(Не)законность обязательного сертификата о вакцинации с позиции GDPR
Расширение использования “Зеленого паспорта” и обязательность сертификата о вакцинации от COVID-19 для всех работников? Что об этом «думает» GDPR? Консультант по защите персональных данных Оксана Дорошина разложила все по полочкам, читайте!
Те, кто отказывается принимать вакцину и кто не может представить отрицательный результат теста, справку о выздоровлении, не смогут работать и рискуют не получить оплату после пятого дня. Власти Италии объясняют такие меры желанием сделать страну более безопасным от COVID-19 местом.
Введение “Зеленого паспорта”, который содержит сведения о вакцинации лиц, – событие, безусловно, неоднозначное, и любопытное, в том числе в контексте защиты персональных данных.
Итак, ситуация следующая. Власти Италии с целью сделать страну более безопасным местом от COVID-19 (заявленная цель), ввели документ, содержащий сведения о здоровье. Как всем известно, сведения о здоровье относятся к категории чувствительных данных, обработка которых допустима на основании согласия субъекта данных или же на основании одного из исключений, предусмотренных GDPR, одним из которых является публичный интерес в области общественного здравоохранения.
На данный момент и ВОЗ, и Совет Европы говорят о недоказанности эффективности всеобщей вакцинации как средства охраны здоровья населения.
Так, выходит, обработки осуществляются зря?...
Данный аргумент мог бы быть актуален в ЕСПЧ, однако GDPR в принципе НЕ требует представления доказательств эффективности защитного мероприятия, в рамках которого проводится обработка. Поэтому на данный момент, с учетом эпидемиологической ситуации, вызванной COVID-19, такая мера может считаться вполне оправданной и необходимой.
Существует еще один аспект, который стоит отметить. Как следует из информации, представленной СМИ, «те, кто отказываются принимать вакцину, и кто не может представить отрицательный результат теста, справку о выздоровлении, не смогут работать и рискуют не получить оплату после пятого дня». Как всем известно, зарплату платит наниматель. Соответственно, если человек без сертификата не получит оплату за свою работу, то, надо полагать, наниматели будут осведомлены о статусе вакцинации лиц.
Однако согласно Преамбуле 54 к GDPR, после обработки данные НЕ могут быть переданы третьим лицам, таким как работодатели, страховые компании или банки.Конечно, на данный момент нельзя сказать с безупречной точностью, что будет именно так, но Италии стоит не забывать о необходимости руководствоваться GDPR, принимая такого рода решения.
Кроме того, очевидно, что массовая вакцинация ведет к массовым обработкам чувствительных персональных данных. Соответственно такой внушительный массив данных о здоровье должен быть надежно защищен, например, шифрованием, а итальянский закон должен четко регламентировать, кто, когда и в каком объеме будет иметь доступ к этим данным.
И наконец, стоит уже сейчас подумать о потенциальной возможности введения таких мер другими странами, как в ЕС, так и за его пределами, соответственно уже сейчас следует продумать, каким образом будет осуществляться передача, хранение и тд. огромных массивов чувствительных данных, в том числе в «неадекватные» страны, оформляя трансграничную передачу данных.
Это бред. От начала и до конца.