W połowie kwietnia Komisja Europejska opublikowała dokumenty określające unijny zestaw instrumentów opracowanych na potrzeby aplikacji mobilnych, które ułatwiają ustalanie kontaktów zakaźnych w ramach unijnej walki z epidemią COVID-19. Wśród nich znajdują się wytyczne mające zapewnić pełne przestrzeganie standardów ochrony danych w przypadku wykorzystywania aplikacji mobilnych pomocnych w walce z pandemią. Jest to element mający wspierać znoszenie środków izolacji zastosowanych w krajach UE.

Kliknij, aby powiekszyć fot. Jakub Jirsák - Fotolia.com Aplikacje mobilne w walce z COVID-19 a ochrona danych KE opublikowała wytyczne mające zapewnić pełne przestrzeganie standardów ochrony danych w przypadku wykorzystywania aplikacji mobilnych pomocnych w walce z pandemią.

Jakkolwiek przymusowość aplikacji w przypadku egzekwowania kwarantanny zgodnie z wytycznymi KE jest zrozumiała, tak już koncepcja co do treści i formy składanego oświadczenia pod rygorem odpowiedzialności karnej budzi pewne wątpliwości. Szczególnie w sytuacji, związanej ze zwolnieniem z obowiązku instalacji aplikacji. Wątpliwości dotyczą szczególnie sposobu weryfikacji stanu faktycznego objętego oświadczeniem – jak określić, czy ktoś posiada wystarczające środki techniczne i umiejętności by korzystać z aplikacji. Problematyczne mogą okazać się w praktyce kwestie związane z dostępem do sieci telefonii komórkowej czy Internetu, usterki podczas używania aplikacji czy zwykła usprawiedliwiona niewiedza użytkowników w zakresie technologii. Szczególnie warto wziąć pod uwagę sytuację osób starszych, które jeśli posiadają smartfona, to pod rygorem odpowiedzialności karnej, mają obowiązek obsługi aplikacji – komentuje mec. Agata Jaczyńska, adwokat w kancelarii Chałas i Wspólnicy.

Instalacja aplikacji nie jest też równoznaczna z bezpośrednio wyrażoną zgodą na dalsze przetwarzanie danych osobowych osób objętych kwarantanną, jeśli przekazanie nie ma związku z celem, jakim jest kontrola przestrzegania kwarantanny czy monitorowanie stanu epidemii. W razie przekazania danych kolejnym podmiotom do innych celów niż podejmowanych w interesie publicznym, czyli niezwiązanych z monitorowaniem rozwoju epidemii czy egzekwowaniem przestrzegania obowiązku kwarantanny, osoby te powinny zostać uprzednio poinformowane o dalszym przekazaniu, łącznie ze wskazaniem celu przekazania danych. Przekazanie w takim wypadku danych podmiotom prywatnym opierać się będzie na zasadach wskazanych w ogólnym rozporządzeniu RODO – dodaje mec. Jaczyńska.

Technologie, które już zostały zastosowane w poszczególnych krajach UE, znalazły się w aneksie IV do unijnego zestawu instrumentów.Warto zwrócić uwagę na przytoczone we wnioskach wyniki badań Oxford University oraz dane z Singapuru, z których wynika, że aby aplikacje były skuteczne, musi je zainstalować 60-75% społeczeństwa. Aplikacje powinny działać w całej UE, wymagają posiadania smartfona i mają się opierać na swobodzie decyzji, co do ich pobrania. Mają też spełniać wymogi ochrony danych osobowych i prywatności oraz być instalowane tylko czasowo. Po zakończeniu korzystania przez daną osobę z aplikacji jej dane powinny zostać usuwane.Podstawowe funkcje aplikacji to kontrolowanie kontaktów z ryzykiem zakażenia za pomocą funkcji bluetooth, ale bez funkcji śledzenia oraz ostrzeganie w razie powstania ryzyka zakażenia wskutek ustalonego kontaktu. Aplikacje mogą też informować o konieczności wykonania testu i poddania się izolacji, ale bez podawania danych osoby, z którą kontakt spowodował ryzyko zakażenia.Wprowadzane aplikacje mobilne mają być zgodne przede wszystkim z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO) oraz z Dyrektywą o Prywatności i Łączności Elektronicznej.Jak wynika ze specustawy w sprawie COVID-19, w Polsce wprowadzono obowiązek instalowania aplikacji mobilnych przez osoby znajdujące się na 14 dniowej kwarantannie. Z tego obowiązku zostały zwolnione osoby z dysfunkcją wzroku (niewidzące lub niedowidzące) oraz osoby, które złożyły oświadczenie, że nie są abonentem lub użytkownikiem sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie wspomnianego oprogramowania. Aby zostać zwolnionym z opisanego obowiązku, należy złożyć wobec policji lub państwowej inspekcji sanitarnej oświadczenie pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia. Oświadczenie może być również złożone za pośrednictwem poczty elektronicznej.Aplikacja wymaga zrobienia selfie kilka razy dziennie w celu identyfikacji twarzy użytkownika i miejsca jego przebywania. Telefon ma być nierozładowany, dzwonek niewyciszony i trzeba sprawdzać SMSy. Wspomniane wytyczne KE, które nakazują, aby tego typu aplikacje były dobrowolne, nie dotyczą aplikacji mobilnych stosowanych w celu egzekwowania przestrzegania obowiązku kwarantanny jak i aplikacji przymusowych.Podobnie samo rozporządzenie RODO stanowi, że zgodne z prawem będzie przetwarzanie, które opiera się o przepisy obowiązującego prawa, lub może służyć zarówno ważnemu interesowi publicznemu (w tym w dziedzinie zdrowia) jak i żywotnym interesom osoby, której dane dotyczą. Na przykład, gdy przetwarzanie jest niezbędne do celów humanitarnych (w tym monitorowania epidemii) lub w nadzwyczajnych sytuacjach humanitarnych (w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka).Co do zasady niedopuszczalne będzie przekazanie danych osobowych osób będących na przymusowej kwarantannie do innych celów niż związanych z przeciwdziałaniem epidemii z zastrzeżeniem jednak, że analiza danego przypadku przeprowadzona na postawie art. 6 ust. 4 rozporządzenia RODO nie wykaże zgodności z prawem takiego udostępnienia.Przepis ten dość ogólnie stanowi, że dalsze udostępnienie bez przepisu prawa, jak i bez zgody, może jednak mieć miejsce, jeśli zostanie to uzasadnione po rozważeniu związku celu tego dalszego przekazania ze związkiem celu pierwotnego zebrania danych, kontekstu zebrania danych, charakteru danych, konsekwencji dalszego udostępnienia i rodzaju zabezpieczeń.Dopiero w razie dalszego przekazania danych osobowych pozyskanych w związku z korzystaniem z aplikacji służącej walce z epidemią, bez zgody danej osoby, i po wykluczeniu, że przekazanie to jednak było zgodne z prawem (według art. 6 ust. 4 rozporządzenia RODO) danej osobie przysługiwało będzie powództwo o ochronę jej roszczeń powstałych w związku z naruszeniem jej dóbr osobistych.