(Не)законность обязательного сертификата о вакцинации с позиции GDPR

Расширение использования “Зеленого паспорта” и обязательность сертификата о вакцинации от COVID-19 для всех работников? Что об этом «думает» GDPR? Консультант по защите персональных данных Оксана Дорошина разложила все по полочкам, читайте!
 

Те, кто отказывается принимать вакцину и кто не может представить отрицательный результат теста, справку о выздоровлении, не смогут работать и рискуют не получить оплату после пятого дня. Власти Италии объясняют такие меры желанием сделать страну более безопасным от COVID-19 местом.

Введение “Зеленого паспорта”, который содержит сведения о вакцинации лиц, – событие, безусловно, неоднозначное, и любопытное, в том числе в контексте защиты персональных данных.

Итак, ситуация следующая. Власти Италии с целью сделать страну более безопасным местом от COVID-19 (заявленная цель), ввели документ, содержащий сведения о здоровье. Как всем известно, сведения о здоровье относятся к категории чувствительных данныхобработка которых допустима на основании согласия субъекта данных или же на основании одного из исключений, предусмотренных GDPR, одним из которых является публичный интерес в области общественного здравоохранения.

вакцина ковид

 

На данный момент и ВОЗ, и Совет Европы говорят о недоказанности эффективности всеобщей вакцинации как средства охраны здоровья населения.

 

Так, выходит, обработки осуществляются зря?...

 

Данный аргумент мог бы быть актуален в ЕСПЧ, однако GDPR в принципе НЕ требует представления доказательств эффективности защитного мероприятия, в рамках которого проводится обработка. Поэтому на данный момент, с учетом эпидемиологической ситуации, вызванной COVID-19, такая мера может считаться вполне оправданной и необходимой.

Существует еще один аспект, который стоит отметить. Как следует из информации, представленной СМИ, «те, кто отказываются принимать вакцину, и кто не может представить отрицательный результат теста, справку о выздоровлении, не смогут работать и рискуют не получить оплату после пятого дня». Как всем известно, зарплату платит наниматель. Соответственно, если человек без сертификата не получит оплату за свою работу, то, надо полагать, наниматели будут осведомлены о статусе вакцинации лиц.

Однако согласно Преамбуле 54 к GDPR, после обработки данные НЕ могут быть переданы третьим лицам, таким как работодатели, страховые компании или банки. Конечно, на данный момент нельзя сказать с безупречной точностью, что будет именно так, но Италии стоит не забывать о необходимости руководствоваться GDPR, принимая такого рода решения.

Кроме того, очевидно, что массовая вакцинация ведет к массовым обработкам чувствительных персональных данных. Соответственно такой внушительный массив данных о здоровье должен быть надежно защищен, например, шифрованием, а итальянский закон должен четко регламентировать, кто, когда и в каком объеме будет иметь доступ к этим данным.

И наконец, стоит уже сейчас подумать о потенциальной возможности введения таких мер другими странами, как в ЕС, так и за его пределами, соответственно уже сейчас следует продумать, каким образом будет осуществляться передача, хранение и тд. огромных массивов чувствительных данных, в том числе в «неадекватные» страны, оформляя трансграничную передачу данных.

Расписание курсов загружается, подожди несколько секунд