Рекомендация Европейской Комиссии 2020/518 от 08.04.2020 об общем наборе инструментов Союза для использования технологий и данных в целях борьбы с кризисом COVID-19 и выхода из него, в частности, в отношении мобильных приложений и использования анонимных данных о мобильности

Рекомендация Европейской Комиссии 2020/518 от 8 апреля 2020 г.
об общем наборе инструментов Союза для использования технологий и данных в целях борьбы с кризисом COVID-19 и выхода из него, в частности, в отношении мобильных приложений и использования анонимных данных о мобильности*(1)

ГАРАНТ:

См. справку "Коронавирус COVID-19"

Европейская Комиссия,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 292 указанного Договора;

Принимая во внимание следующие обстоятельства:

(1) Кризис общественного здравоохранения, вызванный текущей пандемией COVID-19 (далее - "кризис COVID-19") заставил Союз и государства-члены ЕС столкнуться с беспрецедентным вызовом своим системам здравоохранения, экономической стабильности и ценностей. Ни одно государство-член ЕС не оказалось в состоянии справиться в одиночку в борьбе с кризисом COVID-19. Исключительный кризис подобного масштаба требует решительных мер от всех государств-членов ЕС, а также учреждений и органов ЕС, работающих сообща в подлинном духе солидарности.

(2) Цифровые технологии и данные играют важную роль в борьбе с кризисом COVID-19, принимая во внимание тот факт, что достаточно много людей в Европе подключены к системе Интернет через мобильные устройства. Указанные технологии и данные способны предложить имеющий чрезвычайно важное значение инструмент для информирования общественности и оказания содействия соответствующим органам государственной власти в предпринимаемых ими усилиях, направленных на сдерживание распространения вируса, а также позволить организациям здравоохранения осуществлять обмен медицинскими данными. При этом разобщенный и несогласованный подход ставит под угрозу эффективность мер, направленных на борьбу с кризисом COVID-19, в то же время причиняя существенный ущерб единому рынку и основным правам и свободам.

(3) В этой связи необходимо разработать единый подход к использованию цифровых технологий и данных в ответ на вызовы текущего кризиса. Указанный подход должен быть эффективным в оказании поддержки компетентным национальным органам власти, в частности, органам здравоохранения и органам, отвечающим за формирование и реализацию политики, путем предоставления им достаточной и точной информации, позволяющей понять эволюцию и распространение вируса COVID-19, а также его последствия. В то же время указанные технологии могут помочь гражданам в принятии эффективных и более целенаправленных мер социального дистанцирования. Одновременно предлагаемый подход направлен на поддержку целостности единого рынка и защиту основных прав и свобод, в частности, права на неприкосновенность частной жизни и защиту персональных данных.

(4) Мобильные приложения могут оказать большую помощь органам здравоохранения, действующим на национальном уровне и на уровне ЕС, в осуществлении мониторинга и сдерживании текущей пандемии COVID-19. Они могут предоставить необходимое руководство гражданам и облегчить организацию медицинского наблюдения за пациентами. Приложения по предупреждению и отслеживанию могут играть важную роль в отслеживании контактов, ограничении распространения болезни и пресечении цепочек распространения болезни. Таким образом, в сочетании с надлежащими стратегиями тестирования и отслеживания контактов мобильные приложения могут стать особенно востребованными в деле предоставления информации об уровне циркуляции вируса при оценке эффективности физического дистанцирования и сдерживающих мер, а также в информировании о стратегиях деэскалации.

(5) В Решении 1082/2013/ЕС Европейского Парламента и Совета ЕС*(2) установлены специальные правила в отношении осуществления эпидемиологического наблюдения, мониторинга, раннего предупреждения и борьбы с серьезными трансграничными угрозами здоровью населения. Статья 2(5) Решения требует, чтобы Европейская Комиссия во взаимодействии с государствами-членами ЕС обеспечила координацию и обмен информацией между механизмами и структурами, созданными в соответствии с указанным Решением, а также аналогичными механизмами и структурами, созданными на уровне Союза или в соответствии с Договором об учреждении Европейского сообщества по атомной энергии, деятельность которых имеет значение для обеспечения готовности и планирования реагирования, мониторинга, раннего предупреждения и борьбы с серьезными трансграничными угрозами здоровью населения. Комитет по защите здоровья, созданный в соответствии со Статьей 17 вышеуказанного Решения, является форумом по координации усилий в контексте борьбы с серьезными трансграничными угрозами здоровью населения. В то же время Статьей 6(1) Решения устанавливается сеть эпидемиологического надзора за инфекционными заболеваниями, которая управляется и координируется Европейским центром по контролю за заболеваниями.

(6) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС*(3) о правах пациентов в трансграничном медицинском обслуживании требует, чтобы система электронного здравоохранения ("eHealth Network") работала в направлении обеспечения устойчивых экономических и социальных преимуществ европейских систем и услуг электронного здравоохранения и взаимосовместимых приложений с целью достижения высокого уровня доверия и безопасности, укрепления непрерывности ухода за больными и обеспечения доступа к надежному и высококачественному здравоохранению.

(7) В Регламенте (EC) 2016/679 Европейского Парламента и Совета ЕС*(4) о защите физических лиц при обработке персональных данных и о свободном обращении таких данных установлены условия обработки персональных данных, включая данные, касающиеся состояния здоровья. Указанные данные могут обрабатываться, помимо прочего, в тех случаях, когда субъект персональных данных дал свое явно выраженное согласие либо когда обработка таких данных осуществляется в государственных интересах, как указано в законодательстве государства-члена ЕС или в законодательстве Союза, в частности, в целях мониторинга и оповещения, профилактики или контроля инфекционных заболеваний и других серьезных угроз для здоровья.

(8) Некоторые государства-члены ЕС приняли специальное законодательство, которое позволяет им осуществлять обработку персональных данных в государственных интересах (Статья 6(1)(c) или (e) и Статья 9(2)(i) Регламента (EC) 2016/679). В любом случае цели и способы обработки данных, а также то, какие данные должны обрабатываться и кем, должны быть четко и конкретно определены.

(9) Европейская Комиссия вправе провести консультации с Европейским инспектором по защите данных и Европейским советом по защите данных в соответствии со Статьей 42 Регламента (EC) 2018/1725 Европейского Парламента и Совета ЕС*(5) и Статьей 70 Регламента (EC) 2016/679.

(10) В Директиве 2002/58/EC Европейского Парламента и Совета ЕС*(6) установлены правила, применимые к данным о трафике и местоположении, а также к хранению информации и получению доступа к информации, хранящейся на терминальном оборудовании, например, на мобильном устройстве, пользователя или подписчика. В соответствии со Статьей 5(3) Директивы такое хранение информации или получение доступа к ней должно быть разрешено только в строго определенных обстоятельствах или на основании согласия пользователя или подписчика после получения ясной и полной информации в соответствии с требованиями Регламента (EC) 2016/679. Дополнительно Статья 15(1) Директивы разрешает государствам-членам ЕС принимать законодательные меры, направленные на ограничение объема определенных прав и обязанностей, установленных Директивой, включая права и обязанности, установленные в Статье 5, в том случае, если указанные ограничения представляют собой необходимую, надлежащую и пропорциональную меру, принятую в рамках демократического общества и направленную на достижение определенных целей.

(11) Европейская Комиссия объявила в своем Сообщении, озаглавленном "Европейская стратегия в отношении данных"*(7), о том, что ЕС создаст единый рынок, на котором данные могут обращаться внутри ЕС и между секторами для всеобщего блага, на котором полностью соблюдаются европейские правила, в частности, правила в отношении защиты частной жизни и данных, а также антимонопольное законодательство, и где правила в отношении доступа к данным и их использования являются справедливыми, практичными и понятными. В частности, Европейская Комиссия указала, что она рассмотрит необходимость принятия законодательных мер, направленных на содействие обмену данными между бизнесом и правительством, совершаемому в государственных интересах.

(12) С начала кризиса COVID-19 было разработано огромное количество мобильных приложений, при этом некоторые из них были разработаны органами государственной власти, в то же время от государств-членов ЕС и от частного сектора поступили призывы к обеспечению координации на уровне Союза, в том числе с целью решения проблем кибербезопасности, безопасности и конфиденциальности. Данные приложения, как правило, выполняют три общие функции: (i) информирование и консультирование граждан, а также содействие организации медицинского наблюдения за лицами, имеющими симптомы, как правило, в сочетании с опросником для самодиагностики; (ii) предупреждение людей, которые находились в непосредственной близости от зараженного человека, чтобы прервать цепь заражения и предотвратить возобновление инфекции в фазе повторного открытия; и (iii) мониторинг и обеспечение карантина инфицированных лиц, возможно, в сочетании с характеристиками, отвечающими за оценку их состояния здоровья в карантинный период. Некоторые приложения доступны для широкой общественности, а некоторые предназначены только для закрытых групп пользователей и направлены на отслеживание контактов на рабочих местах. Эффективность данных приложений, как правило, не оценивалась. Информация и приложения для проверки симптомов могут быть полезны для повышения уровня информированности граждан. Тем не менее, по мнению экспертов, приложения, направленные на информирование и предупреждение пользователей, представляются наиболее многообещающими в плане предотвращения распространения вируса, учитывая также их более ограниченное влияние на частную жизнь, и в настоящее время некоторые государства-члены ЕС изучают возможность их использования.

(13) Некоторые из указанных мобильных приложений могут быть приравнены к медицинскому оборудованию, в случае если они были предназначены производителем для использования, в частности, диагностики, профилактики, мониторинга, предсказания дальнейшего течения болезни, прогнозирования, лечения или облегчения течения заболевания, и, следовательно, подпадают под действие правил, установленных Регламентом (EC) 2017/745 Европейского Парламента и Совета ЕС*(8), или Директивы 93/42/ЕЭС*(9) Совета ЕС. Что касается приложений для самодиагностики и проверки симптомов, в тех случаях, когда они предоставляют информацию, касающуюся диагностики, профилактики, мониторинга, предсказания дальнейшего течения болезни или прогнозирования, должна быть рассмотрена их потенциальная квалификация в качестве медицинского оборудования в соответствии с регулятивными рамками относительно медицинского оборудования (Директива 93/42/EЭC или Регламент (EC) 2017/745).

(14) Эффективность указанных мобильных приложений зависит от ряда факторов. Данные факторы включают в себя уровень распространенности среди пользователей, а именно процент населения, использующего мобильное приложение, а также процентное соотношение лиц из числа данных пользователей, которые загрузили приложение и дали свое согласие на обработку касающихся их персональных данных, а также не отозвали указанное согласие. Другими важными факторами являются доверие общества к тому, что данные будут защищены соответствующими мерами безопасности, будут использоваться исключительно для предупреждения лиц, которые могли быть заражены вирусом, одобрение органов здравоохранения, способность органов здравоохранения принимать меры, основываясь на данных, полученных с помощью приложения, интеграция и обмен данными с другими системами и приложениями, трансграничное и межрегиональное взаимодействие с другими системами.

(15) Использование приложений по предупреждению и отслеживанию может оказаться полезным для государств-членов ЕС в плане отслеживания контактов и может сыграть важную роль в сдерживании распространения заболевания при реализации сценариев деэскалации. Данные приложения также могут стать ценным инструментом для граждан, который позволяет практиковать эффективное и более целенаправленное социальное дистанцирование. Их воздействие может быть усилено стратегией, поддерживающей проведение более широких испытаний. Отслеживание контактов подразумевает, что органы здравоохранения могут быстро идентифицировать все контакты пациента с подтвержденным COVID-19, попросить их перейти на режим самоизоляции, а также быстро протестировать и изолировать их в том случае, если у них развиваются симптомы. Кроме того, анонимизированные и агрегированные данные, полученные в результате использования указанных приложений, в сочетании с информацией о распространенности заболевания, могут быть использованы для оценки эффективности мер по социальному и физическому дистанцированию. Несмотря на то, что данные приложения представляют очевидную пользу для государств-членов ЕС, они также потенциально могут внести свой вклад в работу Европейского центра по контролю за заболеваниями (далее - "ECDC*(10)").

(16) Приложения для самодиагностики и проверки симптомов потенциально могут предоставить соответствующую информацию о количестве случаев заболеваний с симптомами, совместимыми с COVID-19, с классификацией по возрасту и по неделе, с выборкой из четко определенных районов, где имеется высокий охват работы приложения. В случае успеха национальные органы здравоохранения могут принять решение об использовании данных, полученных с помощью указанных приложений, для осуществления надзора за синдромной первичной медико-санитарной помощью в отношении COVID-19. Указанные данные можно будет предоставлять в ECDC на еженедельной основе в агрегированном формате (например, данные о количестве гриппоподобных заболеваний (ГПЗ) или острых респираторных заболеваний (ОРЗ) за неделю, с разбивкой по возрастным группам, по отношению к общей численности населения, охваченных деятельностью дозорных врачей). Это позволило бы национальным органам власти и ECDC оценить положительное прогностическое значение респираторных симптомов в конкретном сообществе, тем самым предоставив информацию об уровне циркуляции вируса на основании данных, полученных в результате применения указанных приложений.

(17) Учитывая функции приложений для смартфонов, описанные выше, их использование может повлиять на осуществление некоторых основных прав, например, таких как, inter alia, право на уважение частной и семейной жизни. Поскольку любое вмешательство в данные права должно осуществляться в соответствии с законодательством, законодательные акты государств-членов ЕС, в которых устанавливаются или разрешаются ограничения в отношении осуществления некоторых основных прав, должны соответствовать общим принципам права Союза, изложенным в Статье 6 Договора о Европейском Союзе, конституционным традициям государств-членов ЕС и их обязательствам, принятым на основании международного права.

(18) В целях принятия различных видов приложений (и лежащих в их основе информационных систем в отношении цепочек передачи инфекции), а также для обеспечения того, чтобы они отвечали заявленной цели эпидемиологического надзора, лежащие в их основе политика, требования и меры контроля должны быть согласованы и реализованы скоординированным образом ответственными национальными органами здравоохранения. Опыт отдельных государств-членов ЕС, которые начали внедрять у себя приложения по отслеживанию контактов, показывает, что для повышения уровня их принятия представляется целесообразным установить комплексное управление для подготовки и реализации мер, в осуществлении которого участвовали бы не только органы здравоохранения, но и другие органы (включая органы защиты данных), а также частный сектор, эксперты, ученые и заинтересованные стороны, например, группы пациентов.

(19) В целях выявления случаев близкого соприкосновения между пользователями различных приложений по отслеживанию контактов (сценарий, который наиболее вероятно произойдет между людьми, перемещающимися через национальные/региональные границы), необходимо предусмотреть операционную совместимость между приложениями. Национальные органы здравоохранения, осуществляющие надзор за цепочками передачи инфекции, должны иметь возможность обмениваться операционно-совместимой информацией о пользователях, имеющих положительный результат тестирования, с другими государствами-членами ЕС или регионами в целях решения вопросов, связанных с трансграничными цепочками передачи инфекции.

(20) Некоторые компании, включая поставщиков услуг и основные технологические платформы, опубликовали или предоставили в распоряжение органов государственной власти анонимизированные и агрегированные данные о местоположении. Указанные данные необходимы для проведения исследований в отношении борьбы с вирусом, моделирования ситуации, каким образом вирус будет распространяться, а также моделирования экономических последствий кризиса. В частности, указанные данные помогут понять и смоделировать пространственную динамику эпидемии, а также оценить влияние мер по социальному дистанцированию (ограничения на поездки, закрытие несущественных мероприятий, полная изоляция и т.д.) на мобильность распространения вируса.

(21) Текущий кризис показал, что органы общественного здравоохранения и научно-исследовательские институты только выиграют от получения дальнейшего доступа к важнейшей информации для проведения анализа эволюции вируса и оценки эффективности мер в области общественного здравоохранения.

(22) Некоторые государства-члены ЕС приняли меры по упрощению доступа к необходимым данным. При этом общие усилия ЕС в борьбе с вирусом тормозятся сложившейся нынешней фрагментарностью подходов.

(23) Общий подход к кризису COVID-19, сформированный на территории Союза, также становится необходимым, поскольку меры, принятые в некоторых странах, например, геолокационное слежение за людьми, использование технологий для оценки уровня риска для здоровья человека и централизация конфиденциальных данных, ставят вопросы с точки зрения ряда основных прав и свобод, гарантированных в правовой системе ЕС, в том числе права на неприкосновенность частной жизни и права на защиту персональных данных. В любом случае в соответствии с Хартией Европейского Союза об основных правах, ограничения на осуществление установленных в ней основных прав и свобод должны быть обоснованными и пропорциональными. В частности, любые подобные ограничения должны носить временный характер, поскольку они по-прежнему строго ограничиваются тем, что является необходимым для борьбы с кризисом, и не могут продолжаться без достаточных оснований после окончания кризиса.

(24) Кроме того, ВОЗ и другие органы предупреждали о риске того, что приложения и неточные данные могут привести к стигматизации лиц, имеющих определенные характеристики из-за предполагаемой связи с заболеванием.

(25) В соответствии с принципом минимизации данных органы общественного здравоохранения и научно-исследовательские институты должны обрабатывать персональные данные только в тех случаях, когда они являются адекватными, актуальными и ограничены тем, что необходимо, а также обязаны применять соответствующие меры предосторожности, в том числе псевдонимизацию, агрегирование, криптографическую защиту и децентрализацию.

(26) Эффективные меры по обеспечению кибербезопасности и сохранности данных имеют важнейшее значение для защиты доступности, целостности аутентичности и конфиденциальности данных.

(27) Проведение консультаций с органами защиты данных в соответствии с требованиями, установленными в законодательстве Союза о защите персональных данных, является абсолютно необходимым для обеспечения правомерной обработки персональных данных и соблюдения прав соответствующих лиц.

(28) В соответствии со Статьей 14 Директивы 2011/24/ЕС Союз уполномочен поддерживать и способствовать сотрудничеству и обмену информацией между государствами-членами ЕС, работающими в рамках добровольной сети, объединяющей национальные органы власти, отвечающие за электронное здравоохранение, назначенные государствами-членами ЕС (далее - "eHealth Network"). Цели создания данной сети включают в себя работу по обеспечению устойчивых экономических и социальных преимуществ европейских систем и услуг электронного здравоохранения, а также взаимно совместимых приложений, направленных на достижение высокого уровня доверия и безопасности, повышения непрерывности медицинского обслуживания и обеспечения доступа к безопасному и высококачественному медицинскому обслуживанию. В Имплементационном Решении (ЕС) 2019/1765*(11) Европейской Комиссии устанавливаются правила в отношении создания, управления и прозрачного функционирования eHealth Network. Благодаря своему составу и сфере компетенции, eHealth Network должна стать главным форумом для обсуждения потребностей в получении данных органами общественного здравоохранения и научно-исследовательскими институтами с одновременным участием должностных лиц национальных регулятивных органов в области электронных коммуникаций, министерств, отвечающих за цифровые вопросы, и органов по защите данных.

(29) Сеть eHealth Network и Европейская Комиссия также должны тесно сотрудничать с другими органами и сетями, которые могут внести необходимый вклад для выполнения настоящей Рекомендации, включая Комитет по защите здоровья*(12), сеть эпидемиологического надзора за инфекционными заболеваниями, ECDC, Европейский совет по защите данных*(13), Орган европейских регуляторов в сфере электронных коммуникаций*(14) и Группу по сотрудничеству в сфере сетевых информационных систем*(15).

(30) Прозрачность, а также четкая и регулярная коммуникация, возможность внесения вклада со стороны лиц и сообществ, наиболее пострадавших от кризиса COVID-19, будут иметь первостепенное значение для обеспечения доверия со стороны общественности при борьбе с кризисом COVID-19.

(31) Принимая во внимание стремительное развитие ситуации в различных государствах-членах ЕС в отношении кризиса COVID-19, исключительно важно, чтобы государства-члены ЕС представляли свои отчеты, а Европейская Комиссия проводила пересмотр общего подхода, изложенного в настоящей Рекомендации, быстро и регулярно в течение всего периода, пока продолжается кризис.

(32) При необходимости настоящая Рекомендация должна быть дополнена в соответствии с дополнительными указаниями Европейской Комиссии, в том числе в отношении защиты данных и последствий для неприкосновенности частной жизни в результате использования мобильных приложений по предупреждению и профилактике,

Приняла настоящую Рекомендацию:

Цель настоящей Рекомендации

(1) В настоящей Рекомендации устанавливается процесс для выработки общего подхода, называющегося "Инструментарий", в отношении использования цифровых средств для преодоления кризиса. Инструментарий будет состоять из практических мер по эффективному использованию технологий и данных с уделением особого внимания двум областям, в частности:

(1) Общеевропейский подход к использованию мобильных приложений, координируемый на уровне Союза, был принят, чтобы позволить гражданам принимать эффективные и более целенаправленные меры по социальному дистанцированию, а также в целях предупреждения, предотвращения и отслеживания контактов, чтобы способствовать ограничению распространения заболевания COVID-19. Данный подход будет включать в себя мониторинг методологии и обмен оценками эффективности данных приложений, их взаимной совместимости и трансграничных последствий, а также обеспечению безопасности, соблюдению неприкосновенности частной жизни и обеспечению защиты данных; и

(2) Общая схема использования анонимизированных и агрегированных данных о мобильности населения в целях: (i) моделирования и предсказания эволюции заболевания; (ii) мониторинга эффективности принятия органами власти государств-членов ЕС решений в отношении таких мер, как социальное дистанцирование и изоляция; и (iii) информирования о скоординированной стратегии выхода из кризиса COVID-19.

(2) Государства-члены ЕС обязаны срочно и в тесной координации с другими государствами-членами ЕС, Европейской Комиссией и другими соответствующими заинтересованными сторонами принять данные меры без ущерба для компетенции государств-членов ЕС в области общественного здравоохранения. Они обязаны обеспечить, чтобы все действия предпринимались в соответствии с законодательством Союза, в частности, в соответствии с законодательством о медицинском оборудовании, а также в соответствии с законодательством, касающимся права на неприкосновенность частной жизни и защиты персональных данных, наряду с другими правами и свободами, закрепленными в Хартии Европейского Союза об основных правах. Инструментарий будет дополнен руководством Европейской Комиссии, в том числе руководством в отношении защиты данных и последствий для неприкосновенности частной жизни при использовании мобильных приложений по предупреждению и предотвращению COVID-19.

Определения

(3) Для целей настоящей Рекомендации:

(a) "Мобильные приложения" обозначают программные приложения, работающие на смарт-устройствах, в частности, смартфонах, предназначенные, как правило, для широкого и целенаправленного взаимодействия с веб-ресурсами, которые обрабатывают данные о близости расположения и другую контекстную информацию, собираемую многими датчиками, имеющимися в любом смарт-устройстве, и которые способны обмениваться информацией через множество сетевых интерфейсов с другими подключенными устройствами;

(b) "eHealth Network" обозначает сеть, созданную в соответствии со Статьей 14 Директивы 2011/24/ЕС, задачи создания которой были уточнены в Имплементационном Решении (ЕС) 2019/1765;

(c) "Комитет по защите здоровья" обозначает орган, состоящий из представителей государств-членов ЕС и учрежденный в соответствии со Статьей 17 Решения 1082/2013/ЕС;

(d) "Сеть эпидемиологического надзора" обозначает сеть, предназначенную для эпидемиологического надзора за инфекционными заболеваниями и связанными с ними особыми вопросами здравоохранения, функционирующую и координируемую ECDC, и объединяющую для постоянной коммуникации Европейскую Комиссию, ECDC и компетентные органы, отвечающие на национальном уровне за эпидемиологический надзор, созданную в соответствии со Статьей 6 Решения 1082/2013/ЕС.

Процесс разработки инструментария для использования технологий и данных

(4) Данный процесс должен способствовать срочной разработке и принятию государствами-членами ЕС и Европейской Комиссией инструментария практических мер, включая общеевропейский подход в отношении мобильных приложений, связанных с COVID-19, и использования данных о мобильности для моделирования и прогнозирования эволюции вируса.

(5) В целях разработки инструментария государства-члены ЕС, представленные в eHealth Network, должны проводить встречи, совместно с представителями Европейской Комиссии и представителями Европейского центра по контролю за заболеваниями, незамедлительно и далее, как можно чаще. Они должны обмениваться мнениями в отношении наилучшего использования данных, полученных из различных источников, для борьбы с кризисом COVID-19 при одновременном достижении высокого уровня доверия и безопасности, ведущейся в соответствии с законодательством Союза, в частности, в соответствии с законодательством о защите персональных данных и неприкосновенности частной жизни, а также должны обмениваться передовым опытом и содействовать применению общих подходов в этой связи.

(6) Участники eHealth Network должны немедленно собраться с целью введения в действие настоящей Рекомендации.

(7) Государства-члены ЕС, представленные в eHealth Network, обязаны по мере необходимости информировать Комитет по защите здоровья, Орган европейских регуляторов в сфере электронных коммуникаций, Группу по сотрудничеству NIS*(16) и соответствующие учреждения Европейской Комиссии, включая Европейское агентство по сетевой и информационной безопасности (ENISA)*(17), Европол и рабочие группы Совета ЕС, а также должны обращаться к ним за содействием при введении в действие настоящей Рекомендации.

(8) Европейский совет по защите данных и Европейский инспектор по защите данных*(18) также должны быть привлечены к тесному участию, чтобы обеспечить интеграцию в инструментарии принципов защиты данных и принципа "проектируемой конфиденциальности".

(9) Органы власти государств-членов и Европейская Комиссия обязаны обеспечить регулярное, четкое и всеобъемлющее информирование общественности в отношении мер, принимаемых в соответствии с настоящей Рекомендацией, а также предоставить общественности возможность для взаимодействия и принятия участия в обсуждениях.

(10) На протяжении всего процесса разработки инструментария должно обеспечиваться соблюдение всех основополагающих прав, в частности права на неприкосновенность частной жизни, а также права на защиту данных, предупреждение слежки и стигматизации. Таким образом, в отношении указанных особых вопросов инструментарий должен:

(1) строго ограничивать обработку персональных данных в целях борьбы с кризисом COVID-19 и обеспечить, чтобы персональные данные не использовались ни для каких других целей, включая правоохранительные или коммерческие цели;

(2) обеспечить регулярное проведение пересмотра длящейся потребности в обработке персональных данных в целях борьбы с кризисом COVID-19 и установить соответствующие оговорки об ограничении срока действия, с тем чтобы обработка персональных данных не выходила за пределы строго необходимого для данных целей;

(3) принять меры по обеспечению того, чтобы после того, как обработка персональных данных переставала быть строго необходимой, она эффективно прекращалась, а соответствующие персональные данные безвозвратно уничтожались, за исключением случаев, когда по рекомендации советов по этике и органов по защите данных, их научная ценность в служении общественным интересам перевешивает воздействие на соответствующие права при условии соблюдения соответствующих мер предосторожности.

(11) Инструментарий должен постепенно развиваться в свете обсуждений со всеми заинтересованными сторонами и мониторинга ситуации, передовой практики, вопросов и решений, касающихся источников и типов данных, необходимых и доступных органам общественного здравоохранения и научно-исследовательским институтам для борьбы с пандемией COVID-19.

(12) Инструментарий должен быть предоставлен в распоряжение международным партнерам Европейского Союза для обмена передовым опытом и оказания помощи в решении проблемы распространения вируса по всему миру.

Общеевропейский подход к мобильным приложениям по COVID-19

(13) Первым приоритетом инструментария должен стать общеевропейский подход в отношении мобильных приложений по COVID-19, который должен быть разработан совместно государствами-членами ЕС и Европейской Комиссией к 15 апреля 2020 г. К указанному процессу должны быть привлечены Европейский совет по защите данных и Европейский инспектор по защите данных. Данный подход должен состоять из следующего:

(1) установленных требований, призванных обеспечить эффективность применения мобильных приложений по информированию, предупреждению и отслеживанию в целях борьбы с COVID-19 с медицинской и технической точек зрения;

(2) мер по предотвращению распространения приложений, не совместимых с законодательством Союза, для поддержки требований доступности для инвалидов, а также для взаимной совместимости и продвижения общих решений, не исключая потенциального общеевропейского применения;

(3) механизмов управления, которые должны применяться органами общественного здравоохранения, и сотрудничества с ECDC;

(4) выявления передовой практики и механизмов для обмена информацией о функционировании приложений; и

(5) обмена данными с соответствующими эпидемиологическими государственными органами и научно-исследовательскими институтами, включая предоставление ECDC агрегированных данных.

(14) Органы власти государств-членов ЕС, представленных в eHealth Network, должны организовать процесс обмена информацией и должны обеспечить взаимную совместимость приложений в тех случаях, когда предусмотрены трансграничные сценарии.

Аспекты конфиденциальности и защиты данных при использовании мобильных приложений

(15) При разработке инструментария следует руководствоваться принципами конфиденциальности и защиты данных.

(16) С оказанием особого внимания использованию мобильных приложений по предупреждению и предотвращению COVID-19 необходимо соблюдать следующие принципы:

(1) наличие гарантий обеспечения соблюдения основных прав и предотвращение стигматизации, в частности, применимые правила, регулирующие защиту персональных данных и конфиденциальность коммуникаций;

(2) предпочтение наименее интрузивным, но в то же время эффективным мерам, включая использование данных о близости расположения и недопущение обработки данных о местонахождении или перемещениях частных лиц, а также использование, если это возможно, анонимизированных и агрегированных данных;

(3) установление технических требований, касающихся надлежащих технологий (например, низкая энергия Bluetooth*(19)), для установления близости к мобильному устройству, шифрования, безопасности данных, хранения данных на мобильном устройстве, возможного доступа органов здравоохранения и хранения данных;

(4) эффективные требования по обеспечению кибербезопасности для защиты наличия в доступе, целостности аутентичности и конфиденциальности данных;

(5) истечение срока действия принятых мер и удаление персональных данных, полученных с помощью указанных мер, не позднее того, как пандемия будет объявлена находящейся под контролем;

(6) загрузка данных о близости расположения в случае подтвержденного инфицирования и надлежащие методы предупреждения лиц, которые находились в тесном контакте с инфицированным лицом, которые должны оставаться анонимными; и

(7) требования к прозрачности настроек конфиденциальности для обеспечения доверия к приложениям.

(17) Европейская Комиссия опубликует руководство, в котором будут дополнительно уточнены принципы конфиденциальности и защиты данных в свете практических соображений, вытекающих из разработки и использования инструментария.

Использование данных о мобильности для информирования о мерах и стратегии выхода из кризиса

(18) Вторым приоритетом для инструментария должен стать общий подход к использованию анонимизированных и агрегированных данных о мобильности, необходимых для следующего:

(1) моделирования для определения и прогнозирования распространения заболевания и его воздействия на потребности в системах здравоохранения государств-членов ЕС, например, потребности в отделениях интенсивной терапии в больницах и потребности в средствах индивидуальной защиты, но не ограничиваясь данными потребностями; и

(2) оптимизации эффективности мер по сдерживанию распространения вируса COVID-19 и устранению его последствий, включая изоляцию (и отмену изоляции), а также получение и использование указанных данных.

(19) При разработке указанного подхода государства-члены ЕС (представленные в eHealth Network, которая будет координировать свою деятельность с Комитетом по защите здоровья, Сетью эпидемиологического надзора, ECDC, а также при необходимости с ENISA), должны обмениваться передовым опытом в области использования данных о мобильности, обмениваться и сравнивать результаты моделирования и прогнозы распространения вируса, а также осуществлять мониторинг воздействия мер, направленных на ограничение его распространения.

(20) Указанные документы должны включать в себя:

(1) сведения о надлежащем использовании анонимных и агрегированных данных о мобильности для осуществления моделирования, с тем чтобы понимать, каким образом будет распространяться вирус, а также моделирования экономических последствий кризиса;

(2) рекомендации органам государственной власти по обращению к поставщикам данных в отношении методики, которую они использовали для анонимизации данных и для проведения проверки достоверности примененной методики;

(3) гарантии, которые должны быть предусмотрены в целях предотвращения деанонимизации и во избежание повторной идентификации частных лиц, включая гарантии адекватного уровня безопасности данных и безопасности информационных технологий, а также оценку рисков повторной идентификации при сопоставлении анонимизированных данных с другими данными;

(4) немедленное и безвозвратное удаление всех случайно обработанных данных, с помощью которых возможно осуществить идентификацию частных лиц и уведомление поставщиков данных, а также компетентные органы о случайной обработке и удалении данных;

(5) в принципе удаление данных по истечении 90 дней или в любом случае не позднее, чем когда пандемия будет объявлена находящейся под контролем; и

(6) ограничение обработки данных исключительно для целей, указанных выше, и исключение обмена данными с любыми третьими лицами.

Отчетность и пересмотр

(21) Общеевропейский подход к мобильным приложениям по COVID-19 подлежит опубликованию 15 апреля и будет дополнен руководством Европейской Комиссии в отношении вопросов конфиденциальности и защиты данных.

(22) Государства-члены ЕС обязаны до 31 мая 2020 г. представить Европейской Комиссии отчет о мерах, принятых в соответствии с настоящей Рекомендацией. Указанные отчеты должны представляться на регулярной основе до тех пор, пока сохраняется кризис COVID-19.

(23) С 8 апреля 2020 г. государства-члены ЕС должны обеспечить возможность доступа другим государствам-членам и Европейской Комиссии к мерам, применяемым в областях, подпадающих под действие настоящей Рекомендации, для осуществления их экспертной оценки. В течение одной недели государства-члены ЕС и Европейская Комиссия могут представить свои замечания в отношении указанных мер. Соответствующему государству-члену ЕС следует в максимальной степени учитывать указанные замечания.

(24) Начиная с июня 2020 г. Европейская Комиссия на основе вышеуказанных отчетов государств-членов ЕС должна провести оценку достигнутого прогресса и результатов выполнения настоящей Рекомендации. Европейская Комиссия может дать государствам-членам ЕС дополнительные рекомендации, в том числе в отношении сроков принятия мер, применяемых в областях, подпадающих под действие настоящей Рекомендации.

Совершено в Брюсселе 8 апреля 2020 г.

От имени Европейской Комиссии
Thierry BRETON
Член Европейской Комиссии

------------------------------

*(1) COMMISSION RECOMMENDATION (EU) 2020/518 of 8 April 2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data. Опубликована в Официальном Журнале (далее - ОЖ) N L 114, 14.4.2020, стр. 7.

*(2) Решение 1082/2013/ЕС Европейского Парламента и Совета ЕС от 22 октября 2013 г. о серьезных трансграничных угрозах здоровью и об отмене Решения 2119/98/EC (ОЖ N L 293, 5.11.2013, стр. 1).

*(3) Директива 2011/24/ЕС Европейского Парламента и Совета ЕС от 9 марта 2011 г. о правах пациентов в трансграничном медицинском обслуживании (ОЖ N L 88, 4.4.2011, стр. 45).

*(4) Регламент (EC) 2016/679 Европейского Парламента и Совета ЕС от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/EC (Общий Регламент о защите персональных данных) (ОЖ N L 119, 4.5.2016, стр. 1).

*(5) Регламент (EC) 2018/1725 Европейского Парламента и Совета ЕС от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC (ОЖ N L 295, 21.11.2018, стр. 39).

*(6) Директива 2002/58/EC Европейского Парламента и Совета ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (ОЖ N L 201, 31.7.2002, стр. 37).

*(7) Сообщение Европейской Комиссии Европейскому Парламенту, Совету ЕС, Европейскому комитету по экономическим и социальным вопросам и Комитету Регионов, Европейская стратегия в отношении данных, COM/2020/66 окончательная редакция.

*(8) Регламент (EC) 2017/745 Европейского Парламента и Совета ЕС от 5 апреля 2017 г. о медицинских изделиях, об изменении Директивы 2001/83/EC, Регламента (ЕС) 178/2002 и Регламента (ЕС) 1223/2009, а также об отмене Директив 90/385/ЕЭС и 93/42/ЕЭС Совета ЕС (ОЖ N L 117, 5.5.2017, стр. 1).

*(9) Директива 93/42/EЭC Совета ЕС от 14 июня 1993 г. о медицинском оборудовании (ОЖ N L 169, 12.7.1993, стр. 1).

*(10) Англ. - European Centre for Disease Prevention and Control - прим. перевод.

*(11) Имплементационное Решение (ЕС) 2019/1765 Европейской Комиссии от 22 октября 2019 г. об установлении правил в отношении создания, управления и функционирования сети национальных органов власти, отвечающих за электронное здравоохранение, отменяющее действие Имплементационного Решения 2011/890/ЕС (ОЖ N L 270, 24.10.2019, стр. 83).

*(12) Англ. - Health Security Committee - прим. перевод.

*(13) Англ. - Европейский совет по защите данных - прим. перевод.

*(14) Англ. - Body of European Regulators for Electronic Communications - прим. перевод.

*(15) Англ. - Network Information Systems Cooperation Group - прим. перевод.

*(16) Англ. - NIS Cooperation Group. Группа по сотрудничеству NIS была установлена в 2016 г. в соответствии с Директивой о безопасности сетевых и информационных систем ("Директива NIS") - прим. перевод.

*(17) Англ. - European Network and Information Security Agency - прим. перевод.

*(18) Англ. - European Data Protection Supervisor - прим. перевод.

*(19) Англ. - Bluetooth Low Energy - прим. перевод.