a także mając na uwadze, co następuje:(1) Kryzys w zakresie zdrowia publicznego spowodowany obecną pandemią COVID-19 (zwany dalej "kryzysem wywołanym przez COVID-19") zmusza Unię i państwa członkowskie do stawienia czoła niespotykanym dotąd wyzwaniom związanym z systemami opieki zdrowotnej, stylem życia, stabilnością gospodarczą i wartościami. Żadne państwo członkowskie nie jest w stanie w pojedynkę wygrać walki z kryzysem wywołanym przez COVID-19. Wyjątkowy kryzys o takiej skali wymaga zdecydowanych działań wszystkich państw członkowskich oraz instytucji i organów UE współpracujących w duchu prawdziwej solidarności.
(2) Biorąc pod uwagę, że wielu Europejczyków łączy się z internetem przez urządzenia mobilne, technologie i dane cyfrowe mają do odegrania ważną rolę w walce z kryzysem wywołanym przez COVID-19. Takie technologie i dane mogą stać się ważnym narzędziem służącym informowaniu społeczeństwa, oferującym właściwym organom publicznym pomoc w ich wysiłkach na rzecz powstrzymania rozprzestrzeniania się wirusa czy też umożliwiającym organizacjom opieki zdrowotnej wymianę danych dotyczących zdrowia. Fragmentaryczne i nieskoordynowane podejście może jednak ograniczyć skuteczność środków mających na celu walkę z kryzysem wywołanym przez COVID-19, stanowiąc jednocześnie poważne zagrożenie dla jednolitego rynku i podstawowych praw i wolności.
(3) Konieczne jest zatem opracowanie wspólnego podejścia do wykorzystania technologii i danych cyfrowych w odpowiedzi na obecny kryzys. Podejście to powinno skutecznie wspierać właściwe organy krajowe, w szczególności organy ds. zdrowia i decydentów, poprzez dostarczenie im wystarczających i dokładnych danych umożliwiających zrozumienie rozwoju i rozprzestrzeniania się wirusa COVID-19 oraz jego skutków. Technologie te mogą również pomagać obywatelom w skutecznym i bardziej ukierunkowanym ograniczaniu kontaktów personalnych. Jednocześnie proponowane podejście ma na celu zachowanie integralności jednolitego rynku i ochronę podstawowych praw i wolności, w szczególności prawa do prywatności i ochrony danych osobowych.
(4) Aplikacje mobilne mogą pomagać organom ds. zdrowia w monitorowaniu i ograniczaniu pandemii COVID-19 na szczeblu krajowym i unijnym. Mogą udzielać wskazówek obywatelom i ułatwiać organizację opieki medycznej nad pacjentami. Aplikacje ostrzegawcze i umożliwiające śledzenie mogą odgrywać ważną rolę w ustalaniu kontaktów zakaźnych, ograniczaniu rozprzestrzeniania się choroby i przerywaniu łańcuchów zakażeń. W połączeniu z odpowiednimi strategiami wykonywania testów i ustalaniem kontaktów zakaźnych, aplikacje te mogą być szczególnie przydatne, jeśli chodzi o dostarczanie informacji na temat poziomu występowania wirusa, ocenę skuteczności środków służących ograniczeniu kontaktów i środków izolacji, oraz mogą wnieść istotny wkład w strategie deeskalacji.
(5) W decyzji Parlamentu Europejskiego i Rady nr 1082/2013/UE 1 ustanowiono szczegółowe przepisy dotyczące nadzoru epidemiologicznego, monitorowania, wczesnego ostrzegania i zwalczania poważnych transgranicznych zagrożeń zdrowia. Zgodnie z art. 2 ust. 5 decyzji Komisja w porozumieniu z państwami członkowskimi zapewnia koordynację działań i wymianę informacji między mechanizmami i strukturami ustanowionymi na mocy decyzji a podobnymi mechanizmami i strukturami ustanowionymi na szczeblu Unii lub na mocy Traktatu Euratom, których działania są istotne dla planowania gotowości i reagowania na poważne transgraniczne zagrożenia zdrowia, ich monitorowania, wczesnego ostrzegania o nich oraz zwalczania tych zagrożeń. Koordynację działań podejmowanych w kontekście poważnych transgranicznych zagrożeń zdrowia zapewnia Komitet ds. Bezpieczeństwa Zdrowia ustanowiony w art. 17 wspomnianej decyzji. Jednocześnie art. 6 ust. 1 decyzji ustanawia sieć nadzoru epidemiologicznego nad chorobami zakaźnymi, obsługiwaną i koordynowaną przez Europejskie Centrum ds. Zapobiegania i Kontroli Chorób (ECDC).
(6) Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 2 w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej wymaga, aby sieć e-zdrowie prowadziła działania na rzecz wygenerowania trwałych korzyści ekonomicznych i społecznych europejskich systemów i świadczeń e-zdrowia oraz interoperacyjnych zastosowań użytkowych, aby osiągnąć wysoki poziom zaufania i bezpieczeństwa, zwiększyć ciągłość opieki i zapewnić dostęp do bezpiecznej opieki zdrowotnej wysokiej jakości.
(7) W rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 3 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych określono warunki przetwarzania danych osobowych, w tym danych osobowych dotyczących zdrowia. Takie dane mogą być przetwarzane między innymi wówczas, gdy osoba, której dane dotyczą, wyraża na to wyraźną zgodę lub gdy przetwarzanie leży w interesie publicznym, określonym w prawodawstwie państwa członkowskiego lub prawie Unii, w szczególności w celach monitorowania i ostrzegania, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowia lub zwalczania takich chorób lub zagrożeń.
(8) Kilka państw członkowskich wprowadziło szczególne przepisy, które umożliwiają im przetwarzanie danych dotyczących zdrowia ze względu na interes publiczny (art. 6 ust. 1 lit. c) lub e) oraz art. 9 ust. 2 lit. i) rozporządzenia (UE) 2016/679). W każdym przypadku cele i sposoby przetwarzania danych oraz to, jakie dane mają być przetwarzane i przez kogo, powinny być jasne i konkretne.
(9) Komisja może konsultować się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, zgodnie z art. 42 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 4 i art. 70 rozporządzenia (UE) 2016/679.
(10) W dyrektywie Parlamentu Europejskiego i Rady 2002/58/WE 5 określono przepisy mające zastosowanie do danych o ruchu i lokalizacji oraz do przechowywania informacji i uzyskiwania dostępu do informacji przechowywanych w urządzeniu końcowym użytkownika lub abonenta, takim jak urządzenie mobilne. Zgodnie z art. 5 ust. 3 dyrektywy takie przechowywanie lub uzyskanie dostępu jest dozwolone jedynie w ściśle określonych okolicznościach lub pod warunkiem zgody użytkownika lub abonenta, po otrzymaniu przez niego jasnych i wyczerpujących informacji zgodnie z wymogami rozporządzenia (UE) 2016/679. Ponadto art. 15 ust. 1 dyrektywy zezwala państwom członkowskim na przyjmowanie środków ustawodawczych w celu ograniczenia zakresu niektórych praw i obowiązków ustanowionych w dyrektywie, w tym określonych w art. 5, gdy takie ograniczenie stanowi środek niezbędny, właściwy i proporcjonalny w ramach społeczeństwa demokratycznego do osiągnięcia określonych celów.
(11) W komunikacie "Europejska strategia w zakresie danych" 6 Komisja Europejska zapowiedziała, że UE stworzy jednolity rynek, na którym możliwy będzie przepływ danych w granicach UE i między sektorami, z korzyścią dla wszystkich obywateli, w pełni przestrzegać się będzie europejskich przepisów, w szczególności dotyczących prywatności i ochrony danych osobowych oraz prawa konkurencji, a zasady dostępu do danych i ich wykorzystywania będą uczciwe, praktyczne i zrozumiałe. W szczególności Komisja stwierdziła, że rozważy potrzebę podjęcia działań ustawodawczych w celu wspierania przekazywania danych przez przedsiębiorstwa organom administracji publicznej w celach leżących w interesie publicznym.
(12) Od początku kryzysu wywołanego przez COVID-19 opracowane zostały różne aplikacje mobilne, w tym przez organy publiczne, a państwa członkowskie i sektor prywatny ponawiają apele o koordynację na szczeblu unijnym, między innymi w celu rozwiania obaw związanych z cyberbezpieczeństwem, bezpieczeństwem i prywatnością. Aplikacje te pełnią zazwyczaj trzy funkcje ogólne: (i) informowanie obywateli i doradzanie im oraz ułatwianie organizacji opieki medycznej nad osobami z objawami, często w połączeniu z kwestionariuszem pozwalającym na postawienie samodzielnej diagnozy; (ii) ostrzeganie osób znajdujących się w pobliżu osoby zakażonej w celu przerwania łańcuchów zakażeń i zapobiegania ponownemu wystąpieniu zakażeń w fazie ponownego otwarcia; oraz (iii) monitorowanie i egzekwowanie kwarantanny osób zakażonych, ewentualnie w połączeniu z funkcjami pozwalającymi na ocenę ich stanu zdrowia w okresie kwarantanny. Niektóre aplikacje są dostępne dla ogółu społeczeństwa, zaś inne są przeznaczone wyłącznie dla zamkniętych grup użytkowników i służą śledzeniu kontaktów w miejscu pracy. Zasadniczo nie dokonano oceny skuteczności tych aplikacji. Aplikacje informacyjne i służące do weryfikacji objawów mogą być przydatne w celu zwiększenia poziomu wiedzy wśród obywateli. Z opinii ekspertów wynika jednak, że aplikacje służące informowaniu i ostrzeganiu użytkowników wydają się być najbardziej obiecującym sposobem zapobiegania rozprzestrzenianiu się wirusa, biorąc również pod uwagę ich bardziej ograniczony wpływ na prywatność. Kilka państw członkowskich zastanawia się obecnie nad wykorzystaniem takich aplikacji.
(13) Niektóre z tych aplikacji mobilnych można uznać za wyroby medyczne, w przypadku gdy producent przewiduje ich zastosowanie między innymi do celów diagnozy, zapobiegania, monitorowania, przewidywania, prognozowania, leczenia lub łagodzenia przebiegu choroby, a zatem byłyby one objęte zakresem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745 7 lub dyrektywy Rady 93/42/EWG 8 . W odniesieniu do aplikacji służących do samodzielnej diagnozy i weryfikacji objawów, jeżeli dostarczają one informacji dotyczących diagnozy, zapobiegania, monitorowania, przewidywania lub prognozowania, należy ocenić ich potencjalną kwalifikację jako wyroby medyczne zgodnie z ramami regulacyjnymi dotyczącymi wyrobów medycznych (dyrektywa 93/42/EWG lub rozporządzenie (UE) 2017/745).
(14) Skuteczność tych aplikacji mobilnych zależy od wielu czynników. Do czynników tych należy stopień wykorzystania przez użytkowników, czyli odsetek ludności korzystającej z urządzenia mobilnego, a wśród nich odsetek osób, które pobrały aplikację i wyraziły zgodę na przetwarzanie dotyczących ich danych osobowych i nie wycofały tej zgody. Inne ważne czynniki to zaufanie obywateli, że dane będą chronione z wykorzystaniem odpowiednich zabezpieczeń i stosowane wyłącznie w celu ostrzegania osób, które mogły być narażone na kontakt z wirusem, zatwierdzenie przez organ ds. zdrowia, zdolność organów ds. zdrowia do podejmowania działań w oparciu o dane generowane przez aplikację, integracja i wymiana danych z innymi systemami i aplikacjami oraz transgraniczna i międzyregionalna interoperacyjność z innymi systemami.
(15) Aplikacje służące do ostrzegania i śledzenia mogą być stosowane przez państwa członkowskie do ustalania kontaktów zakaźnych i mogą odgrywać ważną rolę w ograniczaniu rozprzestrzeniania się wirusa w fazie deeskalacji. Mogą one również stanowić cenne narzędzie ułatwiające obywatelom skuteczne i bardziej ukierunkowane ograniczanie kontaktów personalnych. Ich wpływ można zwiększyć za pomocą strategii wspierającej wykonywanie testów na szerszą skalę. Ustalanie kontaktów zakaźnych oznacza, że organy ds. zdrowia publicznego szybko identyfikują wszystkie osoby, z którymi kontaktował się pacjent, u którego potwierdzono zakażenie wirusem wywołującym COVID-19, proszą je o pozostanie w domu i szybko badają i izolują te osoby, jeżeli wystąpią u nich objawy. Ponadto zanonimizowane i zagregowane dane pochodzące z takich aplikacji, w połączeniu z informacjami na temat częstości występowania choroby, można by wykorzystać do oceny skuteczności środków społecznych i środków w zakresie ograniczania kontaktów. Aplikacje te są w oczywisty sposób przydatne dla państw członkowskich, a także mogą wnieść wartość dodaną w działania ECDC.
(16) Aplikacje służące do samodzielnej diagnozy oraz weryfikacji objawów chorobowych mogą dostarczać istotnych informacji na temat liczby osób wykazujących objawy choroby COVID-19, w podziale na wiek i tydzień, pochodzących ze ściśle określonych obszarów, na których dana aplikacja jest w powszechnym użyciu. W przypadku dużej popularności tych aplikacji krajowe organy ds. zdrowia publicznego mogą zdecydować się na wykorzystanie danych pochodzących z aplikacji do celów nadzoru syndromicznego nad COVID-19 w ramach podstawowej opieki zdrowotnej. Dane te można by przekazywać ECDC co tydzień w formie zagregowanej (np. liczba zachorowań grypopodobnych lub ostrych zakażeń dróg oddechowych tygodniowo, w podziale na grupy wiekowe, w całej populacji pod opieką lekarzy wchodzących w skład zintegrowanego systemu nadzoru epidemiologicznego). Pozwoliłoby to organom krajowym i ECDC oszacować wartość predykcyjną wyniku dodatniego dla objawów z układu oddechowego w danej społeczności, dostarczając tym samym informacji na temat poziomu występowania wirusa w oparciu o dane pochodzące z aplikacji.
(17) Biorąc pod uwagę opisane powyżej funkcje aplikacji na smartfony, ich stosowanie może wpływać na korzystanie z niektórych praw podstawowych, takich jak m.in. prawo do poszanowania życia prywatnego i rodzinnego. Ponieważ jakakolwiek ingerencja w te prawa powinna być zgodna z obowiązującym prawem, przepisy państw członkowskich, na mocy których ustanowiono by lub dopuszczono ograniczenia w korzystaniu z niektórych praw podstawowych, powinny być zgodne z ogólnymi zasadami zapisanymi w prawie Unii, jak określono w art. 6 Traktatu o Unii Europejskiej, z ich tradycjami konstytucyjnymi oraz ich zobowiązaniami wynikającymi z prawa międzynarodowego.
(18) Aby zagwarantować akceptację dla różnego rodzaju aplikacji (oraz systemów informacji o łańcuchach zakażeń, które stanowią ich podstawę) oraz zapewnić, by spełniały one cel, jaki przyświeca nadzorowi epidemiologicznemu, odpowiednie polityki, wymogi i mechanizmy kontroli muszą zostać zharmonizowane i wdrożone w sposób skoordynowany przez właściwe krajowe organy ds. zdrowia. Z doświadczeń niektórych państw członkowskich, które zaczęły stosować aplikacje służące do ustalania kontaktów zakaźnych, wynika, iż by zwiększyć akceptację, instrumentem przydatnym w procesie przygotowania i wdrożenia środków jest system zintegrowanego zarządzania, obejmujący nie tylko organy ds. zdrowia, ale również inne organy (w tym organy ochrony danych), a także sektor prywatny, ekspertów, pracowników naukowych i zainteresowane strony, takie jak grupy pacjentów. Istotne znaczenie dla popularyzacji i sukcesu danej aplikacji będzie również miała szeroko zakrojona kampania informacyjna.
(19) W celu umożliwienia wykrywania bliskich kontaktów między użytkownikami różnych aplikacji służących do ustalania kontaktów zakaźnych (scenariusz, który jest najbardziej prawdopodobny wśród osób przemieszczających się między krajami/regionami) należy zadbać o interoperacyjność między aplikacjami. Krajowe organy ds. zdrowia nadzorujące łańcuchy zakażeń powinny mieć możliwość wymiany z innymi państwami członkowskimi lub regionami interoperacyjnych informacji na temat użytkowników, u których wykryto obecność wirusa, aby móc zaradzić transgranicznym łańcuchom zakażeń.
(20) Niektóre przedsiębiorstwa, w tym dostawcy usług telekomunikacyjnych i duże platformy technologiczne, opublikowały lub udostępniły organom publicznym zanonimizowane zbiorcze dane dotyczące lokalizacji. Dane te są niezbędne do prowadzenia badań w celu zwalczania wirusa, modelowania w celu zrozumienia, w jaki sposób wirus się rozprzestrzenia, i modelowania skutków gospodarczych kryzysu. W szczególności dane te pomogą zrozumieć i modelować dynamikę przestrzenną epidemii oraz ocenić wpływ, jakie środki mające na celu ograniczenie kontaktów personalnych (ograniczenia podróży, zawieszenie działalności innej niż niezbędna, pełna izolacja itp.) wywierają na mobilność. Jest to niezbędne przede wszystkim w celu ograniczenia skutków epidemii i oceny potrzeb, zwłaszcza pod kątem środków ochrony osobistej i oddziałów intensywnej opieki medycznej, a także w celu poparcia strategii wyjścia z kryzysu modelami opartymi na danych, które wskażą potencjalne skutki łagodzenia środków mających na celu ograniczenie kontaktów personalnych.
(21) Obecny kryzys pokazał, że organy ds. zdrowia publicznego i instytucje badawcze skorzystałyby na szerszym dostępie do podstawowych informacji na potrzeby analizy rozprzestrzeniania się wirusa i oceny skuteczności środków z zakresu ochrony zdrowia publicznego.
(22) Niektóre państwa członkowskie wprowadziły środki mające na celu ułatwienie dostępu do niezbędnych danych. Wspólnym wysiłkom UE na rzecz zwalczania epidemii stoi jednak na drodze obecne rozdrobnienie stosowanych rozwiązań.
(23) Wspólne unijne podejście do kryzysu wywołanego przez COVID-19 stało się również konieczne ze względu na fakt, że środki stosowane w niektórych państwach, takie jak śledzenie osób w oparciu o dane geolokalizacyjne, wykorzystanie technologii do oceny poziomu ryzyka zdrowotnego, na jakie narażona jest dana osoba, oraz centralizacja danych wrażliwych, rodzą pytania z perspektywy szeregu podstawowych praw i wolności zagwarantowanych w unijnym porządku prawnym, w tym prawa do prywatności i prawa do ochrony danych osobowych. W każdym razie zgodnie z Kartą praw podstawowych Unii Europejskiej ograniczenia w korzystaniu z podstawowych praw i wolności w niej ustanowionych muszą być uzasadnione i proporcjonalne. Wszelkie takie ograniczenia powinny w szczególności mieć charakter tymczasowy, w tym sensie, że muszą pozostawać ściśle ograniczone do tego, co jest niezbędne do zwalczania kryzysu, i nie mogą nadal obowiązywać - bez odpowiedniego uzasadnienia - po ustaniu kryzysu.
(24) Ponadto Światowa Organizacja Zdrowia i inne organy ostrzegają, że istnieje ryzyko, iż aplikacje i niedokładne dane mogą prowadzić do stygmatyzacji osób, które przejawiają pewne cechy ze względu na postrzegany związek z chorobą.
(25) Zgodnie z zasadą minimalizacji danych organy ds. zdrowia publicznego i instytucje badawcze powinny przetwarzać dane osobowe jedynie w przypadku, gdy jest to odpowiednie, stosowne i ograniczone do tego, co jest konieczne, oraz stosować odpowiednie zabezpieczenia, takie jak pseudonimizacja, agregacja, szyfrowanie i decentralizacja.
(26) Skuteczne środki w zakresie cyberbezpieczeństwa i bezpieczeństwa danych mają zasadnicze znaczenie dla ochrony dostępności, autentyczności, integralności i poufności danych.
(27) Konsultacje z organami ochrony danych, zgodnie z wymogami określonymi w unijnych przepisach dotyczących ochrony danych osobowych, są konieczne, aby zapewnić zgodne z prawem przetwarzanie danych osobowych oraz przestrzeganie praw zainteresowanych osób.
(28) Zgodnie z art. 14 dyrektywy 2011/24/UE do zadań Unii należy wspieranie i ułatwianie współpracy oraz wymiany informacji między państwami członkowskimi działającymi w ramach dobrowolnej sieci skupiającej wyznaczone przez państwa członkowskie organy krajowe odpowiedzialne za e-zdrowie ("sieć e-zdrowie"). Do celów tej sieci należą działania mające zapewnić, by europejskie systemy i świadczenia z zakresu e-zdrowia oraz interoperacyjne zastosowania generowały trwałe korzyści ekonomiczne i społeczne z myślą o osiągnięciu wysokiego poziomu zaufania i bezpieczeństwa, zwiększenia ciągłości opieki i zapewnienia dostępu do bezpiecznej opieki zdrowotnej wysokiej jakości. W decyzji wykonawczej Komisji (UE) 2019/1765 9 ustanowiono przepisy regulujące utworzenie sieci e-zdrowie, zarządzanie nią i jej przejrzyste funkcjonowanie. Sieć e-zdrowie powinna - ze względu na wchodzące w jej skład podmioty oraz jej kompetencje - być głównym forum debaty o potrzebach organów ds. zdrowia publicznego i instytucji badawczych w zakresie danych, w tym także z udziałem urzędników krajowych organów regulacyjnych ds. łączności elektronicznej, ministerstw odpowiedzialnych za kwestie związane z technologiami cyfrowymi oraz organów ochrony danych.
(29) Sieć e-zdrowie i Komisja powinny również ściśle współpracować z innymi organami i sieciami, które mogą dostarczać informacji niezbędnych do realizacji niniejszego zalecenia, w tym z Komitetem ds. Bezpieczeństwa Zdrowia, siecią nadzoru epidemiologicznego nad chorobami zakaźnymi, ECDC, Europejską Radą Ochrony Danych, Organem Europejskich Regulatorów Łączności Elektronicznej i grupą współpracy ds. bezpieczeństwa sieci i informacji.
(30) Przejrzystość oraz regularne przekazywanie jasnych informacji, a także uwzględnienie wkładu osób i społeczności najbardziej dotkniętych kryzysem będą miały kapitalne znaczenie dla zapewnienia zaufania publicznego podczas walki z kryzysem wywołanym przez COVID-19.
(31) Mając na względzie szybki rozwój sytuacji związanej z kryzysem wywołanym przez COVID-19 w różnych państwach członkowskich, istotne jest, aby dopóki trwa kryzys, państwa członkowskie terminowo i regularnie składały sprawozdania z realizacji podejścia przedstawionego w niniejszym zaleceniu, a Komisja dokonywała w podobnym trybie przeglądu tego podejścia.
(32) W razie konieczności niniejsze zalecenie powinno zostać uzupełnione dodatkowymi wytycznymi Komisji, w tym wytycznymi dotyczącymi ochrony danych i konsekwencji dla prywatności, jakie wiążą się z korzystaniem z aplikacji mających na celu ostrzeganie o bliskości osób zarażonych i zapobieganie kontaktom z takimi osobami,
PRZYJMUJE NINIEJSZE ZALECENIE:
CEL ZALECENIA