鉴于当前欧洲各国政府、公共和私人组织都在采取各种措施来抑制和缓解COVID-19的蔓延，而这些措施可能会涉及对不同类型的个人数据处理的情况下，欧洲数据保护委员会（EDPB）主席于2020年3月16日发布了关于COVID-19爆发期间个人数据处理的声明。
　　
　　EDPB主席Andrea Jelinek表示，数据保护规则（如GDPR）并不妨碍应对新冠病毒大流行所采取的措施。但他强调，即使在这些非常时期，数据控制者也必须确保对数据主体个人数据的保护，因此应考虑以下多方面要素来保障个人数据的合法处理。
　　
　　1) 数据处理的合法性
　　
　　GDPR立法适用范围广，还规定了适用于如COVID-19相关的环境下个人数据处理的规则。实际上，GDPR提供的是法律依据，使雇主和公共卫生主管部门可以在传染病流行的环境中，无需征得数据主体同意下处理个人数据。例如，当雇主出于公共卫生领域的公共利益或保护重大利益（GDPR第6条和第9条规定）需要，或为遵守另一法定义务而需要雇主处理个人数据时，则适用此规定。
　　
　　2) 关于移动位置数据的使用
　　
　　对电子通信数据（如移动位置数据）的处理，则适用附加规则。实施《电子隐私指令（ePrivacy）》的国家法律规定了以下原则：只有在匿名或获得个人同意的情况下，运营商才能使用位置数据。公共当局应把以匿名方式处理位置数据定为首先目标（即以无法逆转为个人数据的方式来处理汇总数据），以此生成关于在特定位置中移动设备集中程度的报告（“地图绘制”）。
　　
　　在无法只处理匿名数据的情况下，《电子隐私指令》第15条允许成员国能够采取立法措施来追求国家安全和公共安全。当这项紧急立法在民主社会内构成一项必要、适当和相称的措施的情况下，它是可能实施的。如果采取了该措施，则成员国有义务采取适当的保障措施，例如授予个人司法补救权。同时还应当适用比例适当原则，考虑到要实现的特定目的，应始终首选侵入性最小的解决方案。