KOMISIJOS KOMUNIKATAS

Duomenų apsaugos gairės dėl kovai su COVID-19 pandemija naudojamų programėlių

(2020/C 124 I/01)

1   APLINKYBES

COVID-19 pandemija – tai beprecedentis iššūkis Sąjungai ir valstybėms narėms, sveikatos priežiūros sistemoms, gyvenimo būdui, ekonominiam stabilumui ir vertybėms. Kovoje su COVID-19 krize svarbų vaidmenį atlieka skaitmeninės technologijos ir duomenys. Įprastai išmaniuosiuose telefonuose įdiegtos mobiliosios programėlės (toliau – programėlės) gali padėti visuomenės sveikatos institucijoms nacionaliniu ir ES lygmenimis stebėti ir sustabdyti besitęsiančią COVID-19 pandemiją ir yra ypač svarbios atšaukiant plitimo valdymo priemones. Jos gali tiesiogiai pateikti rekomendacijų piliečiams ir padėti išaiškinti sąlytį turėjusius asmenis. Kai kuriose ES ir kitose pasaulio šalyse nacionalinės ar regioninės valdžios institucijos arba kūrėjai paskelbė, kad pradeda veikti įvairių funkcijų turinčios programėlės, skirtos padėti kovoti su virusu.

2020 m. balandžio 8 d. Komisija priėmė rekomendaciją dėl bendro Sąjungos priemonių rinkinio technologijoms ir duomenims, visų pirma mobiliosioms programėlėms ir anonimintiems judumo duomenims, naudoti kovojant su COVID-19 krize ir siekiant ją įveikti (toliau – Rekomendacija) (1). Rekomendacijos tikslas, be kita ko, yra kurti bendrą europinę mobiliųjų programėlių naudojimo strategiją (priemonių rinkinį), koordinuojamą ES lygmeniu, siekiant įgalinti piliečius imtis veiksmingų socialinių kontaktų ribojimo priemonių ir perspėti, užkirsti kelią ir išaiškinti sąlytį turėjusius asmenis, kad būtų galima sumažinti COVID-19 ligos plitimą. Rekomendacijoje išdėstyti bendrieji principai, kuriais turėtų būti vadovaujamasi rengiant tokį priemonių rinkinį, ir nurodyta, kad Komisija paskelbs tolesnes gaires, be kita ko, dėl šioje srityje naudojamų programėlių poveikio asmens duomenų apsaugai ir privatumui.

Bendrame Europos COVID-19 plitimo valdymo priemonių atšaukimo plane Komisija, bendradarbiaudama su Europos Vadovų Tarybos pirmininku, nustatė tam tikrus principus, kuriais turėtų būti vadovaujamasi palaipsniui panaikinant dėl COVID-19 protrūkio nustatytas plitimo valdymo priemones. Šiomis aplinkybėmis svarbų vaidmenį gali atlikti mobiliosios programėlės, įskaitant sąlytį turėjusių asmenų išaiškinimo funkcijas. Priklausomai nuo programėlių savybių ir to, kaip plačiai jas naudoja žmonės, jos gali daryti didelį poveikį COVID-19 ligos diagnostikai, gydymui ir valdymui ligoninėse ir už jų ribų. Jos ypač svarbios atšaukiant plitimo valdymo priemones, kai infekcijos rizika didėja, nes vis daugiau žmonių turi tarpusavio sąlytį. Programėlės gali padėti greičiau ir veiksmingiau nei bendrosios izoliavimo priemonės nutraukti infekcijos plitimo grandines ir sumažinti ženklaus viruso išplitimo riziką. Todėl jos turėtų būti svarbi plitimo valdymo priemonių atšaukimo strategijos dalis, papildanti kitas priemones, pavyzdžiui, didesnius tyrimų pajėgumus (2). Tam, kad tokios programėlės būtų kuriamos, o asmenys jas priimtų ir įsisavintų, jos turi kelti pasitikėjimą. Žmonės turi būti tikri, kad užtikrinamas pagrindinių teisių laikymasis ir kad programėlės bus naudojamos tik konkrečiai apibrėžtais tikslais, kad jos nebus naudojamos masiniam sekimui ir kad asmenys ir toliau kontroliuos savo duomenis. Tai yra tokių programėlių tikslumo ir veiksmingumo užkertant kelią viruso plitimui pagrindas. Todėl labai svarbu nustatyti, kokie sprendimai būtų mažiausiai intervenciniai ir visiškai atitiktų ES teisės aktuose nustatytus asmens duomenų apsaugos ir privatumo reikalavimus. Be to, programėlės turėtų būti išjungtos vėliausiai tuomet, kai paskelbiama, kad pandemija yra kontroliuojama. Į programėles taip pat turėtų būti įtrauktos pažangiausios informacijos apsaugos priemonės.

Šiose gairėse atsižvelgiama į Europos duomenų apsaugos valdybos (EDAV) nuomonę (3) ir diskusijas e. sveikatos tinkle. EDAV ketina artimiausiu metu paskelbti gaires dėl geografinės vietos nustatymo ir kitų atsekimo priemonių atsižvelgiant į COVID-19 rezultatų protrūkį.

Gairių taikymo sritis

Siekiant užtikrinti nuoseklų požiūrį visoje ES ir suteikti gaires valstybėms narėms ir programėlių kūrėjams, šiame dokumente nustatoma, kokias savybes ir reikalavimus turėtų atitikti programėlės, kad būtų užtikrinta atitiktis ES privatumo ir asmens duomenų apsaugos teisės aktams, visų pirma Bendrajam duomenų apsaugos reglamentui (BDAR) (4) ir E. privatumo direktyvai (5). Šiose gairėse neaptariamos jokios kitos sąlygos, įskaitant apribojimus, kurias valstybės narės galėjo įtraukti į savo nacionalinės teisės aktus dėl su sveikata susijusių duomenų tvarkymo.

Šios gairės nėra teisiškai privalomos. Jomis nepažeidžiamas ES Teisingumo Teismo, kuris yra vienintelė autoritetingą ES teisės aiškinimą galinti teikti institucija, vaidmuo.

Šiose gairėse aptariamos tik savanoriškos kovoti su COVID-19 pandemija padedančios programėlės (asmenų savanoriškai atsisiunčiamos, įdiegiamos ir naudojamos programėlės), turinčios vieną ar kelias iš šių funkcijų:

—	teikti asmenims tikslią informaciją apie COVID-19 pandemiją;

—	pateikti asmenims įsivertinimo ir rekomendacijų klausimynus (simptomų pasitikrinimo funkcija) (6);

—	įspėti asmenis, kurie tam tikrą laiką buvo netoli užkrėsto asmens, kad galėtų pateikti informaciją, pvz., apie tai, ar jiems taikoma saviizoliacija ir kur vykti atlikti tyrimo (sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcija);

—	sukurti pacientų ir gydytojų bendravimo forumą tais atvejais, kai pacientas yra saviizoliacijoje arba kai teikiamos tolesnės diagnostikos ir gydymo konsultacijos (dažnesnis naudojimasis nuotoline medicina).

Pagal E. privatumo direktyvą reikalauti naudoti programėlę, susijusią su 5 straipsnyje nustatytomis ryšio konfidencialumo teisėmis, galima tik priėmus teisės aktą, kuris yra būtinas, tinkamas ir proporcingas siekiant apsaugoti tam tikrus konkrečius tikslus. Atsižvelgdama į aukštą tokio metodo intervenciškumo laipsnį ir dėl to kylančius uždavinius, be kita ko, susijusius su tinkamų apsaugos priemonių įdiegimu, Komisija mano, kad prieš pradedant naudotis šia galimybe būtina atlikti kruopščią analizę. Dėl šių priežasčių Komisija rekomenduoja naudoti savanoriškas programėles.

Šios gairės netaikomos programėlėms, kuriomis siekiama užtikrinti karantino reikalavimų vykdymo užtikrinimą (įskaitant privalomus reikalavimus).

2   PROGRAMELIU INDELIS I KOVA SU COVID-19

Simptomų pasitikrinimo funkcija naudinga yra visuomenės sveikatos institucijoms skirta priemonė, kad jos galėtų piliečius konsultuoti dėl COVID-19 tyrimų ir informuoti apie saviizoliaciją, kaip išvengti kitų užkrėtimo ir kada kreiptis į sveikatos priežiūros įstaigas. Ši funkcija taip pat gali papildyti pirminę sveikatos priežiūrą ir padėti geriau suprasti COVID-19 plitimo populiacijoje lygį.

Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcijos yra priemonės, skirtos nustatyti asmenis, kurie turėjo sąlytį su COVID-19 užsikrėtusiu asmeniu, ir informuoti juos dėl tolesnių tinkamų veiksmų, kaip antai, saviizoliacijos, tyrimų, ar konsultuoti juos dėl to, ką daryti, jei pasireiškia simptomai. Todėl ši funkcija yra naudinga ir asmenims, ir visuomenės sveikatos institucijoms. Ji taip pat gali atlikti svarbų vaidmenį valdant izoliavimo priemones vykdant plitimo priemonių atšaukimo strategiją. Jų poveikis gali būti stipresnis taikant strategiją, kuria remiamas platesnio masto asmenų, kuriems pasireiškia lengvi simptomai, tyrimas.

Abi funkcijos taip pat gali būti svarbus duomenų šaltinis visuomenės sveikatos institucijoms; jos taip pat gali palengvinti tokių duomenų perdavimą nacionalinėms epidemiologinėms institucijoms ir Europos ligų prevencijos ir kontrolės centrui (ECDC). Tai padėtų suprasti užkrėtimo modelius ir, apjungus juos su tyrimų rezultatais, įvertinti prognozinę teigiamojo respiracinių simptomų testo vertę tam tikroje bendruomenėje ir gauti informacijos apie viruso paplitimo lygį.

Įverčių patikimumo laipsnis yra tiesiogiai susijęs su perduotų duomenų kiekiu ir patikimumu.

Todėl su tinkamomis tyrimų strategijomis suderintos simptomų pasitikrinimo ir sąlytį turėjusių asmenų išaiškinimo funkcijos gali suteikti informacijos apie viruso paplitimo lygį ir padėti vertinti socialinių kontaktų ribojimo bei izoliavimo priemonių veiksmingumą. Kaip nustatyta Rekomendacijoje, siekiant sudaryti sąlygas tarpvalstybiniam bendradarbiavimui ir užtikrinti, kad būtų nustatomi sąlytį turėję asmenys, naudojantys skirtingas programėles (tai ypač svarbu dėl piliečių tarpvalstybinio judėjimo), turėtų būti užtikrintas skirtingų valstybių narių IT sprendimų sąveikumas. Jei užsikrėtęs asmuo turėjo sąlytį su kitos valstybės narės programėlės naudotoju, turi būti galimybė to naudotojo asmens duomenis perduoti tarp valstybių – to asmens valstybės narės sveikatos priežiūros institucijoms, tačiau tik tiek, kiek tai tikrai būtina. Darbas šiuo klausimu bus Rekomendacijoje aptarto priemonių rinkinio dalis. Sąveikumas turėtų būti užtikrintas nustatant techninius reikalavimus ir gerinant nacionalinių sveikatos priežiūros institucijų bendravimą ir bendradarbiavimą. COVID-19 pandemijos metu kaip sąlytį turėjusių asmenų išaiškinimo programėlių valdymo modelis taip pat galėtų būti naudojamas ypatingo bendradarbiavimo modelis (7).

3   PATIKIMO IR ATSKAITINGO PROGRAMELIU NAUDOJIMO ASPEKTAI

Programėlių funkcijos gali turėti skirtingą poveikį įvairioms ES pagrindinių teisių chartijoje įtvirtintoms teisėms, pavyzdžiui, žmogaus orumui, teisei į privatų ir šeimos gyvenimą, asmens duomenų apsaugai, judėjimo laisvei, nediskriminavimui, laisvei užsiimti verslu, susirinkimų ir asociacijų laisvei. Privatumo ir teisės į asmens duomenų apsaugą suvaržymas gali būti ypač svarbus atsižvelgiant į tai, kad kai kurios funkcijos grindžiamos daug duomenų reikalaujančiu modeliu.

Toliau siekiama pateikti gaires, kaip apriboti programėlės funkcijų intervenciškumą, kad būtų užtikrinta atitiktis ES asmens duomenų apsaugos ir privatumo teisės aktams.

3.1   Duomenų valdytojų funkcijas atliekančios nacionalinės sveikatos priežiūros institucijos (arba subjektai, vykdantys viešojo intereso labui svarbias užduotis sveikatos srityje)

Siekiant nustatyti, kas atsakingas už ES asmens duomenų apsaugos taisyklių laikymąsi (kas yra duomenų valdytojas), labai svarbu nustatyti subjektus, kurie priima sprendimus dėl duomenų tvarkymo priemonių ir tikslų, visų pirma: kas turėtų teikti programėlę atsisiuntusiems asmenims informaciją apie tai, kaip bus tvarkomi jų asmens duomenys (jau turimi duomenys arba duomenys, kurie bus gauti naudojant prietaisą, pvz., išmanųjį telefoną, kuriame įdiegta programėlė), kokios bus jų teisės, kas bus atsakingas už duomenų saugumo pažeidimus ir t. t.

Atsižvelgdama į turimų asmens duomenų konfidencialumą ir į toliau aprašytą duomenų tvarkymo tikslą, Komisija nutarė, kad programėlės turėtų būti kuriamos taip, kad duomenų valdytojai būtų nacionalinės sveikatos priežiūros institucijos (arba subjektai, vykdantys viešojo intereso labui svarbias užduotis sveikatos srityje) (8). Duomenų valdytojai yra atsakingi už tai, kad būtų laikomasi BDAR (atskaitomybės principo). Tokios prieigos aprėptis turėtų būti apribojama remiantis toliau 3.5 skirsnyje aprašytais principais.

Be to, dėl to gyventojai palankiau vertins programėles (ir pagrindines infekcijų perdavimo grandinių informacinės sistemas) ir bus užtikrinama, kad jos atitiktų numatomus visuomenės sveikatos apsaugos tikslus. Atsakingos nacionalinės sveikatos priežiūros institucijos turėtų suderinti ir koordinuotai įgyvendinti pagrindinę politiką, reikalavimus ir kontrolės priemones.

3.2   Reikalavimas užtikrinti, kad asmuo kontroliuotų duomenis

Lemiamas veiksnys, dėl kurio asmenys pasitiki programėlėmis, – tai, ar jie kontroliuoja savo asmens duomenis. Komisija mano, kad siekiant šio tikslo visų pirma turėtų būti įvykdytos šios sąlygos:

—	programėlė įrenginyje turėtų būti įdiegiama savanoriškai ir nekelti jokių neigiamų pasekmių asmeniui, kuris nuspręstų jos neatsisiųsti arba nenaudoti;

—

įvairios programėlės funkcijos (pvz., informacija, simptomų pasitikrinimas, sąlytį turėjusių asmenų išaiškinimas ir įspėjimo funkcijos) neturėtų būti sujungtos ir todėl asmuo turėtų turėti galimybę savo sutikimą duoti dėl kiekvienos konkrečios funkcijos. Šis reikalavimas neturėtų trukdyti naudotojui sujungti įvairių programėlės funkcijų, jei tai naudotojui siūloma kaip opcija;

—

jei naudojami artumo duomenys (duomenys, gaunami keičiantis mažai energijos naudojančią „Bluetooth“ technologiją (toliau – BLE) turinčių prietaisų signalais, kai išlaikomas epidemiologiškai tinkamas atstumas ir epidemiologiškai tinkamas laikas), jie turėtų būti saugomi asmens prietaise. Jeigu šiuos duomenis reikėtų perduoti sveikatos priežiūros institucijoms, jie turėtų būti perduodami tik patvirtinus, kad atitinkamas asmuo yra užsikrėtęs COVID-19, ir su sąlyga, kad ji(s) su tuo sutinka;

—	sveikatos priežiūros institucijos turėtų suteikti asmenims visą jo(s) asmens duomenims tvarkyti būtiną informaciją (pagal BDAR 12 ir 13 straipsnius ir E. privatumo direktyvos 5 straipsnį);

—	asmuo turėtų turėti galimybę naudotis BDAR suteiktomis teisėmis (visų pirma susipažinti su duomenimis, juos ištaisyti, ištrinti). Bet koks teisių pagal BDAR ir E. privatumo direktyvą apribojimas turėtų atitikti šiuos aktus ir būti būtinas, proporcingas ir numatytas teisės aktais;

—	programėlės turėtų būti išjungtos vėliausiai tada, kai paskelbiama, kad pandemijos padėtis kontroliuojama; išjungimas neturėtų priklausyti nuo to, ar naudotojas pašalina programėlę.

3.3   Duomenų tvarkymo teisinis pagrindas

Programėlių įdiegimas ir informacijos saugojimas naudotojo įrenginyje

Kaip buvo pirmiau pažymėta, pagal E. privatumo direktyvą (5 straipsnį) saugoti informaciją naudotojo įrenginyje arba gauti prieigą prie jau saugomos informacijos leidžiama tik tuo atveju, jei i) naudotojas davė sutikimą arba ii) ją saugoti ir (arba) suteikti prieigą tikrai būtina tam, kad būtų suteikta informacinės visuomenės paslauga (pvz., programėlė), kurios naudotojas aiškiai paprašė (t. y. įdiegė ir aktyvavo).

Tam, kad programėlės veiktų, paprastai būtina, kad būtų išsaugoma informacija apie asmens prietaisą ir gaunama prieiga prie jame jau saugomos informacijos. Be to, kad būtų įmanoma naudotis sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcija, būtina, kad naudotojo įrenginyje būtų išsaugoma tam tikra papildoma informacija (pvz., trumpalaikiai, periodiškai keičiami šios artumo funkcijos naudotojų ID). Be to, tam, kad būtų įmanoma naudotis šia funkcija, gali prireikti, kad (užsikrėtęs arba potencialiai užsikrėtęs) naudotojas įkeltų artumo duomenis. Tam, kad veiktų pati programėlė, tokių duomenų įkelti nebūtina. Todėl nesilaikoma ankstesnės dalies ii) punkte nurodytų reikalavimų. Taigi sutikimas (galimybė, nurodyta i) punkte) lieka tinkamiausiu pagrindu imtis susijusių veiksmų. Kaip apibrėžta BDAR, šis sutikimas turėtų būti „suteiktas laisva valia“, „konkretus“, „vienareikšmis“ ir „informacija pagrįstas“. Jis turėtų būti išreikštas aiškiais patvirtinamaisiais asmens veiksmais; nepriimtinas tylus sutikimas (pvz., tylėjimas; neveikimas) (9).

Teisinis pagrindas, kuriuo remdamosi nacionalinės sveikatos priežiūros institucijos tvarko duomenis, – Sąjungos arba valstybės narės teisė

Nacionalinės sveikatos priežiūros institucijos asmens duomenis paprastai tvarko, kai ES arba valstybės narės teisėje yra nustatyta teisinė prievolė taip tvarkyti duomenis ir ji atitinka BDAR 6 straipsnio 1 dalies c punkto ir 9 straipsnio 2 dalies i punkto sąlygas arba kai taip tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą ES arba valstybės narės teisėje pripažįstamo viešojo intereso labui (10).

Bet kurioje nacionalinėje teisėje turi būti numatytos konkrečios ir tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės. Paprastai kuo didesnis poveikis yra asmenų laisvėms, tuo griežtesnės apsaugos priemonės turėtų būti atitinkamai numatytos susijusiame įstatyme.

Iš principo, kaip asmenų duomenų tvarkymo teisinį pagrindą galima naudoti ES ir valstybių narių teisės aktus, priimtus prieš COVID-19 protrūkį, ir kai kuriose valstybėse narėse konkrečiai kovos su epidemijų plitimu tikslais priimamus teisės aktus, su sąlyga, kad juose būtų numatytos epidemijų stebėsenos priemonės ir jei tie teisės aktai atitinka BDAR 6 straipsnio 3 dalyje nurodytus papildomus reikalavimus.

Atsižvelgiant į atitinkamų asmens duomenų (visų pirma sveikatos duomenų, kaip ypatingos rūšies asmens duomenų) pobūdį ir dabartinės COVID-19 pandemijos aplinkybes, rėmimasis teisės aktu kaip teisiniu pagrindu padidintų teisinį tikrumą, nes juo būtų i) išsamiai nustatyta konkrečių sveikatos duomenų tvarkymo tvarka ir aiškiai apibrėžti tvarkymo tikslai; ii) aiškiai nurodyta, kas yra duomenų valdytojas, t. y. duomenis tvarkantis subjektas, ir kas dar, be duomenų valdytojo, gali turėti prieigą prie tokių duomenų; iii) panaikinta galimybė tvarkyti tokius duomenis kitais tikslais, nei išvardytieji teisės aktuose, ir iv) numatytos konkrečios apsaugos priemonės. Siekdamas nesumažinti programėlių naudos visuomenei ir užtikrinti palankų jų įvertinimą, nacionalinės teisės aktų leidėjas turėtų skirti ypatingą dėmesį tam, kad būtų pasirinktas piliečius kuo labiau įtraukiantis sprendimas.

Tai, kad sveikatos priežiūros institucijos duomenis tvarko pagal teisės aktus neturi įtakos faktui, kad asmenys gali savanoriškai įsidiegti programėlę arba jos neįdiegti ir dalytis arba nesidalyti savo duomenimis su sveikatos priežiūros institucijomis. Todėl programėlės pašalinimas naudotojams neturėtų sukelti jokių neigiamų pasekmių.

Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo programėlėse numatyta galimybė įspėti asmenis. Kai šį įspėjimą tiesiogiai pateikia programėlė, Komisija atkreipia dėmesį į draudimą asmenims taikyti tik automatizuotu duomenų tvarkymu grindžiamą sprendimą, kuris jiems turi teisinių pasekmių arba daro panašų reikšmingą poveikį (BDAR 22 straipsnis).

3.4   Duomenų kiekio mažinimas

Naudojant prietaisus gautiems ir prieš tai tuose prietaisuose išsaugotiems duomenims taikoma ši apsauga:

—	kaip „asmens duomenys“, t. y. bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta (BDAR 4 straipsnio 1 dalis), jie yra saugomi pagal BDAR. Sveikatos duomenims taikoma papildoma apsauga (BDAR 9 straipsnis);

—	kaip „buvimo vietos duomenys“, t. y. elektroninių ryšių tinkle arba naudojantis elektroninių ryšių paslauga tvarkomi duomenys, rodantys paslaugų gavėjo galinių įrenginių geografinę padėtį, jie yra saugomi pagal E. privatumo direktyvą (5 straipsnio 1 dalis, 6 ir 9 straipsniai) (11);

—	visos naudotojo galiniuose įrenginiuose saugomos ir prieinamos informacijos apsauga užtikrinama pagal E. privatumo direktyvos 5 straipsnio 3 dalį.

Pagal BDAR apsauga neužtikrinama ne asmens duomenims (pvz., negrįžtamai nuasmenintiems duomenims).

Komisija primena, kad pagal duomenų kiekio mažinimo principą galima tvarkyti tik tinkamus, aktualius ir tik būtinam tikslui pasiekti reikalingus duomenis (12). Būtinybė tvarkyti asmens duomenis ir tokių asmens duomenų svarba turėtų būti vertinama atsižvelgiant į siekiamą (-us) tikslą (-us).

Komisija pažymi, kad, pavyzdžiui, jeigu funkcijos paskirtis yra simptomų pasitikrinimas arba nuotolinė medicina, šiais tikslais prieiga prie asmens, kuriam priklauso prietaisas, kontaktų sąrašo yra nebūtina.

Mažesnio duomenų kiekio generavimas ir tvarkymas reiškia ir mažesnę saugumo riziką. Todėl, kai laikomasi duomenų kiekio mažinimo priemonių, užtikrinamas ir saugumas.

—   Informavimo funkcija.

Jeigu programėlė turi tik šią funkciją, nereikės tvarkyti jokių duomenų apie asmenų sveikatą. Programėlė jiems teiks tik informaciją. Siekiant laikytis šio reikalavimo, galiniuose įrenginiuose gali būti tvarkoma tik ta saugoma ir prieinama informacija, kuri reikalinga informavimo tikslais.

—   Simptomų pasitikrinimo ir nuotolinės medicinos funkcijos.

Jeigu programėlė turi vieną iš šių funkcijų arba jas abi, joje bus tvarkomi asmens sveikatos duomenys. Todėl sveikatos priežiūros institucijoms taikytinuose pagrindiniuose teisės aktuose turėtų būti nurodytas duomenų, kurie gali būti tvarkomi, sąrašas.

Be to, sveikatos priežiūros institucijoms gali prireikti asmenų, pasinaudojusių simptomų pasitikrinimo funkcija ir įkėlusių rezultatus, telefono numerių. Galiniuose įrenginiuose saugoma ir prieinama informacija gali būti tvarkoma tik tiek, kiek tai būtina, kad programėlė atliktų savo paskirtį ir veiktų.

—   Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcijos.

Dauguma COVID-19 infekcijų perduodamos lašeliniu būdu per mažą atstumą. Siekiant nutraukti infekcijos grandinę, labai svarbu kuo greičiau nustatyti asmenis, kurie buvo arti užkrėstojo. Artumo nustatymas priklauso nuo kontaktavimo atstumo ir trukmės ir turėtų būti nustatomas įvertinus epidemiologinius aspektus. Nutraukti infekcijos grandinę itin svarbu tada, kai krizės įveikimo stadijoje siekiama išvengti infekcijos pasikartojimo.

Tam gali prireikti artumo duomenų. Artumą ir artimą sąlytį tiksliau išmatuoti galima naudojantis mažai energijos naudojančią „Bluetooth“ technologiją turinčių prietaisų pranešimais, todėl šis būdas tinkamesnis nei geografinės vietos nustatymo duomenų (GNSS/GPS arba korinio ryšio prietaisų vietos nustatymo duomenų) naudojimas. BLE leidžia nenaudoti sekimo funkcijos (priešingai nei naudojant geografinės vietos nustatymo duomenis). Todėl artumui nustatyti Komisija rekomenduoja naudoti BLE (arba naudojantis lygiavertėmis technologijomis generuojamų) pranešimų duomenis.

Buvimo vietos duomenys nėra būtini sąlytį turėjusių asmenų išaiškinimo funkcijoms, nes jų paskirtis nėra sekti asmenų judėjimą arba užtikrinti, kad būtų paisoma nurodymų. Be to, būtų sudėtinga pateisinti buvimo vietos duomenų tvarkymą sąlytį turėjusių asmenų išaiškinimu, atsižvelgiant į duomenų kiekio mažinimo principą, ir dėl to gali kilti saugumo ir privatumo klausimų. Dėl šios priežasties Komisija rekomenduoja buvimo vietos duomenų šiomis aplinkybėmis nenaudoti.

Kad ir kokios techninės priemonės būtų naudojamos artumui nustatyti, duomenų apie tikslų sąlyčio laiką ar vietą (jei jie yra) išsaugoti nereikia. Tačiau gali būti naudinga išsaugoti duomenis apie sąlyčio dieną, kad būtų galima išsiaiškinti, ar sąlytis įvyko tada, kai asmeniui pasireiškė simptomai (ar prieš 48 valandas (13)), ir patarti, kokių tolesnių veiksmų imtis, pavyzdžiui, kiek laiko taikyti saviizoliaciją.

Artumo duomenys turėtų būti renkami ir tvarkomi tik tuo atveju, jei užsikrėtimo rizika yra reali (priklauso nuo sąlyčio artumo ir trukmės).

Reikėtų pažymėti, kad duomenų rinkimo būtinumas ir proporcingumas priklausys nuo tokių veiksnių, kaip bandymo laboratorijų užimtumo laipsnis, visų pirma tada, kai jau buvo nurodyta imtis tokių priemonių, kaip izoliavimas. Asmenys, turėję artimą sąlytį su užsikrėtusiu asmeniu, gali būti įspėjami dviem būdais:

pasirinkus pirmąjį būdą, įspėjimą programėlė automatiškai perduoda artimai bendraujantiems asmenims, kai naudotojas, naudodamasis programėle, praneša (gavęs sveikatos priežiūros institucijos patvirtinimą, pvz., naudojant QR arba TAN kodą), kad jo tyrimo rezultatai yra teigiami (decentralizuotas tvarkymas). Pageidautina, kad įspėjamojo pranešimo turinį nustatytų sveikatos priežiūros institucija; pasirinkus antrąjį būdą, atsitiktiniai laikinieji identifikatoriai išsaugomi sveikatos institucijos valdomame duomenų saugyklos serveryje (sprendimas, pagrįstas duomenų saugyklos serverio naudojimu). Pagal šiuos duomenis naudotojų negalima tiesiogiai identifikuoti. Naudojantis identifikatoriais, į naudotojų, turėjusių artimą sąlytį su naudotoju, kurio tyrimo rezultatai teigiami, prietaisus atsiunčiamas įspėjimas. Jei sveikatos priežiūros institucijos pageidauja susisiekti telefonu arba SMS žinute su naudotojais, kurie turėjo artimą sąlytį su užsikrėtusiu asmeniu, jos privalo gauti tų naudotojų sutikimą duoti savo telefono numerius.

3.5   Duomenų atskleidimo ir (arba) prieigos prie jų ribojimas

—   Informavimo funkcija.

Galiniuose įrenginiuose saugoma ir per juos prieinama informacija su sveikatos priežiūros institucijomis gali būti dalijamasi tik tiek, kiek tai būtina informavimo funkcijai atlikti. Kadangi ši funkcija skirta tik ryšiui užtikrinti, sveikatos priežiūros institucija neturės prieigos prie jokių kitų duomenų.

—   Simptomų pasitikrinimo ir nuotolinės medicinos funkcijos.

Simptomų pasitikrinimo funkcija gali praversti valstybėms narėms informuojant piliečius apie tai, kokiais atvejais reikia atlikti tyrimą, apie izoliaciją ir tai, kada ir kaip reikėtų kreiptis į sveikatos priežiūros įstaigas, visų pirma rizikos grupėms. Ši funkcija taip pat gali papildyti pirminės grandies sveikatos priežiūrą ir padėti įvertinti COVID-19 paplitimo lygį visuomenėje. Todėl gali būti nuspręsta, kad atsakingoms sveikatos priežiūros institucijoms ir nacionalinėms epidemiologinėms institucijoms reikėtų suteikti prieigą prie paciento pateiktos informacijos. Europos ligų prevencijos ir kontrolės centras epidemiologinės priežiūros tikslais galėtų iš nacionalinių institucijų gauti duomenų suvestinę.

Jei būtų nuspręsta numatyti galimybę net tik naudotis programėle, bet ir susisiekti su sveikatos priežiūros pareigūnu, nacionalinėms sveikatos priežiūros institucijoms reikės atskleisti ir programėlės naudotojų telefono numerius.

—   Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcijos.

—	Užsikrėtusio asmens duomenys

Telefonų numeriams, kuriais bendrauja jos naudotojas, programėlė atsitiktine tvarka sukuria trumpalaikius ir nuolat besikeičiančius identifikatorius. Viena iš galimybių yra šiuos identifikatorius saugoti naudotojo įrenginyje (decentralizuotas tvarkymas). Kita galimybė – numatyti, kad šie atsitiktinai parinkti identifikatoriai būtų saugomi serveryje, prie kurio gali prieiti sveikatos priežiūros institucijos (duomenų saugyklos serverių sprendimas). Decentralizuotas sprendimas labiau atitinka duomenų kiekio mažinimo principą. Sveikatos priežiūros institucijoms turėtų būti suteikta prieiga tik prie užsikrėtusio asmens įrenginio artumo duomenų, kad jos galėtų susisiekti su asmenimis, kurie gali būti užsikrėtę.

Sveikatos priežiūros institucijos tokius duomenis galės gauti tik po to, kai užsikrėtęs asmuo (atlikus tyrimą) savanoriškai jais pasidalys.

Užsikrėtusiam asmeniui neturėtų būti pranešama apie asmenų, su kuriais jis turėjo galimai epidemiologinį sąlytį ir kurie bus įspėti, tapatybę.

—	Asmenų, turėjusių (epidemiologinį) sąlytį su užsikrėtusiu asmeniu, duomenys

Asmenims, su kuriais užsikrėtęs asmuo turėjo epidemiologinį sąlytį, jo asmens tapatybė neturėtų būti atskleista. Pakanka jiems pranešti, kad per pastarąsias 16 dienų jie turėjo epidemiologinį sąlytį su užsikrėtusiu asmeniu. Kaip jau minėta, duomenys apie tokio sąlyčio laiką ir vietą neturėtų būti saugomi. Todėl perduoti šiuos duomenis yra ir nereikalinga, ir neįmanoma.

Siekiant atsekti epidemiologinio sąlyčio atvejus, kai nustatoma, kad programėlės naudotojas yra užsikrėtęs, nacionalinėms sveikatos priežiūros institucijoms turėtų būti pranešamas tik asmens, su kuriuo užsikrėtęs asmuo turėjo epidemiologinį sąlytį 48 valandas iki simptomų pasireiškimo pradžios ir 14 dienų po simptomų pasireiškimo pradžios (atsižvelgiant į sąlyčio artumą ir trukmę), identifikatorius.

Europos ligų prevencijos ir kontrolės centras iš epidemiologinę priežiūrą atliekančių nacionalinių valdžios institucijų galėtų gauti sąlyčio atsekimo duomenų suvestinę, pagrįstą rodikliais, nustatytais bendradarbiaujant su valstybėmis narėmis.

3.6   Tikslių duomenų tvarkymo tikslų nustatymas

Duomenų tvarkymo tikslas turi turėti teisinį pagrindą (įtvirtintą Sąjungos arba valstybės narės teisėje). Tikslas turėtų būti konkretus, kad nekiltų abejonių, kokio pobūdžio asmens duomenys yra reikalingi nustatytai užduočiai atlikti, ir aiškiai suformuluotas. .

Tikslus tikslas ar tikslai priklausys nuo programėlės funkcijų. Kiekviena jos funkcija gali turėti keletą tikslų. Tam, kad asmenys galėtų visiškai kontroliuoti, kaip naudojami jų duomenys, Komisija rekomenduoja funkcijų negrupuoti. Bet kuriuo atveju asmuo turėtų turėti galimybę pasirinkti iš skirtingų funkcijų, kurių kiekviena siekiama atskiro tikslo.

Komisija rekomenduoja nenaudoti surinktų duomenų kitais nei kovos su COVID-19 tikslais. Jei reikėtų nustatyti tokius tikslus kaip moksliniai tyrimai ir statistika, jie turėtų būti įtraukti į pirminį tikslų sąrašą ir aiškiai nurodyti naudotojams.

—   Informavimo funkcija.

Šios funkcijos tikslas – teikti informaciją, kuri yra svarbi sveikatos priežiūros institucijoms krizės laikotarpiu.

—   Simptomų pasitikrinimo ir nuotolinės medicinos funkcijos.

Simptomų pasitikrinimo funkcija leidžia įvertinti, kokia dalis asmenų, pranešančių apie COVID-19 atitinkančius simptomus, yra iš tikrųjų užsikrėtę (pvz., imant tepinėlius ir tiriant visus šiuos simptomus turinčius asmenis arba atsitiktinį jų skaičių, jei turima galimybių tai padaryti). Nurodant tikslą turėtų būti aiškiai pasakyta, kad asmens sveikatos duomenys bus tvarkomi siekiant i) suteikti asmeniui galimybę atsakius į užduotus klausimus pačiam įvertinti, ar jam pasireiškė COVID-19 simptomai, arba ii) pasireiškus COVID-19 simptomams gauti medicininę konsultaciją.

—   Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcija.

Nurodyti, kad tikslas yra „tolesnių COVID-19 užsikrėtimų prevencija“, yra nepakankamai konkretu. Šiuo atveju Komisija rekomenduoja tiksliau apibūdinti tikslą (-us) pateikiant tokį tekstą: „fiksuoti programėlę naudojančių asmenų, kurie galėjo būti paveikti COVID-19 infekcijos, kontaktinius duomenis, kad būtų galima įspėti užsikrėsti galėjusius asmenis“.

3.7   Griežtų duomenų saugojimo trukmės apribojimų nustatymas

Pagal saugojimo trukmės apribojimo principą asmens duomenys negali būti saugomi ilgiau nei būtina. Terminai turėtų būti nustatomi atsižvelgiant į medicininę svarbą (ir į programėlės tikslą: inkubacinį laikotarpį ir pan.), taip pat į tai, kiek gali užtrukti reikiami administraciniai veiksmai.

—   Informavimo funkcija.

Jei įdiegiant šią funkciją renkami kokie nors duomenys, jie turėtų būti nedelsiant ištrinti. Saugoti tokius duomenis nėra jokio pagrindo.

—   Simptomų pasitikrinimo ir nuotolinės medicinos funkcijos.

Sveikatos priežiūros institucijos tokius duomenis turėtų ištrinti ne vėliau kaip po vieno mėnesio (inkubacinis laikotarpis plius rizikos laikotarpis) arba po to, kai asmeniui atliktas tyrimas, kurio rezultatas neigiamas. Sveikatos priežiūros ataskaitų teikimo ir mokslinių tyrimų tikslais sveikatos priežiūros institucijos gali saugoti duomenis ilgesnį laikotarpį, tačiau jie turi būti nuasmeninti.

—   Sąlytį turėjusių asmenų išaiškinimo ir įspėjimo funkcija.

Artumo duomenys turėtų būti ištrinami iš karto po to, kai tampa nebereikalingi asmenims įspėti. Tai turėtų būti padaryta ne vėliau kaip po vieno mėnesio (inkubacinis laikotarpis plius rizikos laikotarpis) arba po to, kai asmeniui atliktas tyrimas, kurio rezultatas neigiamas. Sveikatos priežiūros ataskaitų teikimo ir mokslinių tyrimų tikslais sveikatos priežiūros institucijos gali saugoti artumo duomenis ilgesnį laikotarpį, tačiau jie turi būti nuasmeninti.

Duomenys turėtų būti saugomi naudotojo įrenginyje, o į sveikatos priežiūros įstaigoms prieinamą serverį turėtų būti įkeliami tik tie duomenys, kuriuos, pasirinkus atitinkamą funkciją, pateikė naudotojai ir kurie yra būtini tikslui pasiekti (t. y. į serverį įkeliami tik duomenys apie asmens, kurio COVID-19 tyrimo rezultatai teigiami, artimo sąlyčio atvejus).

3.8   Duomenų saugumo užtikrinimas

Komisija rekomenduoja, kad duomenys asmens galiniame įrenginyje būtų saugomi užšifruoti naudojant pažangiausias šifravimo technologijas. Jei duomenys saugomi centriniame serveryje, prieiga prie tokio serverio, įskaitant administratorių, turėtų būti registruojama.

Artumo duomenys asmens galiniame įrenginyje turėtų būti generuojami ir saugomi tik užšifruotu ir pseudoniminiu formatu. Siekiant užkirsti kelią trečiųjų asmenų vykdomam sekimui, aktyvuoti „Bluetooth“ turėtų būti įmanoma neaktyvuojant kitų vietos nustatymo funkcijų.

Pageidautina, kad renkant artumo duomenis per BLE būtų sukuriamas ir išsaugomas reguliariai keičiamas laikinas naudotojo vardas, o ne tikrasis įrenginio identifikacinis pavadinimas. Tai suteiks papildomą apsaugą nuo įsilaužėlių vykdomo klausymosi ar sekimo, nes tokiu būdu sunkiau nustatyti asmens tapatybę.

Komisija rekomenduoja programėlės programinį kodą paskelbti viešai ir pateikti peržiūrėti.

Gali būti numatytos papildomos tvarkomų duomenų apsaugos priemonės, visų pirma tai, kad duomenys po tam tikro laiko automatiškai ištrinami arba nuasmeninami. Apskritai saugumo lygis turėtų atitikti tvarkomų asmens duomenų kiekį ir privatumą.

Duomenų perdavimas iš asmeninio įrenginio nacionalinėms sveikatos priežiūros institucijoms visais atvejais turėtų būti vykdomas užšifruotu formatu.

Tais atvejais, kai nacionaliniuose teisės aktuose numatyta, kad surinkti asmens duomenys gali būti tvarkomi ir mokslinių tyrimų tikslais, paprastai duomenims turėtų būti suteikti pseudonimai.

3.9   Duomenų tikslumo užtikrinimas

Tvarkomų asmens duomenų tikslumo užtikrinimas yra ne tik būtina programėlės veiksmingumo sąlyga, bet ir reikalavimas, įtvirtintas asmens duomenų apsaugos teisės aktuose.

Todėl, siekiant mažinti riziką gauti klaidingų teigiamų rezultatų, labai svarbu užtikrinti, kad informacija apie tai, ar įvyko sąlytis su užsikrėtusiu asmeniu (epidemiologinis atstumas ir trukmė), būtų tiksli. Turėtų būti numatytas sprendimas tais atvejais, kai du programėlės naudotojai patiria sąlytį gatvėje, viešajame transporte arba pastate. Mažai tikėtina, kad mobiliųjų telefonų tinklų pagrindu nustatomi vietos duomenys šia prasme būtų pakankamai tikslūs.

Todėl patartina naudoti technologijas, leidžiančias tiksliau įvertinti, ar sąlytis įvyko (pvz., „Bluetooth“).

3.10   Duomenų apsaugos institucijų dalyvavimas

Duomenų apsaugos institucijos turėtų visapusiškai dalyvauti programėlės kūrimo procese ir teikti konsultacijas, taip pat prižiūrėti, kaip ji diegiama. Kadangi naudojantis programėle vykdomas duomenų tvarkymas bus laikomas specialių kategorijų duomenų (sveikatos duomenų) tvarkymu dideliu mastu, Komisija atkreipia dėmesį į Bendrojo duomenų apsaugos reglamento 35 straipsnį dėl poveikio duomenų apsaugai vertinimo.

---

(1)  2020 m. balandžio 8 d. Rekomendacija C(2020) 2296 final. https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(2)  https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf

(3)  https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(4)  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(5)  2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(6)  Jeigu programėlėse pateikiama su diagnostika, prevencija, stebėsena, numatymu ar prognozavimu susijusi informacija, turėtų būti įvertinta, ar jos gali būti laikomos medicinos priemonėmis pagal medicinos priemonių reglamentavimo sistemą. Dėl šios sistemos žr. 1993 m. birželio 14 d. Tarybos direktyvą 93/42/EEB dėl medicinos prietaisų (OL L 169, 1993 7 12, p. 1) ir 2017 m. balandžio 5 d. Europos Parlamento ir Tarybos reglamentą (ES) 2017/745 dėl medicinos priemonių (OL L 117, 2017 5 5, p. 1).

(7)  Toks bendradarbiavimas jau vyksta įgyvendinant projektą MyHealth@EU, skirtą keistis pacientų duomenų santraukomis ir e. receptais. Taip pat žr. Komisijos įgyvendinimo sprendimo 2019/1765 5 straipsnio 5 dalį ir 17 konstatuojamąją dalį.

(8)  Žr. BDAR 45 konstatuojamąją dalį.

(9)  Žr. Europos duomenų apsaugos valdybos gaires dėl sutikimo: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

(10)  BDAR 6 straipsnio 1 dalies e punktas.

(11)  Elektroninių ryšių kodekse numatyta, kad ši direktyva taikoma ir paslaugoms, kurios funkcijų atžvilgiu prilygsta elektroninių ryšių paslaugoms.

(12)  Duomenų kiekio mažinimo principas.

(13)  Užsikrėtęs asmuo gali pradėti platinti užkratą likus 48 val. iki simptomų pasireiškimo.