Walka z pandemią czy ochrona prywatności – co ma priorytet?

27 kwietnia 2020

Europejska Rada Ochrony Danych przyjęła kolejne wytyczne dotyczące pandemii COVID-19. Dotyczą one przetwarzania danych na temat zdrowia do celów badań naukowych, geolokalizacji oraz innych narzędzi ustalania kontaktów zakaźnych. Z zaprezentowanego stanowiska wynika, że ochrona danych jest priorytetem, ale nie przekreśla możliwości prowadzenia badań naukowych.

Wytyczne 03/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych wyjaśniają najważniejsze kwestie prawne dotyczące korzystania z danych na temat zdrowia. Chodzi o takie kwestie jak podstawa prawna wykorzystywania danych, dalsze ich użytkowanie w celach badawczych czy implementacja odpowiednich zabezpieczeń oraz prawa osób, których dane mogłyby dotyczyć.

Według oficjalnego stanowiska przewodniczącego EROD, RODO nie stoi na przeszkodzie badaniom naukowym, ale umożliwia zgodne z prawem przetwarzanie danych dotyczących zdrowia w celu wynalezienia szczepionki lub leczenia COVID-19.

W wytycznych 03/2020 zwrócono również uwagę, że RODO jest rozległym aktem prawnym i można w nim znaleźć podstawy prawne dla przetwarzania danych w celach naukowych.

Jednocześnie EROD podkreśla, że podczas wykorzystania danych osobowych do badań naukowych należy uwzględnić Prawa Podstawowe UE, a wolność nauki nie jest nadrzędna wobec ochrony danych. W związku z poszukiwaniem właściwej podstawy przetwarzania danych EROD przypomina, że dane osobowe do badań mogą zostać wykorzystane pierwotnie lub wtórnie, w zależności od tego, kto i w jakim celu zebrał dane osobowe od podmiotów danych (w tym przypadku należy pamiętać o zasadzie ograniczenia celu wyrażonej w art. 5 ust. 1 pkt b) RODO).

Podstawy przetwarzania danych można poszukiwać w art. 6 oraz 9 RODO. Podstawą może być także indywidualna zgoda, jeżeli zachowane są warunki jej wyrażenia, o których mowa w art. 7 RODO (w tym zapewnione jest prawo do jej wycofania). Wyrażenie zgody na badania na rzecz instytucji je prowadzących nie powinno być również uważane za przypadek „wyraźnego braku równowagi sił”, jak wspomniano w motywie 43 RODO. Taka interpretacja ma uzasadnienie przy założeniu, że na osobę, której dane dotyczą, nie była wywierana presja ani nie działałoby to na jej niekorzyść, gdyby tej zgody nie wyraziła.

Zgodnie ze stanowiskiem EROD należy także zwrócić uwagę na okoliczności odstąpienia od pewnych obowiązków przewidzianych w RODO ze względu na szczególną sytuację, jaką jest stan pandemii. Chodzi o realizację obowiązków informacyjnych oraz respektowania praw osób, których dane dotyczą. Każdorazowo zniesienie tych obowiązków w związku z badaniami naukowymi wymaga indywidualnej analizy, także przy wdrażaniu przepisów przez organy legislacyjne zgodnie z art. 89 ust. 2 Rozporządzenia

– komentuje mec. Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.

Wytyczne 04/2020, odnoszące się do geolokalizacji i innych narzędzi ustalania kontaktów zakaźnych w związku z wybuchem epidemii, wyjaśniają warunki i reguły proporcjonalnego wykorzystania danych dotyczących lokalizacji i narzędzi ustalania kontaktów zakaźnych, tak aby:

wykorzystać dane lokalizacyjne by zintensyfikować reakcję na pandemię poprzez tworzenie modelu rozszerzania przestrzennego wirusa, aby móc oszacować skuteczność działań prewencyjnych;
używać systemu ustalania kontaktów zakaźnych do informowania osób, które mogłyby znajdować się w niedalekiej odległości od nosicieli, aby jak najszybciej przerwać łańcuch zakażenia.

Istotną kwestią jest to, jakie aspekty informacji o osobach będziemy brali pod uwagę w celu prowadzenia działań mających na celu zapobieżenie rozprzestrzeniania się zakażeń. Jednym z racjonalnie brzmiących rozwiązań jest anonimizacja danych. Jednak należy wziąć pod uwagę, że w związku ze specyfiką korzystania z usług geolokalizacji, zastosowanie metod anonimizacji jest często narażone na niepowodzenie, a stosowanie danych pseudonimizowanych wiąże się z obowiązkiem stosowania do nich wymogów RODO

- dodaje mec. Fedczyszyn.

EROD zastrzega jednak, że „Ogólne zasady skuteczności, niezbędności i proporcjonalności muszą przyświecać wszelkim środkom przyjętym przez państwa członkowskie lub instytucje UE, które obejmują przetwarzanie danych osobowych w celu zwalczania COVID-19”.

Warto także zauważyć, że przetwarzanie danych, którego podstawą jest prawo Unii lub państwa członkowskiego będzie wymagało zastosowania odpowiednich zabezpieczeń w celu ochrony praw i wolności osoby, której dane dotyczą, w szczególności tajemnicy zawodowej. Ponadto wytyczne dotyczące tworzenia aplikacji stosujących geolokalizację zawierają na końcu wskazówki dla projektujących aplikacje, tak aby aplikacje powstawały zgodnie z obowiązującymi przepisami prawa, w tym RODO oraz dyrektywą o prywatności i łączności elektronicznej (dyrektywa ePrivacy), bowiem te akty prawne mają zasadnicze znaczenie dla przetwarzania danych w aplikacjach wykorzystujących geolokalizację, a zastosowanie zgody użytkownika jako podstawy prawnej przetwarzania może być niezbędne m.in. ze względu na charakter danych jakie pozyskują aplikacje

- konkluduje mec. Fedczyszyn.

Pełne wytyczne EROD dostępne są pod linkem: https://edpb.europa.eu/news/news/2020/twenty-third-plenary-session-adopted-documents_en