|
17.4.2020 |
SL |
Uradni list Evropske unije |
CI 124/1 |
SPOROCILO KOMISIJE
Usmeritve v zvezi z varstvom podatkov za aplikacije, ki podpirajo boj proti pandemiji COVID-19
(2020/C 124 I/01)
1 OZADJE
Pandemija COVID-19 pomeni do zdaj največji izziv za Unijo in države članice, njihove zdravstvene sisteme, način življenja, gospodarsko stabilnost in vrednote. Digitalne tehnologije in podatki imajo pomembno vlogo v boju proti krizi zaradi COVID-19. Mobilne aplikacije, ki so običajno nameščene na pametnih telefonih, lahko podpirajo zdravstvene organe na nacionalni ravni in ravni EU pri spremljanju in zajezitvi pandemije COVID-19 ter so še zlasti pomembne v fazi odpravljanja zajezitvenih ukrepov. Državljanom lahko zagotovijo neposredna navodila in podprejo prizadevanja za sledenje stikov. V številnih državah, tako v EU kot v svetu, so nacionalni ali regionalni organi ali pa razvijalci najavili uvedbo aplikacij z različnimi funkcijami, katerih namen je pomagati pri boju proti virusu.
Komisija je 8. aprila 2020 sprejela priporočilo o skupnem naboru orodij za uporabo tehnologije in podatkov za boj proti krizi zaradi COVID-19 in izhod iz nje, zlasti v zvezi z mobilnimi aplikacijami in uporabo anonimiziranih podatkov o mobilnosti (v nadaljnjem besedilu: priporočilo) (1). Namen priporočila je med drugim razviti na ravni EU koordiniran skupen evropski pristop („nabor orodij“) za uporabo mobilnih aplikacij za krepitev vloge državljanov pri učinkovitih ukrepih omejevanja socialnih stikov ter opozarjanje, preprečevanje in sledenje stikov, da bi prispevali k omejevanju razširjanja bolezni COVID-19. V priporočilu so opisana splošna načela, na katerih bi moral temeljiti razvoj takega nabora orodij, in navedeno je, da bo Komisija objavila nadaljnje usmeritve, tudi glede vpliva tovrstne uporabe aplikacij na varstvo osebnih podatkov in zasebnost.
Komisija je v sodelovanju s predsednikom Evropskega sveta v skupnem evropskem načrtu za odpravo zajezitvenih ukrepov zaradi COVID-19 določila več načel za usmerjanje postopne odprave zajezitvenih ukrepov, sprejetih zaradi izbruha COVID-19. Mobilne aplikacije, vključno s funkcijami sledenja stikov, imajo lahko pri tem pomembno vlogo. Odvisno od značilnosti aplikacij in razširjenosti njihove uporabe med prebivalstvom lahko te pomembno prispevajo k diagnosticiranju in zdravljenju bolezni ter obvladovanju pandemije COVID-19 v bolnišnicah in zunaj njih. Še zlasti so pomembne po odpravi zajezitvenih ukrepov, ko tveganje za okužbo raste, ker je vedno več ljudi v stiku drug z drugim. Te aplikacije lahko pomagajo prekiniti verige okužb hitreje in učinkoviteje od splošnih zajezitvenih ukrepov ter lahko zmanjšajo tveganje za znatno širjenje virusa. Zato bi morale biti pomemben element izhodne strategije, ki dopolnjuje druge ukrepe, kot so večje zmogljivosti testiranja (2). Pomemben predpogoj za razvoj teh aplikacij, njihovo sprejetje in uporabo med ljudmi je zaupanje. Ljudje morajo biti prepričani, da je zagotovljeno spoštovanje temeljnih pravic, da se aplikacije uporabljajo samo za konkretno določene namene, da se ne bodo uporabljale za množični nadzor in da bodo posamezniki ohranili nadzor nad svojimi podatki. To je podlaga za natančnost in učinkovitost teh aplikacij pri zajezitvi širjenja virusa. Zato je bistveno poiskati rešitve, ki pomenijo najmanjše poseganje in so v celoti skladne z zahtevami glede varstva osebnih podatkov ter zasebnosti, kot so določene v zakonodaji EU. Poleg tega bi morale biti aplikacije deaktivirane najpozneje takrat, ko se razglasi, da je pandemija pod nadzorom. Aplikacije bi morale vključevati tudi najnovejšo tehnologijo za zaščito podatkov.
V teh usmeritvah so upoštevani prispevek Evropskega odbora za varstvo podatkov (3) (EDPB) in razprave v okviru mreže e-zdravje. EDPB namerava v prihodnjih dneh objaviti smernice o geolokacijskih in drugih orodjih za sledenje v okviru obvladovanja pandemije COVID-19.
Področje uporabe usmeritev
Da bi se omogočil usklajen pristop po vsej EU in zagotovile usmeritve za države članice ter razvijalce aplikacij, ta dokument določa značilnosti in zahteve, ki jih morajo izpolnjevati aplikacije, da bo zagotovljena skladnost z zakonodajo EU o varstvu zasebnosti in osebnih podatkov, zlasti s splošno uredbo o varstvu podatkov (4) (SUVP) ter direktivo o zasebnosti in elektronskih komunikacijah (5). Te usmeritve ne obravnavajo nobenih drugih pogojev, niti omejitev, ki so jih države članice morda vključile v svoje nacionalne zakone glede obdelave podatkov v zvezi z zdravjem.
Usmeritve niso pravno zavezujoče. Ne posegajo v vlogo Sodišča EU kot edine institucije, ki lahko verodostojno razlaga pravo EU.
Te usmeritve obravnavajo le prostovoljne aplikacije za pomoč pri boju proti pandemiji COVID-19 (aplikacije, ki jih posamezniki prenesejo, namestijo in uporabljajo prostovoljno) z eno ali več od naslednjih funkcij:
|
— |
zagotavljanje točnih informacij posameznikom o pandemiji COVID-19; |
|
— |
zagotavljanje vprašalnikov za samoocenitev in napotkov za posameznike (funkcija preverjanja simptomov) (6); |
|
— |
opozarjanje oseb, ki so bile določen čas v bližini okužene osebe, da se jim zagotovijo informacije, na primer o tem, ali naj se samoosamijo in kje se lahko testirajo (funkciji sledenja stikov in opozarjanja); |
|
— |
zagotavljanje foruma za komunikacijo med pacienti in zdravniki v primeru samoosamitve ali kadar se zagotavljata nadaljnja diagnoza in svetovanje glede zdravljenja (večja uporaba medicine na daljavo). |
V skladu z direktivo o zasebnosti in elektronskih komunikacijah je nalaganje uporabe aplikacije, ki vključuje pravice glede zaupnosti komunikacij iz člena 5, mogoče le z zakonom, ki je nujen, primeren in sorazmeren za zaščito nekaterih konkretnih ciljev. Glede na visoko raven poseganja, ki ga pomeni tak pristop, in s tem povezane izzive, tudi v smislu vzpostavitve ustreznih varovalnih mehanizmov, je po mnenju Komisije potrebna natančna analiza, preden se lahko uporabi ta možnost. Komisija zato priporoča uporabo prostovoljnih aplikacij.
Te usmeritve ne zajemajo aplikacij, ki so namenjene uveljavljanju zahtev po karanteni (vključno z obveznimi).
2 PRISPEVEK APLIKACIJ K BOJU PROTI COVID-19
Funkcija preverjanja simptomov je orodje, ki ga lahko javnozdravstveni organi uporabljajo za usmerjanje državljanov pri testiranju za COVID-19 in zagotavljanju informacij o samoosamitvi, o tem, kako se izogniti prenašanju bolezni na druge ter kdaj poiskati medicinsko pomoč. Prav tako lahko dopolnjuje nadzor v okviru primarnega zdravstvenega varstva in pomaga pri ugotavljanju stopenj prenosa COVID-19 pri prebivalstvu.
Funkciji sledenja stikov in opozarjanja sta orodji za identificiranje tistih, ki so bili v stiku z osebo, okuženo s COVID-19, in njihovo informiranje o ustreznih naslednjih korakih, kot sta samoosamitev ali testiranje, ali svetovanje o tem, kaj storiti v primeru simptomov. Ti funkciji sta zato koristni tako za posameznike kot za javnozdravstvene organe. Imata lahko tudi pomembno vlogo tudi pri upravljanju zajezitvenih ukrepov v scenarijih sproščanja omejitev. Njun učinek je mogoče izboljšati s strategijo, ki bi podpirala širše testiranje oseb z blažjimi simptomi.
Obe funkciji sta lahko tudi pomemben vir podatkov za javnozdravstvene organe in olajšata prenos teh podatkov nacionalnim epidemiološkim organom in Evropskemu centru za preprečevanje in obvladovanje bolezni (ECDC). To bi pomagalo razumeti vzorce prenašanja in v kombinaciji z rezultati testiranja oceniti pozitivno napovedno vrednost respiratornih simptomov v določeni skupnosti ter zagotoviti informacije o stopnji kroženja virusa.
Stopnja zanesljivosti ocen je neposredno povezana s številom in zanesljivostjo prenesenih podatkov.
Zato lahko v kombinaciji s primernimi strategijami testiranja funkciji preverjanja simptomov in sledenja stikov zagotavljata informacije o stopnji kroženja virusa ter pomagata oceniti učinka ukrepov fizičnega omejevanja stikov in omejevanja izhoda. Kot je navedeno v priporočilu, bi bilo treba zagotoviti interoperabilnost informacijskih rešitev različnih držav članic, da bi se omogočila čezmejno sodelovanje in zaznavanje stikov med uporabniki različnih aplikacij (kar je zlasti pomembno pri čezmejnem gibanju državljanov). V primeru stika med okuženo osebo in uporabnikom aplikacije iz druge države članice bi moral biti mogoč čezmejni prenos osebnih podatkov (izključno v potrebnem obsegu) tega uporabnika zdravstvenim organom njegove države članice. Delo v zvezi s tem bo potekalo v okviru priprave nabora orodij, napovedanega v priporočilu. Interoperabilnost je treba zagotoviti tako s tehničnimi zahtevami kot z izboljšanjem komunikacije in sodelovanja med nacionalnimi zdravstvenimi organi. Za upravljanje aplikacij za sledenje stikov med pandemijo COVID-19 bi se lahko uporabljal tudi model posebnega sodelovanja (7).
3 ELEMENTI ZA ZAUPANJA VREDNO IN ODGOVORNO UPORABO APLIKACIJ
Funkcije, vključene v aplikacije, lahko različno vplivajo na številne pravice iz Listine EU o temeljnih pravicah, kot so človekovo dostojanstvo, spoštovanje zasebnega in družinskega življenja, varstvo osebnih podatkov, svoboda gibanja, nediskriminacija, svoboda gospodarske pobude ter svoboda zbiranja in združevanja. Med temi je lahko poseganje v zasebnost in pravico do varstva osebnih podatkov še posebej pomembno, saj nekatere funkcije temeljijo na podatkovno intenzivnih modelih.
V nadaljevanju predstavljeni elementi vsebujejo usmeritve o tem, kako omejiti, v kakšni meri funkcije aplikacij posegajo v pravice, da se zagotovi skladnost z zakonodajo EU o varstvu osebnih podatkov in zasebnosti.
3.1 Nacionalni zdravstveni organi (ali subjekti, ki opravljajo naloge v javnem interesu na področju zdravja) kot upravljavci podatkov
Izbira, kdo bo odločal o sredstvih in namenih obdelave podatkov (upravljavec podatkov), je bistvenega pomena za določanje, kdo je odgovoren za skladnost s pravili EU o varstvu osebnih podatkov, zlasti: kdo bi moral posameznikom, ki prenesejo aplikacijo, zagotoviti informacije o tem, kaj se bo zgodilo z njihovimi osebnimi podatki (ki že obstajajo ali ki bodo generirani z napravo, kot je pametni telefon, na katero bo aplikacija nameščena), kakšne bodo njihove pravice, kdo bo odgovoren v primeru kršitve varstva podatkov itd.
Glede na občutljivost zadevnih osebnih podatkov in namen obdelave podatkov, opisan spodaj, Komisija meni, da bi morale biti aplikacije zasnovane tako, da so upravljavci nacionalni zdravstveni organi (ali subjekti, ki opravljajo naloge v javnem interesu na področju zdravja) (8). Upravljavci podatkov so odgovorni za skladnost s SUVP (načelo odgovornosti). Obseg takega dostopa bi moral biti omejen na podlagi načel, opisanih v oddelku 3.5 spodaj.
To bo tudi prispevalo k večjemu zaupanju javnosti in s tem sprejemanju aplikacij (in temeljnih sistemov za obveščanje o verigah prenosa okužbe) ter zagotovilo, da bodo aplikacije izpolnile zastavljeni cilj varovanja javnega zdravja. Pristojni nacionalni zdravstveni organi bi morali uskladiti in usklajeno izvajati osnovne politike, zahteve in nadzor.
3.2 Zagotovitev, da posameznik ohrani nadzor
Odločilen dejavnik za zaupanje aplikacijam je, da lahko posamezniki ohranijo nadzor nad svojimi osebnimi podatki. Da bi se to zagotovilo, Komisija meni, da bi morali biti izpolnjeni zlasti naslednji pogoji:
|
— |
namestitev aplikacije na naprave uporabnikov bi morala biti prostovoljna in brez negativnih posledic za posameznike, ki se bodo odločili, da aplikacije ne bodo prenesli oziroma uporabljali; |
|
— |
različne funkcije aplikacije (npr. funkcije obveščanja, preverjanja simptomov, sledenja stikov in opozarjanja) ne bi smele biti združene, tako da lahko posameznik da privolitev za vsako funkcijo posebej. To uporabniku ne bi smelo preprečevati, da kombinira različne funkcije aplikacije, če ponudnik omogoča to možnost; |
|
— |
če se uporabljajo podatki o bližini (podatki, generirani z izmenjavo signalov nizkoenergijskega Bluetootha (BLE) med napravami znotraj epidemiološko pomembne razdalje in v epidemiološko relevantnem času), bi se morali shranjevati na napravi posameznika. Če se ti podatki delijo z zdravstvenimi organi, bi se morali deliti šele po potrditvi, da je zadevna oseba okužena s COVID-19, in samo pod pogojem, da se oseba tako odloči; |
|
— |
zdravstveni organi bi morali posameznikom zagotoviti vse potrebne informacije o obdelavi njihovih osebnih podatkov (v skladu s členoma 12 in 13 SUVP ter členom 5 direktive o zasebnosti in elektronskih komunikacijah); |
|
— |
posameznik bi moral imeti možnost, da uveljavlja svoje pravice na podlagi SUVP (zlasti pravico do dostopa, popravka in izbrisa). Vse omejitve pravic na podlagi SUVP in direktive o zasebnosti in elektronskih komunikacijah bi morale biti v skladu s tema aktoma potrebne, sorazmerne in določene v zakonodaji; |
|
— |
aplikacije bi morale biti deaktivirane najpozneje takrat, ko se razglasi, da je pandemija pod nadzorom; deaktivacija ne bi smela biti odvisna od tega, ali je uporabnik aplikacijo odstranil. |
3.3 Pravna podlaga za obdelavo:
Namestitev aplikacij in shranjevanje podatkov na napravi uporabnika
Kot je navedeno zgoraj, je v skladu z direktivo o zasebnosti in elektronskih komunikacijah (člen 5) shranjevanje podatkov na napravi uporabnika ali pridobivanje dostopa do že shranjenih podatkov dovoljeno samo, če (i) je uporabnik v to privolil ali (ii) če sta shranjevanje in/ali dostop nujno potrebna za storitev informacijske družbe (npr. aplikacijo), ki jo je uporabnik izrecno zahteval (tj. namestil in aktiviral).
Shranjevanje podatkov na napravi posameznika in pridobivanje dostopa do podatkov, ki so že shranjeni na tej napravi, je običajno potrebno za to, da aplikacije delujejo. Poleg tega funkcija sledenja stikov in opozarjanja zahteva nekatere druge podatke (na primer časovno omejene in redno spreminjajoče se identifikacijske psevdonime uporabnikov te funkcije v bližini), ki jih je treba shraniti na napravo uporabnika. Ta funkcija lahko prav tako zahteva, da uporabnik (ki je okužen ali verjetno okužen) naloži podatke o bližini. Taka naložitev podatkov ni potrebna za delovanje same aplikacije, zato zahteva iz možnosti (ii) iz prejšnjega odstavka ni izpolnjena. Kot najprimernejša podlaga za ustrezne dejavnosti tako ostane privolitev (možnost (i) zgoraj). Ta privolitev bi morala biti „prostovoljna“, „specifična“, „izrecna“, in „informirana“ v smislu SUVP ter bi morala biti izražena z jasnim pritrdilnim dejanjem posameznika, kar izključuje tihe oblike privolitve (npr. molk ali nedejavnost (9)).
Pravna podlaga za obdelavo s strani nacionalnih zdravstvenih organov – zakonodaja Unije ali zakonodaja države članice
Nacionalni zdravstveni organi osebne podatke običajno obdelujejo takrat, kadar je v zakonodaji EU ali zakonodaji države članice določena obveznost take obdelave in so izpolnjeni pogoji iz člena 6(1)(c) ter člena 9(2)(i) SUVP ali kadar je taka obdelava potrebna za opravljanje naloge v podporo javnemu interesu, ki jo priznava zakonodaja EU ali zakonodaja države članice (10).
V vsaki nacionalni zakonodaji morajo biti določeni posebni in ustrezni ukrepi za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki. Na splošno velja, da čim večji je vpliv na svoboščine posameznikov, tem strožji zaščitni ukrepi bi morali biti določeni v ustrezni zakonodaji.
Zakoni EU in zakoni držav članic, ki so obstajali že pred izbruhom COVID-19, in tisti, ki jih države članice sprejemajo posebej zaradi boja proti širjenju epidemije, se načeloma lahko uporabijo kot pravna podlaga za obdelavo podatkov posameznikov, če določajo ukrepe, ki omogočajo spremljanje epidemije, in če izpolnjujejo nadaljnje zahteve, določene v členu 6(3) SUVP.
Glede na naravo zadevnih osebnih podatkov (zlasti zdravstvenih podatkov kot posebne vrste osebnih podatkov) in okoliščine trenutne pandemije COVID-19 bi opiranje na zakon kot pravno podlago prispevalo k pravni varnosti, saj bi se (i) natančno predpisala obdelava posebnih zdravstvenih podatkov in jasno opredelili nameni obdelave; (ii) jasno navedlo, kdo je upravljavec, tj. subjekt, ki podatke obdeluje, in kdo ima lahko poleg upravljavca dostop do takih podatkov; (iii) izključila možnost obdelave takih podatkov za drugačne namene od tistih, ki so našteti v zakonodaji, ter (iv) določili posebni zaščitni ukrepi. Da ne bi bila ogrožena uporabnost aplikacij za javnost in njihovo sprejemanje, bi moral nacionalni zakonodajalec posebno pozornost nameniti temu, da je izbrana rešitev čim bolj vključujoča za državljane.
Obdelava podatkov s strani zdravstvenih organov na podlagi zakonodaje ne spremeni dejstva, da se lahko posamezniki še vedno sami odločijo, ali bodo namestili aplikacijo in svoje podatke delili z zdravstvenimi organi ali ne. Zato ne glede na to, kdaj uporabniki aplikacijo odstranijo z naprave, taka odstranitev za njih ne bi smela imeti nobenih negativnih posledic.
Aplikacije za sledenje stikov in opozarjanje omogočajo opozarjanje posameznikov. Komisija opozarja, da kadar opozarjanje neposredno omogoča aplikacija, velja prepoved, da bi za posameznike veljala odločitev, ki temelji zgolj na avtomatizirani obdelavi in ima pravni učinek v zvezi z njimi ali na podoben način na njih znatno vpliva (člen 22 SUVP).
3.4 Najmanjši obseg podatkov
Podatki, ki se ustvarijo z napravami in ki so že shranjeni na teh napravah, so zaščiteni na naslednje načine:
|
— |
Kot „osebni podatki“, tj. informacije v zvezi z določenim ali določljivim posameznikom (člen 4(1) SUVP), so zaščiteni na podlagi SUVP. Zdravstveni podatki so dodatno zaščiteni (člen 9 SUVP). |
|
— |
Kot „podatki o lokaciji“, tj. podatki, obdelani v elektronskem komunikacijskem omrežju ali v okviru elektronske komunikacijske storitve, ki razkrivajo zemljepisni položaj terminalske opreme uporabnika, so zaščiteni na podlagi direktive o zasebnosti in elektronskih komunikacijah (člen 5(1) ter člena 6 in 9) (11). |
|
— |
Vsi podatki, shranjeni v terminalski opremi uporabnika, so zaščiteni na podlagi člena 5(3) direktive o zasebnosti in elektronskih komunikacijah. |
Neosebni podatki (kot so nepovratno anonimizirani podatki) niso zaščiteni na podlagi SUVP.
Komisija opozarja, da načelo najmanjšega obsega podatkov zahteva, da se obdelujejo le osebni podatki, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za določen namen (12). Oceno potrebnosti obdelave osebnih podatkov in ustreznosti takih osebnih podatkov bi bilo treba opraviti z vidika namena.
Komisija opozarja, da če je namen funkcije na primer preverjanje simptomov ali medicina na daljavo, za tak namen ni potreben dostop do seznama stikov osebe, ki ima v lasti napravo.
Generiranje in obdelava manjše količine podatkov zmanjšuje varnostna tveganja. Zato skladnost z ukrepi glede najmanjšega obsega podatkov prav tako zagotavlja varovala.
— Funkcija obveščanja:
Aplikaciji s samo to funkcijo ne bo treba obdelovati nobenih zdravstvenih podatkov posameznikov, temveč jim bo zgolj zagotavljala informacije. Da se doseže ta cilj, se ne smejo obdelovati nobeni podatki, ki so shranjeni v terminalski opremi in do katerih se z njo dostopa, razen tistih, ki so potrebni za zagotavljanje informacij.
— Funkciji preverjanja simptomov in medicine na daljavo:
Če aplikacija vsebuje eno od teh funkcij ali obe, bo obdelovala osebne zdravstvene podatke. Zato bi bilo treba v temeljni zakonodaji, ki se bo uporabljala za zdravstvene organe, določiti seznam podatkov, ki se lahko obdelujejo.
Poleg tega bodo zdravstveni organi morda potrebovali telefonske številke oseb, ki so uporabile funkcijo preverjanja simptomov in naložile rezultate. Podatki, ki so shranjeni v terminalski opremi in do katerih se z njo dostopa, se lahko obdelujejo samo, če je to potrebno za delovanje aplikacije in za izpolnitev njenega namena.
— Funkciji sledenja stikov in opozarjanja:
Do večine okužb s COVID-19 pride prek kapljic, ki prepotujejo le krajšo razdaljo. Čim hitrejša identifikacija oseb, ki so bile v bližini okužene osebe, je ključni dejavnik za prekinitev verige okužb. Ugotavljanje bližine je odvisna od razdalje in trajanja stika ter bi jo bilo treba določiti z epidemiološkega vidika. Prekinitev verige okužb je zlasti pomembna, da se prepreči ponoven izbruh okužb v fazi izhoda iz krize.
V ta namen bi lahko bili potrebni podatki o bližini. Za merjenje bližine in tesnih stikov se zdi komunikacija med napravami z nizkoenergijskim Bluetoothom (BLE) natančnejša od uporabe geolokacijskih podatkov (podatki GNSS/GPS ali mobilni podatki o lokaciji) in zato primernejša. BLE preprečuje možnost sledenja (v nasprotju z geolokacijskimi podatki). Komisija zato za ugotavljanje bližine priporoča uporabo podatkov o komunikacijah BLE (ali podatkov, generiranih z enakovredno tehnologijo).
Podatki o lokaciji niso potrebni za namen funkcij sledenja stikov, saj njihov cilj ni spremljanje gibanja posameznikov ali izvrševanje predpisov. Poleg tega bi bilo obdelavo podatkov o lokaciji v okviru sledenja stikov težko utemeljiti glede na načelo najmanjšega obsega podatkov, prav tako pa bi lahko sprožila pomisleke v zvezi z varnostjo in zasebnostjo. Zato Komisija pri tem vidiku odsvetuje uporabo podatkov o lokaciji.
Ne glede na tehnična sredstva, ki se uporabljajo za ugotavljanje bližine, se ne zdi, da bi bilo treba shraniti oken čas stika ali kraj stika (če je na voljo). Morda pa bi bilo koristno shraniti dan stika, da bi se lahko opredelilo, ali je do stika prišlo, ko so se pri osebi pojavili simptomi (ali 48 ur prej (13)), in da bi lahko oseba ustrezno prejela sporočilo z nasveti, na primer o tem, kako dolgo naj ostane v samoosamitvi.
Podatke o bližini bi bilo treba generirati in obdelati samo, če obstaja dejansko tveganje za okužbo (odvisno od bližine in trajanja stika).
Opozoriti je treba, da bosta potreba po zbiranju podatkov in sorazmernost zbiranja podatkov tako odvisna od dejavnikov, kot je dostopnost objektov za testiranje, zlasti kadar so že bili sprejeti ukrepi, kot je omejitev izhoda. Opozarjanje oseb, ki so bile v tesnem stiku z okuženo osebo, se lahko izvaja na dva načina:
Pri prvem pristopu aplikacija samodejno dostavi opozorilo osebam, s katerimi je bil uporabnik v tesnem stiku, ko ta v aplikaciji navede – z odobritvijo ali potrditvijo zdravstvenega organa, na primer s kodo QR ali TAN –, da je bil rezultat njegovega testiranja pozitiven (decentralizirana obdelava osebnih podatkov). Vsebino opozorila bi moral po možnosti določiti zdravstveni organ. Pri drugem pristopu se naključni začasni identifikatorji shranijo na zaledni strežnik zdravstvenega organa (rešitev z zalednim strežnikom). Uporabnikov prek the podatkov ni mogoče neposredno identificirati. Prek identifikatorjev uporabniki, ki so bili v tesnem stiku z uporabnikom, pri katerem je bil rezultat testiranja pozitiven, prejmejo opozorilo na svojo napravo. Če želijo zdravstveni organi uporabnike, ki so bili v tesnem stiku z okuženo osebo, kontaktirati tudi po telefonu ali prek SMS, morajo pridobiti privolitev uporabnikov za predložitev telefonskih številk.
3.5 Omejevanje razkritja podatkov / dostopa do podatkov
— Funkcija obveščanja:
Podatki, ki se shranijo v terminalski opremi ali do katerih se lahko z njo dostopa, se lahko z zdravstvenimi organi delijo samo v meri, ki je potrebna za funkcijo obveščanja. Ker je ta funkcija zgolj sredstvo komunikacije, zdravstveni organi ne bodo imeli dostopa do drugih podatkov.
— Funkciji preverjanja simptomov in medicine na daljavo:
Funkcija preverjanja simptomov lahko državam članicam koristi pri dajanju navodil državljanom glede tega, ali bi morali biti testirani, ter zagotavljanju informacij o osamitvi in tem, kdaj in kako naj dostopajo do zdravstvenega varstva, zlasti za ogrožene skupine. Prav tako lahko dopolnjuje nadzor v okviru primarnega zdravstvenega varstva in pomaga pri ugotavljanju stopenj okužb s COVID-19 pri prebivalstvu. Na podlagi tega se lahko sprejme odločitev, da dobijo odgovorni zdravstveni organi in nacionalni epidemiološki organi dostop do informacij, ki jih predloži pacient. ECDC bi lahko za epidemiološko spremljanje prejemal zbirne podatke nacionalnih organov.
Če se z ustrezno izbiro dovoli stik z zdravstvenimi uradniki in ne le stik prek same aplikacije, je poleg tega potrebno razkritje telefonskih številk uporabnikov aplikacij nacionalnim zdravstvenim organom.
— Funkciji sledenja stikov in opozarjanja:
|
— |
Podatki o okuženi osebi |
Aplikacije generirajo psevdonaključne, časovno omejene in redno spreminjajoče se identifikatorje telefonov, ki so v stiku z uporabnikom. Prva možnost je, da se identifikatorji shranijo v napravi uporabnika (tako imenovana decentralizirana obdelava). Druga možnost je, da se ti naključni identifikatorji shranijo na strežniku, do katerega imajo dostop zdravstveni organi (tako imenovana rešitev z zalednim strežnikom). Decentralizirana rešitev je bolj v skladu z načelom najmanjšega obsega podatkov. Zdravstveni organi bi morali imeti dostop le do podatkov o bližini iz naprave okužene osebe, da bi lahko stopili v stik z osebami, ki bi se lahko okužile.
Ti podatki bodo zdravstvenim organom na voljo šele po tem, ko bo okužena oseba (po testiranju) te podatke proaktivno delila z njimi.
Okužena oseba ne bi smela biti obveščena o identiteti oseb, s katerimi je bila v potencialno epidemiološko relevantnem stiku in ki bodo opozorjene o tem.
|
— |
Podatki o osebah, ki so bile v (epidemiološkem) stiku z okuženo osebo |
Identiteta okužene osebe se ne bi smela razkriti osebam, s katerimi je bila v epidemiološkem stiku. Dovolj je, da so obveščene, da so bile v zadnjih 16 dneh v epidemiološkem stiku z okuženo osebo. Kot je navedeno zgoraj, se podatki o času in kraju takih stikov ne bi smeli shranjevati. Zato teh podatkov ni potrebno niti mogoče sporočati.
Za sledenje epidemiološkim stikom uporabnika aplikacije, za katerega se ugotovi, da je okužen, bi morali biti nacionalni zdravstveni organi obveščeni le o identifikatorju osebe, s katero je bila okužena oseba v epidemiološkem stiku med 48 urami pred pojavom simptomov in 14 dnevi po njihovem pojavu, na podlagi bližine in trajanja stika.
Za epidemiološko spremljanje indikatorjev bi lahko ECDC od nacionalnih organov prejel zbirne podatke o sledenju stikom, določene v sodelovanju z državami članicami.
3.6 Določitev točnih namenov obdelave osebnih podatkov
Namen obdelave osebnih podatkov se določi v skladu s pravno podlago (zakonodaja EU ali zakonodaja države članice). Namen mora biti točno določen in ne sme dopuščati dvoma o tem, katero vrsto osebnih podatkov je treba obdelati, da se doseže želeni cilj, ter izrecen.
Točen namen je odvisen od funkcij aplikacije. Vsaka funkcija aplikacije ima lahko več namenov. Da bi posameznikom zagotovili popoln nadzor nad njihovimi podatki, Komisija priporoča, da se različne funkcije ne združujejo. V vsakem primeru bi moral imeti posameznik možnost izbire med različnimi funkcijami, od katerih ima vsaka svoj namen.
Komisija odsvetuje uporabo podatkov, ki so bili zbrani pod zgornjimi pogoji, vendar ne za boj proti COVID-19, temveč za druge namene. Če bi bile namen podatkov znanstvene raziskave in statistika, bi bilo ta namen treba vključiti na prvotni seznam namenov in ga jasno sporočiti uporabnikom.
— Funkcija obveščanja:
Namen te funkcije je zagotavljanje informacij, ki so relevantne za zdravstvene organe v okviru krize.
— Funkciji preverjanja simptomov in medicine na daljavo:
Funkcija preverjanja simptomov lahko zagotovi oceno, kolikšen delež posameznikov, ki so sporočili simptome, združljive s COVID-19, je dejansko okužen (na primer z odvzemi brisa in testiranjem vseh ali naključno izbranih posameznikov s takimi simptomi, če je za to dovolj zmogljivosti). V tej opredelitvi namena bi bilo treba pojasniti, da bodo osebni zdravstveni podatki obdelani, (i) da se posamezniku omogoči samoocena na podlagi sklopa zastavljenih vprašanj, če so se pri njem pojavili simptomi COVID-19, ali (ii) da posameznik prejme zdravniški nasvet, če so se pri njem pojavili simptomi COVID-19.
— Funkciji sledenja stikov in opozarjanja:
Zgolj navedba namena „preprečevanje nadaljnjih okužb s COVID-19“ ni dovolj natančna. V tem primeru Komisija priporoča, da se namen podrobneje določi v naslednjem smislu: „shranjevanje stikov oseb, ki uporabljajo aplikacijo in so bile morda izpostavljene okužbi s COVID-19, da se opozorijo osebe, ki so se potencialno lahko okužile“.
3.7 Določanje strogih omejitev pri shranjevanju podatkov
Načelo omejitve shranjevanja zahteva, da se osebni podatki ne shranjujejo dlje, kot je treba. Roki bi morali temeljiti na zdravstveni pomembnosti (glede na namen aplikacije na primer inkubacijska doba) in realističnem časovnem okviru upravnih ukrepov, ki jih bo morda treba sprejeti.
— Funkcija obveščanja:
Če se med namestitvijo te funkcije zberejo kakršni koli podatki, jih je treba takoj izbrisati. Shranjevanje takih podatkov ni utemeljeno.
— Funkciji preverjanja simptomov in medicine na daljavo:
Take podatke bi morali zdravstveni organi izbrisati v največ enem mesecu (inkubacijska doba s sprejemljivim preseganjem) ali po tem, ko je bila oseba testirana in je bil rezultat negativen. Zdravstveni organi lahko podatke shranjujejo dlje, če so anonimizirani ter namenjeni poročanju v okviru spremljanja in raziskovanju.
— Funkciji sledenja stikov in opozarjanja:
Podatke o bližini bi bilo treba izbrisati, takoj ko niso več potrebni za namen opozarjanja posameznikov. Izbrisati bi jih bilo treba v največ enem mesecu (inkubacijska doba s sprejemljivim preseganjem) ali po tem, ko je bila oseba testirana in je bil rezultat negativen. Zdravstveni organi lahko podatke o bližini shranjujejo dlje, če so anonimizirani ter namenjeni poročanju v okviru spremljanja in raziskovanju.
Podatki bi se morali shranjevati na napravi uporabnika, na strežnik, dostopen zdravstvenim organom, pa bi se morali ob izbiri te možnosti naložiti samo podatki, ki so jih sporočili uporabniki in so potrebni za izpolnitev namena (tj. na strežnik bi se morali naložiti samo podatki o „tesnih stikih“ osebe, katere rezultat testiranja na okužbo s COVID-19 je bil pozitiven).
3.8 Zagotavljanje varnosti podatkov
Komisija priporoča, da se podatki na terminalski napravi posameznika shranjujejo v šifrirani obliki z uporabo najnaprednejših kriptografskih tehnik. Če so podatki shranjeni na osrednjem strežniku, bi bilo dostop, tudi za upravne namene, treba beležiti.
Podatke o bližini bi bilo treba na terminalski napravi posameznika generirati in shranjevati v šifrirani in psevdonimizirani obliki. Da bi preprečili sledenje s strani tretjih oseb, bi bilo treba omogočiti aktivacijo povezave Bluetooth brez aktivacije drugih lokacijskih storitev.
Med zbiranjem podatkov o bližini prek BLE je prednostna možnost, da se ustvarijo in shranijo začasni ID uporabnikov, ki se redno spreminjajo, kot pa da se shrani dejanski ID naprave. Ta ukrep zagotavlja dodatno zaščito pred prisluškovanjem in sledenjem s strani hekerjev, saj otežuje identifikacijo posameznikov.
Komisija priporoča, da se izvorna koda aplikacije javno objavi in da na voljo za pregled.
Predvidijo se lahko dodatni ukrepi za zavarovanje obdelanih podatkov, zlasti samodejni izbris ali anonimizacija podatkov po določenem času. Na splošno bi morala stopnja varnosti ustrezati količini in občutljivosti obdelanih osebnih podatkov.
Vsi prenosi podatkov z osebne naprave, namenjeni nacionalnim zdravstvenim organom, bi morali biti šifrirani.
Kadar nacionalna zakonodaja omogoča, da se lahko zbrani osebni podatki obdelujejo tudi za znanstvenoraziskovalne namene, bi bilo načeloma treba uporabiti psevdonimizacijo.
3.9 Zagotavljanje točnosti podatkov
Zagotavljanje točnosti obdelanih osebnih podatkov ni le osnovni pogoj za učinkovitost aplikacije, temveč tudi zahteva v skladu z zakonodajo o varstvu osebnih podatkov.
V tem smislu je zagotavljanje točnih informacij o tem, ali je prišlo do stika z okuženo osebo (glede na epidemiološko razdaljo in trajanje), ključnega pomena, da bi čim bolj zmanjšali tveganje za lažno pozitivne izide. To velja predvsem v primerih, ko se dva uporabnika aplikacije srečata na cesti, na javnem prevoznem sredstvu ali v stavbi. Uporaba podatkov o lokaciji na podlagi mobilnih telefonskih omrežij običajno ni dovolj natančna,
zato se je priporočljivo opreti na tehnologije, ki omogočajo natančnejšo oceno stika (na primer povezavo Bluetooth).
3.10 Vključenost organov za varstvo podatkov
Organi za varstvo podatkov bi morali biti v celoti vključeni v razvoj aplikacije in posvetovanje o njej ter pregledovati njeno uporabo. Ker se bo obdelava podatkov v okviru aplikacije štela za obsežno obdelavo posebnih vrst podatkov (zdravstveni podatki), Komisija opozarja na člen 35 SUVP o oceni učinka v zvezi z varstvom podatkov.
(1) Priporočilo C(2020) 2296 final z dne 8. aprila 2020. https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.
(2) https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf
(3) https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf
(4) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(5) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
(6) Če aplikacije zagotavljajo informacije v zvezi z diagnozo, preprečevanjem, spremljanjem, napovedovanjem ali prognozo, bi bilo treba oceniti, ali se lahko uvrstijo med medicinske pripomočke v skladu z regulativnim okvirom za medicinske pripomočke. Glede navedenega okvira glej Direktivo Sveta 93/42/EGS z dne 14. junija 1993 o medicinskih pripomočkih (UL L 169, 12.7.1993, str. 1) in Uredbo (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih (UL L 117, 5.5.2017, str. 1).
(7) Tako sodelovanje že poteka pri projektu MyHealth@EU za izmenjavo povzetkov o pacientih in e-receptov. Glej tudi člen 5(5) in uvodno izjavo 17 Izvedbenega sklepa Komisije 2019/1765.
(8) Glej uvodno izjavo 45 SUVP.
(9) Glej smernice Evropskega odbora za varstvo podatkov o privolitvi: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
(10) Člen 6(1)(e) SUVP.
(11) Evropski zakonik o elektronskih komunikacijah določa, da so zajete tudi storitve, ki so funkcionalno enakovredne elektronskim komunikacijskim storitvam.
(12) Načelo najmanjšega obsega podatkov.
(13) Okužena oseba je kužna 48 ur pred pojavom simptomov.