Ostatnie tygodnie w branży nowych technologii to okres intensywnych prac między innymi nad aplikacjami umożliwiającymi informowanie użytkowników o prawdopodobnym kontakcie z osobą zarażoną wirusem SARS-CoV-2. Ich działanie nie jest możliwe bez przetwarzania danych szczególnych kategorii, w tym informacji o aktualnym stanie zdrowia użytkowników i o sieci utrzymywanych przez nich kontaktów.

Pojawienie się na rynku tego rodzaju aplikacji z jednej strony budzi liczne pytania i wątpliwości, z drugiej zaś stanowi doskonałą okazję do przełożenia obowiązujących standardów w zakresie ochrony danych osobowych na praktykę. To właśnie instrumenty umożliwiające monitorowanie rozprzestrzeniania się choroby COVID-19 skłoniły niektóre kraje UE (np. Belgię) do oficjalnego zalecenia traktowania adresów IP na równi z innymi danymi osobowymi.
Warto podkreślić, że samo tworzenie i rozwijanie programów umożliwiających monitorowanie użytkowników, podobnie jak agregowanie niezbędnych w tym celu danych szczególnych kategorii, w ocenie większości europejskich organów do spraw ochrony danych osobowych (np. polskich, niemieckich, włoskich i belgijskich) nie jest sprzeczne z obowiązującymi przepisami o ochronie danych osobowych. W tym miejscu warto jednak zwrócić uwagę, że np. w Słowenii przetwarzanie informacji o geolokalizacji użytkownika zaleca się traktować jako środek absolutnie ekstraordynaryjny, a w Hiszpanii postuluje się zastrzeżenie możliwości monitorowania rozprzestrzeniania się chorób zakaźnych wyłącznie do kompetencji organów administracji publicznej.
Nie jest jednak tak, że przetwarzanie danych osobowych na potrzeby aplikacji monitorujących może następować w sposób zupełnie dowolny. Wręcz przeciwnie – twórcy programu są zobowiązani w całości uwzględniać przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO), zapewniając bezpieczeństwo przetwarzanych danych oraz wykonanie wobec użytkownika obowiązków informacyjnych. Powszechnie dostrzega się także potrzebę wyposażenia aplikacji monitorujących w narzędzia umożliwiające trwałe usunięcie danych użytkowników po zakończeniu korzystania z aplikacji.
Interesującą kwestią jest zgoda osoby fizycznej na przetwarzanie jej danych osobowych. Podczas gdy zwraca się uwagę na możliwość przetwarzania danych szczególnych kategorii ze względu na interes publiczny na podstawie art. 9 ust. 2 lit. i RODO, w Niemczech podkreślono, że jednym z podstawowych elementów decydujących o legalności przetwarzania danych przez aplikację monitorującą jest dobrowolność korzystania z niej. W podobnym tonie wypowiedziała się Europejska Rady Ochrony Danych, podkreślając, że stosowanie aplikacji umożliwiających śledzenie kontaktów zakaźnych powinno być dobrowolne i nie powinno opierać się na śledzeniu przemieszczania się poszczególnych osób, lecz na informacjach o bliskości użytkowników.
Potencjał aplikacji monitorujących może w przyszłości zostać wykorzystany również w e-gospodarce, dlatego warto przyglądać się kształtującej się praktyce stosowania RODO.