Rządy, organizacje publiczne i prywatne w całej Europie podejmują działania w celu ograniczenia rozprzestrzeniania się COVID-19. Może to obejmować przetwarzanie różnych rodzajów danych osobowych.
Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EROD), powiedziała: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych.”
RODO jest szeroko zakrojonym ustawodawstwem, które określa również zasady dotyczące przetwarzania danych osobowych w kontekście takim, jak ten odnoszący się do COVID-19. RODO zapewnia podstawy prawne umożliwiające pracodawcom i organom administracji publicznej właściwym do spraw zdrowia przetwarzanie danych osobowych w kontekście epidemii, bez konieczności uzyskania zgody osoby, której dane dotyczą. Ma to na przykład zastosowanie, gdy przetwarzanie danych osobowych jest konieczne dla pracodawców ze względu na interes publiczny w dziedzinie zdrowia publicznego lub w celu ochrony żywotnych interesów (art. 6 i 9 RODO) lub w celu spełnienia innego obowiązku prawnego.
Do przetwarzania danych dotyczących komunikacji elektronicznej, takich jak dane dotyczące lokalizacji pochodzące z urządzeń przenośnych, obowiązują dodatkowe zasady. Przepisy krajowe wdrażające dyrektywę o prywatności i łączności elektronicznej przewidują zasadę, że operator może wykorzystywać dane dotyczące lokalizacji tylko wtedy, gdy są anonimowe lub za zgodą osób fizycznych. Organy publiczne powinny w pierwszej kolejności dążyć do przetwarzania danych dotyczących lokalizacji w sposób anonimowy (tj. przetwarzać dane zebrane w sposób uniemożliwiający ich analizę do danych osobowych). Mogłoby to umożliwić generowanie raportów o koncentracji urządzeń mobilnych w określonej lokalizacji („kartografia”).
Jeżeli nie jest możliwe przetwarzanie tylko danych anonimowych, art. 15 dyrektywy o prywatności i łączności elektronicznej umożliwia państwom członkowskim wprowadzenie środków legislacyjnych służących bezpieczeństwu narodowemu i bezpieczeństwu publicznemu. To nadzwyczajne ustawodawstwo jest możliwe pod warunkiem, że stanowi konieczny, odpowiedni i proporcjonalny środek w społeczeństwie demokratycznym. Jeżeli takie środki zostaną wprowadzone, państwo członkowskie jest zobowiązane do wprowadzenia odpowiednich zabezpieczeń, takich jak przyznanie jednostkom prawa do sądowego środka odwoławczego.
źródło UODO