Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32020H0518

    Zalecenie Komisji (UE) 2020/518 z dnia 8 kwietnia 2020 r. w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności

    C/2020/3300

    Dz.U. L 114 z 14.4.2020, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/reco/2020/518/oj

    14.4.2020   

    PL

    Dziennik Urzędowy Unii Europejskiej

    L 114/7


    ZALECENIE KOMISJI (UE) 2020/518

    z dnia 8 kwietnia 2020 r.

    w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności

    KOMISJA EUROPEJSKA,

    uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 292,

    a także mając na uwadze, co następuje:

    (1)

    Kryzys w zakresie zdrowia publicznego spowodowany obecną pandemią COVID-19 (zwany dalej „kryzysem wywołanym przez COVID-19”) zmusza Unię i państwa członkowskie do stawienia czoła niespotykanym dotąd wyzwaniom związanym z systemami opieki zdrowotnej, stylem życia, stabilnością gospodarczą i wartościami. Żadne państwo członkowskie nie jest w stanie w pojedynkę wygrać walki z kryzysem wywołanym przez COVID-19. Wyjątkowy kryzys o takiej skali wymaga zdecydowanych działań wszystkich państw członkowskich oraz instytucji i organów UE współpracujących w duchu prawdziwej solidarności.

    (2)

    Biorąc pod uwagę, że wielu Europejczyków łączy się z internetem przez urządzenia mobilne, technologie i dane cyfrowe mają do odegrania ważną rolę w walce z kryzysem wywołanym przez COVID-19. Takie technologie i dane mogą stać się ważnym narzędziem służącym informowaniu społeczeństwa, oferującym właściwym organom publicznym pomoc w ich wysiłkach na rzecz powstrzymania rozprzestrzeniania się wirusa czy też umożliwiającym organizacjom opieki zdrowotnej wymianę danych dotyczących zdrowia. Fragmentaryczne i nieskoordynowane podejście może jednak ograniczyć skuteczność środków mających na celu walkę z kryzysem wywołanym przez COVID-19, stanowiąc jednocześnie poważne zagrożenie dla jednolitego rynku i podstawowych praw i wolności.

    (3)

    Konieczne jest zatem opracowanie wspólnego podejścia do wykorzystania technologii i danych cyfrowych w odpowiedzi na obecny kryzys. Podejście to powinno skutecznie wspierać właściwe organy krajowe, w szczególności organy ds. zdrowia i decydentów, poprzez dostarczenie im wystarczających i dokładnych danych umożliwiających zrozumienie rozwoju i rozprzestrzeniania się wirusa COVID-19 oraz jego skutków. Technologie te mogą również pomagać obywatelom w skutecznym i bardziej ukierunkowanym ograniczaniu kontaktów personalnych. Jednocześnie proponowane podejście ma na celu zachowanie integralności jednolitego rynku i ochronę podstawowych praw i wolności, w szczególności prawa do prywatności i ochrony danych osobowych.

    (4)

    Aplikacje mobilne mogą pomagać organom ds. zdrowia w monitorowaniu i ograniczaniu pandemii COVID-19 na szczeblu krajowym i unijnym. Mogą udzielać wskazówek obywatelom i ułatwiać organizację opieki medycznej nad pacjentami. Aplikacje ostrzegawcze i umożliwiające śledzenie mogą odgrywać ważną rolę w ustalaniu kontaktów zakaźnych, ograniczaniu rozprzestrzeniania się choroby i przerywaniu łańcuchów zakażeń. W połączeniu z odpowiednimi strategiami wykonywania testów i ustalaniem kontaktów zakaźnych, aplikacje te mogą być szczególnie przydatne, jeśli chodzi o dostarczanie informacji na temat poziomu występowania wirusa, ocenę skuteczności środków służących ograniczeniu kontaktów i środków izolacji, oraz mogą wnieść istotny wkład w strategie deeskalacji.

    (5)

    W decyzji Parlamentu Europejskiego i Rady nr 1082/2013/UE (1) ustanowiono szczegółowe przepisy dotyczące nadzoru epidemiologicznego, monitorowania, wczesnego ostrzegania i zwalczania poważnych transgranicznych zagrożeń zdrowia. Zgodnie z art. 2 ust. 5 decyzji Komisja w porozumieniu z państwami członkowskimi zapewnia koordynację działań i wymianę informacji między mechanizmami i strukturami ustanowionymi na mocy decyzji a podobnymi mechanizmami i strukturami ustanowionymi na szczeblu Unii lub na mocy Traktatu Euratom, których działania są istotne dla planowania gotowości i reagowania na poważne transgraniczne zagrożenia zdrowia, ich monitorowania, wczesnego ostrzegania o nich oraz zwalczania tych zagrożeń. Koordynację działań podejmowanych w kontekście poważnych transgranicznych zagrożeń zdrowia zapewnia Komitet ds. Bezpieczeństwa Zdrowia ustanowiony w art. 17 wspomnianej decyzji. Jednocześnie art. 6 ust. 1 decyzji ustanawia sieć nadzoru epidemiologicznego nad chorobami zakaźnymi, obsługiwaną i koordynowaną przez Europejskie Centrum ds. Zapobiegania i Kontroli Chorób (ECDC).

    (6)

    Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE (2) w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej wymaga, aby sieć e-zdrowie prowadziła działania na rzecz wygenerowania trwałych korzyści ekonomicznych i społecznych europejskich systemów i świadczeń e-zdrowia oraz interoperacyjnych zastosowań użytkowych, aby osiągnąć wysoki poziom zaufania i bezpieczeństwa, zwiększyć ciągłość opieki i zapewnić dostęp do bezpiecznej opieki zdrowotnej wysokiej jakości.

    (7)

    W rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 (3) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych określono warunki przetwarzania danych osobowych, w tym danych osobowych dotyczących zdrowia. Takie dane mogą być przetwarzane między innymi wówczas, gdy osoba, której dane dotyczą, wyraża na to wyraźną zgodę lub gdy przetwarzanie leży w interesie publicznym, określonym w prawodawstwie państwa członkowskiego lub prawie Unii, w szczególności w celach monitorowania i ostrzegania, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowia lub zwalczania takich chorób lub zagrożeń.

    (8)

    Kilka państw członkowskich wprowadziło szczególne przepisy, które umożliwiają im przetwarzanie danych dotyczących zdrowia ze względu na interes publiczny (art. 6 ust. 1 lit. c) lub e) oraz art. 9 ust. 2 lit. i) rozporządzenia (UE) 2016/679). W każdym przypadku cele i sposoby przetwarzania danych oraz to, jakie dane mają być przetwarzane i przez kogo, powinny być jasne i konkretne.

    (9)

    Komisja może konsultować się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, zgodnie z art. 42 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (4) i art. 70 rozporządzenia (UE) 2016/679.

    (10)

    W dyrektywie Parlamentu Europejskiego i Rady 2002/58/WE (5) określono przepisy mające zastosowanie do danych o ruchu i lokalizacji oraz do przechowywania informacji i uzyskiwania dostępu do informacji przechowywanych w urządzeniu końcowym użytkownika lub abonenta, takim jak urządzenie mobilne. Zgodnie z art. 5 ust. 3 dyrektywy takie przechowywanie lub uzyskanie dostępu jest dozwolone jedynie w ściśle określonych okolicznościach lub pod warunkiem zgody użytkownika lub abonenta, po otrzymaniu przez niego jasnych i wyczerpujących informacji zgodnie z wymogami rozporządzenia (UE) 2016/679. Ponadto art. 15 ust. 1 dyrektywy zezwala państwom członkowskim na przyjmowanie środków ustawodawczych w celu ograniczenia zakresu niektórych praw i obowiązków ustanowionych w dyrektywie, w tym określonych w art. 5, gdy takie ograniczenie stanowi środek niezbędny, właściwy i proporcjonalny w ramach społeczeństwa demokratycznego do osiągnięcia określonych celów.

    (11)

    W komunikacie „Europejska strategia w zakresie danych” (6) Komisja Europejska zapowiedziała, że UE stworzy jednolity rynek, na którym możliwy będzie przepływ danych w granicach UE i między sektorami, z korzyścią dla wszystkich obywateli, w pełni przestrzegać się będzie europejskich przepisów, w szczególności dotyczących prywatności i ochrony danych osobowych oraz prawa konkurencji, a zasady dostępu do danych i ich wykorzystywania będą uczciwe, praktyczne i zrozumiałe. W szczególności Komisja stwierdziła, że rozważy potrzebę podjęcia działań ustawodawczych w celu wspierania przekazywania danych przez przedsiębiorstwa organom administracji publicznej w celach leżących w interesie publicznym.

    (12)

    Od początku kryzysu wywołanego przez COVID-19 opracowane zostały różne aplikacje mobilne, w tym przez organy publiczne, a państwa członkowskie i sektor prywatny ponawiają apele o koordynację na szczeblu unijnym, między innymi w celu rozwiania obaw związanych z cyberbezpieczeństwem, bezpieczeństwem i prywatnością. Aplikacje te pełnią zazwyczaj trzy funkcje ogólne: (i) informowanie obywateli i doradzanie im oraz ułatwianie organizacji opieki medycznej nad osobami z objawami, często w połączeniu z kwestionariuszem pozwalającym na postawienie samodzielnej diagnozy; (ii) ostrzeganie osób znajdujących się w pobliżu osoby zakażonej w celu przerwania łańcuchów zakażeń i zapobiegania ponownemu wystąpieniu zakażeń w fazie ponownego otwarcia; oraz (iii) monitorowanie i egzekwowanie kwarantanny osób zakażonych, ewentualnie w połączeniu z funkcjami pozwalającymi na ocenę ich stanu zdrowia w okresie kwarantanny. Niektóre aplikacje są dostępne dla ogółu społeczeństwa, zaś inne są przeznaczone wyłącznie dla zamkniętych grup użytkowników i służą śledzeniu kontaktów w miejscu pracy. Zasadniczo nie dokonano oceny skuteczności tych aplikacji. Aplikacje informacyjne i służące do weryfikacji objawów mogą być przydatne w celu zwiększenia poziomu wiedzy wśród obywateli. Z opinii ekspertów wynika jednak, że aplikacje służące informowaniu i ostrzeganiu użytkowników wydają się być najbardziej obiecującym sposobem zapobiegania rozprzestrzenianiu się wirusa, biorąc również pod uwagę ich bardziej ograniczony wpływ na prywatność. Kilka państw członkowskich zastanawia się obecnie nad wykorzystaniem takich aplikacji.

    (13)

    Niektóre z tych aplikacji mobilnych można uznać za wyroby medyczne, w przypadku gdy producent przewiduje ich zastosowanie między innymi do celów diagnozy, zapobiegania, monitorowania, przewidywania, prognozowania, leczenia lub łagodzenia przebiegu choroby, a zatem byłyby one objęte zakresem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745 (7) lub dyrektywy Rady 93/42/EWG (8). W odniesieniu do aplikacji służących do samodzielnej diagnozy i weryfikacji objawów, jeżeli dostarczają one informacji dotyczących diagnozy, zapobiegania, monitorowania, przewidywania lub prognozowania, należy ocenić ich potencjalną kwalifikację jako wyroby medyczne zgodnie z ramami regulacyjnymi dotyczącymi wyrobów medycznych (dyrektywa 93/42/EWG lub rozporządzenie (UE) 2017/745).

    (14)

    Skuteczność tych aplikacji mobilnych zależy od wielu czynników. Do czynników tych należy stopień wykorzystania przez użytkowników, czyli odsetek ludności korzystającej z urządzenia mobilnego, a wśród nich odsetek osób, które pobrały aplikację i wyraziły zgodę na przetwarzanie dotyczących ich danych osobowych i nie wycofały tej zgody. Inne ważne czynniki to zaufanie obywateli, że dane będą chronione z wykorzystaniem odpowiednich zabezpieczeń i stosowane wyłącznie w celu ostrzegania osób, które mogły być narażone na kontakt z wirusem, zatwierdzenie przez organ ds. zdrowia, zdolność organów ds. zdrowia do podejmowania działań w oparciu o dane generowane przez aplikację, integracja i wymiana danych z innymi systemami i aplikacjami oraz transgraniczna i międzyregionalna interoperacyjność z innymi systemami.

    (15)

    Aplikacje służące do ostrzegania i śledzenia mogą być stosowane przez państwa członkowskie do ustalania kontaktów zakaźnych i mogą odgrywać ważną rolę w ograniczaniu rozprzestrzeniania się wirusa w fazie deeskalacji. Mogą one również stanowić cenne narzędzie ułatwiające obywatelom skuteczne i bardziej ukierunkowane ograniczanie kontaktów personalnych. Ich wpływ można zwiększyć za pomocą strategii wspierającej wykonywanie testów na szerszą skalę. Ustalanie kontaktów zakaźnych oznacza, że organy ds. zdrowia publicznego szybko identyfikują wszystkie osoby, z którymi kontaktował się pacjent, u którego potwierdzono zakażenie wirusem wywołującym COVID-19, proszą je o pozostanie w domu i szybko badają i izolują te osoby, jeżeli wystąpią u nich objawy. Ponadto zanonimizowane i zagregowane dane pochodzące z takich aplikacji, w połączeniu z informacjami na temat częstości występowania choroby, można by wykorzystać do oceny skuteczności środków społecznych i środków w zakresie ograniczania kontaktów. Aplikacje te są w oczywisty sposób przydatne dla państw członkowskich, a także mogą wnieść wartość dodaną w działania ECDC.

    (16)

    Aplikacje służące do samodzielnej diagnozy oraz weryfikacji objawów chorobowych mogą dostarczać istotnych informacji na temat liczby osób wykazujących objawy choroby COVID-19, w podziale na wiek i tydzień, pochodzących ze ściśle określonych obszarów, na których dana aplikacja jest w powszechnym użyciu. W przypadku dużej popularności tych aplikacji krajowe organy ds. zdrowia publicznego mogą zdecydować się na wykorzystanie danych pochodzących z aplikacji do celów nadzoru syndromicznego nad COVID-19 w ramach podstawowej opieki zdrowotnej. Dane te można by przekazywać ECDC co tydzień w formie zagregowanej (np. liczba zachorowań grypopodobnych lub ostrych zakażeń dróg oddechowych tygodniowo, w podziale na grupy wiekowe, w całej populacji pod opieką lekarzy wchodzących w skład zintegrowanego systemu nadzoru epidemiologicznego). Pozwoliłoby to organom krajowym i ECDC oszacować wartość predykcyjną wyniku dodatniego dla objawów z układu oddechowego w danej społeczności, dostarczając tym samym informacji na temat poziomu występowania wirusa w oparciu o dane pochodzące z aplikacji.

    (17)

    Biorąc pod uwagę opisane powyżej funkcje aplikacji na smartfony, ich stosowanie może wpływać na korzystanie z niektórych praw podstawowych, takich jak m.in. prawo do poszanowania życia prywatnego i rodzinnego. Ponieważ jakakolwiek ingerencja w te prawa powinna być zgodna z obowiązującym prawem, przepisy państw członkowskich, na mocy których ustanowiono by lub dopuszczono ograniczenia w korzystaniu z niektórych praw podstawowych, powinny być zgodne z ogólnymi zasadami zapisanymi w prawie Unii, jak określono w art. 6 Traktatu o Unii Europejskiej, z ich tradycjami konstytucyjnymi oraz ich zobowiązaniami wynikającymi z prawa międzynarodowego.

    (18)

    Aby zagwarantować akceptację dla różnego rodzaju aplikacji (oraz systemów informacji o łańcuchach zakażeń, które stanowią ich podstawę) oraz zapewnić, by spełniały one cel, jaki przyświeca nadzorowi epidemiologicznemu, odpowiednie polityki, wymogi i mechanizmy kontroli muszą zostać zharmonizowane i wdrożone w sposób skoordynowany przez właściwe krajowe organy ds. zdrowia. Z doświadczeń niektórych państw członkowskich, które zaczęły stosować aplikacje służące do ustalania kontaktów zakaźnych, wynika, iż by zwiększyć akceptację, instrumentem przydatnym w procesie przygotowania i wdrożenia środków jest system zintegrowanego zarządzania, obejmujący nie tylko organy ds. zdrowia, ale również inne organy (w tym organy ochrony danych), a także sektor prywatny, ekspertów, pracowników naukowych i zainteresowane strony, takie jak grupy pacjentów. Istotne znaczenie dla popularyzacji i sukcesu danej aplikacji będzie również miała szeroko zakrojona kampania informacyjna.

    (19)

    W celu umożliwienia wykrywania bliskich kontaktów między użytkownikami różnych aplikacji służących do ustalania kontaktów zakaźnych (scenariusz, który jest najbardziej prawdopodobny wśród osób przemieszczających się między krajami/regionami) należy zadbać o interoperacyjność między aplikacjami. Krajowe organy ds. zdrowia nadzorujące łańcuchy zakażeń powinny mieć możliwość wymiany z innymi państwami członkowskimi lub regionami interoperacyjnych informacji na temat użytkowników, u których wykryto obecność wirusa, aby móc zaradzić transgranicznym łańcuchom zakażeń.

    (20)

    Niektóre przedsiębiorstwa, w tym dostawcy usług telekomunikacyjnych i duże platformy technologiczne, opublikowały lub udostępniły organom publicznym zanonimizowane zbiorcze dane dotyczące lokalizacji. Dane te są niezbędne do prowadzenia badań w celu zwalczania wirusa, modelowania w celu zrozumienia, w jaki sposób wirus się rozprzestrzenia, i modelowania skutków gospodarczych kryzysu. W szczególności dane te pomogą zrozumieć i modelować dynamikę przestrzenną epidemii oraz ocenić wpływ, jakie środki mające na celu ograniczenie kontaktów personalnych (ograniczenia podróży, zawieszenie działalności innej niż niezbędna, pełna izolacja itp.) wywierają na mobilność. Jest to niezbędne przede wszystkim w celu ograniczenia skutków epidemii i oceny potrzeb, zwłaszcza pod kątem środków ochrony osobistej i oddziałów intensywnej opieki medycznej, a także w celu poparcia strategii wyjścia z kryzysu modelami opartymi na danych, które wskażą potencjalne skutki łagodzenia środków mających na celu ograniczenie kontaktów personalnych.

    (21)

    Obecny kryzys pokazał, że organy ds. zdrowia publicznego i instytucje badawcze skorzystałyby na szerszym dostępie do podstawowych informacji na potrzeby analizy rozprzestrzeniania się wirusa i oceny skuteczności środków z zakresu ochrony zdrowia publicznego.

    (22)

    Niektóre państwa członkowskie wprowadziły środki mające na celu ułatwienie dostępu do niezbędnych danych. Wspólnym wysiłkom UE na rzecz zwalczania epidemii stoi jednak na drodze obecne rozdrobnienie stosowanych rozwiązań.

    (23)

    Wspólne unijne podejście do kryzysu wywołanego przez COVID-19 stało się również konieczne ze względu na fakt, że środki stosowane w niektórych państwach, takie jak śledzenie osób w oparciu o dane geolokalizacyjne, wykorzystanie technologii do oceny poziomu ryzyka zdrowotnego, na jakie narażona jest dana osoba, oraz centralizacja danych wrażliwych, rodzą pytania z perspektywy szeregu podstawowych praw i wolności zagwarantowanych w unijnym porządku prawnym, w tym prawa do prywatności i prawa do ochrony danych osobowych. W każdym razie zgodnie z Kartą praw podstawowych Unii Europejskiej ograniczenia w korzystaniu z podstawowych praw i wolności w niej ustanowionych muszą być uzasadnione i proporcjonalne. Wszelkie takie ograniczenia powinny w szczególności mieć charakter tymczasowy, w tym sensie, że muszą pozostawać ściśle ograniczone do tego, co jest niezbędne do zwalczania kryzysu, i nie mogą nadal obowiązywać – bez odpowiedniego uzasadnienia – po ustaniu kryzysu.

    (24)

    Ponadto Światowa Organizacja Zdrowia i inne organy ostrzegają, że istnieje ryzyko, iż aplikacje i niedokładne dane mogą prowadzić do stygmatyzacji osób, które przejawiają pewne cechy ze względu na postrzegany związek z chorobą.

    (25)

    Zgodnie z zasadą minimalizacji danych organy ds. zdrowia publicznego i instytucje badawcze powinny przetwarzać dane osobowe jedynie w przypadku, gdy jest to odpowiednie, stosowne i ograniczone do tego, co jest konieczne, oraz stosować odpowiednie zabezpieczenia, takie jak pseudonimizacja, agregacja, szyfrowanie i decentralizacja.

    (26)

    Skuteczne środki w zakresie cyberbezpieczeństwa i bezpieczeństwa danych mają zasadnicze znaczenie dla ochrony dostępności, autentyczności, integralności i poufności danych.

    (27)

    Konsultacje z organami ochrony danych, zgodnie z wymogami określonymi w unijnych przepisach dotyczących ochrony danych osobowych, są konieczne, aby zapewnić zgodne z prawem przetwarzanie danych osobowych oraz przestrzeganie praw zainteresowanych osób.

    (28)

    Zgodnie z art. 14 dyrektywy 2011/24/UE do zadań Unii należy wspieranie i ułatwianie współpracy oraz wymiany informacji między państwami członkowskimi działającymi w ramach dobrowolnej sieci skupiającej wyznaczone przez państwa członkowskie organy krajowe odpowiedzialne za e-zdrowie („sieć e-zdrowie”). Do celów tej sieci należą działania mające zapewnić, by europejskie systemy i świadczenia z zakresu e-zdrowia oraz interoperacyjne zastosowania generowały trwałe korzyści ekonomiczne i społeczne z myślą o osiągnięciu wysokiego poziomu zaufania i bezpieczeństwa, zwiększenia ciągłości opieki i zapewnienia dostępu do bezpiecznej opieki zdrowotnej wysokiej jakości. W decyzji wykonawczej Komisji (UE) 2019/1765 (9) ustanowiono przepisy regulujące utworzenie sieci e-zdrowie, zarządzanie nią i jej przejrzyste funkcjonowanie. Sieć e-zdrowie powinna – ze względu na wchodzące w jej skład podmioty oraz jej kompetencje – być głównym forum debaty o potrzebach organów ds. zdrowia publicznego i instytucji badawczych w zakresie danych, w tym także z udziałem urzędników krajowych organów regulacyjnych ds. łączności elektronicznej, ministerstw odpowiedzialnych za kwestie związane z technologiami cyfrowymi oraz organów ochrony danych.

    (29)

    Sieć e-zdrowie i Komisja powinny również ściśle współpracować z innymi organami i sieciami, które mogą dostarczać informacji niezbędnych do realizacji niniejszego zalecenia, w tym z Komitetem ds. Bezpieczeństwa Zdrowia, siecią nadzoru epidemiologicznego nad chorobami zakaźnymi, ECDC, Europejską Radą Ochrony Danych, Organem Europejskich Regulatorów Łączności Elektronicznej i grupą współpracy ds. bezpieczeństwa sieci i informacji.

    (30)

    Przejrzystość oraz regularne przekazywanie jasnych informacji, a także uwzględnienie wkładu osób i społeczności najbardziej dotkniętych kryzysem będą miały kapitalne znaczenie dla zapewnienia zaufania publicznego podczas walki z kryzysem wywołanym przez COVID-19.

    (31)

    Mając na względzie szybki rozwój sytuacji związanej z kryzysem wywołanym przez COVID-19 w różnych państwach członkowskich, istotne jest, aby dopóki trwa kryzys, państwa członkowskie terminowo i regularnie składały sprawozdania z realizacji podejścia przedstawionego w niniejszym zaleceniu, a Komisja dokonywała w podobnym trybie przeglądu tego podejścia.

    (32)

    W razie konieczności niniejsze zalecenie powinno zostać uzupełnione dodatkowymi wytycznymi Komisji, w tym wytycznymi dotyczącymi ochrony danych i konsekwencji dla prywatności, jakie wiążą się z korzystaniem z aplikacji mających na celu ostrzeganie o bliskości osób zarażonych i zapobieganie kontaktom z takimi osobami,

    PRZYJMUJE NINIEJSZE ZALECENIE:

    CEL ZALECENIA

    1)

    W niniejszym zaleceniu ustanawia się procedurę na potrzeby opracowania wspólnego podejścia, określanego jako „zestaw instrumentów”, mającego na celu zaradzenie kryzysowi dzięki wykorzystaniu środków cyfrowych. Zestaw instrumentów będzie zawierał praktyczne środki służące skutecznemu wykorzystywaniu technologii i danych, ze szczególnym uwzględnieniem dwóch obszarów, które obejmują:

    1)

    skoordynowane na poziomie Unii ogólnoeuropejskie podejście do korzystania z aplikacji mobilnych pomagających obywatelom w skutecznym i bardziej ukierunkowanym ograniczeniu kontaktów personalnych oraz służących ostrzeganiu przed bliskimi kontaktami, zapobieganiu tym kontaktom oraz ustalaniu kontaktów zakaźnych, aby pomóc w ograniczeniu rozprzestrzeniania się epidemii COVID-19. Podejście to powinno obejmować monitorowanie metodyki i udostępnianie ocen skuteczności tych aplikacji oraz uwzględniać ich interoperacyjność oraz skutki transgraniczne, a także gwarantować poszanowanie ochrony i prywatności oraz ochronę danych przez te aplikacje; oraz

    2)

    wspólny system stosowania zanonimizowanych i zagregowanych danych dotyczących mobilności populacji w celu (i) modelowania i przewidywania rozwoju epidemii; (ii) monitorowania skuteczności procesu podejmowania przez organy państw członkowskich decyzji w sprawie środków takich jak ograniczenie kontaktów personalnych i izolacja oraz (iii) wniesienia wkładu w skoordynowaną strategię wyjścia z kryzysu wywołanego przez COVID-19.

    2)

    Państwa członkowskie powinny podjąć te działania w trybie pilnym i w ścisłej koordynacji z innymi państwami członkowskimi, Komisją i innymi właściwymi zainteresowanymi stronami, bez uszczerbku dla kompetencji państw członkowskich w dziedzinie zdrowia publicznego. Powinny one zapewnić, by wszystkie działania podejmowano zgodnie z przepisami prawa Unii, w szczególności zgodnie z przepisami dotyczącymi wyrobów medycznych, oraz w poszanowaniu prawa do prywatności i prawa do ochrony danych osobowych, a także innych praw i wolności zapisanych w Karcie praw podstawowych Unii Europejskiej. Zestaw instrumentów uzupełnią wytyczne Komisji, w tym wytyczne dotyczące ochrony danych i konsekwencji dla prywatności, jakie wiążą się z korzystaniem z aplikacji mobilnych mających na celu ostrzeganie o bliskości osób zarażonych i zapobieganie kontaktom z takimi osobami.

    DEFINICJE

    3)

    Do celów niniejszego zalecenia:

    a)

    „aplikacje mobilne” oznaczają oprogramowanie działające na urządzeniach inteligentnych, w szczególności smartfonach, zaprojektowane zazwyczaj do szeroko zakrojonej i ukierunkowanej interakcji z zasobami internetowymi, które przetwarza dane dotyczące bliskości fizycznej i inne informacje kontekstowe gromadzone za pomocą wielu czujników, w które wyposażone jest każde urządzenie inteligentne, i które jest w stanie wymieniać się informacjami za pośrednictwem wielu interfejsów sieciowych z innymi urządzeniami połączonymi z siecią;

    b)

    „sieć e-zdrowie” oznacza sieć ustanowioną na mocy art. 14 dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE, której zadania zostały sprecyzowane w decyzji wykonawczej (UE) 2019/1765;

    c)

    „Komitet ds. Bezpieczeństwa Zdrowia” oznacza organ złożony z przedstawicieli państw członkowskich ustanowiony na mocy art. 17 decyzji nr 1082/2013/UE;

    d)

    „sieć nadzoru epidemiologicznego” oznacza sieć nadzoru epidemiologicznego nad chorobami zakaźnymi i powiązanymi szczególnymi problemami zdrowotnymi, obsługiwaną i koordynowaną przez ECDC i zapewniającą stałą łączność między Komisją, ECDC oraz właściwymi organami odpowiedzialnymi na szczeblu krajowym za nadzór epidemiologiczny, ustanowioną na mocy art. 6 decyzji nr 1082/2013/UE.

    PROCEDURA DOTYCZĄCA OPRACOWANIA ZESTAWU INSTRUMENTÓW NA POTRZEBY WYKORZYSTANIA TECHNOLOGII I DANYCH

    4)

    Niniejsza procedura powinna ułatwić pilne opracowanie i przyjęcie przez państwa członkowskie i Komisję zestawu praktycznych środków, w tym europejskiego podejścia w odniesieniu do aplikacji mobilnych w zakresie COVID-19 oraz w odniesieniu do wykorzystywania danych dotyczących mobilności na potrzeby modelowania i przewidywania zmian w rozprzestrzenianiu się wirusa.

    5)

    W celu opracowania zestawu instrumentów państwa członkowskie reprezentowane w sieci e-zdrowie powinny spotkać się niezwłocznie przy udziale przedstawicieli Komisji i ECDC, a następnie spotykać się często. Powinny one wymieniać się opiniami na temat najlepszych sposobów wykorzystania danych z różnych źródeł w celu zażegnania kryzysu wywołanego przez COVID-19, przy jednoczesnym osiągnięciu wysokiego poziomu zaufania i bezpieczeństwa w sposób zgodny z prawem Unii, w szczególności z przepisami w zakresie ochrony danych osobowych i prywatności, jak również powinny dzielić się najlepszymi praktykami i ułatwiać wypracowanie wspólnych podejść w tym zakresie.

    6)

    Sieć e-zdrowie powinna się niezwłocznie spotkać w celu wprowadzenia w życie niniejszego zalecenia.

    7)

    Podczas wykonywania niniejszego zalecenia państwa członkowskie reprezentowane w sieci e-zdrowie powinny, w stosownych przypadkach, informować Komitet ds. Bezpieczeństwa Zdrowia, Organ Europejskich Regulatorów Łączności Elektronicznej, grupę współpracy ds. bezpieczeństwa sieci i informacji oraz odpowiednie agencje Komisji, w tym Agencję UE ds. Cyberbezpieczeństwa (ENISA), Europol oraz grupy robocze Rady, a także zasięgać opinii tych podmiotów.

    8)

    Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych powinni być również intensywnie zaangażowani, tak aby zagwarantować, że w ramach zestawu instrumentów przestrzegane są zasady ochrony danych i ochrony prywatności już w fazie projektowania.

    9)

    Organy państw członkowskich i Komisja powinny zapewnić regularne, jasne i obszerne informowanie społeczeństwa o działaniach podejmowanych na podstawie niniejszego zalecenia oraz zapewnić społeczeństwu możliwość interakcji i uczestnictwa w dyskusjach.

    10)

    Na każdym etapie nadrzędne znaczenie powinno mieć poszanowanie wszystkich praw podstawowych, w szczególności prawa do prywatności, jak również ochrona danych oraz zapobieganie niejawnemu nadzorowi i stygmatyzacji. W odniesieniu do tych kwestii w ramach zestawu instrumentów należy:

    1)

    ściśle ograniczyć przetwarzanie danych osobowych do celów walki z kryzysem wywołanym przez COVID-19 oraz zapewnić, by dane osobowe nie były wykorzystywane do żadnych innych celów, takich jak egzekwowanie prawa lub cele komercyjne;

    2)

    zapewnić regularny przegląd dalszej konieczności przetwarzania danych osobowych do celów walki z kryzysem wywołanym przez COVID-19 oraz ustanowić odpowiednie klauzule wygaśnięcia, tak aby zagwarantować, że przetwarzanie danych osobowych nie wykracza poza to, co jest ściśle niezbędne do tych celów;

    3)

    przedsięwziąć środki w celu zapewnienia, by w sytuacji gdy przetwarzanie danych osobowych nie jest już ściśle niezbędne, zostało ono skutecznie zakończone, a odpowiednie dane osobowe zostały nieodwracalnie zniszczone, chyba że, zgodnie z opinią rad ds. etyki oraz organów ochrony danych, ich wartość naukowa leżąca w interesie publicznym przewyższa skutki dla przedmiotowych praw, z zastrzeżeniem odpowiednich zabezpieczeń.

    11)

    Zestaw instrumentów powinien być opracowywany stopniowo w świetle dyskusji ze wszystkimi zainteresowanymi stronami i z zapewnieniem monitorowania sytuacji, najlepszych praktyk, problemów i rozwiązań dotyczących źródeł i rodzajów danych niezbędnych i dostępnych dla organów ds. zdrowia publicznego i instytucji badawczych w dziedzinie zdrowia publicznego w celu zwalczania pandemii COVID-19.

    12)

    Zestaw instrumentów powinien być udostępniany międzynarodowym partnerom Unii Europejskiej w celu wymiany najlepszych praktyk i pomocy w walce z rozprzestrzenianiem się wirusa na całym świecie.

    OGÓLNOEUROPEJSKIE PODEJŚCIE W ODNIESIENIU DO APLIKACJI MOBILNYCH ZWIĄZANYCH Z COVID-19

    13)

    Pierwszym priorytetem w ramach zestawu instrumentów powinno być ogólnoeuropejskie podejście w odniesieniu do aplikacji mobilnych związanych z COVID-19, które musi być opracowane do dnia 15 kwietnia 2020 r. wspólnie przez państwa członkowskie i Komisję. Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych zostaną włączeni w ten proces. Podejście to powinno obejmować:

    1)

    specyfikacje mające zapewnić skuteczność – z medycznego i technicznego punktu widzenia – mobilnych aplikacji służących informowaniu, ostrzeganiu i śledzeniu na potrzeby walki z epidemią COVID-19;

    2)

    środki mające na celu zapobiegnięcie mnożeniu się aplikacji, które nie są zgodne z prawem Unii, wspieranie wymogów dotyczących dostępności dla osób z niepełnosprawnościami oraz dotyczących interoperacyjności i wspierania wspólnych rozwiązań, nie wykluczając potencjalnego zastosowania ogólnoeuropejskiego;

    3)

    mechanizmy zarządzania, które mają być stosowane przez organy ds. zdrowia publicznego, oraz współpracę z ECDC;

    4)

    określenie dobrych praktyk i mechanizmów wymiany informacji na temat funkcjonowania aplikacji; oraz

    5)

    udostępnianie danych odpowiednim organom publicznym właściwym w kwestiach epidemiologicznych oraz instytucjom badawczym w dziedzinie zdrowia publicznego, w tym udostępnianie ECDC danych zagregowanych.

    14)

    Organy państw członkowskich reprezentowanych w sieci e-zdrowie powinny ustanowić procedurę wymiany informacji i zapewnienia interoperacyjności aplikacji w sytuacjach, w których przewiduje się scenariusze transgraniczne.

    ASPEKTY OCHRONY PRYWATNOŚCI I DANYCH W PRZYPADKU KORZYSTANIA Z APLIKACJI MOBILNYCH

    15)

    W trakcie opracowywania zestawu instrumentów należy kierować się zasadami ochrony prywatności i danych.

    16)

    W szczególności w odniesieniu do korzystania z mobilnych aplikacji służących ostrzeganiu i prewencji w zakresie COVID-19 należy przestrzegać następujących zasad:

    1)

    wbudowanie zabezpieczeń zapewniających poszanowanie praw podstawowych i zapobieganie stygmatyzacji, w szczególności mających zastosowanie przepisów dotyczących ochrony danych osobowych i poufności komunikacji;

    2)

    preferowanie najmniej inwazyjnych, ale skutecznych środków, w tym wykorzystywanie danych dotyczących bliskości fizycznej oraz unikanie przetwarzania danych o lokalizacji lub przemieszczaniu się poszczególnych osób, a także wykorzystywanie w miarę możliwości zanonimizowanych i zagregowanych danych;

    3)

    istnienie wymogów technicznych dotyczących odpowiednich technologii (np. Bluetooth o niskim zużyciu energii) służących ustaleniu bliskości urządzenia, szyfrowania, ochrony danych, przechowywania danych na urządzeniu przenośnym, możliwego dostępu organów ds. zdrowia oraz przechowywania danych;

    4)

    istnienie skutecznych wymogów w zakresie cyberbezpieczeństwa w celu ochrony dostępności, autentyczności, integralności i poufności danych;

    5)

    wygaśnięcie zastosowanych środków i usunięcie danych osobowych uzyskanych za pomocą tych środków najpóźniej w momencie, w którym ogłoszone zostanie opanowanie pandemii;

    6)

    wysyłanie danych dotyczących bliskości fizycznej w przypadku potwierdzonego zakażenia i stosowanie odpowiednich metod ostrzegania osób, które pozostawały w bliskim kontakcie z osobą zakażoną – która pozostaje anonimowa; oraz

    7)

    istnienie wymogów przejrzystości dotyczących ustawień prywatności w celu zapewnienia zaufania do aplikacji.

    17)

    Komisja opublikuje dalsze wytyczne doprecyzowujące zasady ochrony prywatności i danych w świetle praktycznych rozważań wynikających z opracowania i wdrożenia zestawu instrumentów.

    WYKORZYSTANIE DANYCH DOTYCZĄCYCH MOBILNOŚCI W CELU WNIESIENIA WKŁADU W OPRACOWANIE ŚRODKÓW STOSOWANYCH W WALCE Z KRYZYSEM ORAZ STRATEGII WYJŚCIA

    18)

    Drugi priorytet w ramach zestawu instrumentów powinno stanowić wspólne podejście do wykorzystywania zanonimizowanych i zagregowanych danych dotyczących mobilności niezbędnych do:

    1)

    modelowania map oraz przewidywania rozprzestrzeniania się choroby i jej wpływu na potrzeby systemów opieki zdrowotnej w państwach członkowskich, np. w odniesieniu do oddziałów intensywnej opieki medycznej w szpitalach oraz środków ochrony osobistej; oraz

    2)

    optymalizacji skuteczności środków mających na celu ograniczenie rozprzestrzeniania się wirusa wywołującego COVID-19 oraz walkę z tą chorobą, w tym izolacji (i zakończenia izolacji), a także środków służących pozyskaniu i wykorzystaniu tych danych.

    19)

    Opracowując to podejście, państwa członkowskie (reprezentowane w sieci e-zdrowie, która będzie koordynować działania z Komitetem ds. Bezpieczeństwa Zdrowia, siecią nadzoru epidemiologicznego i ECDC, oraz, w razie potrzeby, z ENISA) powinny wymieniać się najlepszymi praktykami w zakresie wykorzystywania danych dotyczących mobilności, dzielić się modelami i prognozami rozprzestrzeniania się wirusa oraz porównywać te modele i prognozy, a także monitorować wpływ środków na ograniczenie rozprzestrzeniania się wirusa.

    20)

    Cel ten powinien obejmować:

    1)

    właściwe wykorzystanie zanonimizowanych i zagregowanych danych dotyczących mobilności na potrzeby modelowania służącego zrozumieniu sposobów rozprzestrzeniania się wirusa oraz modelowania skutków gospodarczych kryzysu;

    2)

    doradzanie organom publicznym w kwestii zwracania się do dostawców danych o informacje na temat metodyki stosowanej przez nich w celu anonimizacji danych oraz przeprowadzenie testu wiarygodności zastosowanej metodyki;

    3)

    zabezpieczenia, które należy wprowadzić w celu zapobiegnięcia deanonimizacji danych i uniknięcia przywrócenia możliwości identyfikacji poszczególnych osób, w tym gwarancje odpowiednich poziomów bezpieczeństwa danych oraz technologii informacyjnych, a także ocena ryzyka deanonimizacji w przypadku korelowania danych zanonimizowanych z innymi danymi;

    4)

    bezzwłoczne i nieodwracalne usuwanie wszystkich przypadkowo przetworzonych danych umożliwiających identyfikację poszczególnych osób oraz powiadamianie dostawców danych i właściwych organów o takim przypadkowym przetworzeniu i usunięciu danych;

    5)

    usuwanie danych zasadniczo po upływie 90 dni lub w każdym razie najpóźniej w momencie, w którym ogłoszone zostanie opanowanie pandemii; oraz

    6)

    ograniczenie przetwarzania danych wyłącznie do celów określonych powyżej oraz wykluczenie udostępniania danych stronom trzecim.

    SPRAWOZDAWCZOŚĆ I PRZEGLĄD

    21)

    Ogólnoeuropejskie podejście dotyczące aplikacji mobilnych związanych z COVID-19 zostanie opublikowane w dniu 15 kwietnia i zostanie uzupełnione wytycznymi Komisji dotyczącymi ochrony prywatności i danych.

    22)

    Do dnia 31 maja 2020 r. państwa członkowskie powinny przedłożyć Komisji sprawozdania na temat działań podjętych zgodnie z niniejszym zaleceniem. Sprawozdania takie powinny być następnie w dalszym ciągu regularnie przedkładane do czasu ustania kryzysu wywołanego przez COVID-19.

    23)

    Począwszy od dnia 8 kwietnia 2020 r. państwa członkowskie powinny udostępniać informacje na temat środków zastosowanych przez nie w obszarach objętych niniejszym zaleceniem pozostałym państwom członkowskim i Komisji do celów wzajemnej oceny. Państwa członkowskie i Komisja mogą w ciągu siedmiu dni przedstawić uwagi na temat tych środków. Dane państwo członkowskie powinno w jak największym stopniu uwzględnić te uwagi.

    24)

    Na podstawie sprawozdań przedłożonych przez państwa członkowskie Komisja, począwszy od czerwca 2020 r., oceni osiągnięte postępy oraz wpływ niniejszego zalecenia. Komisja może wydać dalsze zalecenia dla państw członkowskich, w tym na temat harmonogramu środków stosowanych w obszarach objętych niniejszym zaleceniem.

    Sporządzono w Brukseli dnia 8 kwietnia 2020 r.

    W imieniu Komisji

    Thierry BRETON

    Członek Komisji


    (1)  Decyzja Parlamentu Europejskiego i Rady nr 1082/2013/UE z dnia 22 października 2013 r. w sprawie poważnych transgranicznych zagrożeń dla zdrowia i uchylająca decyzję nr 2119/98/WE (Dz.U. L 293 z 5.11.2013, s. 1).

    (2)  Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).

    (3)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

    (4)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

    (5)  Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

    (6)  Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Europejska strategia w zakresie danych”, COM(2020) 66 final.

    (7)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych, zmiany dyrektywy 2001/83/WE, rozporządzenia (WE) nr 178/2002 i rozporządzenia (WE) nr 1223/2009 oraz uchylenia dyrektyw Rady 90/385/EWG i 93/42/EWG (Dz.U. L 117 z 5.5.2017, s. 1).

    (8)  Dyrektywa Rady 93/42/EWG z dnia 14 czerwca 1993 r. dotycząca wyrobów medycznych (Dz.U. L 169 z 12.7.1993, s. 1).

    (9)  Decyzja wykonawcza Komisji (UE) 2019/1765 z dnia 22 października 2019 r. ustanawiająca zasady utworzenia sieci organów krajowych odpowiedzialnych za e-zdrowie, zarządzania tą siecią i jej funkcjonowania oraz uchylająca decyzję wykonawczą 2011/890/UE (Dz.U. L 270 z 24.10.2019, s. 83).


    Top