"Korzystanie z aplikacji mobilnych może pomóc w walce z koronawirusem: umożliwić użytkownikom stawianie samodzielnej diagnozy, stanowić bezpieczny kanał komunikacji między lekarzami i pacjentami, służyć do ostrzegania użytkowników, którzy są potencjalnie narażeni na zakażenie, a także pomóc w stopniowym znoszeniu ograniczeń" – powiedział unijny komisarz ds. sprawiedliwości Didier Reynders, cytowany w komunikacie.
Zaznaczył jednak, że "ich stosowanie wiąże się z gromadzeniem bardzo wrażliwych danych na temat zdrowia obywateli".
"Nasze wytyczne wspierają bezpieczne tworzenie aplikacji i zapewniają ochronę danych osobowych obywateli zgodnie z rygorystycznymi unijnymi przepisami o ochronie danych" – podkreślił.
Unijne przepisy, w szczególności ogólne rozporządzenie o ochronie danych (RODO) oraz dyrektywa o prywatności i łączności elektronicznej zakładają podejście oparte na zasadzie dobrowolności, ograniczenie zbieranych danych do minimum oraz ograniczenie czasowe, w jakim takie dane mogą być zbierane).
Celem wytycznych jest zapewnienie niezbędnych ram prawnych gwarantujących obywatelom państw UE odpowiednią ochronę ich danych osobowych oraz ograniczenie ryzyka wykroczenia poza zbieranie i przetwarzanie niezbędnych danych przy korzystaniu z takich aplikacji.
Wytyczne koncentrują się na dobrowolnie stosowanych aplikacjach, które oferują co najmniej jedną z funkcji, takich jak:
- udostępnianie użytkownikom dokładnych informacji na temat pandemii koronawirusa;
- udostępnianie kwestionariuszy do samodzielnej diagnozy i wytycznych dla obywateli (z funkcją weryfikacji objawów);
- stosowanie ostrzeżeń dla osób, które znalazły się w pobliżu osoby zakażonej, by mogły poddać się badaniu lub izolacji (aplikacje z funkcją ustalania kontaktów zakaźnych i funkcja ostrzegawczą)
- komunikowanie się między pacjentami w samoizolacji i lekarzami w przypadku zapewnienia diagnostyki i doradztwa w zakresie leczenia (aplikacje z wykorzystaniem elementów telemedycyny).
Twórcy aplikacji, posiadających przynajmniej jedną z tych funkcji powinni brać pod uwagę:
- rolę krajowych organów ds. zdrowia: należy jasno określić, kto jest odpowiedzialny za zapewnienie przestrzegania unijnych przepisów o ochronie danych osobowych. (Komisja uważa, że rolę tę powinny odgrywać krajowe organy ds. zdrowia, które byłyby odpowiedzialne za zapewnienie przestrzegania RODO w kontekście wykorzystywania przez nie gromadzonych danych).
- pełną kontrolę użytkowników nad swoimi danymi: instalacja aplikacji na urządzeniu użytkownika powinna być dobrowolna (Użytkownik powinien mieć możliwość wyrażenia odrębnej zgody na korzystanie z poszczególnych funkcji aplikacji. Jeżeli wykorzystuje się dane dotyczące bliskości fizycznej, dane te powinny być przechowywane na urządzeniu użytkownika i udostępniane wyłącznie za jego zgodą; użytkownicy powinni mieć możliwość korzystania z praw przysługujących im na mocy RODO).
- ograniczone wykorzystanie danych osobowych, zgodnie z którą aplikacja będzie mogła zbierać i przetwarzać wyłącznie te dane osobowe, które są istotne i mają służyć ściśle określonemu celowi. (Komisja uważa, że dane dotyczące lokalizacji nie są konieczne do celów związanych z ustalaniem kontaktów zakaźnych, i zaleca, by nie stosować danych dotyczących lokalizacji w tym kontekście).
- ścisłe ograniczenia dotyczące przechowywania danych, dane te nie powinny być przechowywane dłużej, niż jest to konieczne. (Okres przechowywania danych powinien zależeć od tego w jakim stopniu dane te są istotne z medycznego punktu widzenia, a także uwzględniać realistyczny niezbędnych czynności administracyjnych).
- bezpieczeństwo danych: dane powinny być przechowywane na urządzeniu użytkownika w formie zaszyfrowanej.
- zapewnienie dokładności przetwarzanych danych, tzn. wszelkie dane osobowe przetwarzane przez osobę trzecią muszą być dokładne. (W celu zapewnienia jak największej dokładności w ustalaniu kontaktów zakaźnych, należy stosować odpowiednie technologie).
- zaangażowanie krajowych organów ochrony danych; organy ochrony danych powinny być w pełni zaangażowane i konsultowane przy tworzeniu aplikacji i powinny być odpowiedzialne za przegląd procesu wprowadzania aplikacji do użytku, podano.