Az oltási programok előrehaladtával és a nyár közeledtével egyre többeket foglalkoztató kérdés, hogy az Európai Unión belüli szabad mozgás joga miként lesz gyakorolható, milyen módon biztosítható az, hogy biztonságos körülmények között újra szélesebb körben is lehetőség legyen a tagállamok közötti szabad mozgásra. Erre tekintettel az Európai Bizottság március 17-én közzétett egy javaslatcsomagot a digitális zöldigazolványra (Digital Green Certificate) vonatkozóan, amelynek a célja az EU-n belüli utazások megkönnyítése. 

A javaslatcsomag szerint az igazolvány főbb jellemzői az alábbiak lennének: 

• digitális és/vagy papírformátumú,
• QR-kóddal van ellátva,
• ingyenes,
• a nemzeti nyelven és angolul kerül kiállításra,
• biztonságos,
• valamennyi uniós tagállamban érvényes.

A digitális zöldigazolvány nem kizárólag a COVID-19 ellen beoltottak részére lenne kiállítható, hanem azok is rendelkezhetnek vele, akik felgyógyultak a fertőzésből vagy akik meghatározott időn belül negatív teszteredményt tudnak felmutatni. 

A javaslatcsomag két részből áll, egyrészt az uniós állampolgárokra vonatkozó javaslatból, másrészt valamely uniós tagállamban letelepedett harmadik ország állampolgáraira vonatkozó javaslatról (az eltérés alapvető oka, hogy az EU-nak más alapon van szabályozási hatásköre a két csoport vonatkozásában). 

A Bizottság javaslatcsomagjára vonatkozóan az európai adatvédelmi biztos (EDPS) és az Európai Adatvédelmi Testület (Testület) közös véleményt fogalmazott meg, amelyben a zöldigazolvány alkalmazásához kapcsolódó adatvédelmi kérdéseket vizsgálták meg és megfogalmaztak javaslatokat is a jogalkotók részére. Az alábbiakban a közös vélemény főbb megállapításait foglalom össze. 

1. Előzetes szempontok 

A vélemény elismeri annak megalapozottságát, hogy egységes megközelítés és szabályozás szükséges az EU-n belül. A vélemény ugyanakkor felhívja a Bizottság figyelmét, hogy a szabályozás kapcsán holisztikus és etikai alapokon álló megközelítés szükséges, amely figyelembe veszi az emberi jogok, így különösen a magánszféra és a személyes adatok védelmére vonatkozó jogok érvényesülését is. Ezen túlmenően a szabályozás kapcsán figyelemmel kell lenni a hatékonyság, szükségesség és arányosság elveinek.  

A vélemény kiemeli, hogy különbséget kell tenni az "oltottsági igazolás" és a "védettségi igazolás" között, ugyanis a védettség tekintetében kevés tudomány bizonyíték áll még rendelkezésre, így e tekintetben egyértelmű megállapítások nehezen tehetők. Az igazolványnak így a szabad mozgáshoz kapcsolódó, azt elősegítő "időbélyeggel" ellátott igazolásnak kell lennie, amely tényszerűen tartalmaz historikus információkat, de az immunitásra vagy fertőzőképességre vonatkozó megalapozatlan következtetésektől mindenképpen tartózkodni kell. 

A vélemény felhívja a figyelmet hatásvizsgálat szükségességére, azaz annak vizsgálatára, hogy kevésbé intruzív eszközök alkalmasak lehetnek-e a cél elérése érdekében. 

2. Adatvédelmi megfontolások 

Az alábbi általános megfontolásokat emeli ki a közös vélemény: 

• pontosítani szükséges, hogy az igazolvány automatikusan létrehozásra kerül és kérelemre kerül kibocsátásra vagy ahhoz már a létrehozatalához is kérelem szükséges, 
• mind digitális, mind pedig papír alapú formátumban szükséges kibocsátani, hogy mindenki számára elérhető legyen,  
• az adatkezelési jogalap tekintetében a javaslatokban szereplő hivatkozásokat megfelelőnek tekintik (6. cikk (1) bekezdés c) pont, valamint 9. cikk (2) bekezdés g) pont), ugyanakkor javasolják ezen jogalapok beemelését a jogszabály szövegébe is (jelenleg csak a preambulumban szerepel), 
• ahol lehetséges, az igazolványban szereplő információk ellenőrzését úgy kell megoldani, hogy az ne járjon adattovábbítással.

A személyes adat kezelendő kategóriái kapcsán az alábbiakra hívja fel a vélemény a figyelmet: 

• minden kezelendő adatkategória esetében alá kell támasztani a kezelés szükségességét, 
• vizsgálandó, hogy valamennyi adatkategória esetében indokolt-e, hogy a QR kódban is megjelenjenek, illetve, hogy mind a digitális, mind a papír alapú igazolványban szerepeljenek (adattakarékosság), 
• az érvényesség idejének a meghatározása is fontos szempont a korlátozott tárolhatóság elvére is tekintettel,
• a javaslat szerint a Bizottság felhatalmazást kapna, hogy további adatmezőket adjon hozzá az igazolványhoz, amely az előzetes hatásvizsgálat eredményét megkérdőjelezhetővé teszi, ehelyett legfeljebb a meglévő kategóriák további alábontására (al-kategóriák hozzáadására) kellene felhatalmazni a Bizottságot,
• azon esetekben, amikor a betegségből történő felépülés kapcsán kerül kibocsátásra az igazolvány, akkor kizárólag a COVID-19-re és annak variánsaira szükséges korlátozni az igazolványban szereplő információt.  

Megfelelő technikai és szervezési intézkedések szükségesek az adatbiztonság érdekében: 

• az adatkezelőknek és adatfeldolgozóknak a GDPR 32. cikkével összhangban szükséges megtenniük a szükséges intézkedéseket, 
• a beépített és alapértelmezett adatvédelem elveinek (25. cikk) is érvényesülnie kell ebben az esetben is.

A véleményben javaslatot fogalmaznak meg arra, hogy szükséges lenne összeállítani és nyilvánosságra hozni azon entitások listáját, amelyek előreláthatólag adatkezelőként, adatfeldolgozóként, illetve címzettként járnak majd el az igazolványok kapcsán. Ez elősegítené az érintettek számára a jogaik gyakorlását is. 

Kiemelten fontos az adatmegőrzési határidők pontos meghatározása. Ahol ez nem lehetséges, ott a megőrzési idő meghatározásának pontos szempontjait kell rögzíteni. Az adatok megőrzése nem nyúlhat túl a COVID-19 járvány időtartamán. 

A nemzetközi adattovábbítások kapcsán azon esetek meghatározása szükséges, amikor ilyenre sor kerülhet, illetve a szükséges garanciák meghatározását is be kell építeni a javaslatba, amelyek biztosítják, hogy az adatok felhasználása ilyen esetekben is a javaslatban meghatározott célból történik.