קורונה באירופה: הנחיות חדשות של הרגולטורים לפרטיות

פאנל הרגולטורים לפרטיות של מדינות האיחוד האירופי (European Data Protection Board - EDPB), הפועל כעת במתכונת חירום, פרסם ביממה האחרונה שתי הנחיות חדשות העוסקות בפרטיות והגנת מידע במסגרת המאבק במגיפה. ההנחיה הראשונה עוסקת בשימוש בנתוני מיקום וקרבה לבלימת התפשטות המגיפה והשניה בעיבוד מידע רפואי במסגרת מחקרים שנועדו לסייע במאבק המגיפה.

ההנחיה על שימוש בנתוני מיקום חוזרת ומפרטת את העקרונות שנציבות האיחוד האירופי התוותה בנייר העמדה שלה מוקדם יותר החודש. ההנחיה מדגישה בנוסף כי שימוש בנתוני מיקום על-בסיס תשתיות רשתות תקשורת סלולריות צריך להיעשות כך שיעובד מידע אנונימי ולא מידע שניתן ליחוס לאדם, שניתן לקישור למידע אחר על האדם או שמאפשר הסקת מסקנות על אדם יחיד. ההנחיה עוסקת גם ביישומונים המסייעים באיתור קרבה למי שאובחן כחולה קורונה. יישומונים כאלה צריכים לפעול על-פי בסיס חוקי מתאים לעיבוד מידע לפי הוראות ה-GDPR. ;עליהם לערוך תסקיר השפעה על הפרטיות ולחשוף את האלגוריתמיקה שלהם ודרך פעולתם לצורך תיקוף ואימות על-ידי מומחים חיצוניים.

ההנחיה על עיבוד מידע רפואי לצורכי מחקרים עוסקת בישום הוראות ה-GDPR במחקרים הקשורים במגיפה וההתמודדות איתה. גם עורכי מחקר נדרשים לפעול על-פי בסיס חוקי מוכר ב-GDPR. הבסיס החוקי עשוי להיות הסכמת נושא המידע או עניין בעל חשיבות ציבורית המעוגן בחקיקה הלאומית של מדינות האיחוד האירופי. המחקר צריך לפעול בשקיפות כלפי נושאי המידע ולמסור להם הודעת פרטיות כנדרש, אלא אם כן מסירת הודעה כזו אינה אפשרית או כרוכה במאמץ לא מידתי. עקרונות נוספים שיש לציית להם במחקרים הם צמידות מטרה, מזעור מידע, סודיות מידע, שמירת זכויות נושאי המידע והכללים החלים על העברה בינמדינתית של מידע.