אירופה: החלפת מידע בין אפליקציות קורונה, רק בפעולה רצונית של המשתמש

החלפת מידע על חולי קורונה מאומתים בין אפליקציות לניטור קירבה שמפותחות במדינות האיחוד האירופי, צריכה להתבצע רק על יסוד פעולה וולונטרית של המשתמש. כך קובע פאנל הרגולטורים האירופאים לפרטיות (EDPB – European Data Protection Board) בגילוי דעת שפרסם בקשר עם פעולה הדדית (אינטר-אופרביליות, Interoperability) של אפליקציות לניטור קירבה של חולי קורונה. "נושאי מידע צריכים לשלוט במידע שלהם", קובע ה-EDPB. "פעולה הדדית לא צריכה לשמש נימוק להרחבת איסוף המידע האישי מעבר למה שהוא הכרחי".

אפליקציות לניטור מפותחות במרבית מדינות האיחוד האירופי. הן מבוססות על אותות בלוטות' שמחליפים ביניהם מכשירי טלפון סלולריים, המתעדים ושומרים מידע על אודות מכשירים שנמצאו זה במרחק שני מטר מזה למשך זמן שדי בו להדביק אדם בקורונה. המכשירים מחליפים ביניהם מזהה מספרי ייחודי ואקראי ואינם מזהים את בעליהם. מספר כזה נחשב בדין האירופאי לאמצעי של פסאודונימיזציה ולא אנונימזיציה מוחלטת. אם אדם נדבק בנגיף, הוא יכול להעביר את המידע לשרת מרכזי המפיץ אותו לכל המכשירים בעלי האפליקציה, כך שהם יכולים לוודא אם נמצאו בקירבת החולה ולהיכנס לבידוד. אפליקציית "המגן" של משרד הבריאות בישראל מנטרת, לשם השוואה, מקום ולא קירבה למכשירים אחרים, בהסתמך על אותו GPS ו-WiFi המדויקים משמעותית פחות מאותות בלוטות'.

פאנל הרגולטורים האירופאי מכיר בכך שאפליקציות לניטור קירבה הן רק רכיב זמני אחד במאבק בקורונה, כחלק מאסטרטגיה כוללת לבריאות הציבור המשלבת גם בדיקות ותחקור אנושי של חולים מאובחנים אודות נתיבי התנועה שלהם והאנשים שאיתם נפגשו.

גילוי הדעת מכיר בתועלת בפעילות-הדדית של יישומי ניטור קירבה: ללא קשר ליישום אפשר יהיה לאתר יותר מגעים עם חולה מאומת. הדבר חיוני במיוחד עבור אנשים המתגוררים באזורי גבול באיחוד, בעת נסיעה או בעבודה החושפת אנשים ליחידים ממדינות אחרות באיחוד.

עם זה, הפאנל קובע כי עקרונות עיבוד המידע שנקבעו ב-GDPR חלים גם בעת העברת מידע בין אפליקציות שונות לניטור קירבה –

  • שקיפות. יש ליידע את המשתמש על כל עיבוד נוסף של המידע האישי שלהם והצדדים המעורבים בו.
  • בסיס חוקי לעיבוד המידע. ככל שהוא מבוסס על הסכמה, יש לקבל הסכמה פרטנית ונוספת להעברת מידע בין אפליקציות.
  • שליטה במידע. יש להגדיר את תפקידי הצדדים המעבדים את המידע, לקבע אותם בהסכם וליידע בכך את המשתמש.
  • זכויות נושאי המידע. פעולה-הדדית בין אפליקציות לא צריכה להקשות על מימוש זכויותיהם של נושאי מידע לפי ה-GDPR ויש להבהיר להם למי עליהם לפנות לצורך כך.
  • שמירת מידע ומזעורו. ה-EDPB ממליץ לקבוע אמת מידה אחידה בעניין זה. "פעולה הדדית (של אפליקציות) לא צריכה להוביל לאיסוף מידע מוגבר בשל העדרה של גישה מתואמת".
  • אבטחת מידע. אינטר-אופרביליות לא צריכה לפגוע באבטחת המידע. בפרט, יש לדאוג לאבטחת מידע בעת העברתו.