Veiledning om personvern i forbindelse med covid-19-mobilapplikasjoner
Veiledning med pressemelding lagt fram av Kommisjonen 17.4.2020
Nærmere omtale
BAKGRUNN (fra Kommisjonens pressemelding 17.4.2020)
Coronavirus: Vejledning skal sikre, at apps til bekæmpelse af pandemien fuldt ud overholder databeskyttelsesstandarder
Europa-Kommissionen har i dag offentliggjort en vejledning om databeskyttelse i forbindelse med udviklingen af nye apps, der anvendes i kampen mod coronavirusset. Udviklingen af sådanne apps og borgernes anvendelse af dem kan få stor indvirkning på behandlingen mod virusset og spille en vigtig rolle i strategien for ophævelsen af inddæmningstiltag ved at supplere andre foranstaltninger såsom øget testkapacitet. Det er dog vigtigt at sikre, at EU-borgere kan stole fuldstændigt på sådanne innovative digitale løsninger og tage dem til sig uden frygt. For at udnytte sporings-appsenes fulde potentiale er det nødvendigt, at flest mulige EU-borgere deltager.
EU-reglerne, navnlig den generelle forordning om databeskyttelse (GDPR) og e-beskyttelsesdirektivet, giver den bedste garanti for tillid (dvs. en tilgang, der beror på frivillig anvendelse, dataminimering og tidsbegrænsning) for at opnå en bred og nøjagtig anvendelse af sådanne apps. Vejledningen har til formål at skabe de rammer, der er nødvendige for at sikre tilstrækkelig beskyttelse af borgernes personoplysninger og begrænse indtrængen, mens denne type apps anvendes. Det Europæiske Databeskyttelsesråd blev hørt i forbindelse med udkastet til vejledningen. Ved at anvende disse standarder kan sådanne værktøjers fulde effektivitet og overholdelse af reglerne sikres — også i krisetider.
Næstformand med ansvar for værdier og gennemsigtighed, Věra Jourová, udtaler: "Dette er den første verdensomspændende krise, hvor vi kan udnytte teknologiens muligheder fuldt ud til at tilbyde effektive løsninger og støtte strategier for at komme ud af pandemien. Europæernes tillid vil være nøglen til succes for sporings-appsene. Overholdelse af EU's databeskyttelsesregler vil bidrage til at sikre, at beskyttelsen af privatlivets fred og de grundlæggende rettigheder vil blive opretholdt, og at den europæiske tilgang vil være gennemsigtig og forholdsmæssig."
Kommissær med ansvar for retlige anliggender, Didier Reynders, udtaler: "Anvendelsen af apps på mobiltelefoner kan være en stor hjælp i kampen mod coronavirus, fordi de bl.a. kan hjælpe brugerne med at diagnosticere sig selv, fungere som en sikker kommunikationskanal mellem læger og patienter, advare brugere, der er i risiko for at blive smittet med virusset, og hjælpe os med at ophæve isolationsforanstaltningerne. Det er dog meget følsomme oplysninger om borgernes helbred, der indsamles, og vi er derfor forpligtede til at beskytte dem. Vores vejledning bidrager til en sikker udvikling af apps og beskytter vores borgeres personoplysninger i overensstemmelse med EU's strenge databeskyttelsesregler. Vi vil komme ud af sundhedskrisen med vores grundlæggende rettigheder i behold."
[video}
Vejledningen kommer i forlængelse af den nylige offentliggørelse af Kommissionens henstilling om en fælles EU-tilgang til anvendelse af mobilapplikationer og mobildata, og den supplerer EU's værktøjskasse med apps til kontaktsporing, som ligeledes er blevet offentliggjort i dag.
Hvilken type apps og funktioner er der tale om?
Vejledningen har fokus på frivillige apps med en eller flere af følgende funktioner:
• nøjagtige oplysninger til brugerne om coronaviruspandemien
• spørgeskemaer til egenvurdering og vejledning til enkeltpersoner (funktion til kontrol af symptomer)
• advarsler til personer, der har befundet sig i nærheden af en smittet person, således at de kan blive testet eller isolere sig selv (kontaktsporings- og advarselsfunktion) og
• et kommunikationsforum mellem patienter i selvisolation og læger, som bl.a. giver mulighed for yderligere diagnosticering og råd om behandling (telemedicin).
Vigtige forudsætninger for udviklingen af coronavirus-apps
• De nationale sundhedsmyndigheders rolle: Det skal fra starten af fastlægges klart, hvem der er ansvarlig for, at EU's databeskyttelsesregler overholdes. I betragtning af dataenes høje følsomhed og appsenes endelige formål finder Kommissionen, at de nationale sundhedsmyndigheder bør påtage sig denne rolle. De vil derfor være ansvarlige for at sikre, at de overholder GDPR, når de anvender indsamlede data, bl.a. ved at give enkeltpersoner alle nødvendige oplysninger om behandlingen af deres personoplysninger.
• Brugerne har fortsat fuld kontrol over deres personoplysninger: Det skal være frivilligt for brugerne at installere en app på deres enhed. En bruger skal kunne give et separat samtykke til hver enkelt funktion i en app. Hvis der anvendes nærhedsdata, skal de opbevares på enkeltpersonens enhed, og de må kun deles, hvis brugeren giver sit samtykke. Brugerne skal kunne udøve deres rettigheder i henhold til GDPR.
• Begrænset brug af personoplysninger: En app skal følge princippet om dataminimering, hvilket betyder, at der kun må behandles data, som er relevante for og begrænsede til det pågældende formål. Kommissionen anser ikke lokaliseringsdata for at være nødvendige for formålet med kontaktsporing, og den anbefaler, at der ikke anvendes lokaliseringsdata i denne forbindelse.
• Strenge betingelser for datalagring: Personoplysninger må ikke opbevares i længere tid end nødvendigt. Tidsfristerne bør fastsættes på grundlag af medicinsk relevans og den tid, det forventeligt vil tage at træffe de nødvendige administrative foranstaltninger.
• Datasikkerhed: Data skal opbevares på en enkeltpersons enhed og krypteres.
• Sikring af de behandlede datas nøjagtighed: Det er et krav i henhold til EU's regler om beskyttelse af personoplysninger, at enhver personoplysning, der behandles af tredjemand, skal være nøjagtig. For at sikre størst mulig nøjagtighed, som også er af afgørende betydning for effektiviteten af apps til kontaktsporing, bør teknologi som bluetooth anvendes for derved at give en mere nøjagtig vurdering af enkeltpersoners kontakt med hinanden.
• De nationale databeskyttelsesmyndigheders rolle: Databeskyttelsesmyndighederne bør fuldt ud inddrages og høres i forbindelse med udviklingen af apps og have til opgave at gennemgå udviklingen af dem.
Baggrund
Efter vedtagelsen af Kommissionens henstilling om en fælles EU-tilgang med henblik på at udnytte teknologi og data til at bekæmpe coronavirusset har medlemsstaterne i dag med støtte fra Kommissionen offentliggjort en EU-værktøjskasse med mobilapplikationer til kontaktsporing og varsling. For at sikre, at alle EU-borgeres data hele tiden beskyttes i overensstemmelse med EU's databeskyttelsesregler, supplerer denne vejledning værktøjskassen med rådgivning om udviklingen af nye apps og om de nationale sundhedsmyndigheders efterfølgende brug af data.