Hrvatska
StoryEditor

Sve što trebate znati o ‘Covid-putovnicama‘ i GDPR-u

13. Travanj 2021.
Piše: Natalija Parlov Una

Glavni cilj uvođenja covid-putovnica u okolnostima pandemije jest olakšati ostvarivanje prava građanima na slobodno kretanje unutar EU-a. To predstavlja zahtjevan proces koji iziskuje opsežno razmatranje načina i opsega prikupljanja osobnih podataka građana, kao i nužnih ograničenja daljnjeg korištenja tih podataka te uslijed toga i donošenje dodatnog regulatornog okvira. Sve u svrhu formiranja sustava koji će na jednak, brz i transparentan način, funkcionirati u svim državama članicama.

Krajem prošlog tjedna Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) usvojili su zajedničko mišljenje o prijedlozima vezanim uz covid-putovnice što predstavlja značajan korak u uspostavi zajedničkog europskog okvira za izdavanje, provjeru i prihvaćanje interoperabilnih potvrda o cijepljenju, testiranju i ozdravljenju od bolesti COVID-19.

Podsjetimo, Komisija je još sredinom ožujka objavila Prijedlog uredbe Europskog parlamenta i Vijeća o okviru za izdavanje, provjeru i prihvaćanje interoperabilnih potvrda o cijepljenju, testiranju i ozdravljenju od bolesti uzrokovane koronavirusom radi olakšavanja slobodnog kretanja tijekom pandemije. Radi se o digitalnim zelenim potvrdama, popularno zvanim i covid-putovnice.

Prijedlog i njegov Aneks doneseni su sukladno članku 21. stavku 1. Ugovora o funkcioniranju Europske unije (UFEU), prema kojem svaki građanin EU-a ima pravo slobodno se kretati i boraviti na teritoriju države članice, a što može biti podložno određenim ograničenjima i uvjetima utvrđenim Ugovorima i mjerama usvojenim za njihovo provođenje. 

Što propisuje Članak 21. Ugovora o funkcioniranju Europske unije? 

  • Svaki građanin Unije ima pravo slobodno se kretati i boraviti na državnom području država članica, podložno ograničenjima i uvjetima utvrđenima u Ugovorima i u mjerama usvojenima radi njihove provedbe. 
  • Ako se pokaže da je potrebno djelovanje Unije za ostvarenje tog cilja, a Ugovori ne predviđaju potrebne ovlasti, Europski parlament i Vijeće, odlučujući u skladu s redovnim zakonodavnim postupkom, mogu usvojiti odredbe radi olakšavanja ostvarivanja prava iz stavka 1.
  • Radi istih ciljeva kao što su oni iz stavka 1., ako se Ugovorima ne predviđaju potrebne ovlasti, Vijeće u skladu s posebnim zakonodavnim postupkom može usvojiti mjere koje se odnose na socijalnu sigurnost ili socijalnu zaštitu. Vijeće odlučuje jednoglasno nakon savjetovanja s Europskim parlamentom.

Što je s GDPR-om i osobnim podacima na digitalnoj zelenoj potvrdi?

EDPB i EDPS u svom zajedničkom mišljenju pozivaju suzakonodavce odnosno države članice da osiguraju uvjete u kojima će izdavanje digitalnih zelenih potvrda biti u potpunosti u skladu i sa zakonodavstvom EU-a o zaštiti osobnih podataka odnosno GDPR-om.

Povjerenici za zaštitu podataka iz svih zemalja EU-a i Europskog gospodarskog prostora (EGP) odnosno nadzorna tijela za zaštitu osobnih podataka ističu potrebu za ublažavanjem rizika po temeljna prava građana i stanovnika EU-a, a koji mogu nastati izdavanjem digitalne zelene potvrde, uključujući njenu moguću nenamjernu sekundarnu upotrebu odnosno primjene digitalne zelene potvrde na druge situacije radi ublažavanja trenutno važećih ograničenja ili uporaba u druge svrhe primjerice za ulazak u trgovine, restorane, klubove ili teretane.

Pritom ističu da njena uporaba ni na koji način ne smije rezultirati izravnom ili neizravnom diskriminacijom pojedinaca i mora biti u potpunosti u skladu s temeljnim načelima nužnosti, razmjernosti i učinkovitosti. S obzirom na prirodu mjera iznijetih u Prijedlogu, EDPB i EDPS smatraju da bi uvođenje digitalne zelene potvrde trebalo biti popraćeno sveobuhvatnim pravnim okvirom.

Zašto je ovo važno?

Radi se o prijedlogu nove Uredbe. Uredbe su, za razliku od direktiva, obvezujući zakonodavni akti koji se moraju u cijelosti primjenjivati u svim državama članicama Europske unije te se sukladno njima donose i nacionalni provedbeni zakoni.

Za lakše razumijevanje, primjer uredbe i pratećeg nacionalnog provedbenog zakona u svim državama članicama je bio i GDPR odnosno Opća uredba o zaštiti podatka te, konkretno u Hrvatskoj, Zakon o provedbi Opće uredbe o zaštiti podataka.

Razlika u odnosu na GDPR jest da u ovom slučaju tvrtke neće biti u obvezi usklađivanja s još jednom regulativom već će ispunjavanje preduvjeta usklađenosti osiguravati sve uključene institucije, dok će građani kao krajnji proizvod dobiti pravo na ishođenje digitalne zelene potvrde kod zadovoljenja propisanih uvjeta vezanih uz cijepljenje, testiranje ili ozdravljenje od COVID-19.

Što s ograničenjem trajanja potvrde izdane pojedincu, ali i ograničenjem obrade te vrste podataka?

Obje instance ponavljaju da u ovom trenutku, zbog vremenskog ograničenja, postoji ograničen broj znanstvenih dokaza o tome daje li cjepivo protiv COVID-19 ili pak ozdravljenje osobi imunitet te, u širem smislu, koliko dugo takav imunitet zapravo traje. Iz tog razloga je nužno kontinuirano pratiti znanstvene dokaze i djelovati u skladu s time.

Prijedlog bi trebao utvrditi jasna i precizna pravila koja reguliraju opseg i samu primjenu digitalnih zelenih potvrda uključujući jake i specifične zaštitne mjere provedene nakon odgovarajuće procjene učinka, posebno da bi se izbjegao rizik od diskriminacije i zabranilo zadržavanje osobnih podataka u kontekstu postupka provjere.

Prijedlog mora izričito sadržavati da pristup osobnim podacima prikupljenim na taj način te njihova naknadna uporaba od strane država članica EU-a nakon završetka pandemije više nisu dopušteni. Istodobno, EDPB i EDPS ističu da i primjena predložene Uredbe mora biti strogo ograničena na trenutnu krizu COVID-19.

Zajedničko mišljenje uključuje posebne preporuke za daljnja pojašnjenja o kategorijama podataka na koje se odnosi Prijedlog, pohrani podataka, obvezama transparentnosti te identifikaciji voditelja i izvršitelja obrade osobnih podataka. Dokument je dostupan ovdje.

Iz kojih izvora će se prikupljati podaci o hrvatskim građanima i tko to sve plaća?

Koordinaciju tehničkog dijela uspostave digitalnih zelenih potvrda provode radne skupine Mreže e-zdravstva Europske komisije (eHealth Network) koja koordinira provedbom tog pilot projekta u aspektima osiguravanja cjelovitosti, povjerljivosti, raspoloživosti i neporecivosti strojno čitljivih podataka o cijepljenim, testiranim i osobama koje su preboljele COVID-19. Podacima će se pristupati automatski i u stvarnom vremenu iz izvora podataka u vlasništvu Ministarstva zdravstva te će oni činiti podlogu za izdavanje prekogranično interoperabilnih digitalnih zelenih potvrda na teritoriju RH. Istim modalitetom je izdavanje predviđeno i u drugim zemljama članicama.

Vlada Republike Hrvatske je početkom travnja osnovala Radnu skupinu za izradu tehničkog rješenja temeljem koje je Ministarstvo unutarnjih poslova zbog uspostave samog tehničkog rješenja zaduženo za sklapanje ugovora s AKD-om, trgovačkim društvom od posebnog interesa za RH, te za pružanje administrativno-tehničke podrške radnoj skupini. Ministarstvo zdravstva zaduženo je za povlačenje namjenskih sredstava iz Instrumenta za hitnu potporu Europske komisije.  

Članovi Radne skupine su i predstavnici Agencije za zaštitu osobnih podataka (AZOP), ravnatelj Zdravko Vukić i načelnica Službe za međunarodnu suradnju, EU i pravne poslove, Sanja Silaj Zeman, koji će aktivno sudjelovati u dijelu koji se odnosi na područje zaštite osobnih podataka te se voditi zajedničkim mišljenjima EDPB-a i EDPS-a vezanim uz Prijedlog nove uredbe.

Koliko je ovaj projekt opsežan i zahtjevan u svim državama članicama govori i činjenica da su u njegovu provedbu, primjerice samo u našoj zemlji, uključeni uz predstavnike Vlade RH i AZOP-a, predstavnici čak šest ministarstava, HZZO-a, HZJZ-a, AKD-a, SDURDD-a i ZSIS-a.

Stoga oprezno s tumačenjem različitih vijesti vezanih uz covid-putovnice jer se njihova izvedba tiče, uz regulatorne aspekte, i opsežnih razmatranja oko tehničkih rješenja. Iako to jest jedan od prioriteta, u ovom trenutku nema gotovog rješenja - kako regulatornog, tako ni tehničkog i u svim državama članicama se na tome intenzivno radi iz dana u dan.

Autorica: Natalija Parlov Una

Doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO/IEC 27001, privatnosti ISO/IEC 27701, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. Nositeljica je kolegija Digitalna ekonomija na EFFECTUS poduzetničkim studijima - Studiju za financije i pravo. LinkedIn

30. rujan 2022 09:32