklassa tarkoitettu viestinnän luottamuksellisuus, voidaan määrätä pakolliseksi vain lailla, joka on välttämätön, asianmukainen ja oikeasuhteinen tiettyjen erityistavoitteiden suojaamiseksi. Kun otetaan huomioon, että tällaisella lähestymistavalla puututtaisiin merkittävästi yksityisyyteen ja että siihen liittyy lukuisia haasteita, muun muassa asianmukaisten suojatoimien käyttöönoton suhteen, komissio katsoo, että ennen tämän vaihtoehdon mahdollista käyttämistä on tehtävä huolellinen analyysi. Näistä syistä komissio suosittelee vapaaehtoisten sovellusten käyttöä.

Nämä ohjeet eivät kata sovelluksia, joiden tarkoituksena on karanteenivaatimusten täyttämisen valvonta (eivätkä pakollisia sovelluksia).

2   SOVELLUSTEN PANOS COVID-19-TAUDIN TORJUNTAAN

Oireiden tarkistustoiminto on väline, jolla kansanterveysviranomaiset voivat opastaa kansalaisia covid-19-testejä koskevissa kysymyksissä ja tiedottaa omaehtoisesta karanteenista, tavoista välttää muiden tartuttamista ja tilanteista, joissa hakeutua hoitoon. Se voi myös täydentää perusterveydenhuollon seurantaa ja parantaa tiedonsaantia covid-19-taudin tartunta-asteesta väestön keskuudessa.

Kontaktien jäljitys ja varoitus -toimintojen avulla voidaan kartoittaa henkilöt, jotka ovat olleet kontaktissa covid-19-tartunnan saaneen kanssa, ja tiedottaa heille asianmukaisista toimista, kuten eristäytymisestä tai testattavaksi hakeutumisesta, sekä antaa neuvoja toiminnasta siinä tapauksessa, että heillä ilmenee oireita. Tästä toiminnosta on näin ollen hyötyä sekä yksityishenkilöille että kansanterveysviranomaisille. Sillä voi olla tärkeä rooli myös rajoittamistoimenpiteiden hallinnassa rajoitusten purkuskenaarioiden yhteydessä. Sen vaikutusta voidaan tehostaa strategialla, jolla tuetaan lieviä oireita saaneiden laajempaa testausta.

Lisäksi molemmat toiminnot voivat toimia merkityksellisinä tietolähteinä kansanterveysviranomaisille ja helpottaa kyseisten tietojen toimittamista kansallisille epidemiologisille viranomaisille ja Euroopan tautienehkäisy- ja -valvontakeskukselle (ECDC). Tämä auttaisi ymmärtämään tartuntamalleja ja yhdessä testitulosten kanssa arvioimaan hengitystieoireiden positiivisen ennustearvon tietyssä yhteisössä ja tuottaisi näin tietoa viruksen leviämistasosta.

Arvioiden luotettavuus on suoraan kytköksissä toimitettujen tietojen määrään ja luotettavuuteen.

Sen vuoksi sekä oireiden tarkistustoiminnolla että kontaktien jäljitystoiminnoilla voidaan yhdessä asianmukaisten testausstrategioiden kanssa saada tietoja viruksen esiintymisestä, ja ne voivat auttaa arvioimaan lähikontaktien välttämisen ja eristystoimenpiteiden vaikutusta. Kuten suosituksessa todetaan, edellytys rajat ylittävän yhteistyön onnistumiselle ja eri sovellusten käyttäjien välisten kontaktien havaitsemiselle (joka on erityisen tärkeää kansalaisten liikkuessa yli rajojen) on huolehtiminen eri jäsenvaltioiden tietoteknisten ratkaisujen yhteentoimivuudesta. Jos tartunnan saanut henkilö on kontaktissa toisen jäsenvaltion sovelluksen käyttäjään, kyseisen käyttäjän henkilötiedot olisi voitava siirtää rajan yli hänen jäsenvaltionsa terveysviranomaisille siinä määrin kuin se on ehdottoman välttämätöntä. Asiaa käsitellään osana suosituksessa ilmoitettua välineistöä. Yhteentoimivuus olisi varmistettava sekä teknisillä vaatimuksilla että parantamalla kansallisten terveysviranomaisten välistä viestintää ja yhteistyötä. Covid-19-pandemian aikana kontaktien jäljityssovellusten hallinnointimallina voitaisiin käyttää myös erityisen yhteistyön mallia (7).

3   SOVELLUSTEN LUOTETTAVAN JA VASTUULLISEN KÄYTÖN OSATEKIJÄT

Sovelluksiin sisältyvillä toiminnoilla voi olla erilaisia vaikutuksia moniin EU:n perusoikeuskirjassa vahvistettuihin oikeuksiin, kuten ihmisarvoon, yksityis- ja perhe-elämän kunnioittamiseen, henkilötietojen suojaan, liikkumisvapauteen, syrjimättömyyteen, elinkeinovapauteen ja kokoontumis- ja yhdistymisvapauteen. Vaikutukset yksityisyyteen ja henkilötietojen suojaan voivat olla erityisen merkittäviä, koska jotkin toiminnot perustuvat dataintensiiviseen malliin.

Jäljempänä esitetyillä osatekijöillä pyritään antamaan ohjeita siitä, miten voidaan rajoittaa sovellusten toimintojen vaikutuksia yksityisyyteen ja varmistaa henkilötietosuojaa ja yksityisyyden suojaa koskevan EU:n lainsäädännön noudattaminen.

3.1   Rekisterinpitäjänä kansalliset terveysviranomaiset (tai terveysalalla yleistä etua koskevia tehtäviä suorittavat yksiköt)

On erittäin tärkeää yksilöidä, kuka päättää tietojen käsittelyn keinoista ja tarkoituksista (rekisterinpitäjä), jotta voidaan määrittää, kuka vastaa henkilötietojen suojaa koskevien EU:n sääntöjen noudattamisesta ja etenkin kenen olisi annettava sovelluksen lataaville yksityishenkilöille tiedot siitä, mitä tapahtuu heidän henkilötiedoilleen (jotka ovat jo olemassa tai jotka tuotetaan laitteella, johon sovellus asennetaan, kuten älypuhelimella), mitkä heidän oikeutensa tulevat olemaan, kuka on vastuussa henkilötietojen tietoturvaloukkaustapauksissa jne.

Kun otetaan huomioon käsiteltävien henkilötietojen arkaluonteisuus ja jäljempänä kuvatun tietojen käsittelyn tarkoitus, komissio katsoo, että sovellukset olisi suunniteltava siten, että rekisterinpitäjinä (8) toimivat kansalliset terveysviranomaiset (tai terveysalalla yleistä etua koskevia tehtäviä suorittavat yksiköt). Rekisterinpitäjät ovat vastuussa yleisen tietosuoja-asetuksen noudattamisesta (osoitusvelvollisuuden periaate). Tällaisten käyttöoikeuksien soveltamisalan olisi oltava rajoitettu jäljempänä 3.5 kohdassa kuvattujen periaatteiden mukaisesti.

Tällä lisätään väestön luottamusta ja siten sovellusten (ja niiden perustana olevien tartuntaketjuja koskevien tietojärjestelmien) hyväksyntää ja varmistetaan, että sovellukset ovat niille asetetun kansanterveyden suojelua koskevan tavoitteen mukaisia. Asiasta vastaavien kansallisten terveysviranomaisten olisi yhdenmukaistettava ja pantava koordinoidusti täytäntöön taustalla olevat toimintaperiaatteet, vaatimukset ja tarkastukset.

3.2   Sen varmistaminen, että hallinta säilyy yksityishenkilöillä

Jotta yksityishenkilöt voisivat luottaa sovelluksiin, on keskeistä osoittaa, että he päättävät jatkossakin itseään koskevista tiedoista. Komissio katsoo, että tämän varmistamiseksi erityisesti seuraavien edellytysten olisi täytyttävä:

Sovelluksen asentamisen laitteelle olisi oltava vapaaehtoista ilman kielteisiä seurauksia yksityishenkilöille, jotka päättävät olla lataamatta/käyttämättä sovellusta;

Sovelluksen eri toimintoja (esimerkiksi tiedotusta, oireiden tarkistamista, kontaktien jäljitystä ja varoitusta koskevia toimintoja) ei pitäisi niputtaa, jotta käyttäjä voi antaa suostumuksensa kullekin toiminnolle erikseen. Tämän ei pitäisi kuitenkaan estää käyttäjää yhdistämästä sovelluksen eri toimintoja, jos palveluntarjoaja tarjoaa sitä vaihtoehtona.

Jos käytetään läheisyysdataa (laitteiden välisestä Bluetooth Low Energy (BLE) -signaalien vaihdosta epidemiologisesti merkityksellisen etäisyyden sisällä tai epidemiologisesti merkityksellisenä aikana saatuja tietoja), se olisi tallennettava käyttäjän omalle laitteelle. Jos tiedot on tarkoitus jakaa terveysviranomaisten kanssa, ne olisi jaettava vasta sen jälkeen, kun asianomaisen henkilön covid-19-tartunta on vahvistettu, ja sillä edellytyksellä, että hän päättää jakaa tiedot.

Terveysviranomaisten olisi annettava yksityishenkilöille kaikki tarvittavat tiedot, jotka liittyvät heidän henkilötietojensa käsittelyyn (yleisen tietosuoja-asetuksen 12 ja 13 artiklan ja sähköisen viestinnän tietosuojadirektiivin 5 artiklan mukaisesti).

Yksityishenkilön olisi voitava käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan (erityisesti oikeutta tietoihin pääsyyn, niiden korjaamiseen ja poistamiseen). Kaikkien yleisen tietosuoja-asetuksen ja sähköisen viestinnän tietosuojadirektiivin mukaisten oikeuksien rajoittamisen olisi tapahduttava kyseisten säädösten nojalla ja oltava välttämätöntä, oikeasuhteista ja lainsäädännössä vahvistettua.

Sovellukset olisi deaktivoitava viimeistään silloin, kun pandemian on ilmoitettu olevan hallinnassa. Deaktivointi ei saisi edellyttää sitä, että käyttäjä poistaa sovelluksen.

3.3   Käsittelyn oikeusperusta

Sovellusten asentaminen ja tietojen tallentaminen käyttäjän laitteelle

Kuten edellä todetaan, sähköisen viestinnän tietosuojadirektiivin 5 artiklan mukaan tietojen tallentaminen käyttäjän laitteelle tai jo tallennettujen tietojen käyttö on sallittua vain, jos i) käyttäjä on antanut suostumuksensa tai ii) tallentaminen ja/tai käyttö on ehdottoman välttämätöntä käyttäjän nimenomaisesti pyytämän (esimerkiksi asentaman ja aktivoiman) tietoyhteiskunnan palvelun (esimerkiksi sovelluksen) kannalta.

Sovellusten toiminta edellyttää yleensä tietojen tallentamista yksityishenkilön laitteelle ja pääsyä kyseiselle laitteelle jo tallennettuihin tietoihin. Lisäksi kontaktien jäljitys- ja varoitustoiminto edellyttää joidenkin uusien tietojen (kuten lähellä olevien saman toiminnon käyttäjien lyhytaikaisen, säännöllisesti muuttuvan alias-käyttäjätunnuksen) tallentamista käyttäjän laitteelle. Toiminto saattaa myös edellyttää (tartunnan saaneelta tai todennäköisesti tartunnan saaneelta) käyttäjältä läheisyysdatan lataamista. Tietojen lataaminen ei kuitenkaan ole pakollista sovelluksen toiminnan kannalta. Sen vuoksi edellä olevassa kohdassa tarkoitetun ii) vaihtoehdon vaatimukset eivät täyty. Jäljelle jää suostumuksen antaminen (edellä oleva i) vaihtoehto) asianmukaisimpana perusteena kyseisille toimille. Suostumuksen olisi oltava ”vapaaehtoinen”, ”yksilöity”, ”yksiselitteinen” ja ”tietoinen” yleisessä tietosuoja-asetuksessa tarkoitetulla tavalla. Se olisi ilmaistava yksityishenkilön toteuttamalla selkeästi suostumusta ilmaisevalla toimella; tämä ei sisällä hiljaisen suostumuksen muotoja (esimerkiksi vaikenemista tai toimettomuutta) (9).

Kansallisten terveysviranomaisten suorittaman käsittelyn oikeusperusta – unionin tai jäsenvaltion lainsäädäntö

Kansalliset terveysviranomaiset käsittelevät henkilötietoja yleensä silloin, kun EU:n tai jäsenvaltion lainsäädännössä säädetään tällaisesta käsittelystä ja se täyttää yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan ja 9 artiklan 2 kohdan i alakohdan edellytykset tai kun käsittely on tarpeen EU:n tai jäsenvaltion lainsäädännössä tunnustetun yleistä etua edistävän tehtävän suorittamiseksi (10).

Kansallisessa lainsäädännössä on säädettävä asianmukaisista ja erityisistä toimenpiteistä yksilön oikeuksien ja vapauksien turvaamiseksi. Yleisenä sääntönä on, että mitä vahvempi vaikutus yksilön vapauksiin on, sitä tiukemmista vastaavista takeista olisi asiaa koskevassa lainsäädännössä säädettävä.

Ennen covid-19-epidemiaa voimassa ollutta EU:n ja jäsenvaltioiden lainsäädäntöä ja jäsenvaltioissa erityisesti epidemioiden leviämisen torjumiseksi laadittavaa lainsäädäntöä voidaan periaatteessa käyttää oikeusperustana yksityishenkilöiden tietojen käsittelyssä, jos niissä säädetään epidemioiden seurannan mahdollistavista toimenpiteistä ja jos kyseinen lainsäädäntö täyttää yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan vaatimukset.

Kun otetaan huomioon kyseessä olevien henkilötietojen luonne (etenkin terveystiedot erityisinä henkilötietoryhminä) sekä tämänhetkisen covid-19-pandemian olosuhteet, tietyn lain käyttäminen oikeusperustana lisäisi oikeusvarmuutta, sillä siinä i) säädettäisiin yksityiskohtaisesti tiettyjen terveystietojen käsittelystä ja määriteltäisiin selkeästi käsittelyn tarkoitukset, ii) ilmoitettaisiin selvästi, kuka on rekisterinpitäjä eli tietoja käsittelevä yksikkö ja kuka rekisterinpitäjän ohella voi käyttää tietoja, iii) poistettaisiin mahdollisuus käsitellä tällaisia tietoja eri tarkoituksiin kuin niihin, jotka on lueteltu lainsäädännössä ja iv) säädettäisiin erityisistä suojatoimista. Jotta ei heikennettäisi sovellusten yleistä hyödyllisyyttä ja hyväksyntää, kansallisen lainsäätäjän olisi kiinnitettävä erityistä huomiota siihen, että valittu ratkaisu on mahdollisimman laajasti kansalaisten saatavilla.

Terveysviranomaisten lainsäädännön perusteella suorittama käsittely ei muuta sitä tosiseikkaa, että yksityishenkilöt voivat vapaasti asentaa sovelluksen tai olla asentamatta sitä ja jakaa tietonsa terveysviranomaisten kanssa. Käyttäjille ei näin ollen saisi aiheutua kielteisiä seurauksia, kun sovellus otetaan pois käytöstä.

Kontaktien jäljitys- ja varoitussovellukset lähettävät varoituksia yksityishenkilöille. Kun varoitus annetaan suoraan sovelluksesta, komissio muistuttaa, että yksityishenkilöihin ei saa kohdistaa päätöstä, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on oikeusvaikutuksia tai joka vaikuttaa heihin vastaavalla tavalla merkittävästi (yleisen tietosuoja-asetuksen 22 artikla).

3.4   Tietojen minimointi

Laitteiden avulla tuotetut ja kyseisiin laitteisiin jo aiemmin tallennetut tiedot suojataan seuraavasti:

’Henkilötiedot’ eli yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitetut tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot on suojattu yleisen tietosuoja-asetuksen nojalla. Terveystietoihin sovelletaan ylimääräistä suojaa (yleisen tietosuoja-asetuksen 9 artikla).

’Paikkatiedot’ eli sähköisessä viestintäverkossa tai sähköisessä viestintäpalvelussa käsitellyt tiedot, jotka ilmaisevat käyttäjän päätelaitteen maantieteellisen sijainnin, on suojattu sähköisen viestinnän tietosuojadirektiivin (11) 5 artiklan 1 kohdan, 6 artiklan ja 9 artiklan nojalla.

Käyttäjän päätelaitteelle tallennetut ja sieltä saadut tiedot on suojattu sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdan nojalla.

Muita kuin henkilötietoja (kuten peruuttamattomasti anonymisoituja tietoja) ei ole suojattu yleisessä tietosuoja-asetuksessa.

Komissio muistuttaa tietojen minimoinnin periaatteesta, joka edellyttää, että ainoastaan sellaisia henkilötietoja voidaan käsitellä, jotka ovat asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niiden käsittelyn tarkoitukseen (12). Henkilötietojen käsittelyn tarpeellisuutta ja niiden merkityksellisyyttä olisi arvioitava suhteessa käsittelyn tarkoituksiin.

Komissio toteaa, että jos toiminnon tarkoituksena on esimerkiksi oireiden tarkistaminen tai etälääketiede, toiminto ei edellytä pääsyä laitteen omistavan henkilön yhteystietoluetteloon.

Vähäisempi tietojen tuottaminen ja käsittely vähentää turvallisuusriskejä. Tietojen minimointiin liittyvien toimenpiteiden noudattaminen tuo näin ollen myös turvatakeita.

—   Tietojen välittämistä koskeva toiminto:

Sovelluksessa, jossa on vain tämä toiminto, ei tarvitse käsitellä yksilöiden terveystietoja. Sovelluksella ainoastaan välitetään heille tietoja. Tätä tarkoitusta varten voidaan päätelaitteelle tallennettuja ja sieltä saatuja tietoja käsitellä vain siinä määrin kuin se on tarpeen tietojen antamiseksi.

—   Oireiden tarkistus- ja etälääketiede-toiminnot

Sovelluksessa, joka sisältää jommankumman tai molemmat näistä toiminnoista, käsitellään henkilökohtaisia terveystietoja. Näin ollen luettelo tiedoista, joita voidaan käsitellä, olisi täsmennettävä terveysviranomaisiin sovellettavassa asiaa koskevassa lainsäädännössä.

Lisäksi terveysviranomaiset saattavat tarvita oireiden tarkistustoimintoa käyttäneiden ja tulokset ladanneiden henkilöiden puhelinnumeroita. Päätelaitteelle tallennettuja ja sieltä saatuja tietoja voidaan käsitellä vain siinä määrin kuin se on tarpeen sovelluksen tarkoituksen täyttämiseksi ja sen toiminnan mahdollistamiseksi.

—   Kontaktien jäljitys- ja varoitustoiminto:

Valtaosa covid-19-tartunnoista tapahtuu vain rajallisen matkan kulkeutuvien pisaroiden välityksellä. Tartunnan saaneen henkilön läheisyydessä olleiden henkilöiden tunnistaminen on keskeinen tekijä tartuntaketjun katkaisemisessa. Läheisyyden määrittäminen riippuu kontaktin etäisyydestä ja kestosta, ja se olisi tehtävä epidemiologisesta näkökulmasta. Tartuntaketjun katkaiseminen on erityisen tärkeää, jotta vältetään tartuntojen uudelleen ilmaantuminen kriisistä irtautumisen vaiheessa.

Tätä tarkoitusta varten voidaan tarvita läheisyysdataa. Laitteiden välisen Bluetooth Low Energy (BLE) -yhteyden käyttö on osoittautunut tarkemmaksi ja näin ollen soveltuvammaksi läheisyyden mittaamiseen ja läheisten kontaktien määrittämiseen kuin geopaikannustietojen (GNSS-/GPS- tai solupaikannustiedot) käyttö. Käytettäessä BLE-tekniikkaa seuranta ei ole mahdollista (toisin kuin käytettäessä geopaikannustietoja). Komissio näin ollen suosittelee BLE-tekniikalla saadun (tai muulla vastaavalla tekniikalla tuotetun) datan käyttöä läheisyyden määrittämisessä.

Sijaintitiedot eivät ole tarpeellisia kontaktien jäljittämistä varten, sillä niillä ei pyritä seuraamaan henkilöiden liikkumista eikä valvomaan määräysten noudattamista. Lisäksi sijaintitietojen käsittelyä kontaktien jäljittämisen yhteydessä olisi vaikea perustella tietojen minimoinnin periaatteella ja se saattaisi aiheuttaa turvallisuuteen ja yksityisyydensuojaan liittyviä ongelmia. Komissio ei tästä syystä suosita sijaintitietojen käyttöä tässä yhteydessä.

Riippumatta siitä, mitä teknisiä välineitä läheisyyden määrittämisessä käytetään, kontaktin tarkan ajan tai paikan (jos tiedot saatavilla) tallentaminen ei vaikuta tarpeelliselta. Voi kuitenkin olla hyödyllistä tallentaa kontaktin päivämäärä sen selvittämiseksi, tapahtuiko kontakti silloin, kun henkilöllä oli oireita (tai enintään 48 tuntia tätä ennen (13)), ja lisätä seurantaviestiin ohjeet omaehtoisen eristäytymisen kestosta.

Läheisyysdataa olisi tuotettava ja käsiteltävä vain, jos on olemassa todellinen tartuntariski (kontaktin läheisyyden ja keston perusteella).

On huomattava, että tiedonkeruun tarpeellisuus ja suhteellisuus riippuvat näin ollen muun muassa siitä, missä määrin testauslaitoksia on käytettävissä etenkin silloin, kun eristyksen kaltaisia toimenpiteitä on jo määrätty. Tartunnan saaneeseen henkilöön läheisessä yhteydessä ollutta voidaan varoittaa kahdella tavalla:

Ensimmäistä lähestymistapaa sovellettaessa varoitus annetaan automaattisesti sovelluksen kautta läheisille kontakteille, kun käyttäjä tallentaa sovellukseen tiedon saamastaan positiivisesta testituloksesta – terveysviranomaisen hyväksyttyä tai vahvistettua asian QR- tai TAN-koodilla (hajautettu käsittely). Terveysviranomaisen olisi päätettävä varoitusviestin sisällöstä. Toisessa lähestymistavassa satunnaiset tilapäiset tunnisteet tallennetaan terveysviranomaisen ylläpitämälle taustapalvelimelle (taustapalvelinratkaisu). Käyttäjiä ei voida suoraan tunnistaa näiden tietojen avulla. Käyttäjät, jotka ovat olleet läheisessä yhteydessä positiivisen testituloksen saaneeseen, saavat laitteeseensa varoituksen näiden tunnisteiden avulla. Jos terveysviranomaiset haluavat ottaa yhteyttä käyttäjiin, jotka ovat olleet läheisessä yhteydessä tartunnan saaneeseen henkilöön, myös puhelimitse tai tekstiviestillä, he tarvitsevat näiden käyttäjien suostumuksen puhelinnumeronsa luovuttamiseen.

3.5   Tietojen luovuttamisen/saatavuuden rajoittaminen

—   Tietojen välittämistä koskeva toiminto:

Päätelaitteelle tallennettuja ja sieltä saatuja tietoja voidaan jakaa terveysviranomaisten kanssa vain siinä määrin, kuin se on tarpeen tietojen välittämistä koskevaa toimintoa varten. Koska toiminto on vain viestintäkeino, terveysviranomainen ei saa oikeutta muihin tietoihin.

—   Oireiden tarkistus- ja etälääketiede-toiminnot

Jäsenvaltiot voivat oireiden tarkistustoiminnon avulla ohjeistaa kansalaisia siitä, tulisiko heidän hakeutua testattavaksi, ja tarjota heille – ja erityisesti riskiryhmille – tietoja eristäytymisestä sekä siitä, miten ja milloin hakeutua hoitoon. Toiminnolla voidaan myös täydentää perusterveydenhuollon valvontaa ja saada tietoa covid-19-tartuntojen määrästä väestössä. Näin ollen voidaan päättää, että vastaaville terveysviranomaisille ja kansallisille epidemia-asioista vastaaville viranomaisille olisi annettava pääsy potilaan antamiin tietoihin. ECDC voisi saada aggregoituja tietoja kansallisilta viranomaisilta epidemiologista seurantaa varten.

Jos päätetään, että terveysvirkailijat voivat olla yhteydessä henkilöön suoraan pelkän sovelluksen sijaan, sovelluksen käyttäjien puhelinnumerot on tällöin ilmoitettava kansallisille terveysviranomaisille.

—   Kontaktien jäljitys- ja varoitustoiminto:

Tartunnan saaneen henkilön tiedot

Sovellukset tuottavat näennäissatunnaisia lyhytaikaisia ja säännöllisesti muuttuvia tunnisteita käyttäjän puhelimeen yhteydessä olleista puhelimista. Yksi vaihtoehto on, että tunnisteet tallennetaan käyttäjän laitteelle (niin kutsuttu hajautettu käsittely). Toinen vaihtoehto on, että nämä sattumanvaraiset tunnisteet tallennetaan palvelimelle, jolle terveysviranomaisilla on pääsy (niin kutsuttu taustapalvelinratkaisu). Hajautettua käsittelyä koskeva ratkaisu on yhdenmukaisempi tietojen minimoinnin periaatteen kanssa. Terveysviranomaisilla olisi oltava pääsy ainoastaan tartunnan saaneen henkilön laitteelta saatuun läheisyysdataan, jotta he voivat ottaa yhteyttä tartuntavaarassa oleviin henkilöihin.

Tällainen data on terveysviranomaisten saatavilla vasta sen jälkeen, kun tartunnan saanut henkilö on jakanut sen heidän kanssaan (sen jälkeen, kun hänet on testattu).

Tartunnan saaneelle henkilölle ei tulisi ilmoittaa niiden henkilöiden henkilöllisyyttä, joiden kanssa hän on ollut mahdollisesti epidemiologisesti merkityksellisessä yhteydessä ja joille ilmoitetaan tartuntavaarasta.

Tartunnan saaneeseen henkilöön (epidemiologisessa) yhteydessä olleiden henkilöiden tiedot

Tartunnan saaneen henkilöllisyyttä ei tulisi ilmoittaa henkilöille, joiden kanssa tämä on ollut epidemiologisessa yhteydessä. Riittää, että heille ilmoitetaan heidän olleen epidemiologisessa yhteydessä tartunnan saaneeseen henkilöön viimeksi kuluneiden 16 päivän aikana. Kuten edellä todettiin, tällaisten kontaktien aikaa ja paikkaa ei tule tallentaa. Näin ollen tällaisten tietojen ilmoittaminen ei ole tarpeen eikä mahdollista.

Jäljitettäessä epidemiologisia kontakteja, kun sovelluksen käyttäjällä on todettu tartunta, kansallisille terveysviranomaisille olisi ilmoitettava ainoastaan sen henkilön tunniste, jonka kanssa tartunnan saanut henkilö on ollut epidemiologisessa yhteydessä enintään 48 tuntia ennen oireiden alkamista ja korkeintaan 14 päivää oireiden alkamisen jälkeen, kontaktin läheisyyden ja keston perusteella.

ECDC voisi saada epidemiologista seurantaa varten kansallisilta viranomaisilta aggregoituja kontaktien jäljitystietoja indikaattoreista, jotka on määritelty yhteistyössä jäsenvaltioiden kanssa.

3.6   Käsittelyn täsmällisistä tarkoituksista säätäminen

Oikeusperustassa (unionin tai jäsenvaltion lainsäädännössä) olisi säädettävä käsittelyn tarkoituksesta. Tarkoituksen olisi oltava nimenomainen ja täsmällinen, jotta ei ole epäilystäkään siitä, minkälaisia henkilötietoja on välttämätöntä käsitellä halutun tavoitteen saavuttamiseksi.

Täsmälliset tarkoitukset riippuvat sovelluksen toiminnoista. Sovelluksen kullakin toiminnolla voi olla useita tarkoituksia. Jotta voidaan huolehtia siitä, että yksityishenkilöt pitävät tietonsa täysin omassa hallinnassaan, komissio suosittelee, ettei eri toimintoja niputeta. Yksityishenkilöllä olisi joka tapauksessa oltava mahdollisuus valita eri toimintojen välillä, joista kullakin on eri tarkoitus.

Komissio ei suosittele kerättyjen tietoja käyttämistä muihin tarkoituksiin kuin Covid-19-taudin torjuntaan. Jos tieteellisen tutkimuksen ja tilastojen kaltaiset käyttötarkoitukset ovat tarpeellisia, ne tulisi sisällyttää alkuperäiseen käyttötarkoitusluetteloon ja ilmoitettava selkeästi käyttäjille.

—   Tietojen välittämistä koskeva toiminto:

Tämän toiminnon tarkoituksena on tarjota tietoja, jotka ovat terveysviranomaisten kannalta merkityksellisiä kriisin yhteydessä.

—   Oireiden tarkistus- ja etälääketiede-toiminnot:

Oireiden tarkistustoiminto voi antaa viitteitä siitä, mikä osa Covid-19-taudin kanssa yhteensopivista oireista ilmoittavista henkilöistä on tosiasiallisesti saanut tartunnan (esimerkiksi ottamalla pyyhkäisynäyte ja testaamalla kaikki oireita ilmoittavat henkilöt tai satunnainen osuus, jos siihen on valmiudet). Tarkoituksen määrittelyssä olisi tehtävä selväksi, että henkilökohtaisia terveystietoja käsitellään, jotta henkilölle tarjotaan mahdollisuus i) arvioida esitettyjen kysymysten perusteella itse, onko hänellä Covid-19-taudin oireita, tai ii) saada lääketieteellistä neuvontaa, jos hänellä on Covid-19-taudin oireita.

—   Kontaktien jäljitys- ja varoitustoiminto:

Pelkkä viittaus siihen, että käyttötarkoituksena on ”uusien Covid-19-tartuntojen ehkäisy”, ei ole riittävän täsmällinen. Tässä tapauksessa komissio suosittelee käyttötarkoituksen (-tarkoitusten) täsmentämistä esimerkiksi seuraavalla tavalla: ”sovellusta käyttävien ja Covid-19-tartunnalle mahdollisesti altistuneiden henkilöiden kontaktien säilyttäminen, jotta voidaan varoittaa henkilöitä, jotka ovat saattaneet saada tartunnan”.

3.7   Tiukat rajoitukset tietojen säilyttämiselle

Säilytyksen rajoittamisen periaate edellyttää, ettei tietoja säilytetä pitempään kuin on tarpeen. Aikataulujen tulisi perustua tietojen lääketieteelliseen merkitykseen (sovelluksen tarkoituksesta riippuen: itämisaika jne.) sekä mahdollisesti toteutettavien tarpeellisten hallinnollisten toimien realistiseen kestoon.

—   Tietojen välittämistä koskeva toiminto:

Jos tämän toiminnon asentamisen yhteydessä kerätään tietoja, ne olisi poistettava välittömästi. Tällaisten tietojen säilyttämiselle ei ole perusteita.

—   Oireiden tarkistus- ja etälääketiede-toiminnot:

Terveysviranomaisten olisi poistettava tällaiset tiedot viimeistään kuukauden kuluttua (itämisaika + marginaali) tai sen jälkeen, kun henkilö on testattu ja on saatu negatiivinen tulos. Terveysviranomaiset voivat säilyttää dataa pitempään, jos se on anonymisoidussa muodossa, seurantaraportointia ja tutkimusta varten.

—   Kontaktien jäljitys- ja varoitustoiminto:

Läheisyysdata olisi poistettava heti sen jälkeen, kun sitä ei enää tarvita yksityishenkilöiden varoittamiseksi. Se olisi poistettava viimeistään kuukauden kuluttua (itämisaika + marginaali) tai sen jälkeen, kun henkilö on testattu ja on saatu negatiivinen tulos. Terveysviranomaiset voivat säilyttää läheisyysdataa pitempään, jos se on anonymisoidussa muodossa, seurantaraportointia ja tutkimusta varten.

Data olisi tallennettava käyttäjän laitteelle, ja terveysviranomaisten käytettävissä olevalle palvelimelle olisi ladattava ainoastaan sellainen data, jonka käyttäjät ovat ilmoittaneet ja joka on tarpeen tarkoituksen täyttämiseksi, jos tämä vaihtoehto valitaan (toisin sanoen palvelimelle ladataan ainoastaan data, joka koskee Covid-19-testistä positiivisen tuloksen saaneen henkilön ”läheisiä kontakteja”).

3.8   Tietoturvan varmistaminen

Komissio suosittelee, että data tallennetaan yksityishenkilön päätelaitteelle salatussa muodossa käyttäen uusinta salaustekniikkaa. Jos data tallennetaan keskuspalvelimelle, kirjautuminen – myös viranomaisten kirjautuminen – olisi tallennettava lokitiedostoon.

Läheisyysdata olisi tuotettava ja tallennettava yksityishenkilön päätelaitteelle ainoastaan salatussa ja pseudonymisoidussa muodossa. Jotta estetään kolmansien osapuolten pääsy jäljittämistä koskevaan dataan, Bluetoothin aktivoinnin pitäisi olla mahdollista ilman muiden paikannuspalvelujen aktivointia.

Sinä aikana kun läheisyysdataa kerätään BLE:n kautta, on suositeltavaa luoda ja tallentaa säännöllisesti vaihtuvia väliaikaisia käyttäjätunnuksia sen sijaan, että tallennettaisiin varsinainen laitetunnus. Tämä toimenpide tarjoaa lisäsuojaa hakkerien suorittamaa salakuuntelua ja jäljittämistä vastaan ja vaikeuttaa siten yksityishenkilöiden tunnistamista.

Komissio suosittelee, että sovelluksen lähdekoodi julkaistaan ja että se on saatavilla tarkastelua varten.

Muita toimenpiteitä käsiteltyjen tietojen turvaamiseksi voivat olla esimerkiksi tietojen automaattinen poistaminen tai anonymisointi tietyn ajankohdan jälkeen. Yleisesti turvatason olisi vastattava käsiteltävien henkilötietojen määrää ja arkaluonteisuutta.

Kaikki datasiirrot henkilökohtaiselta laitteelta kansallisille terveysviranomaisille olisi salattava.

Jos kansallisessa laillistamisessa säädetään, että kerättyjä henkilötietoja voidaan käsitellä myös tieteellisiä tutkimustarkoituksia varten, olisi periaatteessa käytettävä pseudonymisointia.

3.9   Tietojen oikeellisuuden varmistaminen

Käsiteltävien henkilötietojen oikeellisuuden varmistaminen on paitsi sovelluksen tehokkuuden edellytys myös henkilötietojen suojaa koskevan lainsäädännön vaatimus.

Tässä yhteydessä on olennaisen tärkeää varmistaa, että tiedot kontaktista tartunnan saaneeseen henkilöön (epidemiologinen etäisyys ja kesto) pitävät paikkansa, jotta minimoidaan väärien positiivisten tulosten riski. Tässä olisi otettava huomioon tilanteet, joissa kaksi sovelluksen käyttäjää on kontaktissa kadulla, julkisessa liikenteessä tai rakennuksessa. Matkapuhelinverkkoihin perustuvien paikkatietojen käyttö ei todennäköisesti ole riittävän tarkkaa tähän tarkoitukseen.

Siksi on suositeltavaa tukeutua tekniikkaan, joka mahdollistaa kontaktin tarkemman arvioinnin (kuten Bluetooth).

3.10   Tietosuojaviranomaisten osallistaminen

Tietosuojaviranomaiset olisi otettava täysipainoisesti mukaan ja niitä olisi kuultava sovelluksen kehittämisen yhteydessä, ja niiden olisi tarkasteltava sen käyttöä. Koska sovelluksen yhteydessä tapahtuvaa tietojen käsittelyä voidaan pitää laajamittaisena tiettyjen tietoryhmien (terveystietojen) käsittelynä, komissio kiinnittää huomiota yleisen tietosuoja-asetuksen 35 artiklaan, joka koskee tietosuojaa koskevaa vaikutustenarviointia.


(1)  Suositus C(2020) 2296 final, 8.4.2020.https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(2)  https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf

(3)  https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(4)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1)..

(5)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(6)  Jos sovellukset tarjoavat diagnosointiin, ennaltaehkäisyyn, seurantaan, ennakointiin tai ennusteen laatimiseen liittyvää tietoa, olisi arvioitava, voidaanko niitä mahdollisesti pitää lääkinnällisinä laitteina lääkinnällisiä laitteita koskevan lainsäädännön nojalla. Kyseessä ovat lääkinnällisistä laitteista 14 päivänä kesäkuuta 1993 annettu neuvoston direktiivi 93/42/ETY (EYVL L 169, 12.7.1993, s. 1) ja lääkinnällisistä laitteista 5 päivänä huhtikuuta 2017 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2017/745 (EUVL L 117, 5.5.2017, s. 1).

(7)  Tällaista yhteistyötä tehdään jo potilaskertomusten ja sähköisten lääkemääräysten vaihtoa koskevan MyHealth@EU-hankkeen yhteydessä. Ks. myös komission täytäntöönpanopäätöksen (EU) 2019/1765 5 artiklan 5 kohta ja johdanto-osan 17 kappale.

(8)  Ks. yleisen tietosuoja-asetuksen johdanto-osan 45 kappale.

(9)  Katso Euroopan tietosuojaneuvoston ohjeet suostumuksesta osoitteessa: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

(10)  Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta.

(11)  Sähköisen viestinnän säännöstön mukaan se kattaa myös palvelut, jotka ovat sähköisiä viestintäpalveluja toiminnallisesti vastaavia.

(12)  Tietojen minimoinnin periaate

(13)  Tartunnan saanut henkilö voi levittää tautia jo 48 tuntia ennen oireiden alkua.