Europejska Rada Ochrony Danych, niezależny organ europejski składający się z przedstawicieli organów nadzoru wszystkich państw UE, zgodnie z zapowiedziami, opublikowała kolejne wskazówki, w jaki sposób można przetwarzać dane osobowe w czasie epidemii wirusa SARS-CoV-2. Nowe wskazówki dotyczą przetwarzania danych osobowych w celach badawczych oraz wykorzystania narzędzi śledzących i danych geolokalizacyjnych. Drugi dokument stanowi rozwinięcie zaleceń Komisji Europejskiej dla twórców aplikacji, o których również informowaliśmy. EROD przypomina, że stan epidemii nie może uzasadniać zawieszenia zasad ochrony danych osobowych na kołku. Prawidłowa ochrona danych osobowych buduje zaufanie, dzięki któremu rozwiązania techniczne są akceptowane przez ludzi z nich korzystających, a więc mogą stać się skuteczne.
Dane geolokalizacyjne
EROD przygląda się dwóm sposobom korzystania z danych lokalizacyjnych: modelowanie rozprzestrzeniania się epidemii oraz ostrzeganie osób, które mogły mieć kontakt z osobą zarażoną. Nie jest przy tym istotne, kto takie dane wykorzystuje: czy jest to podmiot prywatny, czy publiczny.
Dane lokalizacyjne mogą pochodzić z dwóch źródeł: albo od operatorów telekomunikacyjnych, albo z aplikacji instalowanych na smartfonach. Obowiązująca dyrektywa ePrivacy zezwala na przekazywanie władzy publicznej lub podmiotom trzecim danych lokalizacyjnych jedynie w formie zanonimizowanej lub po uzyskaniu wyraźnej zgody użytkownika.
EROD podkreśla, że anonimizacja danych nie zawsze jest prosta. Często wręcz jest mylona w praktyce z pseudonimizacją, czyli z odwracalnym ukryciem tożsamości podmiotów danych. Zwłaszcza w przypadku danych śledzących przemieszczanie się osób, deanonimizacja często okazuje się dość łatwa. Udostępnienie danych o przemieszczaniu się użytkowników telefonów w dłuższym czasie należy uważać zatem za dane, których nie da się skutecznie zanonimizować.
Monitorowanie geolokalizacji osób fizycznych lub kontaktów między osobami fizycznymi znacząco narusza prywatność. Z tego powodu jedyną podstawą prawną może być zgoda tych osób. Co więcej, EROD podkreśla ograniczenie celów przetwarzania. EROD jednoznacznie wyklucza legalność przetwarzania danych geolokalizacyjnych zbieranych w związku z COVID-19 w celach komercyjnych, a także w celu egzekwowania prawa. Zgodnie z tym stanowiskiem zobowiązywanie przez władze państwowe do korzystania z aplikacji śledzących przemieszczanie się, będzie sprzeczne z RODO.
W dokumencie przedstawione są dwa warianty technologii: rozwiązanie oparte o centralny serwer oraz rozwiązanie rozproszone, w którym dane byłyby rozpowszechniane bezpośrednio przez urządzenia użytkowników (np. z wykorzystaniem Bluetooth). Rozwiązanie z centralnym serwerem nie jest wskazane, ponieważ gorzej chroni prywatność.
Rada dostrzega potrzebę jak najszerszego udostępniania kodu źródłowego aplikacji wykorzystujących dane osobowe. Taka otwartość ma zapewnić uczciwość i rzetelność tych aplikacji, także dzięki umożliwieniu niezależnym ekspertom analizę algorytmów.
Wreszcie Rada silnie rekomenduje sporządzanie oceny skutków przetwarzania danych (DPIA) przed uruchomieniem aplikacji i publikację tej oceny.
Cele badawcze
W drugim dokumencie EROD analizuje granice przetwarzania danych osobowych dotyczących zdrowia w celach badawczych. Podczas gdy przetwarzanie danych dotyczących zdrowia wymaga spełnienia bardziej rygorystycznych wymogów, o tyle przepisy RODO przewidują pewne wyjątki dla przetwarzania danych w celach badawczych. Dotyczą one pozyskania zgody, określenia celów i spełnienia obowiązków informacyjnych, kiedy wiązałoby się to z nadmiernym wysiłkiem lub okazało się wręcz niemożliwe. Jednocześnie ustawodawstwo krajowe może wprowadzić dodatkowe zasady przetwarzania danych w celach badawczych.
W każdym przypadku przetwarzania danych osobowych dotyczących zdrowia w związku z COVID-19 należy sporządzić ocenę skutków (DPIA), o której mowa w art. 35 RODO.