Az Apple és a Google április 10-én jelentették be, hogy együttműködnek egy olyan technológiai keretrendszer közös kialakításában, amely alapul szolgálhat a koronavírus terjedésének nyomon követését segítő applikációk fejlesztésében. Az együttműködés jelentőségét az adja, hogy ezzel olyan, az app-ok fejlesztését megkönnyítő keretrendszer alakítható ki, amely elősegíti a sokfelé készülő applikációk interoperabilitását. 

A kezdeményezés révén kialakítandó keretrendszer (Contact Tracing Framework (CTF)) kapcsán a brit adatvédelmi biztos (ICO) április 17-én véleményt bocsátott ki. Az alábbiakban az ICO véleményében szereplő főbb megállapításokat foglalom össze. 

Az Apple és Google által kitűzött célok szerint a megoldás az alábbi, adatvédelmi szempontból lényeges kritériumoknak tenne eleget: 

• a használata a felhasználó hozzájárulásán alapul, 
• nem gyűjt a személy azonosítására alkalmas adatot, illetve helymeghatározási adatot, 
• azon személyek listája, akivel a felhasználó kapcsolatba került nem hagyja el a telefont, 
• azon személyek, akik kapcsán megállapításra kerül a fertőzés nem kerülnek beazonosításra a többi felhasználó, az Apple vagy a Google számára, 
• az egészségügyi hatóságok használják, a COVID-19 járvány kezelésével összefüggésben, 
• platformtól (Android vagy iOS) függetlenül működik.  

A technológia működését a Google és az Apple által közzétett rövid áttekintés az alábbiak szerint szemlélteti: 

A brit adatvédelmi biztos (ICO) véleményének a főbb megállapításai az alábbiak: 

1.  A megoldás megfelelni látszik a beépített és alapértelmezett adatvédelem elveinek (privacy by design és privacy by default). Ezt arra alapozza az ICO, hogy (i) korlátozott mennyiségű adatot generál a felhasználók eszközeiről és ezeket interfészen (API) keresztül teszi elérhetővé, a megoldás az eszközökön megfelelő időközönként generált tokeneket használ és az eszköz közelében előforduló más eszközökről származó, Bluetooth-on keresztül érzékelt tokeneket kerülnek még kezelésre, (ii) az értesítések a tokenek alapján történnek, egy központi szerveren keresztül, kizárólag azon app használók esetében, ahol a tokenek kapcsán megállapítható a "találkozás" (a párosítás az eszközökön történik).  
2. A rendszer felépítése védi a felhasználók identitását mind az adatgyűjtés (tokenek generálása és eszközök közötti továbbítsa), mind az esetleges fertőzésről szóló későbbi tájékoztatás kapcsán. 
3. Ugyanakkor fennáll annak a lehetősége, hogy az app fejlesztők bár a CTF-re építik a megoldásukat, de további adatok gyűjtését is lehetővé teszik és további technológiai megoldásokat is igénybe vesznek. 
4. Azon szervezeteknek, amelyek az applikációt fejlesztik és működtetik - a vizsgált kontakt nyomon követő keretrendszerre építve - kell gondoskodniuk az adatvédelmi szabályoknak való megfelelésről, ezen szervezetek minősülnek adatkezelőnek. (A CTF-re alapozott app-ok esetében sem magától értetődő az adatvédelmi megfelelés, mivel a keretrendszer adatvédelmi megfelelése még önmagában nem garantálja az applikáció megfelelőségét.)
5. Az adatbiztonság kiemelt figyelmet igényel a fejlesztések során, figyelemmel az adatkezelés minden szakaszára, beleértve a különböző titkosítási megoldások alkalmazását. 

A vélemény - a megoldás részletesebb elemzése kapcsán - kiemeli még, hogy

• az alkalmazott megoldás tekintetbe veszi az adattakarékosság elvét (nem kerülnek átadásra például felhasználónevek vagy egyéb azonosító adatok a tokeneken kívül),
• az app-ok használata önkéntes, a felhasználók dönthetnek a letöltésről és akár az app eltávolításáról is (a fejlesztés 2. fázisában azonban elképzelhető irány, hogy etekintetben korlátozottabb lesz a felhasználók mozgástere), 
• a felhasználók a Bluetooth-t is ki tudják kapcsolni a telefonjukon (a biztos itt megjegyzik a fejlesztés 2. fázisa kapcsán, hogy nem a felhasználóra kell általában telepíteni annak a lépésnek a megtételét, hogy a nyomon követés kikapcsolható legyen, hanem fordítva a felhasználónak kell előzetesen engedélyezni az ilyen jellegű adatkezelést),   
• az app-okat a hivatalos app store-okból lehet letölteni és át kell esniük az ehhez kapcsolódó ellenőrzésen, 
• az adatbiztonsági intézkedések körében a titkosítás kiemelt jelentőséggel bír,
• a célhoz kötöttség érvényesülése kapcsán figyelmet érdemel, hogy az app fejlesztők milyen további funkciókat építenek be az app-okba és milyen további adatokat gyűjtenek, elkerülendő a kezdeti célon való túlterjeszkedést.  

A CTF alapra építve fejlesztett app-ok kapcsán az alábbi - nem teljes körű - megállapításokat rögzíti még a vélemény: 

• nem kizárt, hogy az app-ok fejlesztői további adatok kezelése mellett döntsenek, ezek esetről-esetre történő vizsgálata szükséges, 
• az adatkezelés jogalapja és az app-ok használatának önkéntessége kapcsán még számos tisztázandó kérdés van (pl. miként ösztönöznek majd az app hazsnálatára, befolyásolva ezzel az önkéntes letöltést, mi történik a hozzájárulás visszavonása esetén), [Megjegyzés: az Európai Adatvédelmi Testület április 14-i levele szerint, bár az app-ok letöltése lehetőség szerint önkéntes kell, hogy legyen, de az adatkezelés jogalapjaként nem a hozzájárulást, hanem sokkal inkább a közérdekű feladat végrehajtását látja jogalapként alkalmazhatónak: "When public authorities provide a service, based on a mandate assigned by and in line with requirements laid down in law, it appears that the most relevant legal basis for the processing is the necessity for the performance of a task for public interest."]
• ha az app a CTF kereteit meghaladóan gyűjt adatokat, akkor gondoskodni kell arról, hogy a többlet adatkezelés tekintetében is megvalósuljanak a jogszerű, tisztességes és átlátható adatkezelés elvei.

A keretrendszer alakítása és az app-ok fejlesztése kapcsán még számos kérdés felmerül majd, amelyre választ kell adni, így az elkövetkezendő időszakban rendszeresen visszatérő téma lesz, hogy a kapcsolatok nyomon követésére szolgáló technológiai megoldások miként feleltethetők meg az adatvédelmi elvárásoknak.