Sfaturi pentru operatorii economici privind prelucrarea datelor prin scanarea certificatelor verzi

Article Prelucrarea datelor provenite din scanrea certificatelor verzi ale vaccinatilor | Decalex

Contextul

Ultima Hotărâre de Guvern1 a impus noi seturi de restricții pentru persoanele nevaccinate, care nu mai au dreptul să meargă la restaurant, la cinematograf, la nunți ori botezuri.

Deși rezonăm cu cei care consideră aceste măsuri drept o posibilă discriminare, nu ne vom apleca în acest articol asupra acestui aspect, lăsând ONG-urile și instituțiile care au în sarcină protecția cetățenilor să acționeze în consecință. În schimb ne vom focusa pe acel „certificat verde” care a devenit un bun de mare preț, dacă ne uităm câte cazuri de certificate false apar în ultima perioadă.

Astfel, potrivit anexei nr. 3 ultimei Hotărâri de Guvern, avem 3 praguri de restricțiile instituite:

1.Au acces persoanele care atestă vaccinare, trecerea prin boală sau testarea

2.Au acces doar persoanele vaccinate și care au trecut prin boala

3.Au acces doar persoanele vaccinate

Probarea statutului persoanelor se realizează prin intermediul certificatelor digitale ale Uniunii Europene privind COVID-19, adică acel certificat verde. 

Organizatorii/Operatorii economici, care sunt vizați de restricționarea accesului persoanelor conform celor 3 praguri menționate anterior, au obligația de a scana codul QR de pe certificatul digital folosind aplicația mobilă "Check DCC" pentru verificarea autenticității, valabilității și integrității certificatului, fără a se reține niciun fel de date sau informații din certificatul verificat.

 

La ce date au acces operatorii prin scanarea certificatelor verzi?

Potrivit comunicatului Serviciului de Telecomunicații Speciale cu ocazia lansării aplicației CHECK DCC, aceasta nu înregistrează și nu stochează informații ci doar verifică autenticitatea și validitatea certificatelor digitale UE privind COVID-19 și afișează doar datele esențiale de identificare (nume, prenume și data nașterii), precum și datele medicale care atestă situația epidemiologică a persoanei, respectiv dacă este vaccinată, trecută prin boală sau dacă deține un test negativ realizat în ultimele 48 de ore pentru testele antigen ori un test negativ realizat în ultimele 72 de ore pentru testele RT-PCR.

Aplicația poate fi descărcată gratuit din magazinul de aplicații direct pe telefonul mobil sau pe o tabletă cu sistem de operare Android și permite verificarea și validarea certificatelor digitale UE privind COVID, generate atât în România, cât și în celelalte state interconectate la sistemul informatic european.

Trebuie să menționăm că formatul și datele conținute de certificatele verzi au fost stabilite la nivelul întregii Uniuni Europene prin Regulamentul (UE) 2021/9532.

Potrivit Autorității saxone pentru protecția datelor („SächsDSB”), în principiu, vaccinarea sau informații cu privire la trecerea prin boală sunt date de sănătate în conformitate cu articolul 4 alineatul (15) din Regulamentul general privind protecția datelor și, prin urmare, constituie categorii speciale de date cu caracter personal în sensul articolului 9 alineatul (1) din GDPR.

Astfel, prelucrarea datelor cu privire la vaccinarea, testarea sau trecerea prin boală trebuie privită ca o măsură excepțională, strict pe durata în care prevederile legale care o impun sunt în vigoare, doar în scopul urmărit și sub rezerva aplicării unor măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

Cu alte cuvinte, legea ne spune în ce situații avem obligația de a verifica certificatul verde însă operatorii economici au obligația de realiza acest lucru respectând totodată prevederile Regulamentului EU 679/2016 9 („GDPR”).

1Hotărârea nr. 1090/2021 privind prelungirea stării de alertă pe teritoriul României începând cu data de 10 octombrie 2021, precum și stabilirea măsurilor care se aplică pe durata acesteia pentru prevenirea și combaterea efectelor pandemiei de COVID-19

2REGULAMENTUL (UE) 2021/953 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 14 iunie 2021 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID) pentru a facilita libera circulație pe durata pandemiei de COVID-19

 

Măsuri pe care operatorii trebuie să le adopte pentru a nu încălca prevederile GDPR

1.Utilizați doar aplicația Check DCC dezvoltată de STS

Aplicația Check DCC poate fi descărcată gratuit din magazinul de aplicații Google Play pe un telefon mobil sau o tabletă cu sistem de operare Android.

Download: https://play.google.com/store/apps/details?id=ro.sts.dcc

Evitați utilizarea altor aplicațiilor neoficiale, întrucât acestea implică riscuri ridicate cu privire la securitatea și confidențialitatea datelor.

2.Informarea deținătorului certificatului verde

Potrivit autorității de supraveghere din Franța (CNIL), persoanele care administrează locațiile sau evenimentele la care accesul va fi condiționate de prezentarea certificatului verde, vor fi responsabile pentru prelucrarea datelor cu caracter personal rezultate în urma operațiunii de verificare.

Acești operatori economici au obligația de a asigura transparența prelucrărilor de date realizate în scopul verificării certificatului verde prin informarea posesorilor certificatelor. Acest lucru poate fi realizat prin redactarea unei note de informare în format fizic sau electronic. Accesul la versiunea electronică poate fi realizat prin afișarea unui link sau a unui cod QR către aceasta. Informarea ar trebui să fie disponibilă în special cât mai curând posibil înainte de verificarea certificatului.

3.Instruirea persoanelor autorizate să efectuarea verificarea certificatelor

Potrivit art. 14.  alin (2) al Măsurilor pentru diminuarea impactului tipului de risc, adoptare prin Hotărârea nr. 1090/2021, verificarea autenticității, valabilității și integrității certificatului se realizează „fără a se reține niciun fel de date sau informații din certificatul verificat”. Astfel, operatorii economici trebuie să se asigure că persoanele desemnate să efectueze verificarea certificatelor nu colectează în niciun fel informațiile la care au acces în acest proces. 

Sindicatul Europol a atras atenția asupra asupra riscurilor ca datele persoanelor să fie colectate și prelucrate în mod incompatibil cu scopul inițial.

”[...],avem de a face atât cu o nepăsare în privința respectării drepturilor constituționale cât și cu o necunoaștere crasă a prevederilor Regulamentului General privind Protecția Datelor cu Caracter Personal. Și asta pentru că aplicația chiar dacă nu stochează date personale ci doar le afișează, cetățenii nu vor avea garanția că vreun barman sau ospătar ori alte asemenea persoane neautorizate nu vor realiza inclusiv o fotografie a display-ului telefonului mobil sau a tabletei cu sistem Android prin intermediul cărora au fost verificate certificatele digitale, putând avea acces permanent la datele lor de identificare„ 

Extras comunicatul EUROPOL - Sindicatul Polițiștilor Europeni, publicat la 23 septembrie 2021 

 

Pentru a limita aceste riscuri, operatorii trebui să se asigure că persoanele desemnate să efectuarea verificarea certificatelor:

  • sunt instruite cu privire la protecția datelor cu caracter personal;
  • au aplicate dispoziții de confidențialitate.

De asemenea, menținerea unui registru al acestor persoane, care să includă zilele și intervalul orar al verificărilor efectuate de aceste persoane, poate fi o măsură proporțională, pentru limită aceste riscuri. 

4.Nu solicitați transmiterea în format fizic/electronic a certificatului verde

Întrucât Hotărârea nr. 1090/2021 prevede în mod explicit că nu se rețin informații din certificatul verde, solicitarea transmiterii  certificatului verde, ca de exemplu prin posta, e-mail sau Whatsapp, poate fi considerată o măsură excesivă și implicit o încălcare a principiilor impuse de GDPR. 

De asemene, păstrarea unei copii a certificatului în scopul de a facilita un acces mai rapid ulterior, poate constitui o încălcare a GDPR-ului și a legislației naționale. 

5.Nu efectuați verificarea identității persoanelor, dacă nu obligația legală de a face acest lucru

Verificarea identității purtătorului certificatului verde nu este responsabilitatea operatorilor economici care nu au deja o asemenea obligație. Astfel, operatorii economici cum ar fi de exemplu magazinele, cinematografele sau alte activități unde până acum nu era necesară verificarea identității persoanei, nu vor avea nici de acum încolo o justificare a verificării identității persoanei.

Acest aspect este susținut și de Sindicatul Europol, care a atras atenția asupra faptului că „polițiștii de ordine publică nu au posibilitatea tehnică de a verifica autenticitatea certificatelor de vaccinare împotriva COVID-19 ale cetățenilor” și că nu există o prevedere legală care să le permită operatorilor economici să solicite prezentarea actului de identitate odată cu scanarea certificatului. 

” [...] un astfel de document poate fi folosit de orice persoană pentru a intra într-un restaurant sau pentru a participa la un spectacol, spre exemplu, fără a avea obligația prezentării inclusiv a actului de identitate pentru a se putea stabili efectiv dacă acesta este deținătorul de drept al certificatului care îi atestă situația epidemiologică, întrucât și în această situație doar operatorii de date cu caracter personal pot gestiona, prelucra sau stoca datele de identitate ale cetățenilor.” 

Extras din comunicatul EUROPOL - Sindicatul Polițiștilor Europeni, publicat la 23 septembrie 2021

 

6.Luați măsuri pentru a împiedica alte persoane să vadă rezultatele unei verificări

Poziționarea dispozitivului de scanare are un rol extrem de important în protejarea intimității persoanelor supuse verificării. Astfel, este important ca locul ales pentru verificarea certificatului să nu permită altor persoane să observe rezultatul verificării altor persoane. De asemenea, se recomandă evitarea poziționării camerelor de supraveghere astfel încât acestea să permită înregistrarea rezultatelor verificării. 

Revenirea la meniul principal este un alt aspect care trebui urmărit. Date ultimei persoane care și-a scanat certificatul nu trebuie să poată fi vizualizate de următoarea persoană care va fi supusă verificării. Această măsură poate fi extrem de dificil de asigurat în special în cazul în care sistemul de scanare este montat la intrarea în incintă, fără implicarea unui operator uman.

Concluzie

Doar pentru că există o prevedere legală care impune operatorilor economici aplicarea anumitor măsuri de restricționare a accesului, fără a exista precizări clare cu privire la modul în care trebuie aplicate aceste măsuri, nu înseamnă ca prevederile GDPR nu se aplica și că operatorii nu riscă sancțiuni pentru încălcarea protecției datelor cu caracter personal.

 

O simpla poza făcută cu telefonul mobil de un angajat, publicată pe social media sau partajată pe un grup privat, înseamnă pierderea controlului asupra acelor date. Și dacă vă gândiți că vouă nu vi se poate întâmpla, sa ne amintim câteva amenzi care au pornit de la situații similare:

  • World Trade Center a fost sancționat cu 15.000 € pentru că a lăsat persoane neautorizate să fotografieze o listă cu datele personale ale clienţilor care serveau micul dejun în hotel;
  • Banca Transilvania a fost sancționată cu amendă în cuantum de 100.000 € pentru faptul că un angajat a fotografiat cu telefonul mobil o declarație a unui client al băncii și a distribuit prin intermediul aplicației WhatsApp înscrisul respectiv. Ulterior, înscrisul listat a fost postat și distribuit pe o rețea de socializare.

Pentru întrebări nu ezita sa consulti un expert in protectia datelor la adresa de e-mail office@decalex.ro și îți vom răspunde în cel mai scurt timp.

Share:
Cristian Donciu
Autor: Cristian Donciu

Privacy & Data Protection Consultant

PUNE O INTREBARE