EROD: przetwarzanie danych zdrowotnych i lokalizacyjnych a pandemia COVID-19
Ochrona danych podczas pandemii – nowe wytyczne EROD
Europejska Rada Ochrony Danych (EROD) przyjęła kolejne wytyczne dotyczące pandemii COVID-19. Dotyczą one przetwarzania danych o stanie zdrowia do celów badań naukowych, geolokalizacji oraz narzędzi ustalania kontaktów zakaźnych w kontekście przetwarzania danych zdrowotnych RODO. Przetwarzanie danych zdrowotnych RODO jest kluczowe dla prowadzenia badań. Z dokumentu wynika, że ochrona danych osobowych pozostaje priorytetem, ale nie wyklucza prowadzenia badań naukowych.
Dane zdrowotne w badaniach naukowych – co mówi RODO?
Wytyczne 03/2020 wyjaśniają kluczowe kwestie prawne przetwarzania danych o zdrowiu w celach naukowych, w tym:
podstawy prawne wykorzystywania danych,
zasady dalszego ich użycia,
wymagane zabezpieczenia,
prawa osób, których dane dotyczą.
EROD podkreśla, że RODO nie blokuje badań naukowych. Przeciwnie – umożliwia przetwarzanie danych zdrowotnych w celu opracowania szczepionki lub leczenia COVID-19, pod warunkiem spełnienia odpowiednich warunków. Przetwarzanie danych zdrowotnych RODO stawia wymagania, które należy spełnić podczas badań naukowych.
Jakie podstawy prawne mają zastosowanie?
Podstaw przetwarzania należy szukać w art. 6 i 9 RODO. Możliwa jest także zgoda osoby, której dane dotyczą – zgodna z art. 7 RODO, pod warunkiem braku nacisku lub niekorzystnych skutków odmowy.
Dane mogą być przetwarzane pierwotnie lub wtórnie – zależnie od tego, kto i dlaczego je zebrał. Przetwarzanie danych zdrowotnych RODO wymaga jednak pamiętania o zasadzie ograniczenia celu z art. 5 ust. 1 lit. b RODO.
Wyjątki pandemiczne w realizacji obowiązków informacyjnych
EROD zwraca uwagę, że pandemia może uzasadniać ograniczenie niektórych obowiązków z RODO – np. obowiązku informacyjnego wobec osób, których dane dotyczą. Wymaga to jednak indywidualnej analizy zgodnej z art. 89 ust. 2 RODO.
Wytyczne 04/2020: geolokalizacja i kontakt zakaźny
Wytyczne 04/2020 dotyczą wykorzystania geolokalizacji i narzędzi do ustalania kontaktów zakaźnych. Główne cele to:
tworzenie modeli rozprzestrzeniania się wirusa,
informowanie osób narażonych na kontakt z zakażonymi.
Dane lokalizacyjne mogą być wykorzystywane, ale tylko proporcjonalnie i z zachowaniem zasad skuteczności, niezbędności i minimalizacji.
Anonimizacja czy pseudonimizacja?
EROD zaznacza, że anonimizacja danych w kontekście geolokalizacji jest trudna do zapewnienia, a pseudonimizacja wiąże się z obowiązkiem przestrzegania przepisów RODO. Przetwarzanie danych zdrowotnych RODO w geolokalizacji musi być zgodne z zasadami ochrony.
Ochrona praw i wolności osób – kluczowe zasady
Każde przetwarzanie danych w celu walki z COVID-19 musi:
być proporcjonalne,
uwzględniać prawa osób fizycznych,
zapewniać odpowiednie zabezpieczenia, np. tajemnicę zawodową.
Wskazówki dla twórców aplikacji śledzących
EROD wskazuje, że projektując aplikacje geolokalizacyjne, należy stosować się do:
przepisów RODO,
dyrektywy ePrivacy,
zasady privacy by design.
Użytkownik musi wyrazić zgodę na przetwarzanie danych, zwłaszcza że aplikacje pozyskują dane wrażliwe.
Pełne wytyczne EROD dostępne są tutaj
Artykuł przygotowała Kancelaria Prawna Chałas i Wspólnicy
Masz pytanie? Skontaktuj się z nami