A digitális zöldigazolványnak már az elnevezésénél érdemes egy pillanatra megállni, hiszen az némiképp megtévesztő. A zöldigazolvány kifejezést olvasva azonnal valamilyen környezetvédelmi szabályozásra gondolhatnánk, illetve arra, hogy az igazolvány birtokosai tanúbizonyságot tettek arról, hogy környezetkímélő módon végzik a tevekénységüket. Erről szó sincsen. A digitális zöldigazolvány a Covid-19 világjárvány idején a szabad mozgás megkönnyítése érdekében az oltásra, tesztelésre és gyógyultságra vonatkozó interoperábilis igazolványok együttesét jelenti.
Az Európai Bizottság 2021. március 17-én javaslatot tett – méghozzá rendeleti formában – egy digitális zöldigazolvány létrehozására, hogy a Covid-19 világjárvány alatt megkönnyítse a polgárok biztonságos szabad mozgását az EU-n belül. A tervezet szerint a digitális zöldigazolványok minden uniós tagállamban érvényesek lesznek és alapvetően annak bizonyítására szolgálnak, hogy az illető személy kapott Covid-19 elleni védőoltást, vagy negatív eredménnyel lett tesztelve, vagy felgyógyult a Covid-19-ből. A szabályozás értelmében minden digitális zöldigazolvánnyal rendelkező uniós polgárt vagy az EU-ban jogszerűen tartózkodó harmadik országbeli állampolgárt az utazása során ugyanúgy mentesíteni kell a szabad mozgás korlátozása alól, mint a meglátogatott tagállam állampolgárait. Amennyiben egy tagállam továbbra is karanténra vagy tesztelésre kötelezi a digitális zöldigazolvány birtokosait, akkor erről értesítenie kell a Bizottságot és az összes többi tagállamot, és meg kell indokolnia ezt a döntését.
A rendelettervezetnek talán két legfontosabba aspektusa a szabad mozgáshoz való jog, valamint az érintett személyes adatainak a védelme. Az előbbivel kapcsolatban a Bizottság hangsúlyozza, hogy
„[a]z uniós polgároknak az Európai Unión belüli szabad mozgáshoz és tartózkodáshoz való joga az EU egyik legbecsesebb vívmánya és gazdaságának fontos hajtóereje.”
A Bizottság továbbá egyértelművé tette, hogy a digitális zöldigazolványba foglalt igazolások célja a szabad mozgás gyakorlásának megkönnyítése, nem pedig korlátozása. A digitális zöldigazolvány birtoklása nem lehet előfeltétele a szabad mozgás gyakorlásának. Azoknak a személyeknek, akiket nem oltanak be – beleértve azokat is, akik nem kívánják beoltatni magukat – továbbra is tudniuk kell a szabad mozgáshoz való alapvető jogukat gyakorolni, ha szükséges, olyan korlátozások mellett, mint a kötelező tesztelés és a karantén.
A másik aspektus az adatvédelem, mivel a javaslat személyes adatok, köztük egészségügyi adatok kezelését vonja maga után. A személyes adatok védelméhez és ezen belül az adatbiztonsághoz való jog tekintetében a GDPR rendelkezései az alkalmazandóak. Ezen megfelelőséget vizsgálta az Európai Adatvédelmi Biztos (EDPS) és az Európai Adatvédelmi Testület (EDPB) és közös véleményt fogadott el a digitális zöldigazolvány vonatkozásában.
A kezelt adatok köre, melyet a rendelettervezethez csatolt melléklet tartalmaz, nem nevezhető túlzó mértékűnek. Ugyanakkor az EDPB és az EDPS közös véleményében kifogásolja, hogy a tervezet nem részletezi az egyes adatok kezelésének szükségességét, annak részletes indokolása hiányzik. Továbbá a közös vélemény azt is kifogásolja, hogy az igazolások „szavatossági ideje” nincs meghatározva, valamint problematikus az is, hogy a Bizottság felhatalmazáson alapuló jogi aktus keretében egyoldalúan megváltoztathatja ezt az adatkört.
A tervezet az igazolványok kiállításáért felelős hatóságokat minden esetben adatkezelőnek tekinti. Ezt a szabályozást az EDPB és az EDPS is üdvözlendőnek tartja. Arra azonban felhívják a figyelmet, hogy a kezelt adatok szenzitív jellegére tekintettel az adatkezelők és adatfeldolgozók listáját nyilvánosan hozzáférhetővé kellene tenni.
A jogalapot az adatkezelésre maga a rendelet adja. Az adatkezelés célját pedig úgy határozza meg, hogy az igazolványokban szereplő személyes adatokat az információkhoz a Covid-19 világjárvány idején az Unión belüli szabad mozgáshoz való jog gyakorlásának megkönnyítése érdekében történő hozzáférés és azok ellenőrzése céljából kell kezelni. A célhoz kötöttség jegyében a tervezet kifejezetten deklarálja, hogy a személyes adatok nem őrizhetők meg az e célhoz szükségesnél hosszabb ideig, megőrzési idejük azonban semmi esetre sem haladhatja meg azt az időszakot, ameddig az igazolványok felhasználhatók a szabad mozgáshoz való jog gyakorlásához. Az EDPS és az EDPB is hangsúlyozza a közös véleményében, hogy az adatok megőrzési idejét dátumra pontosan meg kell határozni. Amennyiben ez nem lehetséges, úgy kritériumokat kell felállítani, amelyek bekövetkeztéig kezelhetőek csak az adatok.
A Bizottság tájékoztatása szerint a rendelettervezet nem hoz létre európai adatbázist a Covid-19 elleni oltásra, a tesztelésre vagy a gyógyultságra vonatkozóan. Az Európai Bizottság kiépít egy digitális átjárót és ezen az átjárón keresztül minden zöldigazolvány aláírása ellenőrizhető lesz az Európai Unió egész területén. A Bizottság tájékoztatása szerint az igazolványban rögzített személyes adatok azonban nem haladnak át az átjárón, mivel a digitális aláírás ellenőrzéséhez erre nincs szükség. Ugyanakkor a rendelettervezet úgy fogalmaz, hogy
„[a]z igazolványokban szereplő személyes adatokat a célállomás szerinti tagállam illetékes hatóságai vagy a nemzeti jogszabályok által a Covid-19 világjárvány idején bizonyos népegészségügyi intézkedések végrehajtására kötelezett, határokon átnyúló személyszállítási szolgáltatók használják fel a birtokos oltottsági, tesztelési vagy gyógyultsági státuszának ellenőrzésére.”
Nem világos tehát, hogy pontosan mely adatok futnak keresztül a digitális átjárón. Megjegyzendő továbbá, hogy valamely természetes személynek az oltottsági, tesztelési vagy gyógyultsági státusza is személyes adatnak, azon belül is különleges adatnak minősül. Ez abban a megvilágításban is kérdéseket vet fel, hogy a Bizottság tájékoztatása szerint a tagállamoknak az uniós forgalomba hozatali engedéllyel rendelkező védőoltásokat kell elfogadniuk, azonban dönthetnek úgy is, hogy ezt kiterjesztik azokra az uniós utazókra is, akik más védőoltást kaptak. Ez tehát a tagállamok számára mérlegelési lehetőséget biztosít.
Az adatbiztonság jegyében a digitális zöldigazolvány a hamisítás ellen tartalmazni fog egy digitális aláírással ellátott QR-kódot. Minden kiállító szervnek (pl. kórház, tesztközpont, egészségügyi hatóság) saját digitális aláírási kulcsa van. Ezeket minden országban egy biztonságos adatbázisban tárolják. Az adatbiztonsági kérdések már csak azért is kiemelkedően fontosak, mert az Europol már felhívta a figyelmet a tesztigazolványok hamisítására és azok illegális értékesítésére. A felhívás szerint már több uniós országban történt letartóztatás, ahol a hamis igazolásokat átlagosan 40 – 300 euró közötti összegért árulták.
A zárórendelkezések értelmében a Bizottság felhatalmazáson alapuló jogi aktus keretében megszűnteti a rendelet érdemi alkalmazását, amennyiben a járványügyi helyzet annak fenntartását már nem indokolja. Azonban ugyanitt található egy érdekes bekezdés, amelynek értelmében a Bizottság felhatalmazást kap arra, hogy meghatározza a rendelet újbóli alkalmazásának kezdő időpontját, ha az Egészségügyi Világszervezet főigazgatója nemzetközi horderejű közegészségügyi-járványügyi szükséghelyzetet jelent be a SARS-CoV-2, annak egy variánsa, vagy hasonló járványügyi potenciállal rendelkező fertőző betegségek miatt. Tehát nem szorítkozik a Covid-járványra, hanem kiterjesztően alkalmazhatóvá teszi a rendelettervezetet más hasonló járványügyi potenciállal rendelkező fertőző betegségek esetére is, ugyanakkor ezt a kiterjesztő értelmezést az EDPB és az EDPS is elfogadhatatlannak tartja.
A fentiek alapján majd a gyakorlat fogja eldönteni, hogy a zöldigazolvány zöld utat kap-e a mindennapokban.
