Itaalia otsus nn vaktsineerimispassi kohta on vastuolus GPDP nõuetega

Artikli kuulamine on saadaval MINU TELEGRAM tellijatele

3. juuni 2021 kell 13:46



Itaalia andmekaitse järelevalveasutus Garante Per La Protezione Dei Dati Personali (GPDP) leidis 22.04.2021 tehtud otsuses, et Itaalia valitsuse otsus (Decreto legge), millega reguleeritakse isikute liikumisvabadust COVID-19 pandeemia ajal, on vastuolus GDPR artiklitega – 5, 6 (3)(b), 9, 13 , 14, 25 ja 32. Tegu on nn vaktsineerimispassiga, mis võimaldab isikutel liikuda “oranži ja punase koodiga” piirkondade vahel ning osaleda avalikel üritustel juhul, kui isik: a) on läbinud täieliku vaktsineerimise, b) põdenud COVID-19 haiguse läbi või c) saanud antigeeni kiirtesti või COVID-19 testi tegemise järel negatiivse vastuse.

 

Andmekaitse järelevalveasutus asus seisukohale, et valitsus ei võtnud selle otsuse tegemisel arvesse andmesubjektide õiguste ja vabaduste riivet, mis ülaltooduga kaasnevad, ning jättis tarvitusele võtmata ka isikuandmete kaitseks vajalikud tehnilised ja korralduslikud meetmed.

 



Järelevalveasutuse seisukohad on kokkuvõtlikult järgmised:

  1. Valitsus oleks isikuandmete töötlemistoimingute iseloomu arvestades pidanud enne õigusakti andmist tegema andmekaitsealase mõjuhinnangu. Seda aga miskipärast ei tehtud.
  2. Valitsuse õigusakt ei sisalda GDPR artiklites 6(2) ja 9 ega ka Itaalia siseriiklikus isikuandmete kaitse seaduses sätestatud kohustuslikke elemente – puudub selgesõnaline ja ammendav selgitus “rohelise tõendi” kasutuselevõtu eesmärgi kohta, mis omakorda ei võimalda hinnata vastavate sätete proportsionaalsust.
  3. Rikutud on võimalikult väheste andmete kogumise põhimõtet (minimaalsuse põhimõtet). Järelevalveasutuse hinnangul piisab tõendi kehtivuse kontrollimiseks isiku identifikaatorist, tõendi identifikaatorist ja kehtivusajast. Puudub tegelik vajadus kajastada tõendil andmesubjekti terviseandmeid (vaktsineeritus, läbipõdemine, negatiivne test).
  4. Andmete õigsus on oluline piirangute proportsionaalsuse ja epidemioloogilise hädaolukorra kontrolli alla saamise aspektist – tõend aga ei võta arvesse isikute terviseseisundi võimalikke muutusi (nt negatiivsele testile järgneb uus positiivne test). See on vastuolus GDPR-s sätestatud andmete õiguse põhimõttega ning õõnestab kogu kõnealuse süsteemi tõhusust.
  5. Valitsus on rikkunud läbipaistvuse põhimõtet ega ole kirjeldanud andmetöötluse eesmärke, töötlemistoiminguid ega nendes osalejaid. Valitsuse õigusakt ei maini, kes on terviseandmete vastutav töötleja ega ka seda, kes ja millal tohivad tõendi õigsust kontrollida. Samuti ei selgu roheliste tõendite platvormi majutusteenuse pakkuja. Taoline olukord mitte ainult ei ole vastuolus läbipaistvuse põhimõttega, vaid piirab ka andmesubjektide võimalusi oma õigusi tegelikult teostada.
  6. Valitsuse õigusakt rikub andmete säilitamise piirangu põhimõtet, kuna ei maini isikuandmete säilitustähtaegu ega ka meetmeid, mida kavatsetakse isikuandmete tervikluse ja konfidentsiaalsuse tagamiseks rakendada.

 

Ülaltoodu alusel leidis Itaalia järelevalveasutus, et meetmed ei ole proportsionaalsed avaliku huvi suhtes, sest valitsuse otsus ei selgita “vaktsineerimispassi” eesmärke ega sätesta vaikimisi ja lõimitud andmekaitse meetmeid selleks, et tagada eriliigiliste isikuandmete kaitstus ning andmesubjektide õiglane ja läbipaistev kohtlemine.

Allikas: GDPR24.ee



Kommentaarid

Kommentaare lugeda ja kommenteerida saavad vaid Minu Telegrami tellinud kasutajad. Tellimuse esitamiseks kliki siia või logi sisse siit.