MEDDELANDE FRÅN KOMMISSIONEN

Vägledning om appar till stöd för kampen mot covid-19-pandemin med avseende på dataskydd

(2020/C 124 I/01)

1 BAKGRUND

Covid-19-pandemin har gett upphov till en aldrig tidigare skådad utmaning för unionen och medlemsstaterna, deras hälso- och sjukvårdssystem, livsstil, ekonomiska stabilitet och värderingar. Digital teknik och data kan spela en viktig roll i kampen mot covid-19-krisen. Mobilapplikationer (appar) som vanligtvis installeras i smarttelefoner kan stödja hälsomyndigheter på nationell nivå och EU-nivå när det gäller övervakning och begränsning av covid-19-pandemin, och de är särskilt relevanta i den fas då begränsningsåtgärder upphävs. De kan ge direkt vägledning till allmänheten och stödja kontaktspårning. I ett antal länder, både inom EU och globalt, har nationella eller regionala myndigheter eller utvecklare aviserat att man ska ta fram appar med olika funktioner som syftar till att stödja kampen mot viruset.

Den 8 april antog kommissionen en rekommendation om en unionsgemensam verktygslåda för användningen av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata (nedan kallad rekommendationen) (1). Syftet med rekommendationen är bland annat att utveckla en gemensam europeisk strategi (”verktygslåda”) för användning av mobilapplikationer, med samordning på EU-nivå, för att ge allmänheten möjlighet att vidta effektiva åtgärder för social distansering och för att varna, förebygga och spåra kontakter och därigenom bidra till att begränsa spridningen av covid-19-sjukdomen. I rekommendationen anges de allmänna principer som bör vägleda utvecklingen av en sådan verktygslåda. Vidare anges att kommissionen kommer att offentliggöra ytterligare vägledning, bland annat om skyddet av personuppgifter och om hur användningen av applikationer på detta område påverkar den personliga integriteten.

Genom den gemensamma europeiska färdplanen för att lätta på åtgärderna mot covid-19 fastställer kommissionen, i samarbete med Europeiska rådets ordförande, ett antal principer som vägledning för utfasningen av de begränsningsåtgärder som vidtagits till följd av covid-19-utbrottet. Mobilapplikationer, inbegripet kontaktspårningsfunktioner, kan spela en viktig roll i detta sammanhang. Beroende på apparnas egenskaper, och beroende på i vilken omfattning befolkningen använder dem, kan de ha en betydande inverkan på sjukdomsdiagnos, behandling och hantering av covid-19 i och utanför sjukhusmiljö. De är särskilt relevanta när begränsningsåtgärder upphävs och när infektionsrisken ökar eftersom allt fler människor är i kontakt med varandra. Dessa applikationer kan bidra till att bryta smittkedjor snabbare och effektivare än allmänna begränsningsåtgärder, och de kan minska risken för en betydande spridning av viruset. De bör därför vara ett viktigt inslag i exitstrategin och komplettera andra åtgärder såsom ökad testkapacitet (2). Förtroende är en viktig förutsättning för utveckling av sådana appar och för att enskilda personer ska acceptera och använda dem. Människor måste vara förvissade om att efterlevnad av grundläggande rättigheter säkerställs och att apparna kommer att användas endast för de specifikt angivna ändamålen, att de inte kommer att användas för massövervakning och att enskilda personer kommer att behålla kontrollen över sina data. Detta är grunden för sådana appars precision och effektivitet när det gäller att begränsa spridningen av viruset. Det är därför viktigt att hitta lösningar som är de minst inkräktande och som till fullo uppfyller krav på skydd av personuppgifter och personlig integritet i enlighet med EU:s lagstiftning. Vidare bör apparna avaktiveras senast när pandemin förklaras vara under kontroll. Apparna bör också inbegripa informationsskydd på aktuell teknisk nivå.

I denna vägledning beaktas bidraget från Europeiska dataskyddsstyrelsen (EDPB) (3) samt diskussioner inom nätverket för e-hälsa. De kommande dagarna planerar EDPB att offentliggöra riktlinjer om geolokalisering och andra spårningsverktyg inom ramen för covid-19-utbrottet

Vägledningens omfattning

För att säkerställa en enhetlig strategi inom hela EU och ge vägledning till medlemsstaterna och apputvecklare anger detta dokument egenskaper och krav som appar bör uppfylla för att säkerställa efterlevnad av EU:s lagstiftning om integritet och skydd av personuppgifter, i synnerhet den allmänna dataskyddsförordningen (4) (GDPR) och direktivet om integritet och elektronisk kommunikation (5). Denna vägledning tar inte upp eventuella ytterligare villkor, inklusive begränsningar som medlemsstaterna kan ha infört i sin nationella lagstiftning när det gäller behandling av uppgifter om hälsa.

Vägledningen är inte rättsligt bindande. Den påverkar inte EU-domstolens roll. EU-domstolen är den enda institution som kan ge en auktoritativ tolkning av EU-rätten.

Denna vägledning gäller bara frivilliga appar som stöder kampen mot covid-19-pandemin (appar som laddas ned, installeras och används på frivillig basis av enskilda personer) med en eller flera av följande funktioner:

—	Ge exakt information till enskilda personer om covid-19-pandemin.

—	Tillhandahålla frågeformulär för självbedömning och för vägledning till enskilda personer (funktion för kontroll av symptom) (6).

—	Varna personer som har varit i närheten av en smittad person under en viss tid, för att tillhandahålla information exempelvis om huruvida självkarantän eller testning är tillrådligt (kontaktspårnings- och varningsfunktion).

—	Tillhandahålla ett kommunikationsforum mellan patienter och läkare som befinner sig i en situation med självisolering eller där ytterligare diagnos och behandlingsråd ges (ökad användning av telemedicin).

Enligt direktivet om integritet och elektronisk kommunikation är påtvingad användning av en app som involverar telehemlighet vid kommunikation enligt artikel 5 möjlig endast genom en lag som är nödvändig, lämplig och proportionell för att skydda vissa specifika mål. Med tanke på att en sådan strategi i hög grad är inkräktande, och med tanke på de utmaningar som den innebär, även när det gäller att införa lämpliga skyddsåtgärder, anser kommissionen att det krävs en noggrann analys innan denna möjlighet utnyttjas. Av dessa skäl rekommenderar kommissionen användning av frivilliga appar.

Denna vägledning omfattar inte appar som syftar till att se till att karantänkrav uppfylls (inbegripet sådana som är obligatoriska).

2 HUR APPAR KAN BIDRA I KAMPEN MOT COVID-19

Funktionen för kontroll av symptom är ett verktyg som folkhälsomyndigheter kan använda för att vägleda allmänheten om testning avseende covid-19 och för att tillhanda information om självisolering, om hur man undviker att smitta andra och om när man bör söka vård. Denna funktion kan också komplettera primärvårdens övervakning och bidra till förståelse av hur snabbt covid-19 sprids i populationen.

Kontaktspårnings- och varningsfunktioner är verktyg för att identifiera de personer som har varit i kontakt med en person som smittats av covid-19 och för att informera dem om vilka åtgärder som bör vidtas, såsom självkarantän, testning eller rådgivning om vad som bör göras om det finns symptom. Denna funktion är därför användbar både för enskilda personer och för offentliga hälsomyndigheter. Funktionerna kan också spela en viktig roll när det gäller att hantera begränsningsåtgärder i nedtrappningsscenarier. Dess genomslagskraft kan stärkas genom en strategi som stöder bredare testning av personer som uppvisar milda symptom.

Båda funktionerna kan också vara en relevant källa till data för folkhälsomyndigheterna och underlätta överföringen av sådana uppgifter till nationella epidemiologiska myndigheter och till Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC). Detta skulle bidra till förståelsen av smittspridningsmönster och, om det kombineras med testresultat, till en uppskattning av det positiva prediktionsvärdet avseende luftvägsbesvär i en viss grupp och ge information om nivån på virusets spridning.

Graden av uppskattningarnas tillförlitlighet är direkt kopplad till de överförda uppgifternas mängd och tillförlitlighet.

I kombination med lämpliga teststrategier kan både symptomkontrollfunktionen och kontaktspårningsfunktionen därför ge information om nivån på virusets spridning samt vara till hjälp vid bedömningen av effekterna av åtgärder för fysisk distansering och isolering. För att möjliggöra gränsöverskridande samarbete och säkerställa upptäckt av kontakt mellan användare av olika appar (vilket är särskilt viktigt när personer rör sig över nationsgränser) bör interoperabilitet mellan olika medlemsstaters it-lösningar säkerställas, i enlighet med rekommendationen. Om en smittad person är i kontakt med en användare av en app från en annan medlemsstat, bör gränsöverskridande överföring av personuppgifter avseende den användaren till hälsomyndigheter i den medlemsstaten vara möjlig i den utsträckning som är absolut nödvändig. Arbetet med denna fråga kommer att utföras som en del av den verktygslåda som aviserats i rekommendationen. Driftskompatibilitet bör säkerställas både genom tekniska krav och genom att kommunikationen och samarbetet mellan nationella hälsomyndigheter förbättras. En modell för särskilt samarbete (7) skulle också kunna användas som en styrningsmodell för kontaktspårningsappar under covid-19-pandemin.

3 FÖRUTSÄTTNINGAR FÖR EN FÖRTROENDEFULL OCH ANSVARSFULL ANVÄNDNING AV APPAR

De funktioner som ingår i apparna kan ha olika inverkan på ett brett spektrum av rättigheter som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna, såsom mänsklig värdighet, respekt för privatlivet och familjelivet, skydd av personuppgifter, fri rörlighet, icke-diskriminering, näringsfrihet samt mötes- och föreningsfrihet. Intrånget i privatlivet och rätten till skydd av personuppgifter kan vara särskilt betydande med tanke på att vissa funktioner bygger på en dataintensiv modell.

De punkter som presenteras nedan syftar till att ge vägledning om hur man kan begränsa den grad i vilken appfunktionerna är inkräktande för att säkerställa efterlevnad av EU:s lagstiftning om skydd av personuppgifter och av privatlivet.

3.1 Nationella hälsomyndigheter (eller enheter som utför uppgifter i allmänhetens intresse på hälso- och sjukvårdsområdet) i egenskap av registeransvarig

Identifieringen av vem som beslutar om databehandlingens medel och syften (den registeransvarige) är avgörande för att fastställa vem som är ansvarig för efterlevnaden av EU:s bestämmelser om skydd av personuppgifter, bland annat när det gäller följande: Vem bör lämna information till de personer som laddar ner appen om vad som kommer att hända med deras personuppgifter (som redan finns eller kommer att genereras genom den enhet, t.ex. en smarttelefon, i vilken appen installeras)? Vilka rättigheter kommer de att ha? Vem kommer att vara ansvarig vid personuppgiftsincidenter?

Med tanke på de aktuella personuppgifternas känslighet och syftet med databehandlingen som beskrivs nedan anser kommissionen att apparna bör utformas på ett sådant sätt att de nationella hälsomyndigheterna (eller enheter som utför uppgifter i allmänhetens intresse på hälso- och sjukvårdsområdet) är registeransvariga (8). De registeransvariga ansvarar för att den allmänna dataskyddsförordningen efterlevs (principen om ansvarsskyldighet). Omfattningen av sådan åtkomst bör begränsas på grundval av de principer som beskrivs i avsnitt 3.5 nedan.

Detta kommer också att bidra till att allmänheten får större förtroende för och därmed större acceptans för apparna (och underliggande informationssystem för smittspridningskedjor) och säkerställa att de uppfyller det avsedda ändamålet, dvs. att skydda folkhälsan. De underliggande strategierna, kraven och kontrollerna bör anpassas och genomföras på ett samordnat sätt av de ansvariga nationella hälsomyndigheterna.

3.2 Säkerställande av att den enskilda personen har kontroll

För att enskilda personer ska kunna lita på appar är det viktigt att visa att personerna själva har kontrollen över sina personuppgifter. För att uppnå detta, anser kommissionen att särskilt följande villkor bör uppfyllas:

—	Installationen av appen bör vara frivillig och utan negativa konsekvenser för personer som beslutar att inte ladda ner eller använda appen.

—

Olika funktioner i appen (t.ex. information, kontroll av symptom, kontaktspårning eller varningar) ska vara separata så att personen kan ge sitt samtycke specifikt för varje funktion. Det här bör inte hindra användaren från att kombinera olika funktioner i appen om detta erbjuds som ett alternativ av leverantören.

—

Om närhetsdata används (data som genereras genom utväxling av Bluetooth Low Energy-signaler (BLE) mellan enheter inom ett epidemiologiskt relevant avstånd från varandra och under en epidemiologiskt relevant tid) bör dessa lagras på den enskilda personens enhet. Om dessa data ska delas med hälsomyndigheterna bör det göras endast efter att den berörda personen har bekräftats vara smittad med covid-19 och på villkoret att han eller hon väljer att dela sina data.

—	Den enskilda personen bör ges all nödvändig information av hälsomyndigheterna om hur hans eller hennes personuppgifter behandlas (i enlighet med artiklarna 12 och 13 i dataskyddsförordningen och artikel 5 i direktivet om integritet och elektronisk kommunikation).

—

Den enskilda personen bör kunna utöva sina rättigheter enligt dataskyddsförordningen (särskilt gällande tillgång, rättelse och radering). Alla begränsningar av rättigheterna enligt dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation bör ske i enlighet med dessa rättsakter och vara nödvändiga, proportionerliga och föreskrivna i lagstiftningen.

—	Apparna bör avaktiveras senast när pandemin konstateras vara under kontroll. Avaktiveringen bör inte vara beroende av att användaren avinstallerar appen.

3.3 Rättslig grund för behandling

Installation av appar och lagring av information på användarens enhet

Såsom konstaterats ovan är det enligt artikel 5 i direktivet om integritet och elektronisk kommunikation tillåtet att lagra information eller få tillgång till information som är lagrad i användarens enhet endast om i) användaren har gett sitt samtycke eller ii) lagringen och/eller åtkomsten är absolut nödvändig för att leverera en av informationssamhällets tjänster (t.ex. appen) som användaren uttryckligen har begärt (dvs. har installerat och aktiverat).

Att lagra information på den enskilda personens enhet och att få tillgång till den information som redan har lagrats på denna enhet är vanligtvis nödvändigt för att apparna ska kunna fungera. Kontaktspårnings- och varningsfunktionerna kräver dessutom att viss annan information (såsom tillfälliga och regelbundet föränderliga alias-användarnamn för funktionens användare som finns i närheten) lagras på användarens enhet. Dessutom kan denna funktion kräva att (den smittade eller sannolikt smittade) användaren laddar upp närhetsdata. En dylik uppladdning är inte som sådan nödvändig för att appen ska fungera. Därför uppfylls inte kraven i alternativ ii) i föregående stycke. Sålunda är samtycke (alternativ i) ovan) den mest lämpliga grunden för den relevanta verksamheten. Detta samtycke bör vara ”frivilligt”, ”specifikt”, ”uttryckligt” och ”informerat” i den mening som avses i dataskyddsförordningen. Samtycket bör uttryckas genom den enskilda personens entydiga bekräftande handling. Detta utesluter underförstådda former av samtycke (t.ex. tystnad eller inaktivitet) (9).

Rättslig grund för behandling av nationella hälsomyndigheter – EU-lagstiftning eller nationella lagar

Nationella hälsomyndigheter behandlar vanligtvis personuppgifter när det finns EU-lagstiftning eller nationella lagar som föreskriver sådan behandling och villkoren i dataskyddsförordningen (artiklarna 6.1 c och 9.2 i) uppfylls eller när sådan behandling är nödvändig för att utföra en uppgift för att främja ett allmännyttigt syfte enligt EU-lagstiftning eller nationella lagar (10).

All nationell lagstiftning måste innehålla specifika och lämpliga åtgärder för att skydda de registrerades rättigheter och friheter. En allmän regel är att ju större inverkan något har på den enskilda personen, desto starkare motsvarande skyddsåtgärder bör kunna vidtas enligt den relevanta lagstiftningen.

EU-lagar och nationella lagar som fanns före covid-19-utbrottet och de lagar som medlemsstaterna antar specifikt för att bekämpa spridningen av epidemin kan i princip användas som rättslig grund för behandlingen av enskilda personers uppgifter om de föreskriver åtgärder som möjliggör övervakning av epidemier och om lagen uppfyller ytterligare krav som fastställs i artikel 6.3 i dataskyddförordningen.

Med tanke på de berörda personuppgifternas art (särskilt hälsouppgifter som utgör en särskild kategori av personuppgifter) och även omständigheterna kring den nuvarande covid-19-pandemin, skulle förlitandet på lagen som den rättsliga grunden bidra till rättssäkerheten, eftersom det skulle i) föreskriva behandlingen av specifika hälsouppgifter i detalj och tydligt ange ändamålen med behandlingen, ii) precisera vem som är registeransvarig, dvs. enheten som behandlar uppgifterna, och vem, förutom den registeransvariga, som kan få tillgång till sådana uppgifter, iii) utesluta möjligheten att behandla sådana uppgifter för andra ändamål än de som anges i lagstiftningen och iv) föreskriva särskilda skyddsåtgärder. För att inte undergräva apparnas möjlighet att vara användbara för och accepteras av allmänheten ska den nationella lagstiftaren särskilt se till att den valda lösningen är så inkluderande gentemot medborgarna som möjligt.

En behandling som utförs av hälsomyndigheterna på grundval av lagstiftningen ändrar inte det faktum att det står de enskilda personerna fritt att installera appen eller inte och att dela med sig av sina uppgifter till hälsomyndigheterna eller inte. Därför bör det inte uppstå några negativa konsekvenser för användarna om appen avinstalleras.

Kontaktspårnings- och varningsappar gör det möjligt att varna enskilda personer. När denna varning tillhandahålls direkt i appen önskar kommissionen framhålla att det inte är tillåtet att enskilda personer omfattas av ett beslut som enbart grundar sig på automatisk behandling och som har rättslig verkan eller på liknande sätt väsentligt påverkar honom eller henne (artikel 22 i dataskyddsförordningen).

3.4 Uppgiftsminimering

Data som produceras med hjälp av enheterna och som redan finns lagrade i dessa enheter skyddas på följande sätt:

—	”Personuppgifter”, dvs. varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4.1 i dataskyddförordningen), är skyddade enligt dataskyddförordningen. Hälsouppgifter omfattas av ytterligare skydd (artikel 9 i dataskyddsförordningen)

—

”Lokaliseringsuppgifter”, dvs. uppgifter som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som anger den geografiska positionen för användarens terminalutrustning, är skyddade enligt direktivet om integritet och elektronisk kommunikation (artiklarna 5.1, 6 och 9) (11).

—	All information som lagras i och görs tillgänglig från användarens terminalutrustning är skyddad enligt artikel 5.3 i direktivet om integritet och elektronisk kommunikation.

Icke-personuppgifter (t.ex. oåterkalleligt anonymiserade uppgifter) är inte skyddade enligt dataskyddsförordningen.

Kommissionen påminner om att principen om uppgiftsminimering kräver att endast personuppgifter som är adekvata, relevanta och inte för omfattande i förhållande till ändamålet (12) får behandlas. En bedömning av behovet av att behandla personuppgifterna och relevansen av sådana personuppgifter bör göras med hänsyn tagen till de ändamål som eftersträvas.

Kommissionen noterar till exempel att om syftet med funktionen är telemedicin eller kontroll av symptom, kräver detta syfte inte tillgång till kontaktlistan för enhetens ägare.

Att skapa och bearbeta färre uppgifter begränsar säkerhetsriskerna. Överensstämmelse med dataminimeringsåtgärder ger därför också säkerhetsgarantier.

— Informationsfunktion:

En app med enbart denna funktion behöver inte behandla enskilda personers hälsouppgifter. Appen ger dem bara information. För att uppfylla detta syfte får inga andra uppgifter som har lagrats i eller gjorts tillgängliga från terminalutrustningen än vad som är nödvändigt för att tillhandahålla informationen behandlas.

— Funktioner för telemedicin och kontroll av symptom:

Om appen innehåller en eller två av dessa funktioner kommer den att behandla hälsouppgifter. Därför bör en förteckning över de uppgifter som får behandlas fastställas i den underliggande lagstiftning som är tillämplig för hälsomyndigheterna.

Dessutom kan hälsomyndigheterna behöva telefonnummer för de personer som har använt funktionen för kontroll av symptom och har laddat upp resultaten. Information som lagras i eller finns tillgänglig i terminalutrustningen får endast behandlas om det är nödvändigt för att appen ska kunna fylla sitt syfte och så att den kan fungera.

— Kontaktspårnings- och varningsfunktion:

Den största delen av covid-19-infektionerna uppstår genom droppar som endast kan färdas en begränsat sträcka. Att så snabbt som möjligt identifiera personer som har befunnit sig i närheten av en smittad person är en nyckelfaktor för att bryta infektionskedjan. Närheten är en funktion av en kontakts avstånd och varaktighet och bör göras ur ett epidemiologiskt perspektiv. Brytandet av infektionskedjan är särskilt viktigt för att förhindra att infektioner blossar upp på nytt när man har nått krisens avvecklingsfas.

Närhetsdata kan vara nödvändiga för detta. För att mäta närhet och nära kontakter verkar det som om Bluetooth Low Energy-kommunikation (BLE) mellan enheter är mer exakt och därmed lämpligare att använda än geolokaliseringsuppgifter (GNSS/GPS eller mobillokaliseringsuppgifter). Genom BLE undviks möjligheten till spårning (till skillnad från geolokaliseringsuppgifter). Kommissionen rekommenderar därför användningen av BLE-kommunikationsdata (eller data som skapats av motsvarande teknik) för att fastställa närhet.

Lokaliseringsuppgifter är inte nödvändiga för kontaktspårningsfunktioner, eftersom deras syfte inte är att följa enskilda personers rörelse eller att övervaka att bestämmelser följs. Dessutom skulle behandlingen av lokaliseringsuppgifter inom ramen för kontaktspårning vara svår att motivera mot bakgrund av principen om uppgiftsminimering och den kan skapa säkerhets- och integritetsproblem. Därför rekommenderar kommissionen att lokaliseringsuppgifter inte används i detta sammanhang.

Oberoende av de tekniska medel som används för att fastställa närheten verkar det inte vara nödvändigt att lagra den exakta tiden för kontakten eller dess plats (om denna finns att tillgå). Det kan dock vara ändamålsenligt att lagra dagen då kontakten har ägt rum för att veta om kontakten skedde när personen hade visat tecken på symptom (eller 48 timmar före (13)) och för att det uppföljande meddelandet kan innefatta råd om t.ex. hur länge personen ska vara i självkarantän.

Närhetsdata ska bara skapas och behandlas om det finns en faktisk infektionsrisk (beroende på kontaktens närhet och varaktighet).

Det bör noteras att behovet och proportionaliteten av insamlingen av uppgifter därför kommer att bero på faktorer såsom i vilken utsträckning testningsanläggningar är tillgängliga, speciellt när åtgärder som isolering redan har vidtagits. Varnandet av personer som har varit i nära kontakt med en smittad person kan göras på två sätt:

I den första metoden skickas en varning automatiskt via appen till de nära kontakterna när en användare informerar appen – efter godkännande eller bekräftelse från hälsomyndigheten, t.ex. via en QR- eller TAN-kod – om att han eller hon har fått ett positivt testresultat (decentraliserad handläggning). Innehållet i varningsmeddelandet bör helst fastställas av hälsomyndigheten. I den andra metoden lagras godtyckliga tillfälliga identifierare på en backendserver som upprätthålls av hälsomyndigheten (backendserverlösning). Användarna kan inte identifieras direkt genom dessa uppgifter. Via identifierarna får användare, som har varit i nära kontakt med en användare med ett positivt testresultat, en varning till sin enhet. Om hälsomyndigheterna via telefon eller SMS önskar kontakta de användare som har varit i nära kontakt med en smittad person, måste dessa användare samtycka till att lämna sina telefonnummer.

3.5 Begränsa utlämnandet av/tillgången till uppgifter

— Informationsfunktion:

Ingen information som lagras i och finns åtkomlig från terminalutrustning får delas med hälsomyndigheter utöver vad som krävs för att upprätthålla informationens funktionalitet. Eftersom denna funktionalitet endast syftar till kommunikation, kommer hälsomyndigheterna inte att få tillgång till några andra uppgifter.

— Funktioner för telemedicin och kontroll av symptom:

Funktioner för kontroll av symptom kan vara användbara när medlemsstaterna behöver vägleda medborgarna om huruvida de bör låta sig testas, ge information om isolering, och klargöra när och hur man bör söka hälso- och sjukvård, särskilt när det gäller riskgrupper. Denna funktionalitet kan också komplettera primärvårdens övervakning och bidra till förståelse av hur snabbt Covid-19 sprids i populationen. Det kan därför beslutas att ansvariga hälsomyndigheter och nationella epidemiologiska myndigheter bör få tillgång till den information som lämnas av patienten. ECDC skulle kunna erhålla aggregerade uppgifter från nationella myndigheter för epidemiologisk övervakning.

Om man beslutar att möjliggöra kontakter med hälso- och sjukvårdspersonal snarare än kommunikation enbart genom själva appen, är det också nödvändigt att appanvändarnas telefonnummer lämnas ut till de nationella hälsomyndigheterna.

— Kontaktspårnings- och varningsfunktion:

—	Uppgifter om den smittade personen

Apparna genererar slumpmässiga, tillfälliga och föränderliga identifierare för de telefoner som är i kontakt med användaren. Ett alternativ är att identifierarna lagras på användarens enhet (decentraliserad behandling). Ett annat alternativ kan vara att dessa slumpmässiga identifierare lagras på den server som hälso- och sjukvårdsmyndigheterna har tillgång till (dvs. centraliserad behandling: så kallad backend server solution). Den decentraliserade lösningen är mer i linje med principen om uppgiftsminimering. Hälsomyndigheterna bör endast ha tillgång till närhetsdata från en smittad persons enhet, så att de kan kontakta personer som riskerar att smittas.

Dessa uppgifter kommer att vara tillgängliga för hälsomyndigheterna först efter det att den smittade personen (efter att ha testats) aktivt delat med sig av dem.

Den smittade personen bör inte informeras om identiteten på de personer med vilka han/hon har varit i epidemiologisk kontakt och som kommer att varnas.

—	Uppgifter om personer som varit i (epidemiologisk) kontakt med den smittade personen

Den smittade personens identitet bör inte avslöjas för de personer med vilka den epidemiologiska kontakten har ägt rum. Det är tillräckligt att informera dem om att de har varit i epidemiologisk kontakt med en smittad person under de senaste 16 dagarna. Som konstaterats ovan bör uppgifter om tid och plats för sådana kontakter inte lagras. Det är därför varken nödvändigt eller möjligt att meddela dessa uppgifter.

Vid spårning av en smittad appanvändares epidemiologiska kontakter bör de nationella hälsomyndigheterna endast informeras om identifieraren för personer med vilken den infekterade personen har varit i epidemiologisk kontakt sedan 48 timmar innan symptomen uppträdde till och med 14 dagar efter det att symptomen uppträdde, baserat på hur nära och varaktig kontakt det rör sig om.

ECDC skulle kunna erhålla aggregerade uppgifter om kontaktspårning från nationella myndigheter för epidemiologisk övervakning på grundval av indikatorer som fastställs i samarbete med medlemsstaterna.

3.6 Angivande av exakta ändamål med behandlingen

Den rättsliga grunden (unionslagstiftningen eller medlemsstaternas nationella rätt) bör omfatta ändamålet med behandlingen. Ändamålet bör vara specifikt, så att det inte råder någon tvekan om vilken typ av personuppgifter som måste behandlas för att man ska kunna uppnå det eftersträvade målet. Det bör också vara uttryckligt.

De exakta ändamålen är beroende av appens funktioner. Det kan finnas flera ändamål med varje funktion i en app. För att enskilda personer ska kunna ha full kontroll över sina uppgifter rekommenderar kommissionen att man inte buntar samman olika funktioner. Under alla omständigheter bör den enskilde ha möjlighet att välja mellan olika funktioner med separata ändamål.

Kommissionen avråder från att uppgifter som samlats in under ovannämnda förutsättningar används för andra ändamål än kampen mot covid-19. Om det visar sig nödvändigt att inbegripa ändamål som vetenskaplig forskning och statistik, bör dessa tas med i den ursprungliga förteckningen över ändamål och tydligt meddelas användarna.

— Informationsfunktion:

Tanken med funktionen är att tillhandahålla information som är relevant ur hälsomyndigheternas synvinkel mot bakgrund av krisen.

— Funktioner för telemedicin och kontroll av symptom:

Funktionen för kontroll av symptom kan ge en indikation om hur stor andel av de enskilda personer som rapporterar symptom som överensstämmer med covid-19 som faktiskt är infekterade (t.ex. genom topsning och testning av alla eller ett slumpmässigt antal individer med sådana symptom, om det finns kapacitet att göra det). Denna identifiering av ändamålet bör klargöra att de personliga hälsouppgifterna kommer att behandlas för att i) ge den enskilde möjlighet att, på grundval av en uppsättning frågor som ställs, själv bedöma om han eller hon har utvecklat symptom på covid-19, eller ii) få medicinsk rådgivning om han eller hon har utvecklat symptomen på covid-19.

— Kontaktspårnings- och varningsfunktion:

Det räcker inte att som ändamål bara ange ”att förhindra ytterligare infektioner av covid-19”. I detta fall rekommenderar kommissionen att man ytterligare specificerar ändamålet/ändamålen i stil med: ”att hålla kontakt med de personer som använder appen och som kan ha exponerats för smitta av covid-19 för att varna personer som kan ha blivit smittade”.

3.7 Strikt begränsning av hur uppgifter lagras

Enligt principen om lagringsbegränsning får personuppgifter inte lagras under längre tid än vad som är nödvändigt. Tidsramarna bör grundas på medicinsk relevans (beroende på ändamålet med appen: inkubationstid etc.), liksom realistisk tidsåtgång för administrativa åtgärder som kan komma att krävas.

— Informationsfunktion:

Om uppgifter samlas i samband med införandet av funktionen bör dessa raderas omedelbart. Det finns ingen anledning att behålla sådana uppgifter.

— Funktioner för telemedicin och kontroll av symptom:

Dessa uppgifter bör raderas av hälsomyndigheterna inom högst en månad (inkubationstid plus marginal) eller efter det att personen testats och resultatet visat sig vara negativt. Hälsomyndigheter får lagra uppgifter under längre perioder för övervakningsrapporterings- och forskningsändamål, förutsatt att de är anonymiserade.

— Kontaktspårnings- och varningsfunktion:

Närhetsdata bör raderas så snart den inte längre behövs för att varna enskilda personer. Detta bör ske inom högst en månad (inkubationstid plus marginal) eller efter det att personen testats och resultatet visat sig vara negativt. Hälso- och sjukvårdsmyndigheter får bevara närhetsdata under längre perioder för övervakningsrapporterings- och forskningsändamål, förutsatt att de är anonymiserade.

Uppgifterna bör lagras på användarens enhet, och endast uppgifter som har lämnats av användarna och är nödvändiga för att uppfylla ändamålet bör laddas upp till den server som hälsomyndigheterna har tillgång till, om det alternativet väljs (dvs. endast uppgifter om ”nära kontakter” för en person som testat positivt för covid-19-infektion bör laddas upp).

3.8 Säkerställande av datasäkerhet

Kommissionen rekommenderar att uppgifterna lagras i krypterad form på den berörda personens terminalenhet, med användning av den senaste krypteringstekniken. Om uppgifterna lagras på en central server ska åtkomsten, inbegripet administrativ åtkomst, loggas.

Närhetsdata bör endast genereras och lagras på den enskilda personens terminalutrustning i krypterad och pseudonymiserad form. För att säkerställa att spårning genom tredje parter utesluts bör aktivering av Bluetooth vara möjlig utan aktivering av andra lokaliseringstjänster.

Vid insamling av närhetsdata via BLE (Bluetooth Low Energy) är det bättre att skapa och lagra tillfälliga användaridentiteter som ändras regelbundet än att lagra det aktuella enhetsidentifieringsnumret. Denna åtgärd ger ytterligare skydd mot avlyssning och spårning från hackare och försvårar identifiering av enskilda personer.

Kommissionen rekommenderar att appens källkod offentliggörs och görs tillgänglig för granskning.

Ytterligare åtgärder för att säkra de behandlade uppgifterna kan övervägas. Det kan särskilt handla om automatisk radering eller anonymisering av uppgifter efter en viss tidpunkt. Graden av säkerhet bör i allmänhet motsvara mängden av och känsligheten hos de personuppgifter som behandlas.

Alla överföringar från den personliga enheten till de nationella hälsomyndigheterna bör krypteras.

Om nationell lagstiftning föreskriver att de personuppgifter som samlas in också kan behandlas för vetenskapliga forskningsändamål bör pseudonymisering i princip användas.

3.9 Säkerställande av att uppgifterna är korrekta

Att se till att de personuppgifter som behandlas är korrekta är inte bara en förutsättning för att appen ska fungera på ett ändamålsenligt sätt, utan också ett krav enligt lagstiftningen om skydd av personuppgifter.

I detta sammanhang är det viktigt att se till att informationen om huruvida en kontakt med en smittad person (epidemiologiskt avstånd och varaktighet) har ägt rum är korrekt och därigenom minimera risken för alltför många felaktigt positiva resultat. Detta bör gälla för situationer där två användare av appen är i kontakt på gatan, i kollektivtrafiken eller i en byggnad. Det är osannolikt att användningen av lokaliseringsuppgifter baserade på mobilnät som metod är tillräckligt exakt för detta ändamål.

Det är därför lämpligt att förlita sig på teknik som möjliggör en mer exakt bedömning av kontakten (t.ex. Bluetooth).

3.10 Medverkan av dataskyddsmyndigheter

Dataskyddsmyndigheterna bör delta fullt ut och rådfrågas i samband med utvecklingen av appen samt övervaka dess införande. Eftersom behandlingen av uppgifter inom ramen för appen kvalificeras som storskalig behandling av särskilda kategorier av uppgifter (hälsouppgifter), hänvisar kommissionen till artikel 35 i den allmänna dataskyddsförordningen om konsekvensbedömning avseende dataskydd.

(1) Rekommendation C(2020) 2296 final av den 8 april 2020 https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.

(2) https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf

(3) https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf

(4) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen), ( EUT L 119, 4.5.2016, s. 1).

(5) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), (EGT L 201, 31.7.2002, s. 37).

(6) Om apparna ger information avseende diagnos, förebyggande, övervakning, prediktion eller prognos, bör man bedöma deras potentiella status som medicintekniska produkter i enlighet med regelverket för medicintekniska produkter. Vad gäller nämnda regelverk, se rådets direktiv 93/42/EEG av den 14 juni 1993 om medicintekniska produkter (EGT L 169, 12.7.1993, s. 1) och Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter (EUT L 117, 5.5.2017, s. 1).

(7) Ett sådant samarbete finns redan när det gäller projektet MyHealth@EU för utbyte av patientöversikter och e-recept. Se även artikel 5.5 och skäl 17 i kommissionens genomförandebeslut 2019/1765.

(8) Se skäl 45 i den allmänna dataskyddsförordningen.

(9) Se Europeiska dataskyddsstyrelsens riktlinjer om samtycke: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

(10) Artikel 6.1 e i dataskyddsförordningen.

(11) Enligt kodexen för elektronisk kommunikation ska tjänster som är funktionellt likvärdiga med elektroniska kommunikationstjänster också omfattas.

(12) Principen om uppgiftsminimering.

(13) Den smittade personen är smittsam 48 timmar före symptomen uppträder.