Subiectul verificării certificatelor verzi a fost unul foarte dezbătut în anul 2021, astfel că începând din primăvara acestui an, inclusiv autoritățile de protecție a datelor cu caracter personal de la nivelul U.E. (prin diverse poziționări ale E.D.P.S. și E.D.P.B.) au făcut recomandări cu privire la modalitatea de implementare a acestui mecanism.

1. Contextul impunerii certificatului

În acest sens, s-a conchis că protecția datelor cu caracter personal NU este un obstacol în lupta împotriva pandemiei COVID-19, dar menționează că Certificatele Verzi Covid ar trebui să respecte întru totul legislația privind protecția datelor cu caracter personal.

Se întâmplă în realitate acest lucru? Ei bine, odată cu adoptarea rapidă a legislației europene și a celei naționale privind certificatele vezi, am putut observa diverse omisiuni legislative dar și lipsuri de norme metodologice de punere în aplicare a certificatelor verzi.

Acest lucru se regăsește și în statisticile Uniunii Europene, astfel că, deși au fost generate până în octombrie 2021 591.000.000 de certificate și au fost conectate 43 de țări la sistemul european, 59% dintre europeni sunt de acord că autoritățile publice nu sunt suficient de transparente cu privire la vaccin (ex. În România 68% dintre cetățeni consideră că autoritățile nu sunt suficient de transparente cu privire la vaccin, țara noastră având unul dintre cele mai ridicate niveluri de neîncredere din Uniunea Europeană – sursa). Acest aspect atrage un nivel ridicat de neîncredere și cu privire la folosirea certificatelor verzi eliberate pe bază de vaccin (unul dintre cazuri) și chiar a datelor prelucrate cu această ocazie.

Scopul acestui articol este să prezinte câteva din provocările prezentate de verificarea certificatelor verzi la nivelul operatorilor din România.

Pentru început, care este temeiul legal al implementării verificării certificatelor verzi? Certificatele digitale UE COVID-19 sunt eliberate de autoritățile de sănătate publică din statele membre ale U.E. în conformitate cu cerințele prevăzute în

  • Regulamentul (UE) 2021/953 al Parlamentului European și al Consiliului din 14 iunie 2021 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID) pentru a facilita libera circulație pe durata pandemiei de COVID-19
  • Regulamentul (UE) 2021/954 al Parlamentului European și al Consiliului din 14 iunie 2021 privind cadrul pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și vindecare de COVID-19 (certificatul digital al UE privind COVID)

În România, temeiul legal specific îl reprezintă:

  • Hotărârea nr. 1.242 din 8 decembrie 2021 privind prelungirea stării de alertă pe teritoriul României începând cu data de 9 decembrie 2021, precum și stabilirea măsurilor care se aplică pe durata acesteia pentru prevenirea și combaterea efectelor pandemiei de COVID-19, Anexa 3 art. 12 alin. (4);
  • HOTĂRÂRE nr. 112 din 07.12.2021 privind propunerea prelungirii stării de alertă și a măsurilor necesar a fi aplicate pe durata acesteia pentru prevenirea și combaterea efectelor pandemiei de COVID-19
  • ORDONANȚĂ DE URGENȚĂ nr. 68 din 29 iunie 2021 privind adoptarea unor măsuri pentru punerea în aplicare a cadrului european pentru eliberarea, verificarea și acceptarea certificatului digital al Uniunii Europene privind COVID pentru a facilita libera circulație pe durata pandemiei de COVID-19

Starea de urgență declarată de guvernul român a fost prelungită până la această dată, motiv pentru care Certificatul digital UE COVID-19 („Certificatul verde”) este obligatoriu pentru intrarea în anumite spații administrate de autoritățile publice sau deținute și administrate de diverși operatori privați.

Care sunt aspectele importante pe care operatorii ar trebui să le aibă în vedere atunci când doresc să își ducă la îndeplinire obligația legală?

Ei bine, totul se rezumă la luarea de măsuri tehnice și organizatorice pentru respectarea normelor privind protecția datelor cu caracter personal. Ce măsuri am identificat că ar fi relevante? Vom vedea în secțiunile de mai jos.

2. Datele cu caracter personal prelucrate prin scanarea certificatelor verzi

Pentru început, haideți să răspundem la următoarele întrebări:

2.1 Sunt prelucrate date cu caracter personal?

Răspunsul este destul de simplu, din toate actele enumerate mai sus, vedem că DA sunt prelucrate date cu caracter personal. În acest sens, se pot verifica referințele specifice ale art. 5 alin. (1)-(5) ale O.U.G. nr. 68/2021 privind măsuri de punere în aplicare a cadrului european pentru eliberarea, verificarea și acceptarea certificatului digital al UE privind COVID pentru a facilita libera circulație pe durata pandemiei de COVID-19.

2.2 Care sunt datele prelucrate?

În funcție de tipul de certificat sunt prelucrate următoarele categorii de date (informații precizate de Ministerul Sănătății prin platforma dedicată: https://certificat-covid.gov.ro/privacy ):

  • Certificatele de testare:
    • Nume, prenume
    • CNP
    • Serie și număr act de identitate
    • Luna efectuării testului negativ
    • Județul în care s-a făcut testarea

În ceea ce privește persoanele vizate care s-au testat într-o altă țară, vorbim și despre datele de pașaport.

  • Certificatele de vindecare:
    • Nume, prenume
    • CNP
    • Serie și număr act de identitate
    • Luna efectuării primului test cu rezultat pozitiv
    • Județul în care s-a făcut testarea
  • Certificatele de vindecare:
    • Nume, prenume
    • CNP
    • Serie și număr act de identitate
    • Luna efectuării uneia sau alteia dintre doze
    • Denumirea vaccinului administrat
    • Județul în care s-a făcut testarea

O situație aparte o reprezintă cea a minorilor cu vârsta de sub 14 ani, caz în care se vor prelucra aceleași date de mai sus, însă și o completare: numele și prenumele persoanei care exercită autoritatea părintească și confirmarea faptului că există acordul acestuia pentru eliberarea certificatului.

2.3 De către cine sunt prelucrate aceste date?

Răspunsul la această întrebare ni-l oferă O.U.G. nr. 68/2021 la art. 5 alin. (2) Ministerul Sănătății, Ministerul Afacerilor Interne, Ministerul Apărării Naționale și Serviciul de Telecomunicații Speciale prelucrează date cu caracter personal prin SII-CDC (Sistemul Informatic Integrat de emitere și verificare a certificatelor digitale ale UE privind COVID), în calitate de operatori asociați, în baza responsabilităților stabilite prin prezenta ordonanță de urgență.

În acest sens, vedem că organele statului sunt și cei care ne prelucrează datele cu caractere personal. Cu toate acestea, ne mai prelucrează cineva datele atunci când se verifică certificatele? Dacă ne raportăm la faptul că o persoană ne vede datele sus menționate și le verifică prin intermediul unei aplicații, putem spune că da, există o prelucrare efectuată și la nivelul operatorilor instituții publice sau companii private care fac verificările certificatelor verzi.

3. Problematici „românești”

Deși avem în acest moment o legislație care stabilește obligativitatea pentru anumiți operatori de date să verifice certificatele verzi, în acest moment lipsesc îndrumările despre felul în care acest lucru se va pune în practică, lucru care ridică serioase probleme de protecția datelor și încălcări ale GDPR-ului.

Spre exemplu, ce știm este următorul lucru:

Conform O.U.G. nr. 68/2021 art. 2 alin. (1) Ministerul Sănătății are următoarele responsabilități:i) asigură măsurile necesare în vederea exercitării drepturilor persoanelor vizate în concordanță cu prevederile Regulamentul. Totodată Ministerul Sănătății colectează datele inițiale din structurile din subordine, dar oferă și suport printr-un Centru de suport pentru utilizatorii SII-CDC pentru a ușura accesibilitatea aplicației.

Din prevederile alin. (2) reiese că Ministerul Afacerilor Interne are ca responsabilități asigurarea funcționării serviciului web prin intermediul căruia datele sunt prelucrate, să proceseze rectificările datelor, evaluări specifice ale sistemelor informatice și să verifice autenticitatea și valabilitatea certificatelor la diverse locații (frontieră etc).

În concordanță cu alin. (3) Ministerul Apărării Naționale asigură, la solicitarea Ministerului Sănătății, personalul necesar pentru funcționarea Centrului de suport pentru utilizatorii SII-CDC.

Alin. (4) Serviciul de Telecomunicații Speciale are următoarele responsabilități: proiectarea, dezvoltarea, operaționalizarea, mentenanța, actualizarea, găzduirea, administrarea sistemelor hardware și software dar și securitatea cibernetică a aplicației.

De aici rezultă o primă întrebare: s-a realizat o evaluare specifică și s-au respectat întru totul principiile by design și by default?

Cum se vor asigura acești operatori asociați că verificarea realizată de către personalul diverselor instituții publice sau companii private este conformă cu normele impuse de GDPR?

4. Practici „românești”

Din lipsa de previziune a modului în care legislația se va transpune în practică, ce vedem defapt de România este următorul lucru:

  1. Anumiți operatori care poartă obligativitatea verificării certificatelor verzi nu duc la îndeplinire acest lucru, prin neverificare, lipsind în acest moment un mecanism de constrângere a personalului în acest sens.
  2. Alții caută să respecte normele și au numit o persoană care să facă prelucrarea de date (verificarea) însă doar faptic, fără vreo actualizare a fișei postului, a atribuțiilor, a clauzelor de confidențialitate.
    Tot în această situație unii operatori au numit un număr mai mare de persoane care prin rotație duc la îndeplinire această sarcină, în fiecare zi fiind „la rând” o altă persoană.
  3. Se găsesc și anumiți operatori care pentru a nu „deranja” persoanele vizate, verifică certificatul doar prin arătarea lui către personal, lipsind partea de scanare propriu-zisă a certificatului.
    Din aceeași categorie există și operatori care au achiziționat aparate pe care le montează la intrarea în spațiul propriu iar scanarea este realizată de către persoana vizată, doar acesta își vede datele, nefiind verificate de o persoană angajat al companiei sau instituției.
  4. Nu în ultimul rând există și categoria operatorilor zeloși care nu doar că scanează certificatul dar plasează și personal „spre intimidarea” celor care nu vor să prezinte și legitimarea prin verificarea cărții de identitate chiar și atunci când nu este cazul.

Toate cele enumerate mai sus prezintă de regulă problematici de legalitate (indiferent de legea care nu este respectată, GDPR sau nu) pot fi concluzionate prin următoarea epigramă:

Legile, chiar dacă-s dure
Se îmbună în instanţe
Ori prin „facto”, ori prin „jure”,
Bălăcite-n… circumstanţe.

(Vasile Voroneț)

5. Bune practici

Pentru a nu rămâne doar în faza de „comentarii” la adresa a ceea ce s-a făcut și ceea ce deja există, haideți însă să vedem care sunt lucrurile cu adevărat importante pentru un operator care are obligația verificării certificatului verde pentru a diminua riscurile și a evita plângerile și respectiv posibilele sancțiuni:

5.1 Ce trebuie să facă operatorul?

  1. Atunci când numește o persoană (sau mai multe), să aibă în vedere să fie și persoana potrivită pentru acest lucru, să nu existe incompatibilități și programul de lucru să îi permită, astfel încât să nu ne aflăm în situația în care o persoană vizată dorește accesul în spațiul nostru și nu este nimeni să îi verifice certificatul pentru a putea intra.
  2. actualizeze fișa postului și orice alte documente sunt relevante pentru a stabili clar atribuțiile și răspunderea pentru neîndeplinirea sarcinilor atribuite. Dacă nu este semnat până la acest moment un acord de confidențialitate sau nu sunt incluse clauze specifice în C.I.M., se poate avea în vedere și acest lucru.
  3. pună la dispoziție aparatura necesară: nu se cade ca verificarea / scanarea să fie realizată cu telefonul propriu. În acest sens operatorul va achiziționa și va pune la dispoziție toate resursele materiale și va lua măsurile procedurale necesare (ex. Accesul în clădire să se realizeze doar pe o anumită intrare) pentru ca persoana numită să își poată desfășura activitatea.
  4. informeze persoanele vizate cu privire la prelucrările de date efectuate. Acest lucru este obligatoriu de realizat chiar dacă prelucrarea se realizează în baza unei obligații legale.
    Cum se poate face acest lucru? Responsabilul de Protecție a Datelor (DPO-ul) sau persoana cu atribuții în acest sens poate oferi cele mai bune îndrumări. De regulă prin gândirea unei note de informare care va cuprinde toate elementele necesare descrise de GDPR și va fi afișată la intrarea în instituția sau compania (ex. Mallul) care are obligația de verificare a certificatelor verzi.
  5. Implementarea de măsuri tehnice și organizatorice relevante pentru protecția datelor: Instruirea personalului este elementul cheie – spre exemplu este foarte relevant felul în care persoana cu atribuții se va comporta în momentul în care va identifica o persoană care prezintă un certificat verde invalid. Ce pași va urma? Ce va face pentru a nu aduce atingere vieții private persoanei vizate? Spre exemplu o bună practică ar fi invitarea separat a persoanei și explicarea situației „între 4 ochi”, locul acestuia fiind luat de un alt coleg.

Totodată, este relevantă spre exemplu măsura legitimării persoanei cu atribuții în fața persoanei vizate și modul în care se realizează.

5.2 Ce nu trebuie să facă operatorul?

  1. nu stocheze datele și să nu creeze sisteme de evidență. Acest aspect este subliniat inclusiv în măsurile recomandate de autoritățile europene de supraveghere a datelor. Astfel, persoana cu atribuții nu ar trebui să facă fotografii la certificate, să nu noteze în diverse registre (ex. Registrul de acces) și să nu consemneze date de acest tip.
  2. nu divulge datele la care are acces către alte persoane. În acest sens este foarte important felul în care se gestionează relația cu persoana vizată care poate fi foarte sensibilă la astfel de lucruri (ex. Comunicarea numelui persoanei într-o situație conflictuală: Domnule Ionescu, uitați ce scrie aici, certificat valabil doar până la data de 15.12.2021, nu vă putem permite intrarea).
  3. nu limiteze accesul persoanelor în anumite situații cu totul speciale cum ar fi cele care țin de viața, sănătatea sau siguranța persoanelor: ex. Are loc un incendiu la care sosesc pompierii pentru stingerea acestuia; o persoană care așteaptă la coadă pentru a-i fi verificat certificatul, leșină din cauza căldurii, iar înăuntrul spațiului se poate oferi prim ajutorul.

6. Concluzie

Vedem situația verificării certificatelor verzi și tensiunea existentă la nivel social care este și datorată lacunelor legislative și a campaniilor de informare completă, coerentă și corectă a autorităților statului. Astfel, operatorii sunt puși în situația în care riscă sancțiuni pentru nerespectarea fie a unei legislații care luptă împotriva pandemiei, fie pentru nerespectarea legislației privind protecția datelor. În acest sens se văd adesea prinși între ciocan și nicovală. Cu toate acestea, luând măsuri de diminuare a riscurilor prezente la adresa datelor cu caracter personal a persoanelor vizate, se pot evita aceste sancțiuni.

Cum însă se pot realiza procedurile și informările necesare? Acest subiect va fi prezent într-unul din articolele următoare. Până atunci, ce credem că este necesar este ca Responsabilul cu Protecția Datelor să fie implicat în toate aceste procese, iar dacă este cazul și la dumneavoastră și anume fie că nu are pregătirea necesară (juridică, tehnică etc), fie nu are timpul necesar, resursele sau alte asemenea care să îi permită să ofere consiliere operatorului așa cum GDPR-ul o cere, recomandarea noastră este să apelați la o echipă care să ocupe rolul de Responsabil cu Protecția Datelor – servicii DPO externalizat.

Avantajele unei echipe sunt evidente: costuri mici, disponibilitate a 5-6 oameni cu pregătire diferită care pot oferi în cel mai scurt timp cele mai bune soluții pentru problemele cu care operatorul se confruntă (cum este cea a verificării certificatelor verzi).

Dacă crezi că informațiile de mai sus ți-au fost de folos și dorești să te ajutăm, scrie-ne la contact@gdprcomplet.ro.