EROD odnosi się w piśmie w sposób pozytywny wobec inicjatywy Komisji Europejskiej mającej na celu przygotowanie uniwersalnego podejścia, w ramach którego aplikacje mobilne stanowić będą narzędzie wspierające państwa w walce z COVID-19. Organ wskazuje na konieczność uwzględnienia wielu czynników (np. wpływu na zdrowie jednostek), a co za tym idzie konieczności szczegółowej analizy środków technicznych. W celu zapewnienia legalności przetwarzanych danych kluczowym elementem będą konsultacje w tym zakresie z organami ochrony danych.
EROD podkreśla konieczność uwzględnienia zasady privacy by design oraz privacy by default na etapie tworzenia aplikacji. Konieczne jest również przeprowadzenie oceny skutków dla ochrony danych, a także umożliwienie kontroli poprzez upublicznienie kodu źródłowego.
Organ wskazuje na potrzebę wyważenia ochrony zdrowia publicznego oraz ingerencji w życie prywatne. Aplikacje mogą bowiem mieć możliwość śledzenia kontaktów oraz funkcję ostrzegania. Nie jest to tożsame ze śledzeniem konkretnych osób, a służy jedynie wykrywaniu zdarzeń. EROD stoi na stanowisku, że używanie tego typu aplikacji powinno być dobrowolne i oparte na zbiorowej odpowiedzialności. Bez względu na powyższe, przetwarzanie danych osobowych w takim zakresie przez władze publiczne nie musi jednakże być oparte na zgodzie.
EROD zaznacza, że omawiane aplikacje nie będą służyć stygmatyzacji, a stanowić będą narzędzie umożliwiające wykonywanie konkretnych zadań tj. identyfikacji i poddaniu testom oraz udzieleniu porad osobom, które miały kontakt z osobami zarażonymi COVID-19. Algorytmy służące śledzeniu osób monitorowane powinny być przez wykwalifikowany personel. Takie działanie zredukowałoby szansę pojawienia się fałszywych wyników.
Jak podkreśla EROD, tego typu system powinien funkcjonować jedynie w okresie kryzysu. Po jego zakończeniu nie jest wskazane, by był dłużej używany, a wszelkie dane jakie się w nim znalazły poddane powinny zostać anonimizacji lub usunięciu.
Źródło: https://uodo.gov.pl/pl/138/1495