KOMISIJAS PAZIŅOJUMS

Norādījumi par lietotnēm, kas sniedz atbalstu cīņā pret Covid-19 pandēmiju saistībā ar datu aizsardzību

(2020/C 124 I/01)

1   KONTEKSTS

Covid-19 pandēmija ir radījusi nepieredzētas problēmas Savienībai un dalībvalstīm, to veselības aprūpes sistēmām, dzīvesveidam, ekonomikas stabilitātei un vērtībām. Digitālajām tehnoloģijām un datiem ir liela nozīme Covid-19 krīzes apkarošanā. Mobilās lietotnes, kas parasti ir instalētas viedtālruņos (lietotnes), var palīdzēt veselības aizsardzības iestādēm valsts un ES līmenī uzraudzīt un ierobežot Covid-19 pandēmiju, un tām ir īpaša nozīme ierobežošanas pasākumu atcelšanas posmā. Tās var sniegt tiešus norādījumus iedzīvotājiem un atbalstīt kontaktu izsekošanas centienus. Vairākās valstīs gan Eiropas Savienībā, gan visā pasaulē valstu vai reģionālās iestādes vai izstrādātāji ir paziņojuši par tādu lietotņu izlaišanu, kurām ir dažādas funkcijas un kuru mērķis ir sniegt atbalstu cīņā pret vīrusu.

Komisija 2020. gada 8. aprīlī pieņēma Ieteikumu par vienotu Savienības rīkkopu tehnoloģiju un datu izmantošanai ar mērķi apkarot Covid-19 krīzi un iziet no tās, it īpaši attiecībā uz mobilajām lietotnēm un anonimizētu mobilitātes datu izmantošanu (“ieteikums”) (1). Ieteikuma mērķis cita starpā ir izstrādāt ES līmenī koordinētu kopīgu Eiropas pieeju (“rīkkopu”) attiecībā uz mobilo lietotņu izmantošanu, iespēju radīšanu iedzīvotājiem veikt efektīvus sociālās distancēšanās pasākumus un brīdināšanu, novēršanu un kontaktu izsekošanu, lai palīdzētu ierobežot Covid-19 slimības izplatīšanos. Ieteikumā ir izklāstīti vispārīgi principi, pēc kuriem būtu jāvadās, izstrādājot šādu rīkkopu, un tajā ir norādīts, ka Komisija publicēs turpmākus norādījumus, tostarp par persondatu aizsardzību un to, kā privātumu ietekmē lietotņu izmantošana šajā jomā.

Ar Kopīgo Eiropas ceļvedi Covid-19 ierobežošanas pasākumu atcelšanai Komisija sadarbībā ar Eiropadomes priekšsēdētāju noteica vairākus principus, pēc kuriem vadīties Covid-19 uzliesmojuma izraisīto ierobežošanas pasākumu pakāpeniskā izbeigšanā. Mobilajām lietotnēm, tostarp kontaktu izsekošanas funkcijai, šajā kontekstā var būt būtiska nozīme. Atkarībā no lietotņu iezīmēm un tā, cik lielā mērā iedzīvotāji tās izmanto, tām var būt nozīmīga ietekme uz Covid-19 slimības diagnosticēšanu, ārstēšanu un pārvaldību slimnīcās un ārpus tām. Tām ir īpaša nozīme, kad tiek atcelti ierobežošanas pasākumi un kad pieaug inficēšanās risks, jo savā starpā kontaktējas arvien vairāk cilvēku. Šīs lietotnes var palīdzēt infekciju ķēdes pārtraukt ātrāk un efektīvāk nekā vispārējie ierobežošanas pasākumi, un tās var būtiski samazināt vīrusa izplatīšanās risku. Tādējādi tām vajadzētu būt svarīgam izejas stratēģijas elementam, kas papildina citus pasākumus, piemēram, lielāku testēšanas kapacitāti (2). Svarīgs priekšnoteikums šādu lietotņu izstrādei, pieņemšanai un ieviešanai privātpersonu vidū ir uzticēšanās. Cilvēkiem ir jābūt pārliecībai, ka tiek nodrošināta pamattiesību ievērošana, ka lietotnes tiks izmantotas tikai konkrēti definētajiem mērķiem, ka tās netiks izmantotas masveida novērošanai un ka cilvēki paturēs kontroli pār saviem datiem. Tas ir pamats šādu lietotņu precizitātei un efektivitātei vīrusa izplatības ierobežošanā. Tāpēc ir ļoti būtiski apzināt risinājumus, kas ir vismazāk traucējoši un kas pilnībā atbilst ES tiesību aktos noteiktajām persondatu aizsardzības un privātuma prasībām. Turklāt lietotnes būtu jādeaktivizē vēlākais tad, kad tiek paziņots, ka pandēmija tiek kontrolēta. Lietotnēs būtu jāiekļauj arī mūsdienīgi informācijas drošības aizsardzības mehānismi.

Šajos norādījumos ir ņemta vērā Eiropas Datu aizsardzības kolēģijas (EDAK) (3) sniegtā informācija un e-veselības tīklā notikušās diskusijas. EDAK plāno tuvākajās dienās publicēt pamatnostādnes par ģeolokāciju un citiem izsekošanas instrumentiem saistībā ar Covid-19 uzliesmojumu.

Norādījumu piemērošanas joma

Lai nodrošinātu saskaņotu pieeju visā ES un sniegtu norādījumus dalībvalstīm un lietotņu izstrādātājiem, šajā dokumentā ir izklāstītas iezīmes un prasības, kuras lietotnēm būtu jāievēro, lai nodrošinātu atbilstību ES tiesību aktiem privātuma un persondatu aizsardzības jomā, jo īpaši Vispārīgajai datu aizsardzības regulai (4) (VDAR) un E-privātuma direktīvai (5). Šajos norādījumos nav aplūkoti nekādi citi nosacījumi, tostarp ierobežojumi, ko dalībvalstis varētu būt iekļāvušas savos valsts tiesību aktos attiecībā uz veselības datu apstrādi.

Šie norādījumi nav juridiski saistoši. Tas neskar ES Tiesas lomu, jo tā ir vienīgā iestāde, kas var sniegt ES tiesību aktu autoritatīvu interpretāciju.

Šie norādījumi attiecas tikai uz brīvprātīgām lietotnēm, kas sniedz atbalstu cīņā pret Covid-19 pandēmiju (lietotnes, ko privātpersonas lejupielādē, instalē un izmanto brīvprātīgi) ar vienu vai vairākām no turpmāk minētajām funkcijām:

—	sniedz precīzu informāciju privātpersonām par Covid-19 pandēmiju;

—	nodrošina aptaujas anketas pašnovērtējumam un norādījumiem privātpersonām (simptomu pārbaudīšanas funkcija) (6);

—	brīdina personas, kas noteiktu laiku ir bijušas inficētas personas tuvumā, lai sniegtu informāciju, piemēram, vai veikt paškarantīnu un kur veikt testēšanu (kontakta izsekošana un brīdināšanas funkcija);

—	nodrošina saziņas forumu starp pacientiem un ārstiem pašizolācijas situācijā vai gadījumos, kad tiek sniegtas turpmākas diagnozes un ārstēšanas konsultācijas (lielāks telemedicīnas izmantojums).

Saskaņā ar E-privātuma direktīvu lietotnes izmantošana, kas ietver 5. pantā noteiktās saziņas tiesības, ir iespējama tikai ar tiesību aktu, kas ir nepieciešams, piemērots un samērīgs, lai aizsargātu dažus konkrētus mērķus. Ņemot vērā šādas pieejas lielo iejaukšanās pakāpi un ar to saistītās problēmas, tostarp attiecībā uz pienācīgu aizsardzības pasākumu ieviešanu, Komisija uzskata, ka pirms šīs iespējas izmantošanas ir jāveic rūpīga analīze. Šo iemeslu dēļ Komisija iesaka izmantot brīvprātīgas lietotnes.

Šie norādījumi neattiecas uz lietotnēm, kuru mērķis ir nodrošināt karantīnas prasību (tostarp obligātu prasību) izpildi.

2   LIETOTŅU IEGULDĪJUMS CĪŅĀ PRET COVID-19

Simptomu pārbaudīšanas funkcija ir rīks, ar kuru sabiedrības veselības aizsardzības iestādes var sniegt norādes iedzīvotājiem par Covid-19 testēšanu un informēt par pašizolāciju, par to, kā izvairīties no slimības pārneses citiem un kad meklēt veselības aprūpi. Tā var arī papildināt primārās aprūpes uzraudzību un labāk informēt par Covid-19 pārneses līmeni iedzīvotāju vidū.

Kontaktu izsekošanas un brīdināšanas funkcijas ir rīki, ar kuriem var identificēt personas, kas ir kontaktējušās ar Covid-19 inficētu personu, un informēt viņu par atbilstošiem turpmākajiem soļiem, piemēram, paškarantīnu, testēšanu vai konsultēšanu par to, ko darīt n simptomu gadījumā. Tāpēc šī funkcija ir noderīga gan privātpersonām, gan sabiedrības veselības aizsardzības iestādēm. Tai var būt svarīga nozīme arī ierobežošanas pasākumu pārvaldībā deeskalācijas scenāriju laikā. Tās ietekmi var pastiprināt ar stratēģiju, kas atbalsta tādu personu plašāku testēšanu, kurām ir viegli simptomi.

Abas funkcijas var būt arī nozīmīgu datu avots sabiedrības veselības aizsardzības iestādēm un atvieglot šādu datu nosūtīšanu valstu epidemioloģiskajām iestādēm un Eiropas Slimību profilakses un kontroles centram (ECDC). Tas palīdzētu izprast pārnešanas modeļus un apvienojumā ar testēšanas rezultātiem novērtēt elpošanas traucējumu simptomu pozitīvo prognozējošo vērtību attiecīgajā kopienā un sniegt informāciju par vīrusa cirkulācijas līmeni.

Aplēšu ticamības pakāpe ir tieši saistīta ar nosūtīto datu elementu skaitu un datu ticamību.

Tāpēc apvienojumā ar atbilstošām testēšanas stratēģijām gan simptomu pārbaudīšanas, gan kontaktu izsekošanas funkcijas var sniegt informāciju par vīrusa cirkulācijas līmeni un palīdzēt novērtēt fiziskās distancēšanās un ierobežošanas pasākumu ietekmi. Kā izklāstīts ieteikumā, lai nodrošinātu pārrobežu sadarbību un lai būtu iespējams izsekot kontaktiem starp dažādu lietotņu lietotājiem (tas ir īpaši svarīgi, ja iedzīvotāji pārvietojas pāri robežām), būtu jānodrošina dažādu dalībvalstu IT risinājumu sadarbspēja. Ja inficēta persona kontaktējas ar citas dalībvalsts lietotnes lietotāju, minētā lietotāja persondatu pārrobežu nosūtīšana savas dalībvalsts veselības aizsardzības iestādēm būtu jādara iespējama, ciktāl tas ir obligāti nepieciešams. Darbs pie šā jautājuma notiks kā daļa no ieteikumā paredzētās rīkkopas. Sadarbspēja būtu jānodrošina gan ar tehniskām prasībām, gan uzlabojot saziņu un sadarbību starp valstu veselības aizsardzības iestādēm. Īpašas sadarbības (7) modeli varētu izmantot arī kā pārvaldības modeli kontaktu izsekošanas lietotnēm Covid-19 pandēmijas laikā.

3   PRIEKŠNOTEIKUMI UZTICAMAI UN PĀRSKATATBILDĪGAI LIETOTŅU IZMANTOŠANAI

Lietotnēs iekļautās funkcijas var dažādi ietekmēt plašu tiesību klāstu, kas nostiprināti ES Pamattiesību hartā, piemēram, cilvēka cieņa, privātās un ģimenes dzīves neaizskaramība, persondatu aizsardzība, pārvietošanās brīvība, nediskriminācija, darījumdarbības brīvība un pulcēšanās un biedrošanās brīvība. Īpaši nozīmīga var būt iejaukšanās privātajā dzīvē un tiesībās uz persondatu aizsardzību, ņemot vērā to, ka dažas funkcijas ir balstītas uz intensīvas datplūsmas modeli.

Turpmāk izklāstīto priekšnoteikumu mērķis ir sniegt norādījumus par to, kā ierobežot lietotņu funkciju iejaukšanās apjoma ierobežošanu, lai nodrošinātu atbilstību ES tiesību aktiem persondatu aizsardzības un privātuma jomā.

3.1   Valsts veselības aizsardzības iestādes (vai struktūras, kas veic uzdevumu sabiedrības interesēs veselības aizsardzības jomā) kā datu pārzinis

Konstatēt, kurš pieņem lēmumus par datu apstrādes līdzekļiem un mērķiem (datu pārzinis), ir ļoti svarīgi, lai saprastu, kurš ir atbildīgs par ES persondatu aizsardzības noteikumu ievērošanu, un jo īpaši: kam būtu jāsniedz informācija privātpersonām, kuras lejupielādē lietotni, par to, kas notiks ar viņu persondatiem (kas jau ir pieejami vai tiks ģenerēti ar ierīces starpniecību – piemēram, viedtālrunis, kurā lietotne ir instalēta), kādas būs viņu tiesības, kurš būs atbildīgs datu aizsardzības pārkāpuma gadījumā utt.

Ņemot vērā attiecīgo persondatu sensitivitāti un turpmāk aprakstīto datu apstrādes nolūku, Komisija uzskata, ka lietotnes būtu jāizstrādā tā, lai valsts veselības aizsardzības iestādes (vai struktūras, kas veic uzdevumu sabiedrības interesēs veselības aizsardzības jomā) būtu datu pārziņi (8). Pārziņi ir atbildīgi par atbilstību VDAR (pārskatatbildības princips). Šādas piekļuves darbības joma būtu jāierobežo, pamatojoties uz 3.5. iedaļā aprakstītajiem principiem.

Tas arī veicinās lielāku uzticēšanos iedzīvotāju vidū un tādējādi arī lietotņu (un to pamatā esošo infekcijas pārneses ķēžu informācijas sistēmu) pieņemšanu un nodrošinās, ka tās atbilst paredzētajam mērķim – aizsargāt sabiedrības veselību. Atbildīgajām valsts veselības aizsardzības iestādēm būtu jāsaskaņo un koordinēti jāīsteno pamatpolitika, prasības un kontrole.

3.2   Nodrošināt, ka privātpersonas saglabā kontroli

Izšķirošais faktors, kas ļauj privātpersonām uzticēties lietotnēm, ir pārliecība, ka tās joprojām kontrolē savus persondatus. Lai to nodrošinātu, Komisija uzskata, ka jo īpaši ir jāievēro šādi nosacījumi:

—	lietotnes instalēšanai savā ierīcē vajadzētu būt brīvprātīgai un tai nevajadzētu radīt negatīvas sekas privātpersonai, kura nolemj nelejupielādēt/nelietot lietotni;

—

nevajadzētu apvienot dažādas lietotņu funkcijas (piemēram, informācija, simptomu pārbaudītājs, kontaktu izsekošana un brīdināšanas funkcijas), lai persona varētu sniegt savu piekrišanu konkrēti katrai funkcijai. Tam nevajadzētu liegt lietotājam apvienot dažādas lietotņu funkcijas, ja pakalpojumu sniedzējs to piedāvā kā iespēju;

—

ja tiek izmantoti tuvuma dati (dati, kas iegūti, apmainoties ar Bluetooth Low Energy (BLE) signāliem starp ierīcēm epidemioloģiski relevantā attālumā un epidemioloģiski relevantā laikā), tie būtu jāglabā privātpersonas ierīcē. Ja ar šiem datiem ir jāapmainās ar veselības aizsardzības iestādēm, ar tiem būtu jāapmainās tikai pēc tam, kad ir apstiprināts, ka attiecīgā persona ir inficēta ar Covid-19, un ar nosacījumu, ka attiecīgā persona izvēlas to darīt;

—	veselības aizsardzības iestādēm būtu jāsniedz privātpersonām visa nepieciešamā informācija, kas saistīta ar viņu persondatu apstrādi (saskaņā ar VDAR 12. un 13. pantu un E-privātuma direktīvas 5. pantu);

—

privātpersonai būtu jāspēj īstenot savas tiesības saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR) (jo īpaši piekļuve, labošana; dzēšana). Visiem tiesību ierobežojumiem saskaņā ar VDAR un E-privātuma direktīvu būtu jāatbilst šiem tiesību aktiem, un tiem vajadzētu būt nepieciešamiem, samērīgiem un paredzētiem tiesību aktos;

—	būtu jāparedz, ka lietotnes deaktivizē vēlākais tad, kad tiek paziņots, ka pandēmija tiek kontrolēta; deaktivizācijai nevajadzētu būt atkarīgai no lietotāja veiktas lietotnes atinstalēšanas.

3.3   Apstrādes juridiskais pamats

Lietotņu instalēšana un informācijas glabāšana lietotāja ierīcē

Kā minēts iepriekš, saskaņā ar E-privātuma direktīvu (5. pants) informācijas uzglabāšana par lietotāja ierīci vai piekļuves iegūšana jau uzglabātajai informācijai ir atļauta tikai tad, ja i) lietotājs ir devis piekrišanu vai ii) glabāšana un/vai piekļuve ir noteikti nepieciešama informācijas sabiedrības pakalpojumam (piemēram, lietotnei), ko lietotājs ir skaidri pieprasījis (t. i., instalējis un aktivizējis).

Lai lietotnes varētu darboties, parasti ir nepieciešams uzglabāt informāciju par indivīda ierīci un piekļūt informācijai, kas jau tiek uzglabāta šajā ierīcē. Turklāt kontaktu izsekošanas un brīdināšanas funkcijas vajadzībām ir nepieciešams, lai lietotāja ierīcē tiktu saglabāta kāda cita informācija (piemēram, efemerāla informācija, kas periodiski mainās, proti šādas funkcijas tuvumā esošo lietotāju lietotāja ID). Turklāt šai funkcijai varētu būt nepieciešams, lai (inficētais vai domājamais inficētais) lietotājs augšupielādētu tuvuma datus. Šāda augšupielāde nav nepieciešama lietotnes darbībai kā tādai. Tāpēc iepriekšējā daļā minētās ii) iespējas prasības nav izpildītas. Tas nozīmē, ka piekrišana (iepriekš minētā i) iespēja) ir vispiemērotākais pamatojums attiecīgajām darbībām. Šādai piekrišanai vajadzētu būt “brīvi sniegtai”, “konkrētai” un “informētai” VDAR nozīmē. Tas būtu jāizsaka, privātpersonai veicot skaidri apstiprinošu darbību; tas izslēdz klusējot izteiktu piekrišanu (piemēram, klusēšana; neaktivitāte) (9).

Juridiskais pamats apstrādei, ko veic valsts veselības aizsardzības iestādes – Savienības vai dalībvalsts tiesību akti

Valsts veselības aizsardzības iestādes parasti apstrādā persondatus, ja ES vai dalībvalsts tiesību aktos ir noteikts juridisks pienākums, kas paredz šādu apstrādi un atbilst VDAR 6. panta 1. punkta c) apakšpunkta un 9. panta 2. punkta i) apakšpunkta nosacījumiem, vai ja šāda apstrāde ir nepieciešama, lai izpildītu uzdevumu, kas ir sabiedrības interesēs, kuras atzītas ES vai dalībvalsts tiesību aktos (10).

Visos valsts tiesību aktos ir jāparedz īpaši un piemēroti pasākumi, lai aizsargātu datu subjektu tiesības un brīvības. Parasti, jo lielāka ietekme uz privātpersonu brīvībām, jo stingrāki atbilstošie aizsardzības pasākumi būtu jāparedz attiecīgajos tiesību aktos.

ES un dalībvalstu tiesību aktus, kas pastāvēja pirms Covid-19 uzliesmojuma, un tiesību aktus, ko dalībvalstis pieņem īpaši, lai apkarotu epidēmiju izplatīšanos, principā var izmantot kā juridisko pamatu privātpersonu datu apstrādei, ja tie paredz pasākumus, kas ļauj uzraudzīt epidēmijas, un ja minētie tiesību akti atbilst VDAR 6. panta 3. punktā noteiktajām papildu prasībām.

Ņemot vērā attiecīgo persondatu (it īpaši veselības datu kā īpašas kategorijas persondatu) būtību, kā arī pašreizējās Covid-19 pandēmijas apstākļus, paļaušanās uz tiesību aktiem kā juridisko pamatu veicinātu juridisko noteiktību, jo tiktu i) sīki paredzēta konkrētu veselības datu apstrāde un skaidri norādīti apstrādes nolūki; ii) skaidri norādīts, kurš ir datu pārzinis, t. i., struktūra, kas apstrādā datus, un kam – līdztekus datu pārzinim – var būt piekļuve šādiem datiem; iii) izslēgta iespēja apstrādāt šādus datus nolūkos, kas nav uzskaitīti tiesību aktos, un iv) paredzēti konkrēti aizsardzības pasākumi. Lai neapdraudētu lietotņu lietderību un šo lietotņu pieņemamību sabiedrības acīs, valsts likumdevējam būtu jāvelta īpaša uzmanība tam, lai izvēlētais risinājums būtu pēc iespējas lielākā mērā iekļaujošs attiecībā pret iedzīvotājiem.

Tas, ka veselības aizsardzības iestādes apstrādā datus, pamatojoties uz tiesību aktiem, nemaina faktu, ka cilvēkiem arī turpmāk ir jābūt brīvas izvēles iespējām instalēt lietotni un ļaut veselības iestādēm izmantot savus datus. Tāpēc lietotājiem nedrīkstētu rasties nekādas nelabvēlīgas sekas gadījumos, kad lietotne ir atinstalēta.

Kontaktu izsekošanas un brīdināšanas lietotnes ir paredzētas privātpersonu brīdināšanai. Gadījumos, kad šo brīdinājumu tieši saņem no lietotnes, Komisija vērš uzmanību uz aizliegumu attiecināt uz privātpersonām lēmumu, kura pamatā ir tikai automatizēta apstrāde, kas rada juridiskas sekas vai līdzīgā kārtā būtiski ietekmē attiecīgo personu (VDAR 22. pants).

3.4   Datu minimizēšana

Dati, kas iegūti ar ierīču palīdzību un jau iepriekš glabāti šajās ierīcēs, tiek aizsargāti šādi.

—	Kā “persondati”, t. i., jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (VDAR 4. panta 1. punkts), tie ir aizsargāti saskaņā ar VDAR. Uz veselības datiem attiecas papildu aizsardzība (VDAR 9. pants).

—

Kā “atrašanās vietas dati”, t. i., dati, kuri tiek apstrādāti elektronisko sakaru tīklā vai kurus apstrādā elektronisko sakaru pakalpojumu sniedzējs un kas norāda lietotāja galiekārtas ģeogrāfisko atrašanās vietu, tie ir aizsargāti saskaņā ar E-privātuma direktīvu (5. panta 1. punkts, 6. un 9. pants) (11).

—	Jebkura informācija, kura tiek glabāta lietotāja galiekārtā un kurai piekļūst no šīs galiekārtas, tiek aizsargāta saskaņā ar E-privātuma direktīvas 5. panta 3. punktu.

Nepersondati (piemēram, neatgriezeniski anonimizēti dati) netiek aizsargāti saskaņā ar VDAR.

Komisija atgādina, ka saskaņā ar datu minimizēšanas principu apstrādāt var tikai tādus persondatus, kuri ir adekvāti, relevanti un ietver tikai to, kas nepieciešams apstrādes nolūkos (12). Ņemot vērā izvirzīto(-os) mērķi(-us), būtu jāveic novērtējums par persondatu apstrādes nepieciešamību un šādu persondatu relevantumu.

Komisija norāda, ka, piemēram, tad, ja funkcijas mērķis ir simptomu pārbaude vai telemedicīna, šādu mērķu gadījumā nav vajadzīga piekļuve tās personas kontaktu sarakstam, kurai pieder ierīce.

Iegūstot un apstrādājot mazāk datu, tiek ierobežoti drošības riski. Tāpēc datu minimizēšanas pasākumu ievērošana gādā arī par aizsardzības pasākumiem.

—   Informēšanas funkcija:

lietotnei, kura pilda vienīgi šo funkciju, nebūs nepieciešams apstrādāt nekādus privātpersonu veselības datus. Tā tikai sniegs informāciju. Lai panāktu šo mērķi, informāciju, kura tiek glabāta galiekārtā un kurai piekļūst no šīs galiekārtas, nedrīkst apstrādāt citādi, nekā tas vajadzīgs informācijas sniegšanai.

—   Simptomu pārbaudīšanas un telemedicīnas funkcijas:

ja lietotnei ir viena vai abas šīs funkcijas, tad tā apstrādās veselības persondatus. Tāpēc pamatā esošajos tiesību aktos, kas piemērojami veselības aprūpes iestādēm, būtu jānorāda to datu saraksts, kurus drīkst apstrādāt.

Turklāt veselības aprūpes iestādēm varētu būt nepieciešami to personu tālruņa numuri, kuras izmantoja simptomu pārbaudīšanas funkciju un augšupielādēja rezultātus. Informāciju, kura tiek glabāta galiekārtā un kurai piekļūst no šīs galiekārtas, drīkst apstrādāt tikai tādā mērā, kāds ir vajadzīgs, lai lietotne varētu pildīt savu mērķi un darboties.

—   Kontaktu izsekošanas un brīdināšanas funkcija:

lielākā daļa Covid-19 infekciju izplatās ar pilieniem, kas pārvietojas tikai ierobežotā attālumā. Lai pārtrauktu infekcijas ķēdi, viens no svarīgākajiem faktoriem ir pēc iespējas ātrāk identificēt personas, kuras ir bijušas inficētas personas tuvumā. Tuvuma noteikšana ir funkcija kontakta attāluma un ilguma noteikšanai, un tas būtu jādara, vadoties no epidemioloģiskiem apsvērumiem. Infekcijas ķēdes pārtraukšana ir īpaši svarīga, lai novērstu infekciju atkārtošanos ierobežojumu atcelšanas posmā.

Šajā nolūkā varētu būt nepieciešami tuvuma dati. Attiecībā uz tuvuma un ciešu kontaktu mērīšanu šķiet, ka sakari starp ierīcēm ir precīzāki – un tādēļ piemērotāki – tad, ja tiek izmantota Bluetooth Low Energy (BLE) tehnoloģija, nevis ģeolokācijas dati (GNSS/GPS vai atrašanās vietas dati, kas iegūti ar mobilo tālruņu starpniecību). Izmantojot BLE, nav iespējama izsekošanas iespēja (pretstatā ģeolokācijas datiem). Tāpēc tuvuma noteikšanai Komisija iesaka izmantot BLE sakaru datus (vai līdzvērtīgas tehnoloģijas ģenerētus datus).

Atrašanās vietas dati nav vajadzīgi kontaktu izsekošanas funkcijām, jo to mērķis nav izsekot privātpersonu pārvienošanos vai panākt prasību izpildi. Turklāt atrašanās vietas datu apstrādi kontaktu izsekošanas kontekstā būtu grūti pamatot, ņemot vērā datu minimizēšanas principu, un šādu datu apstrāde varētu radīt drošības un privātuma problēmas. Šā iemesla dēļ Komisija iesaka šajā kontekstā neizmantot atrašanās vietas datus.

Neatkarīgi no tehniskajiem līdzekļiem, kurus izmanto tuvuma noteikšanai, šķiet, ka nav nepieciešams glabāt datus par precīzo kontakta laiku vai vietu (ja tādi ir). Tomēr varētu būt lietderīgi glabāt kontakta dienu, lai zinātu, vai kontakts notika tad, kad personai parādījās simptomi (vai 48 stundas iepriekš (13)), un lai pēcāk nosūtītu ziņu ar ieteikumu, piemēram, par to, uz cik ilgu laikposmu ir vajadzīga paškarantīna.

Tuvuma dati būtu jāiegūst un jāapstrādā tikai tad, ja pastāv reāls inficēšanās risks (atkarībā no kontakta ciešuma un ilguma).

Būtu jānorāda, ka datu vākšanas nepieciešamība un samērīgums tādējādi būs atkarīgi no tādiem faktoriem kā apmērs, kādā ir pieejamas testēšanas iekārtas – it īpaši tad, kad jau bija noteikti attiecīgie pasākumi, piemēram, karantīna. To personu brīdināšana, kuras ir bijušas ciešā kontaktā ar inficētu personu, ir iespējama divos veidos, proti,

saskaņā ar pirmo pieeju brīdinājumu ar lietotnes starpniecību automātiski nosūta ciešām kontaktpersonām brīdī, kad lietotājs paziņo lietotnei, ka viņa tests ir pozitīvs (decentralizēta apstrāde) (pēc tam, kad ir saņemts veselības aprūpes iestādes apstiprinājums, piemēram, izmantojot svītrkodu vai TAN kodu). Būtu vēlams, ka brīdinājuma ziņojuma saturu nosaka veselības aprūpes iestāde. Saskaņā ar otro pieeju patvaļīgi pagaidu identifikatori tiek glabāti rezerves serverī, kas ir pieejams veselības aprūpes iestādei (rezerves servera risinājums). Izmantojot šos datus, lietotājus nevar tieši identificēt. Lietotāji, kuri bijuši ciešā kontaktā ar pozitīvi testētu lietotāju, ar identifikatori starpniecību saņem brīdinājumu savā ierīcē. Ja veselības aprūpes iestādes vēlas sazināties ar lietotājiem, kuri bijuši ciešā kontaktā ar inficētu personu, izmantojot arī tālruni vai īsziņas, tām ir vajadzīga šo lietotāju piekrišana norādīt viņu tālruņa numurus.

3.5   Datu izpaušanas/piekļuves tiem ierobežošana

—   Informēšanas funkcija:

informāciju, kura tiek glabāta galiekārtā un kurai piekļūst no tās, nevar darīt pieejamu veselības aprūpes iestādēm, izņemot informāciju, kas ir vajadzīga informēšanas funkcijas veikšanai. Tā kā šī funkcija ir paredzēta tikai saziņas līdzekļiem, veselības aprūpes iestādēm nebūs piekļuves nekādiem citiem datiem.

—   Simptomu pārbaudīšanas un telemedicīnas funkcijas:

simptomu pārbaudīšanas funkcija var būt noderīga dalībvalstīm, lai sniegtu norādes iedzīvotājiem par to, vai viņi būtu jāpārbauda, un nosūtītu informāciju par izolēšanu, kā arī par to, kad un kā īpašas riska grupas var piekļūt veselības aprūpei. Šī funkcija var arī papildināt primārās veselības aprūpes uzraudzību un palīdzēt izprast to, kāds ir iedzīvotāju inficēšanās līmenis ar Covid-19. Tāpēc var tikt pieņemts lēmums, ka atbildīgajām veselības aizsardzības iestādēm un epidemioloģiskajām iestādēm būtu jāsaņem piekļuve pacienta sniegtajai informācijai. Epidemioloģiskās uzraudzības veikšanai ECDC varētu saņemt apkopotus datus no valstu iestādēm.

Ja izvēle ir izdarīta par labu tam, lai ļautu sazināties ar veselības aprūpes jomas amatpersonām, nevis vienīgi nosūtīt informāciju ar lietotnes starpniecību, tad lietotnes lietotāju tālruņa numurs arī jāizpauž valstu veselības aprūpes iestādēm.

—   Kontaktu izsekošanas un brīdināšanas funkcija:

—	inficētās personas dati

Lietotnes pēc nejaušības principa ģenerē īslaicīgus un periodiski mainīgus to tālruņu identifikatorus, kuriem ir kontakts ar lietotāju. Viena iespēja ir tāda, ka identifikatori tiek glabāti lietotāja ierīcē (tā dēvētā decentralizētā apstrāde). Izmantojot citu iespēju, var nodrošināt to, ka šie patvaļīgie identifikatori tiek glabāti serverī, kuram var piekļūt veselības aprūpes iestādes (tā dēvētais rezerves servera risinājums). Decentralizētais risinājums vairāk atbilst minimizēšanas principam. Veselības aprūpes iestādēm vajadzētu būt piekļuvei tikai tuvuma datiem, kas tiek glabāti inficētas personas ierīcē, lai šīs iestādes tādējādi varētu sazināties ar inficēšanās riskam pakļautiem cilvēkiem.

Šādi dati veselības aizsardzības iestādēm būs pieejami tikai pēc tam, kad inficētā persona (pēc testēšanas) būs proaktīvi dalījusies ar šiem datiem.

Inficētā persona nebūtu jāinformē par to personu identitāti, ar kurām tā ir bijusi potenciāli epidemioloģiski relevantā kontaktā un kuras tiks brīdinātas.

—	To personu dati, kuras bijušas (epidemioloģiskā) kontaktā ar inficēto personu

Inficētās personas identitāte nebūtu jāizpauž personām, ar kurām tā ir bijusi epidemioloģiskā kontaktā. Pietiek, ja šīm personām paziņo, ka tās pēdējo 16 dienu laikā ir bijušas epidemioloģiskā kontaktā ar inficētu personu. Kā minēts iepriekš, dati par šādu kontaktu laiku un vietu nebūtu jāsaglabā. Līdz ar to nav nedz nepieciešams, nedz iespējams paziņot šos datus.

Lai izsekotu tāda lietotnes lietotāja epidemioloģiskos kontaktus, par kuru konstatēts, ka tas ir inficēts, valsts veselības aizsardzības iestādes būtu jāinformē tikai par tās personas identifikatoru, ar kuru inficētā persona ir bijusi epidemioloģiskā kontaktā laikposmā no 48 stundām pirms simptomu parādīšanās līdz 14 dienām pēc simptomu parādīšanās, pamatojoties uz kontakta tuvumu un ilgumu.

ECDC varētu saņemt agregētus kontaktu izsekošanas datus no valstu iestādēm, lai veiktu epidemioloģisko uzraudzību attiecībā uz rādītājiem, kas noteikti sadarbībā ar dalībvalstīm.

3.6   Precīzu apstrādes nolūku norādīšana

Attiecībā uz apstrādes nolūku būtu jānorāda juridiskais pamats (Savienības vai dalībvalsts tiesību akti). Mērķim vajadzētu būt konkrētam, lai nebūtu šaubu par to, kāda veida persondati ir apstrādei vajadzīgi, lai sasniegtu vēlamo mērķi, un nepārprotamam.

Konkrētais(-ie) mērķis(-i) būs atkarīgs(-i) no lietotnes funkcijām. Katrai lietotnes funkcijai var būt vairāki mērķi. Lai nodrošinātu privātpersonām pilnīgu kontroli pār saviem datiem, Komisija iesaka negrupēt dažādas funkcijas. Jebkurā gadījumā personai vajadzētu būt iespējai izvēlēties starp dažādām funkcijām, kas katra paredzēta atsevišķam mērķim.

Komisija iesaka neizmantot ar iepriekš norādītajiem nosacījumiem savāktos datus citiem mērķiem nekā cīņai pret Covid-19. Ja dati var būt vajadzīgi tādiem mērķiem kā zinātniskā pētniecība un statistika, šie mērķi būtu jāiekļauj sākotnējā mērķu sarakstā un skaidri jāpaziņo lietotājiem.

—   Informācijas funkcija:

Šīs funkcijas mērķis ir sniegt informāciju, kas pēc veselības aizsardzības iestāžu viedokļa ir relevanta krīzes kontekstā.

—   Simptomu pārbaudīšanas un telemedicīnas funkcijas:

Simptomu pārbaudīšanas funkcija var sniegt norādi par to, cik liela daļa no indivīdiem, kas ziņo par Covid-19 atbilstošiem simptomiem, faktiski ir inficēti (piemēram, ņemot uztriepi un testējot visus vai izlases veidā izvēlētus indivīdus ar šādiem simptomiem, ja ir kapacitāte to izdarīt). Informējot par mērķi, būtu skaidri jānorāda, ka veselības dati tiks apstrādāti, lai i) sniegtu personai iespēju, pamatojoties uz uzdoto jautājumu kopumu, pašai novērtēt, vai tai ir Covid-19 simptomi, vai arī ii) lai būtu iespējams saņemt medicīnisku konsultāciju, ja ir parādījušies Covid-19 simptomi.

—   Kontaktu izsekošanas un brīdināšanas funkcijas:

Tikai norāde, ka mērķis ir “novērst turpmākas inficēšanās ar Covid-19”, nav pietiekami konkrēta. Šajā gadījumā Komisija iesaka precizēt mērķi(-us): “saglabāt datus par tādu personu kontaktiem, kuras izmanto lietotni un varētu būt bijušas pakļautas Covid-19 infekcijas iedarbībai, lai brīdinātu cilvēkus, kuri varētu būt inficēti”.

3.7   Stingru ierobežojumu noteikšana attiecībā uz datu saglabāšanu

Saglabāšanas ierobežojumu princips paredz, ka persondatus nedrīkst glabāt ilgāk, nekā nepieciešams. Termiņiem jābūt balstītiem uz medicīnisko relevantumu (atkarībā no lietotnes mērķa: inkubācijas periods utt.), kā arī uz iespējamo administratīvo pasākumu reālistisko ilgumu.

—   Informācijas funkcija:

Ja, instalējot šo funkciju, tiek vākti kādi dati, tie būtu nekavējoties jādzēš. Šādu datu saglabāšana nav pamatota.

—   Simptomu pārbaudīšanas un telemedicīnas funkcijas:

Veselības aizsardzības iestādēm šādi dati būtu jādzēš ne vēlāk kā pēc viena mēneša (inkubācijas periods plus rezerve) vai pēc tam, kad persona tikusi testēta un rezultāts ir bijis negatīvs. Veselības aizsardzības iestādes drīkst saglabāt datus ilgākā periodā uzraudzīšanas ziņojumu un pētniecības nolūkos, bet tikai anonimizētā veidā.

—   Kontaktu izsekošanas un brīdināšanas funkcijas:

Tuvuma dati būtu jādzēš, tiklīdz tie vairs nav vajadzīgi privātpersonu brīdināšanai. Tas būtu jādara ne vēlāk kā pēc viena mēneša (inkubācijas periods plus rezerve) vai pēc tam, kad persona tikusi testēta un rezultāts ir bijis negatīvs. Veselības aizsardzības iestādes drīkst saglabāt tuvuma datus ilgākā periodā uzraudzīšanas ziņojumu un pētniecības nolūkos, bet tikai anonimizētā veidā.

Dati būtu jāglabā lietotāja ierīcē, un augšupielādēt veselības aizsardzības iestādēm pieejamajā serverī, ja šī iespēja ir izvēlēta, vajadzētu tikai tos datus, kurus ir nosūtījuši lietotāji un kuri ir nepieciešami mērķa sasniegšanai (t. i., serverī augšupielādē tikai tādas personas “tuvu kontaktu” datus, kurai testa par inficēšanos ar Covid-19 rezultāts ir bijis pozitīvs).

3.8   Datu drošības nodrošināšana

Komisija iesaka, ka dati būtu jāglabā privātpersonas galiekārtā šifrētā veidā, izmantojot mūsdienīgus kriptogrāfijas paņēmienus. Ja dati tiek glabāti centrālajā serverī, piekļuvei, tostarp administratīvajai piekļuvei, vajadzētu būt iespējamai tikai reģistrējoties.

Tuvuma dati būtu jāģenerē un jāglabā tikai privātpersonas galiekārtā šifrētā un pseidonimizētā formātā. Lai nodrošinātu to, ka ir izslēgta iespēja par trešo personu veikt izsekošanu, Bluetooth aktivizēšanai vajadzētu būt iespējamai bez citu atrašanās vietas noteikšanas pakalpojumu aktivizēšanas.

Vācot datus ar BLE starpniecību, ir vēlams izveidot un saglabāt pagaidu lietotāja identifikatorus, kas regulāri mainās, nevis saglabāt attiecīgās ierīces identifikatoru. Šāds pasākums sniedz papildu aizsardzību pret hakeru veiktu saziņas datu pārtveršanu un izsekošanu un tādējādi apgrūtina privātpersonu identificēšanu.

Komisija iesaka, ka lietotnes pirmkodu vajadzētu publiskot un darīt pieejamu pārskatīšanai.

Var paredzēt papildu pasākumus apstrādāto datu drošībai, jo īpaši datu automātisku dzēšanu vai anonimizēšanu pēc noteikta laika. Kopumā drošības pakāpei būtu jāatbilst apstrādāto persondatu apjomam un sensitivitātei.

Visas datu pārraides, kas valsts veselības aizsardzības iestādēm ir sūtītas no personīgām ierīcēm, būtu jāšifrē.

Ja valsts tiesību akti paredz, ka savāktos persondatus var apstrādāt arī zinātniskās pētniecības nolūkos, principā būtu jāizmanto pseidonimizācija.

3.9   Datu precizitātes nodrošināšana

Apstrādāto persondatu precizitātes nodrošināšana ir ne tikai priekšnoteikums lietotnes efektivitātei, bet arī persondatu aizsardzības tiesību aktos paredzēta prasība.

Šajā kontekstā ir ļoti svarīgi nodrošināt informācijas precizitāti attiecībā uz to, vai notikušais kontakts ar inficētu personu (epidemioloģiskā distance un ilgums) ir būtisks, lai tādējādi līdz minimumam samazinātu pseidopozitīvu rezultātu risku. Tam būtu jāattiecas uz scenārijiem, kad divi lietotnes lietotāji kontaktējas uz ielas, sabiedriskajā transportā vai ēkā. Ir maz ticams, ka no mobilo tālruņu tīklu datiem iegūti atrašanās vietas dati šim nolūkam būtu pietiekami precīzi.

Tāpēc ir ieteicams paļauties uz tehnoloģijām, kas ļauj precīzāk novērtēt kontaktus (piemēram, Bluetooth).

3.10   Datu aizsardzības iestāžu iesaistīšana

Saistībā ar lietotnes izstrādi būtu pilnībā jāiesaista un jāapspriežas ar datu aizsardzības iestādēm, kā arī pastāvīgi jāpārskata tās izmantošana. Tā kā ar šīs lietotnes palīdzību iegūto datu apstrāde tiks kvalificēta kā īpašu kategoriju datu (veselības datu) apstrāde plašā mērogā, Komisija vērš uzmanību uz Vispārīgās datu aizsardzības regulas 35. pantu par datu aizsardzības ietekmes novērtējumu.

---

(1)  Ieteikums C(2020) 2296 final (2020. gada 8. aprīlis). https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(2)  https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf

(3)  https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(4)  Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula), OV L 119, 4.5.2016., 1. lpp.

(5)  Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), OV L 201, 31.7.2002., 37. lpp.

(6)  Ja lietotnes sniedz informāciju saistībā ar diagnostiku, profilaksi, uzraudzību, paredzēšanu vai prognozēm, būtu jānovērtē iespējamā medicīnisko ierīču kvalifikācija saskaņā ar medicīnisko ierīču tiesisko regulējumu. Attiecībā uz minēto regulējumu skatīt Padomes Direktīvu 93/42/EEK (1993. gada 14. jūnijs) par medicīnas ierīcēm (OV L 169, 12.7.1993., 1. lpp.) un Eiropas Parlamenta un Padomes Regulu (ES) 2017/745 (2017. gada 5. aprīlis), kas attiecas uz medicīniskām ierīcēm (OV L 117, 5.5.2017., 1. lpp.).

(7)  Šāda sadarbība jau notiek attiecībā uz projektu MyHealth@EU, lai apmainītos ar pacientu veselības pārskatiem un e-receptēm. Sk. arī Komisijas Īstenošanas lēmuma 2019/1765 5. panta 5. punktu un 17. apsvērumu.

(8)  Sk. VDAR 45. apsvērumu.

(9)  Skatīt Eiropas Datu aizsardzības kolēģijas pamatnostādnes par piekrišanu: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

(10)  VDAR 6. panta 1. punkta e) apakšpunkts.

(11)  Elektronisko sakaru kodeksā ir paredzēts, ka šo direktīvu piemēro arī pakalpojumiem, kas ir funkcionāli līdzvērtīgi elektronisko komunikāciju pakalpojumiem.

(12)  Datu minimizēšanas princips.

(13)  Inficētā persona ir infekcioza 48 stundas pirms simptomu parādīšanās.