Nowoczesne technologie i dane odgrywają coraz większą rolę niemal we wszystkich obszarach ludzkiej aktywności. W związku z niespotykanym dotąd kryzysem w Unii Europejskiej i państwach członkowskich, Komisja Europejska podjęła intensywne działania mające ułatwić wykorzystanie aplikacji mobilnych i danych o lokalizacji użytkowników w celu zwalczania COVID-19.

Mając na uwadze olbrzymi potencjał nowych technologii, Komisja postanowiła wykorzystać aplikacje mobilne i dane o lokalizacji użytkowników do zarządzania kryzysem spowodowanym przez pandemię COVID-19. Przy współpracy z państwami członkowskimi, ekspertami ds. cyberbezpieczeństwa, ochrony danych osobowych i prywatności, Komisja opublikowała szereg dokumentów, które umożliwią bezpieczne i efektywne wykorzystywanie nowoczesnej technologii m.in. do stopniowego znoszenia obostrzeń i izolacji osób zakażonych koronawirusem.

Inicjatywy KE w obszarze wykorzystania danych mobilnych i danych o lokalizacji do walki z COVID-19:

• 23 marca – KE wraz z operatorami telefonii komórkowej ze wszystkich państw członkowskich ustaliła, że zanonimizowane dane użytkowników będą przekazywane, a następnie przetwarzane przez Wspólne Centrum Badawcze (JRC)*.
• 8 kwietnia – KE wydała zalecenie i rekomendacje opisujące procedurę przyjęcia przez państwa członkowskie wspólnego podejścia do aplikacji mobilnych i danych o lokalizacji, a także określiła kluczowe zasady wykorzystania technologii mobilnych do walki z COVID-19 [1].
• 16 kwietnia – KE przy współpracy z państwami członkowskimi opublikowała wspólny zestaw instrumentów ułatwiających stosowanie nowych technologii do ustalania kontaktów zakaźnych i generowania ostrzeżeń [2].
• 16 kwietnia – KE opublikowała wytyczne w sprawie ochrony danych osobowych dla aplikacji mobilnych, które wspierają walkę z koronawirusem. KE wraz z Europejską Radę Ochrony Danych opracowała wytyczne, które mają zagwarantować bezpieczeństwo i ochronę prywatności użytkowników [3].

Zalecenie Komisji (UE) 2020/518 w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności z 8 kwietnia 2020 r.

Zdaniem KE, narzędzia cyfrowe, a zwłaszcza aplikacje mobilne i dane o lokalizacji umożliwią bezpieczne i stopniowe znoszenie środków ograniczających rozprzestrzenianie się COVID-19 w UE. Jak zaznacza Komisja, wykorzystanie nowych technologii w walce z pandemią musi być skoordynowane zarówno na poziome UE, jak i państw członkowskich oraz zgodne z unijnymi wartościami i przepisami dotyczącymi ochrony danych osobowych.

Wydane zalecenia opisują procedurę przyjęcia przez państwa członkowskie zestawu instrumentów, który koncentruje się na pilnym opracowaniu:

• unijnego podejścia do wykorzystania aplikacji mobilnych;
• unijnego podejścia do wykorzystania danych mobilnych dotyczących lokalizacji użytkowników.

Opracowanie wspólnego podejścia do wykorzystania aplikacji mobilnych ma zwiększyć poziom bezpieczeństwa obywateli UE. Zdaniem KE aplikacje mobilne służące do ostrzegania, zapobiegania i ustalania kontaktów osób zakażonych COVID-19 będą bardzo pomocne w ograniczeniu rozprzestrzeniania się koronawirusa w UE. Zaletą aplikacji jest znacznie większa efektywność w ustalaniu kontaktów zakaźnych w porównaniu z tradycyjnym systemem opartym na przeprowadzeniu wywiadu z osobą zakażoną. Aplikacje muszą być jednak zgodne z ogólnym rozporządzeniem o ochronie danych (RODO) i dyrektywą o prywatności i łączności elektronicznej. Ma to zagwarantować wiarygodność i prawidłowe działanie aplikacji w całej UE. Skuteczność działania aplikacji w dużym stopniu będzie opierała się na zaufaniu społeczeństwa. Jeśli użytkownicy będą pewni, że aplikacja jest bezpieczna będą z niej korzystać na masową skalę.  KE podkreśla, że zapewnienie ochrony danych osobowych i ograniczenie ryzyka inwigilacji przy korzystaniu z aplikacji mobilnych związanych z COVID-19 jest priorytetem

Opracowanie wspólnego podejścia do wykorzystania danych mobilnych dotyczących lokalizacji użytkowników pozwoli także skuteczniej modelować i prognozować rozwój pandemii COVID-19 na obszarze UE. Warto podkreślić, że już 23 marca 2020 r. KE rozpoczęła rozmowy z operatorami telefonii komórkowej wszystkich państw członkowskich. Zgodnie z ustaleniami, dane dotyczące lokalizacji użytkowników będą przekazywane i przetwarzane przez Wspólne Centrum Badawcze (JRC). Zanonimizowane i zagregowane dane posłużą do przygotowania analizy wzorców mobilności. Badanie to pozwoli na ocenę wpływu środków zapewniających izolację, intensywność kontaktów z innymi ludźmi i ryzyko zakażenia w danym obszarze geograficznym. KE podkreśla, że dane będą przechowywane w czasie trwania kryzysu wywołanego przez pandemię COVID-19 i nie będą udostępniane innym podmiotom.

KE wskazuje, że opracowanie wspólnego unijnego podejścia w odniesieniu do aplikacji mobilnych związanych z COVID-19 jest priorytetem zarówno dla KE i państw członkowskich. Termin na opracowanie wspólnego zestawu narzędzi upłynął 15 kwietnia 2020 r.

Unijny zestaw instrumentów ułatwiających stosowanie aplikacji mobilnych do ustalania kontaktów zakaźnych i generowania ostrzeżeń, eHealth Network Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States z 16 kwietnia 2020 r.

Wraz z państwami członkowskimi, Komisja przygotowała zestaw instrumentów uławiających stosowanie aplikacji mobilnych do ustalania kontaktów zakaźnych. Zdaniem KE, tego rodzaju aplikacje mogą ułatwić zarządzanie kryzysem w UE spowodowanym przez pandemię COVID-19. Aplikacje mobilne służące do ustalania kontaktów zakaźnych mogą uzupełniać dotychczas stosowane metody, a także pomagać przerywać łańcuch zakażeń koronawirusem. KE zwraca uwagę, że wykorzystanie danych mobilnych będzie szczególnie przydatne podczas opracowywania strategii wychodzenia z kryzysu i bardziej efektywnego zarządzania obostrzeniami. Przyjęty zestaw instrumentów został opracowany przez sieć e-zdrowie. Toolbox określa następujące wymagania dotyczące aplikacji do ustalania kontaktów zakaźnych i aplikacji ostrzegających o zagrożeniu epidemiologicznym:

– bezpieczne i zgodne z unijnymi przepisami dotyczącymi ochrony danych i prywatności,

– zatwierdzone i wprowadzone do użytku za zgodą organów ds. zdrowia publicznego,

– instalowane dobrowolnie,

– wykorzystujące funkcję Bluetooth do wykrywania innych urządzeń i użytkowników, a nie funkcję śledzenia lokalizacji,

– ostrzegające o zagrożeniu w sposób zanonimizowany, np. przez komunikat sugerujący wykonanie testu na obecność COVID-19 z powodu przebywania w bliskiej odległości z osobą zakażoną, bez ujawniania jej tożsamości,

– interoperacyjne i współpracujące z innymi aplikacjami tego typu, które działają w UE,

– dezaktywowane w momencie, w którym zostanie ogłoszone opanowanie pandemii COVID-19;

Komunikat (2020/C124I/01) wytyczne w sprawie ochrony danych osobowych dla aplikacji mobilnych wspierających walkę z koronawirusem z 16 kwietnia 2020r.

W zestawie instrumentów opublikowanych przez KE znalazł się również komunikat opisujący wytyczne dotyczące aplikacji pomocnych w walce z pandemią COVID-19 w odniesieniu do ochrony danych osobowych. Zgodnie z zaleceniem KE, aplikacje pomocne w walce z pandemią powinny być bezpieczne i gwarantować użytkownikom ochronę prywatności. Użytkownicy muszą mieć pewność, że te aplikacje będą służyły wyłącznie ograniczeniu rozpowszechniania COVID-19 a nie inwigilacji społeczeństwa. Wytyczne uwzględniają doświadczenia Europejskiej Rady Ochrony Danych i odnoszą się do wszystkich dobrowolnie pobranych, zainstalowanych i wykorzystywanych aplikacji, które:

– dostarczają rzetelnych informacji o pandemii COVID-19,

– umożliwiają weryfikację objawów za pomocą kwestionariusza do samodzielnej diagnozy,

– ostrzegają o osobach zakażonych, miejscach i obszarach, na których występuje zwiększone zagrożenie epidemiologiczne, a także informują o konieczności poddania się samoizolacji lub przeprowadzeniu testu na obecność COVID-19,

– służą do utrzymywania kontaktu z lekarzem (telemedycyna).

KE zwraca uwagę, że dane pochodzące z aplikacji weryfikującej objawy są przeznaczone dla publicznych organów zdrowia o, które będą mogły informować użytkowników o konieczności poddania się samoizolacji lub zgłoszenia się po pomoc medyczną. Z kolei funkcja ustalania kontaktów zakaźnych w szybki sposób pozwoli identyfikować i izolować osoby zakażone. Według KE gromadzone w ten sposób dane pozwolą nie tylko na bardziej efektywną walkę z COVID-19, a także umożliwią lepsze zrozumienie sposobu rozprzestrzeniania się koronawirusa. Jednocześnie KE podkreśla, że aplikacje zbierające dane powinny spełniać szeroki zakres praw podstawowych Unii Europejskiej, takich jak poszanowanie godności ludzkiej, prywatności i życia rodzinnego, niedyskryminacja czy też ochrona danych osobowych. W opublikowanym dokumencie KE zawarła wytyczne, które mają na celu zapewnienie pełnej zgodności aplikacji z przepisami UE w obszarze ochrony prywatności. Kluczową kwestią jest określenie instytucji, która będzie pełniła rolę administratora danych. KE zaleca, aby tę rolę pełniły krajowe organy ds. zdrowia lub podmioty, które realizują zadania w dziedzinie zdrowia w interesie publicznym. KE podkreśla także , że wszystkie dane osobowe uzyskane za pośrednictwem urządzeń mobilnych będą chronione na mocy RODO. Natomiast dane dotyczące zdrowia użytkowników i powiązane z lokalizacją użytkowników będą dodatkowo chronione na mocy dyrektywy o prywatności i łączności elektronicznej. KE zaznacza, że dane nieosobowe, do których należą dane nieodwracalnie zanonimizowane nie będą chronione na mocy RODO. Zgodnie z wytycznymi administrator danych będzie przetwarzał tylko te dane, które są adekwatne, stosowne i niezbędne do zapewnienia funkcji informacyjnej. KE również, aby dane pochodzące z aplikacji mobilnych były przechowywane na urządzeniu końcowym użytkownika w zaszyfrowanej formie.

Przy wsparciu KE państwa członkowskie prowadzą obecnie ocenę skuteczności i bezpieczeństwa  wprowadzonych rozwiązań technologicznych w walce z COVID-19. Zgodnie z zaleceniem, do 31 maja 2020 r. należy przedłożyć sprawozdania z podjętych działań oraz udostępnić informacje o postępach we wdrażaniu zaleceń innym państwom członkowskim. Komisja zapowiedziała, że w czerwcu dokona oceny działań poszczególnych państw członkowskich i zdecyduje, które działania mają być kontynuowane, a które wycofane.

Podsumowanie:

• W związku z kryzysem wywołanym przez COVID-19 Komisja Europejska podejmuje intensywne działania mające na celu ograniczenie rozwoju pandemii i stopniowe znoszenie środków ograniczających rozprzestrzenianie się koronawirusa w Unii Europejskiej.
• 23 marca KE wraz z operatorami telefonii komórkowej uzgodniła, że dane pochodzące z aplikacji mobilnych służących do ograniczenia rozwój pandemii będą przekazywane do Wspólnego Centrum Badawczego (JRC).
• 8 kwietnia KE opublikowała zalecenie i rekomendacje, które odnoszą się do opracowania unijnego podejścia do wykorzystania technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19.
• 16 kwietnia KE opublikowała unijny zestaw instrumentów ułatwiających stosowanie aplikacji mobilnych do ustalania kontaktów zakaźnych i generowania ostrzeżeń, a także wytyczne w sprawie ochrony danych osobowych i prywatności dla aplikacji wspierających walkę z pandemią COVID-19.
• W czerwcu KE dokona oceny działań podejmowanych przez poszczególne państwa członkowskie i zadecyduje, które działania mają być kontynuowane, a które wycofane.

 *  Wspólne Centrum Badawcze (JRC) jest zapleczem badawczo-naukowym Komisji Europejskiej, które powstało w 1957 r. Misją JRC jest wspieranie polityk europejskich poprzez prowadzenie niezależnych badań naukowych w kluczowych dla UE obszarach. Wyniki prowadzonych prac mają bezpośredni wpływ na życie obywateli UE.

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587153139410&uri=CELEX:32020H0518

[2] https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

[3] https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587141168991&uri=CELEX:52020XC0417(08)