КАКВИ НАСОКИ ДАДЕ ЕВРОПЕЙСКАТА КОМИСИЯ НА СТРАНИТЕ-ЧЛЕНКИ ПРИ ИЗПОЛЗВАНЕ НА МОБИЛНИ ПРИЛОЖЕНИЯ, ПОДПОМАГАЩИ БОРБАТА С COVID-19:
Допустим обхват при събиране и обработване на лични данни чрез мобилни приложения.
NEWSLETTER
www.drp-legal.com
I. На 17.04.2020 г. Европейската Комисия публикува „Насоки за мобилните приложения, които подпомагат борбата с пандемията от COVID-19, във връзка със защитата на данните“[1].
1. От Съобщението е видно, че на 8 април 2020 г. Комисията („Комисията“ или „ЕК“) е приела препоръка относно общ инструментариум на Съюза за използване на технологии и данни за борба с кризата, породена от COVID-19, и за нейното преодоляване, и по-специално относно мобилните приложения и използването на анонимизирани данни за мобилността. Целта на препоръката е, наред с другото, да се разработи общ европейски подход („инструментариум“) за използването на мобилни приложения, координиран на равнището на ЕС, с цел предоставяне на възможности на гражданите да предприемат ефективни мерки за социално дистанциране, както и с цел предупреждаване, превенция и проследяване на контактите, така че да се спомогне за ограничаване на разпространението на заболяването COVID-19. В препоръката се определят общите принципи, които следва да ръководят разработването на такъв инструментариум.
За да се осигури последователен подход в целия ЕС и за да се предоставят насоки на държавите членки и разработчиците на мобилни приложения, се посочват характеристиките и изискванията, на които приложенията следва да отговарят, за да се гарантира спазването на законодателството на ЕС в областта на неприкосновеността на личния живот и защитата на личните данни, и по-специално на Общия регламент относно защитата на данните (ОРЗД) и Директивата за правото на неприкосновеност на личния живот и електронните комуникации.
Насоките, издадени от ЕК се отнасят само до доброволните мобилни приложения, които подпомагат борбата с пандемията от COVID-19 (т.е. които са изтеглени, инсталирани и използвани на доброволни начала от физически лица), разполагащи с една или повече от следните функции:
- предоставяне на лицата на точна информация за пандемията от COVID-19;
- предоставяне на лицата на въпросници за самооценка и за насоки (функция за проверка на симптомите;
- известяване на лицата, които за определено време са се намирали в близост до заразено лице, за да им се предостави информация, като например дали да се поставят сами под карантина и къде да бъдат изследвани (функция за проследяване на контактите и за предупреждение);
- осигуряване на форум за комуникация между самоизолиралите се пациенти и лекари или за поставяне на допълнителна диагноза и предоставяне на съвети за лечение (по-голямо използване на телемедицина).
Като се има предвид чувствителността на разглежданите лични данни и целта на обработката на данните, описано по-долу, Комисията е на мнение, че мобилните приложения следва да бъдат замислени по такъв начин, че администратори на данните да бъдат националните здравни органи (или субектите, изпълняващи задачи от обществен интерес в областта на здравеопазването). Администраторите отговарят за спазването на ОРЗД (принцип на отчетност).
Обхватът на този достъп следва да бъде ограничен въз основа на принципите, описани в раздел Г) по-долу.
А) Гарантиране, че ползвателите запазват контрол
За да се гарантира това, Комисията счита, че следва да бъдат изпълнени по-специално следните условия:
- инсталирането на мобилното приложение на тяхното устройство следва да бъде доброволно и без никакви отрицателни последици за лицето, което решава да не изтегля/използва приложението;
- различните функции на мобилното приложение (напр. информационните, за проверка на симптомите, проследяване на контактите и предупреждение) следва да не бъдат групирани, така че лицето да може да даде конкретното си съгласието за всяка една от тях. Това не следва да пречи на ползвателя да комбинира различни функции на приложението, ако доставчикът предлага тази възможност;
- ако се използват данни за хора и обекти в непосредствена близост (данни, генерирани от обмена на сигнали чрез Bluetooth Low Energy (BLE) между устройства, които се намират на епидемиологично значимо разстояние и в епидемиологично значим момент), те следва да се съхраняват върху устройството на лицето. Ако тези данни трябва да бъдат споделени със здравните органи, те следва да се споделят само след като бъде потвърдено, че засегнатото лице е заразено с COVID-19, и при условие че то реши да направи това;
- здравните органи следва да предоставят на лицето цялата необходима информация, свързана с обработването на неговите лични данни (в съответствие с членове 12 и 13 от ОРЗД и член 5 от Директивата за правото на неприкосновеност на личния живот);
- лицето следва да може да упражнява правата си съгласно ОРЗД (по-специално, за достъп, коригиране, заличаване). Всяко ограничаване на правата съгласно ОРЗД и Директивата за правото на неприкосновеност на личния живот следва да бъде в съответствие с тези актове и да бъде необходимо, пропорционално и предвидено в законодателството;
- мобилните приложения следва да бъдат дезактивирани най-късно, когато бъде обявено, че пандемията е под контрол; дезактивирането не следва да зависи от това ползвателят сам да деинсталира приложението.
Б) Правно основание за обработването
Инсталиране на мобилните приложения и съхраняване на информация върху устройството на
ползвателя.
Съхраняването на информация върху устройството на ползвателя или получаването на достъп до вече съхранената информация се допуска само ако:
i. ползвателят е дал съгласието си;
ii. съхранението и/или достъпът е строго необходим за услугата на информационното общество (например приложението), изрично поискана (т.е. инсталирана и активирана) от ползвателя.
Съхраняването на информацията върху устройството на лицето и получаването на достъп до информацията, която вече се съхранява на това устройство, обикновено са необходими за функционирането на мобилните приложения. Освен това за функцията за проследяване на контакти и предупреждение е необходимо върху устройството на потребителя да бъде съхранявана друга информация (като например краткотрайни, периодично променящи се псевдоними идентификатори на ползвателите на тази функция, намиращи се в непосредствена близост). Освен това за тази функция може да е необходимо (заразеният или вероятно заразен) ползвател да качва данни за хора и обекти в непосредствена близост. Това качване не е необходимо за функционирането на самото приложение. Поради това не са спазени изискванията за вариант (ii), посочени в предходния параграф. По тази причина вариантът със съгласието (i) по-горе, остава най-подходящото основание за съответните дейности. Това съгласие следва да бъде „свободно изразено“, „конкретно“, „изрично“ и „информирано“ по смисъла на ОРЗД. То следва да бъде изразено чрез ясно утвърдително действие от страна на лицето; това изключва мълчаливите форми на съгласие (например мълчание; бездействие).
В) Свеждане на данните до минимум
Получените чрез устройствата данни и вече съхранявани в тези устройства преди това са защитени, както следва:
- Като „лични данни“, т.е. всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице (член 4, параграф 1 от ОРЗД), те са защитени по ОРЗД. Данните за здравословното състояние се ползват с допълнителна защита (член 9 от ОРЗД).
- Като „данни за местоположението“, т.е. данни, обработени в електронна съобщителна мрежа или чрез електронна съобщителна услуга, указващи географското местоположение на крайното оборудване на ползвателя, са защитени по силата на Директивата за правото на неприкосновеност на личния живот и електронни комуникации (член 5, параграф 1, членове 6 и 9) (11),
- Всяка информация, съхранявана в крайното оборудване на ползвателя, и до която се осъществява достъп от това оборудване, е защитена съгласно член 5, параграф 3 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации.
Неличните данни (като например необратимо анонимизираните данни) не са защитени съгласно ОРЗД, тъй като не попадат в обхвата му.
Комисията припомня, че принципът за свеждане на данните до минимум изисква да могат да се обработват само лични данни, които са адекватни, уместни и ограничени до необходимото за целта. Оценка на необходимостта от обработване на личните данни и на уместния характер на тези лични данни следва да се извършва с оглед на преследваната(ите) цел(и).
Комисията отбелязва, че например, ако целта на функцията е проверка на симптомите или телемедицина, за тези цели не се изисква достъп до списъка с данни за контакт на лицето, което притежава устройството.
Генерирането и обработването на по-малко данни ограничават рисковете за сигурността. Поради това спазването на мерките за свеждане на данните до минимум осигурява и гаранции за сигурността.
Информационна функция:
Мобилно приложение само с тази функция няма нужда да обработва здравни данни на физически лица. То просто ще им предостави информация. За да се изпълни тази цел, не може да се обработва информация, съхранявана в крайното оборудване на ползвателя, и до която се осъществява достъп от това оборудване, различна от необходимото за предоставяне на информацията.
Функции за проверка на симптомите и за телемедицина:
Ако мобилното приложение включва една или две от тези функции, то ще обработва лични здравни данни. Поради това в приложимото законодателство за здравните органи следва да бъде посочен списък с данни, които могат да бъдат обработвани.
Освен това здравните органи могат да се нуждаят от телефонните номера на лицата, които са използвали проверката на симптомите и са качили резултатите. Информацията, информация, съхранявана в крайното оборудване на ползвателя, и до която се осъществява достъп от това оборудване, може да се обработва само дотолкова, доколкото това е необходимо, за да може приложението да изпълнява своята цел и да функционира.
Функция за проследяване на контактите и предупреждение:
По-голямата част от инфекциите с COVID-19 се извършват чрез капчици, които изминават само ограничено разстояние. Възможно най-бързото идентифициране на лицата, които са били в близост до заразено лице, е ключов фактор за прекъсване на веригата на заразяване. Установяването на близостта е функция от разстоянието и продължителността на контакта и следва да се извършва от епидемиологична гледна точка. Прекъсването на веригата на заразяване е от особено значение, за да се избегне възобновяване на инфекциите на етапа на излизане от кризата.
За тази цел може да са необходими данни за хора и обекти в непосредствена близост. За измерване на близостта и тесните контакти технологията Bluetooth Low Energy (BLE) за контакти между устройствата изглежда по-точна и следователно по-подходяща от използването на данни за географското позициониране (GNSS/GPS или данни за местоположението на клетките). BLE избягва възможността за проследяване (обратно на данните за географското позициониране). Поради това Комисията препоръчва използването на данни от съобщенията BLE (или данни, генерирани от еквивалентни технологии), за да се определи близостта. Данните за местоположението не са необходими за целите на функциите за проследяване на контактите, тъй като тяхната цел не е проследяване на движението на лица или прилагане на предписания. Освен това обработването на данни за местоположението в контекста на проследяването на контактите би било трудно за обосноваване с оглед на принципа за свеждане до минимум на данните и може да създаде проблеми по отношение на сигурността и неприкосновеността на личния живот. Поради тази причина Комисията препоръчва в този контекст да не се използват данни за местоположението.
Независимо от използваните технически средства за определяне на близостта, не е необходимо да се съхранява информация за точния момент на контакта или за мястото на осъществяването му (ако е налице). Въпреки това може да е от полза да се съхранява денят на осъществяване на контакта, за да се знае дали контактът е бил осъществен, когато лицето е проявило симптоми (или 48 часа преди това), и да се дадат насоки за последващото съобщение със съвети за това колко дълго време да се подложи само на карантина.
Данните за хора и обекти в непосредствена близост следва да се генерират и обработват само ако съществува реален риск от заразяване (в зависимост от близостта и продължителността на контакта).
Следва да се отбележи, че поради това необходимостта и пропорционалността на събирането на данни ще зависят от фактори, като например степента, до която са налични съоръжения за тестване, по-специално когато вече са били постановени мерки за изолация. Предупреждаването на лица, които са били в близък контакт със заразено лице, може да бъде направено по два начина:
Съгласно първия подход се подава автоматично сигнал за предупреждение чрез приложението към лицата, които са били в близък контакт, когато ползвател изпрати уведомление в приложението — с одобрението или потвърждението от здравния орган, например чрез код QR или TAN — че ползвателят е с положителен резултат от тест (децентрализирана обработка). Препоръчително е съдържанието на съобщението за предупреждение да бъде определено от здравния орган. При втория подход произволните временни идентификатори се съхраняват на бекенд сървър на здравния орган (решение с бекенд сървър). Ползвателите не могат да бъдат пряко идентифицирани чрез тези данни. Чрез идентификаторите ползвателите, които са били в близък контакт с ползвател с положителен резултат от тест, получават предупреждение на устройството си. Ако здравните органи желаят да се свържат с ползвателите, които са били в тесен контакт със заразено лице и чрез телефон или SMS, те се нуждаят от съгласието на тези ползватели да предоставят телефонните си номера.
Г) Ограничаване на оповестяването/достъпа до данни
Информационна функция:
Никаква информация, съхранявана в крайното оборудване, и до която се осъществява достъп от това оборудване, не може да бъде споделяна със здравните органи, освен тази, която е необходима, за да се поддържа информационната функция. Тъй като тази функция предвижда само средствата за комуникация, здравният орган няма да получи достъп до никакви други данни.
Функции за проверка на симптомите и за телемедицина:
Функцията за проверка на симптомите може да е от полза за държавите членки, за да насочват гражданите относно това дали трябва да бъдат тествани, да предоставят информация за изолацията и за това кога и как да се получи достъп до здравно обслужване, особено за рисковите групи. Тази функция може също така да допълни наблюдението на първичните здравни грижи и да спомогне да се установи какви са нивата на заразяване с COVID-19 на населението. Поради това може да бъде решено, че отговорните здравни органи и националните епидемиологични органи следва да получат достъп до информацията, предоставена от пациента. ECDC може да получава обобщени данни от националните органи за епидемиологично наблюдение.
Ако се избере да се даде възможност за контакт със здравни служители, а не само чрез самото приложение, след това е необходимо също да се съобщят на националните здравни органи телефонните номера на ползвателите на мобилните приложения.
Функция за проследяване на контактите и предупреждаване:
- Данни за заразеното лице
Приложенията генерират псевдослучайни краткотрайни и периодично променящи се идентификатори на телефоните, които са в контакт с потребителя. Един от вариантите е идентификаторите да бъдат съхранявани на устройството на потребителя (т.нар. децентрализирана обработка). Друг вариант може да предвижда тези произволни идентификатори да се съхраняват на сървъра, до който имат достъп здравните органи (т.нар. решение, основаващо се на бекенд сървър). Децентрализираното решение съответства в по-голяма степен на принципа на свеждане на данните до минимум. Достъпът на здравните органи до данни от устройството на заразено лице следва да бъде ограничен само до данни за хора и обекти в непосредствена близост, така че здравните органи да бъдат в състояние да се свържат с хора, изложени на риск от инфекция.
Тези данни ще бъдат на разположение на здравните органи едва след като заразеното лице (след като е било подложено на тест) проактивно ги сподели с тях.
Заразеното лице не следва да получава информация за самоличността на лицата, с които е било в контакт от потенциално епидемиологично значение и които ще бъдат предупредени.
- Данни на лицата, които са били в (епидемиологичен) контакт със заразеното лице.
Самоличността на заразеното лице не следва да бъде разкривана на лицата, с които то е било в епидемиологичен контакт. Достатъчно е да им се съобщи фактът, че през последните 16 дни са били в епидемиологичен контакт със заразено лице. Както е посочено по-горе, не следва да се съхраняват данни за времето и мястото на такива контакти. Следователно предаването на такива данни нито е необходимо, нито е възможно.
За проследяване на епидемиологичните контакти на потребител на приложението, за когото е установено, че е заразен, националните здравни органи следва да бъдат информирани само за идентификатора на лицето, с което заразеното лице е било в епидемиологичен контакт най-рано 48 часа преди началото на симптомите и най-късно 14 дни след това, въз основа на близостта и продължителността на контакта.
Д) Определяне на конкретните цели на обработването
Правното основание (правото на Съюза или правото на държава членка) следва да урежда целта на обработването. Целта следва да бъде конкретна и изрична, така че да няма съмнение относно това какъв вид лични данни е необходимо да бъдат обработвани, за да се постигне желаният резултат.
Точната цел(и) ще зависи(ят) от функциите на приложението. Може да има няколко цели за всяка функция на дадено приложение. За да предостави на лицата пълен контрол върху техните данни, Комисията препоръчва да не се обединяват различни функции. Във всеки случай лицето следва да има възможност да избира между различни функции, всяка от които преследва отделна цел.
Комисията препоръчва да не се използват данните, събрани при горепосочените условия, за други цели, различни от борбата срещу COVID-19. Ако са необходими научни изследвания и статистически данни, тези цели следва да бъдат включени в първоначалния списък с цели и да бъдат ясно съобщени на потребителите.
Информационна функция:
Целта на тази функция е предоставянето на информация от значение за здравните органи в контекста на кризата.
Функции за проверка на симптомите и за телемедицина:
Функцията за проверка на симптомите може да даде представа за това каква част от лицата, които съобщават за симптоми, съответстващи на заболяване от COVID-19, действително са заразени (например чрез вземане на натривка и тестване на всички или на произволен брой лица с такива симптоми, ако има възможност за това). При така определената цел трябва ясно да се посочи, че личните здравни данни ще бъдат обработвани с цел: i) да се даде възможност на ползвателя да оцени самостоятелно, въз основа на набор от въпроси, дали е проявил симптоми на COVID-19, или ii) да потърси медицински съвет, ако е проявил симптоми на COVID-19.
Функции за проследяване на контактите и предупреждаване:
Простото посочване на цел „предотвратяване на по-нататъшно заразяване с COVID-19“ не е достатъчно конкретно. В този случай Комисията препоръчва допълнително уточняване на целта(ите) в следната насока: „запазване на данни за лицата, които са били в контакт с ползватели на приложението и които може да са били изложени на инфекция с COVID-19, с цел да бъдат предупредени потенциално заразените лица“.
Е) Определяне на строги ограничения за съхранението на данните
Принципът на ограничение на съхранението изисква личните данни да не се съхраняват по-дълго от необходимото. Сроковете следва да се основават на медицинската значимост на данните (в зависимост от целта на приложението: инкубационен период и др.), както и на реалистичното време за извършването на административните действия, които може да бъдат необходими.
Функции за проследяване на контактите и предупреждаване:
Данните за хора и обекти в непосредствена близост следва да бъдат заличени веднага след като престанат да бъдат необходими за целите на предупреждаването. Такъв би бил случаят след максимум един месец (инкубационен период плюс марж) или след като лицето е било тествано и резултатът е отрицателен.
Данните следва да се съхраняват в устройството на ползвателя и само данните, които са съобщени от ползвателите и са необходими за изпълнение на целта, следва да бъдат качени на сървъра на разположение на здравните органи, когато е избрана тази опция (например качване на сървъра само на данни за лица, които са в „близък контакт“ с лице, което е показало положителен резултат за инфекция с COVID-19).
Ж) Гарантиране на сигурността на данните
Комисията препоръчва данните да се съхраняват върху крайното устройство на лицето в криптирана форма, като се използват най-съвременни криптографски техники. В случай че данните се съхраняват на централен сървър, следва да се регистрира достъпът, включително административният достъп.
Данните за хора и обекти в непосредствена близост следва да се генерират и съхраняват само на крайното устройство на лицето в криптиран и псевдонимизиран формат. С цел да се гарантира, че проследяването от трети страни е изключено, активирането на Bluetooth следва да бъде възможно, без да е необходимо да се активират други услуги за установяване на местоположението.
По време на събирането на данни за хора и обекти в непосредствена близост чрез BLE е за предпочитане да се създават и съхраняват временни потребителски идентификатори, които често се променят, вместо да се съхранява действителният идентификатор на устройството. Тази мярка осигурява допълнителна защита срещу подслушване и проследяване от хакери и поради това затруднява идентифицирането на лицата.
Комисията препоръчва изходният код на приложението да бъде оповестен публично и да бъде на разположение за преглед.
Може да се предвидят допълнителни мерки за гарантиране на сигурността на обработваните данни, по-специално чрез автоматично заличаване или анонимизиране на данните след определен период от време. Като цяло степента на сигурност следва да съответства на количеството и чувствителността на обработваните лични данни.
Всички данни, предавани от личното устройство до националните здравни органи, следва да бъдат криптирани.
Когато националното законодателство допуска по-нататъшно обработване на събраните лични данни за целите на научни изследвания, следва по принцип да се използва псевдонимизация.
З) Гарантиране на точността на данните
Гарантирането на точността на обработваните лични данни е не само предпоставка за ефективността на приложението, но е и изискване съгласно законодателството за защита на личните данни.
В този контекст, за да се сведе до минимум рискът от фалшиви положителни резултати, от съществено значение е да се гарантира точността на информацията относно това дали е налице контакт със заразеното лице (епидемиологична отдалеченост и продължителност). Това следва да включва сценарии, при които двама ползватели на приложението са в контакт на улицата, в обществения транспорт или в сграда. Малко вероятно е използването на данни за местоположението въз основа на мобилни мрежи да е достатъчно точно за тази цел.
Поради това е препоръчително да се използват технологии, позволяващи по-точна оценка на контактите (като например Bluetooth).
II. Европейският комитет по защита на данните прие Насоки № 4/2020 по „Защита на данните относно използването на данни за местонахождение и инструменти за проследяване на контакти в контекста на пандемията от COVID-19, приети на 21 април 2020 г.“[2]
1. Използване на данни за местонахождение
Източници на данни за местонахождение
Съществуват два основни източника на данни за местонахождение, които могат да се използват за моделиране на разпространението на вируса и за повишаване на общата ефективност на мерките за изолация:
- данните за местонахождение, събирани от доставчиците на електронни съобщителни услуги (например операторите на мобилни далекосъобщителни услуги) в контекста на предоставянето на техните услуги; и
- данните за местонахождение, събирани от приложенията на доставчиците на услуги на информационното общество, чието функциониране изисква използването на такива данни (например навигация, услуги за превоз и др.).
ЕКЗД припомня, че данните за местонахождение, събирани чрез доставчиците на електронни съобщителни услуги, могат да се обработват само в съответствие с членове 6 и 9 от Директивата.
Това означава, че тези данни могат да се предават на органите или на други трети страни само ако са анонимизирани от доставчика или — когато става въпрос за данни, указващи географското положение на крайното оборудване на ползвателя, които не представляват данни за трафик — само с предварителното съгласие на ползвателите.
По отношение на информацията, включително данните за местонахождение, събирани директно от крайното оборудване, се прилага член 5, параграф 3 от Директивата. По този начин съхраняването на информация в устройството на ползвателя или получаването на достъп до информация, вече съхранявана в неговото устройство, се позволява само ако:
- ползвателят е дал своето съгласие или;
- съхранението и/или достъпът са строго необходими за предоставяне на изрично поисканата от ползвателя услуга на информационното общество.
В съответствие с член 15 обаче са възможни дерогации от правата и задълженията, предвидени в Директивата, когато те представляват необходима, подходяща и пропорционална мярка в рамките на демократично общество за определени цели.
Що се отнася до повторното използване на данните за местонахождение, събирани от доставчик на услуга на информационното общество, за свързани с моделиране цели (например чрез операционната система или друго, инсталирано преди това приложение), трябва да бъдат изпълнени допълнителни условия. В действителност, когато данните са събрани в съответствие с член 5, параграф 3 от Директивата, по-нататъшното им обработване е възможно само с допълнителното съгласие на субекта на данни или въз основа на законодателен акт на Съюза или на държава членка, който представлява необходима и пропорционална мярка в рамките на демократично общество, за да се гарантират целите, посочени в член 23, параграф 1 от ОРЗД.
2. Акцент върху използването на анонимизирани данни за местонахождение
ЕКЗД подчертава, че при използването на данни за местонахождение следва винаги да се отдава предпочитание на обработването на анонимизирани, а не на лични данни.
Понятието за съгласие в Директивата е същото като понятието за съгласие в ОРЗД и трябва да отговаря на всички изисквания по отношение на съгласието, предвидени в член 4, параграф 11 и член 7 от ОРЗД.
Анонимизация означава използването на набор от техники, чрез които се елиминира възможността чрез „разумно вероятни“ усилия да се направи връзка между данните и физическо лице, което е идентифицирано или може да бъде идентифицирано. При тази „проверка за разумна вероятност“ трябва да се отчитат както обективните аспекти (време, технически средства), така и контекстуалните елементи, които могат да бъдат различни за всеки отделен случай (рядкост на дадено явление, като се отчита например гъстотата на населението, естеството и обемът на данните). Ако данните не преминат успешно през тази проверка, това ще означава, че те не са анонимизирани и следователно продължават да бъдат в обхвата на ОРЗД.
Оценката дали анонимизацията е надеждна зависи от три критерия: i) възможността за посочване (изолиране на физическо лице в рамките на по-голяма група въз основа на данните); ii) възможността за свързване (свързване на два записа, отнасящи се до едно и също лице); и iii) достигането до изводи (извеждане по дедуктивен път на неизвестна информация със значителна степен на вероятност относно физическо лице).
В много случаи понятието за анонимизация не се разбира правилно и често се бърка с псевдонимизация. Докато анонимизацията позволява данните да се използват без никакви ограничения, псевдонимизираните данни продължават да бъдат в обхвата на ОРЗД.
Съществуват много варианти за ефективна анонимизация, но при едно условие. Данните не е възможно да се анонимизират самостоятелно, което означава, че само цели набори от данни могат да се анонимизират или не. В този смисъл всяка намеса по отношение на отделен елемент от данни (чрез криптиране или други математически преобразувания) може в най-добрия случай да се счита за псевдонимизация.
Процесите на анонимизация и атаките за повторно установяване на самоличността представляват области, в които активно се извършват изследвания. От огромно значение за всеки администратор на данни, който прилага решения за анонимизация, е да следи най-новите развития в тази област, особено във връзка с данните за местонахождение (с произход от оператори на далекосъобщителни услуги и/или услуги на информационното общество), за които е известно, че са особено трудни за анонимизиране.
В действителност множество изследвания показват, че данните за местонахождение, които се считат за анонимизирани, всъщност може и да не са. За следите от мобилността на физическите лица е присъщо, че са уникални и с висока степен на корелация. Поради това при определени обстоятелства те могат да бъдат уязвими при опити за повторно установяване на самоличността.
Отделен елемент на данни, който проследява местонахождението на физическо лице в рамките на значителен период от време, не може да бъде анонимизиран напълно. Този извод може да остане валиден, ако прецизността на записваните географски координати не бъде понижена в достатъчна степен или ако се премахнат подробностите във връзка с маршрута и дори ако се запази само информацията за местата, където субектът на данни прекарва значителни периоди от време. Това важи и за данните за местонахождение, които не са агрегирани в достатъчна степен.
За да се постигне анонимизация, данните за местонахождение трябва да бъдат внимателно обработени, за да преминат успешно проверката за разумна вероятност. В този смисъл такова обработване включва отчитането на наборите с данни за местонахождение като цяло, както и обработване на данни от разумно голям набор от лица, като се използват наличните надеждни техники за анонимизация, при условие че те се прилагат по правилен и ефективен начин.
На последно място, с оглед на сложността на процесите за анонимизация е силно препоръчително да се осигури прозрачност по отношение на методологията за анонимизация.
3. Приложения за предоставяне на контакти
Общ правен анализ
Системното и мащабно наблюдение на местонахождението и/или контактите между физически лица представлява сериозно нарушение на неприкосновеността на личния им живот. То може да бъде легитимно само ако се основава на доброволното му приемане от потребителите за всяка от определените цели. По-специално това предполага, че лицата, които решат да не използват такива приложения или които не могат да ги използват, не следва по никакъв начин да бъдат поставени в неблагоприятно положение.
За да се гарантира отчетността, следва ясно да се определи администраторът на данни за всяко приложение за проследяване на контакти. ЕКЗД счита, че националните здравни органи биха могли да изпълняват ролята на администратори на данни за такива приложения, като могат да се предвидят и други администратори. Във всеки случай, ако внедряването на приложения за проследяване на контакти включва различни субекти, техните роли и отговорности трябва да бъдат ясно определени от самото начало и да бъдат обяснени на потребителите.
В допълнение към това, предвид принципа на ограничаване в рамките на целта, целите трябва да бъдат достатъчно конкретни, така че да се изключи възможността за допълнително обработване на данните за цели, които не са свързани с управлението на здравната криза, предизвикана от COVID-19 (например за търговски цели или за цели на правоприлагането). След като целта бъде ясно определена, ще трябва да се гарантира, че използването на лични данни е подходящо, необходимо и пропорционално.
В контекста на приложение за проследяване на контакти следва да се отчетат внимателно принципът на свеждане на данните до минимум, както и защитата на данните на етапа на проектирането и по подразбиране:
- приложенията за проследяване на контакти не изискват проследяването на местонахождението на отделните ползватели. Вместо това следва да се използват данни за хора и обекти в непосредствена близост до ползвателите;
- тъй като приложенията за проследяване на контакти могат да функционират без прякото установяване на самоличността на отделни лица, следва да се въведат подходящи мерки за предотвратяване на повторното установяване на самоличността;
- събраната информация следва да се съхранява в крайното оборудване на ползвателя и следва да се събира само уместната информация, когато това е абсолютно необходимо.
Що се отнася до законосъобразността на обработването на данни, ЕКЗД отбелязва, че приложенията за проследяване на контакти предполагат съхранението и/или достъпа до информация, която вече се съхранява в крайното оборудване и която е уредена с член 5, параграф 3 от Директивата. Ако тези операции са абсолютно необходими, за да може доставчикът на приложението да предостави изрично поисканата от ползвателя услуга, за обработването няма да се изисква съгласието на последния. За операции, които не са абсолютно необходими, доставчикът ще трябва да получи съгласието на ползвателя.
Освен това ЕКЗД отбелязва, че сам по себе си фактът, че използването на приложения за проследяване на контакти е доброволно, не означава, че обработването на лични данни непременно ще се основава на съгласие. Когато публичните органи предоставят услуга, основана на мандат, възложен им по закон и отговарящ на законоопределени изисквания, изглежда, че най-уместното правно основание за обработването на данни е то да е необходимо за изпълнението на задача от обществен интерес, т.е. член 6, параграф 1, буква д) от ОРЗД.
В член 6, параграф 3 от ОРЗД се пояснява, че основанието за обработването на данни, посочено в член 6, параграф 1, буква д), трябва да е установено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора. Целта на обработването се определя в това правно основание или, доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
Правното основание или законодателната мярка, които представляват законното основание за използването на приложения за проследяване на контакти, обаче следва да включват смислени предпазни мерки, включително позоваване на доброволното естество на приложението. Следва да се посочат ясно целта и изричните ограничения във връзка с допълнителното използване на лични данни, както и ясно да се обозначи съответният администратор или администратори. Освен това следва да се идентифицират категориите данни и субектите, на които могат да се разкриват личните данни (както и целите, за които може да се прави това). В зависимост от степента на вмешателство, следва да се внедрят допълнителни предпазни мерки, като се отчитат естеството, обхватът и целите на обработването. На последно място ЕКЗД също така препоръчва, веднага щом това е осъществимо, да се включат критерии, с които да се определи кога ще бъде преустановено използването на приложението и кой субект ще е отговорен и подотчетен за това решение.
Ако обаче обработването на данни се извършва съгласно друго правно основание, като например даването на съгласие (член 6, параграф 1, буква a), администраторът ще трябва да гарантира, че са изпълнени строгите изисквания за валидността на това правно основание.
Освен това използването на приложение за борба с пандемията с COVID-19 може да доведе до събирането на данни за здравословното състояние (например дали дадено лице е заразено). Обработването на такива данни е разрешено, когато то е необходимо от съображения от обществен интерес в областта на общественото здраве, като отговаря на условията на член 9, параграф 2, буква и) от ОРЗД, или е необходимо за цели, свързани с осигуряването на здравни грижи, както са описани в член 9, параграф 2, буква з) от ОРЗД15. В зависимост от правното основание, обработването може да бъде основано и на даването на изрично съгласие (член 9, параграф 2, буква а) от ОРЗД).
В съответствие с първоначалната цел член 9, параграф 2, буква й) от ОРЗД също така позволява да се обработват данни за здравословното състояние, когато това е необходимо за научни изследвания или за статистически цели.
Настоящата здравна криза не следва да се използва като възможност за установяване на непропорционални правомощия за запазване на данни. При ограничаването на съхранението следва да се отчетат реалните нужди и медицинската значимост (това може да включва мотивирани от епидемиологична гледна точка съображения като инкубационния период и др.), като личните данни следва да се съхраняват само докато трае кризата с COVID-19. Като общо правило след това всички лични данни следва да бъдат изтрити или анонимизирани.
Според ЕКЗД такива приложения не могат да заменят, а само да подпомогнат неавтоматизираното проследяване на контакти, което се извършва от квалифициран персонал в сферата на общественото здравеопазване, който може да прецени дали има вероятност близките контакти да доведат до предаване на вируса или не (например при общуване с лица, защитени с подходящи средства, като касиери и др., или с лица, които не са защитени). ЕКЗД подчертава, че процедурите и процесите, включващи съответните алгоритми, които се използват от приложенията за проследяване на контакти, следва да се прилагат под строгия надзор на квалифициран персонал, за да се ограничи възникването на фалшиви положителни и отрицателни резултати. По- специално задачата за предоставяне на съвети относно следващите стъпки не следва да се основава единствено на автоматизирано обработване на данни.
За да се гарантира, че алгоритмите са справедливи, подлежат на отчетност и са в съответствие със закона в по-широк план, те трябва да позволяват извършването на одити и следва да се подлагат на редовни прегледи от независими експерти. Изходният код на приложението следва да е публично достъпен, за да се осигури възможно най-широк надзор.
Получаването на известен брой фалшиви положителни резултати е неизбежно. Тъй като идентифицирането на риск от заразяване има вероятност да окаже сериозно въздействие върху физическите лица, като например самоизолиране до получаване на отрицателен резултат от изследване, трябва да съществува възможност за коригиране на данните и/или на резултати от последващи анализи. Разбира се, това следва да важи само в ситуации и варианти на прилагане, при които данните се обработват и/или съхраняват по такъв начин, че коригирането е технически осъществимо, и има вероятност от настъпване на неблагоприятните ефекти, посочени по-горе.
На последно място ЕКЗД счита, че преди внедряването на такива инструменти трябва да се извърши оценка на въздействието върху защитата на данните (ОВЗД), защото се счита, че съществува вероятност обработването да породи висок риск (данни за здравословното състояние, очаквано мащабно внедряване, системно наблюдение, използване на ново технологично решение). ЕКЗД настоятелно препоръчва ОВЗД да се публикуват.
4. Препоръки и функционални изисквания
В съответствие с принципа за свеждане на данните до минимум, измежду другите мерки за защита на данните на етапа на проектирането и по подразбиране, обработваните данни следва да бъдат сведени до абсолютния минимум. Приложението не следва да събира несвързана или ненужна информация, която може да включва гражданско състояние, комуникационни идентификатори, информация от телефонния указател на устройството, съобщения, записи за повиквания, данни за местонахождение, идентификатори на устройства и др.
Излъчваните от приложенията данни трябва да включват единствено някои уникални и псевдонимни идентификатори, които се генерират от приложението и са специфични за него. Тези идентификатори трябва периодично да се обновяват, с честота, която е съвместима с целта да се ограничи разпространението на вируса и е достатъчна за ограничаване на риска от идентифициране и физическо проследяване на отделни лица.
При вариантите за проследяване на контакти може да се следва централизиран или децентрализиран подход. И двата подхода следва да се считат за осъществими варианти, при условие че са въведени подходящи мерки за сигурност, като всеки от тях се характеризира с определени предимства и недостатъци. Поради това концептуалният етап от разработването на приложение следва винаги да включва задълбочено проучване и на двете концепции, като се съпоставят внимателно съответните им ефекти върху защитата на данните/неприкосновеността на личния живот и възможните въздействия върху правата на физическите лица.
На всеки сървър, включен в системата за проследяване на контакти, трябва да се съхранява само хронологията на контактите или псевдонимните идентификатори на ползвател, диагностициран като заразен вследствие на подходяща оценка от здравните органи и на доброволно действие от страна на ползвателя. Като алтернативен вариант, на сървъра трябва да се съхранява списък с псевдонимни идентификатори на заразени ползватели и хронологията на контактите им само за периода от време, който е необходим за информиране на потенциално заразените ползватели за факта, че са били изложени на вируса, и не следва да се правят опити да се идентифицират потенциално заразени ползватели.
Въвеждането на глобална методология за проследяване на контакти, която включва както мобилни приложения, така и неавтоматизирано проследяване, в някои случаи може да налага обработването на допълнителна информация. В този контекст допълнителната информация следва да се съхранява в устройството на ползвателя и да се обработва само когато това е абсолютно необходимо и с неговото предварително и изрично съгласие.
За да се гарантира сигурността на данните, съхранявани в сървърите и приложенията, както и на обмена на данни между приложенията и отдалечения сървър, трябва да се използват най- съвременните криптографски техники. Освен това трябва да се извършва взаимна автентификация между приложението и сървъра.
III. Допълнителни насоки
- Насока на Европейската Комисия е данните за хора и обекти в непосредствена близост следва да бъдат заличени веднага след като престанат да бъдат необходими за целите на предупреждаването. Такъв би бил случаят след максимум един месец (инкубационен период) или след като лицето е било тествано и резултатът е отрицателен.
- Насока на Европейската Комисия е, че при определяне на близостта, не е необходимо да се съхранява информация за точния момент на контакта или за мястото на осъществяването му (ако е налице). Въпреки това може да е от полза да се съхранява денят на осъществяване на контакта, за да се знае дали контактът е бил осъществен, когато лицето е проявило симптоми (или 48 часа преди това).
- За да предостави на лицата пълен контрол върху техните данни, Европейската Комисия препоръчва да не се обединяват различни функции в самото приложение. Във всеки случай лицето следва да има възможност да избира между различни функции, всяка от които преследва отделна цел. Съгласие за различните функция на приложението следва бъде дадено поотделно за всяка отделна функция.
- За целите на обработката на лични данни, простото посочване на цел „предотвратяване на по-нататъшно заразяване с COVID-19“ не е достатъчно конкретно. В този случай Европейската Комисия препоръчва допълнително уточняване на целта(ите) в следната насока: „запазване на данни за лицата, които са били в контакт с ползватели на приложението и които може да са били изложени на инфекция с COVID-19, с цел да бъдат предупредени потенциално заразените лица“.
- Европейската Комисия препоръчва, че при необходимост от предаване на тези данни на трети лица (държавни органи) данните следва да бъдат анонимизирани.
- Европейският комитет по защита на личните данни препоръчва приложението да не събира несвързана или ненужна информация, която може да включва гражданско състояние, комуникационни идентификатори, информация от телефонния указател на устройството, съобщения, записи за повиквания, данни за местонахождение, идентификатори на устройства и др.
- Европейският комитет по защита на лични данни препоръчва идентификаторите, които всяко физическо лице получава след инсталиране на своето приложение, да се обновяват периодично, с честота, която е съвместима с целта да се ограничи разпространението на вируса и е достатъчна за ограничаване на риска от идентифициране и физическо проследяване на отделни лица.
Европейският комитет по защита на лични данни счита, че преди внедряването на такива инструменти трябва да се извърши оценка на въздействието върху защитата на данните (ОВЗД), тъй като се счита, че съществува вероятност обработването да породи висок риск (данни за здравословното състояние, очаквано мащабно внедряване, системно наблюдение, използване на ново технологично решение). ЕКЗД настоятелно препоръчва ОВЗД да се публикуват.
За да прочетете статията на pdf файл, моля кликнете тук.