Europejska Rada Ochrony Danych, niezależny organ europejski działający na rzecz spójnego stosowania zasad ochrony danych w Unii Europejskiej podkreśliła, że w sytuacji, gdy przetwarzanie danych osobowych jest konieczne do zarządzania pandemią COVID-19, ochrona danych jest niezbędna do zbudowania zaufania, tworzenia warunków do społecznej akceptacji każdego rozwiązania, a tym samym do zagwarantowania skuteczności tych środków. Wirus nie zna granic, dlatego lepiej jest opracować wspólne europejskie podejście, które będzie odpowiedzią na obecny kryzys lub przynajmniej wprowadzić interoperacyjne ramy.
Dane i technologie wykorzystywane do zwalczania COVID-19 powinny być wykorzystywane raczej do wzmacniania, niż do kontrolowania, stygmatyzowania czy represjonowania osób fizycznych.
Ogólne zasady skuteczności, konieczności i proporcjonalności muszą przyświecać każdemu środkowi przyjmowanemu przez państwa członkowskie lub instytucje UE, który obejmuje przetwarzanie danych osobowych w celu zwalczania COVID-19.
Przyjęte przez EROD wytyczne określają warunki i zasady dotyczące proporcji wykorzystania danych dotyczących lokalizacji i narzędzi śledzenia kontaktów dla celów:
Rada podkreśliła, że zarówno RODO, jak i dyrektywa 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej) zawierają szczegółowe przepisy umożliwiające wykorzystanie danych anonimowych lub osobowych w celu wsparcia organów publicznych i innych podmiotów na szczeblu krajowym i unijnym w zakresie monitorowania i rozpowszechniania wirusa SARS-CoV-2.
Rada przyjęła, że stosowanie śledzenia kontaktów powinno być dobrowolne i nie powinno polegać na wykrywaniu poszczególnych przemieszczeń, ale raczej na informacjach o bliskości użytkownika.
Wcześniej, w liście z dnia 14 kwietnia 2020 r. opublikowanym na stronie internetowej instytucji Andrea Jelinek Przewodnicząca Europejskiej Rady Ochrony Danych z zadowoleniem przyjęła inicjatywę Komisji polegającą na opracowaniu ogólnoeuropejskiego i skoordynowanego podejścia, w ramach którego aplikacje mobilne mogą stać się jednym z proponowanych środków służących wzmocnieniu pozycji jednostek w reakcji na pandemię.
Jednocześnie podkreśliła stanowisko EROD, że wdrożenie zasad ochrony danych i poszanowania podstawowych praw i wolności jest nie tylko obowiązkiem prawnym, ale także wymogiem wzmocnienia skuteczności wszelkich inicjatyw opartych na danych w celu zwalczania rozprzestrzeniania się wirusa COVID-19 i informowania o strategiach deeskalacji.
Podkreślono, że opracowanie aplikacji powinno odbywać się w odpowiedzialny sposób, dokumentując wraz z oceną wpływu na ochronę danych wszystkie wdrożone mechanizmy ochrony prywatności w fazie projektowania i domyślnej ochrony prywatności, a kod źródłowy powinien być udostępniony publicznie w celu jak najszerszej analizy przez środowisko naukowe.
Algorytmy stosowane w aplikacjach do ustalania kontaktów zakaźnych powinny działać pod ścisłym nadzorem wykwalifikowanego personelu w celu ograniczenia występowania jakichkolwiek fałszywych wyników pozytywnych i negatywnych, a w żadnym wypadku zadanie "udzielania porad dotyczących kolejnych kroków" nie powinno być w pełni zautomatyzowane.
Ponadto, aby uniknąć stygmatyzacji, żaden potencjalny element identyfikujący inną osobę, której dotyczą dane, nie powinien być częścią tej "porady", a korzystanie z aplikacji lub jej części nie powinno umożliwiać ponownej identyfikacji innych osób, zainfekowanych lub nie przez COVID-19.
EROD zaleca, aby nie przechowywać żadnych danych bezpośrednio identyfikujących w urządzeniu użytkownika i aby takie dane były w każdym razie jak najszybciej usuwane.
EROD zdecydowanie popiera zawartą w zaleceniach koncepcję, zgodnie z którą po zakończeniu tego kryzysu taki system kryzysowy nie powinien pozostawać w użyciu, a zgromadzone dane powinny być usuwane lub anonimizowane.
