Vaccinationsbevis som smittskyddsåtgärd
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
IMY lämnar följande synpunkter på förslaget i den del det rör behandling av personuppgifter.
I promemorians avsnitt avseende personuppgiftsbehandling anges att vid verifikation av vaccinationsbevis kan anordnare använda sig av samtycke som såväl rättslig grund enligt artikel 6 i dataskyddsförordningen som undantag enligt artikel 9 i dataskyddsförordningen. IMY ställer sig tveksam till om samtycket i dessa fall alltid kan anses ha lämnats helt frivilligt. EDPB har i sina Riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679 angett att om samtycke ingår som en ej förhandlingsbar del av villkoren antas samtycket inte vara frivilligt. På samma sätt kan samtycke inte anses vara frivilligt om de registrerade inte kan vägra eller ta tillbaka sitt samtycke utan problem. Då deltagande för den enskilde villkorats med uppvisande och verifikation av vaccinationsbevis kan det ifrågasättas om samtycket är giltigt. Någon annan rättslig grund krävs då.
IMY anser att även för de privata anordnarna skulle den behandling av personuppgifter som krävs för att verifiera vaccinationsbevisen kunna utgöra en uppgift av allmänt intresse. Dessa skulle då i likhet med myndigheter kunna använda sig av den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen. Ett särskilt undantag enligt artikel 9.2 g skulle dock behöva införas för privata anordnare.
Om den rättsliga grunden ska anses vara en uppgift av allmänt intresse har lagstiftaren då även möjlighet att fastställa specifika krav för behandlingen avseende t.ex. relevanta skyddsåtgärder, i enlighet med artikel 6.2 och 3 i dataskyddsförordningen. För att den aktuella behandlingen av personuppgifter ska vara tillåten krävs inte endast att det finns ett tillämplig rättslig grund enligt artikel 6 i dataskyddsförordningen och ett tillämpligt undantag enligt artikel 9 i dataskyddsförordningen. Behandlingen måste även anses proportionerlig enligt de grundläggande principerna i artikel 5 i dataskyddsförordningen. Behovet av behandlingen måste anses proportionerlig i förhållande till de risker för den enskildes personliga integritet som behandlingen kan komma att innebära. Ingen bedömning av vilka risker för den enskilde som en verifikation av vaccinationsbevisen kan innebära eller vilka skyddsåtgärder som skulle kunna vara lämpliga för att minimera dessa har presenterats i promemorian. IMY anser således att frågan om lagligt stöd för behandling av personuppgifter vid verifikation av vaccinationsbevis behöver utredas vidare.
Detta yttrande har beslutats av tillförordnade enhetschefen Linn Sandmark efter föredragning av juristen Ulrika Harnesk. Vid den slutliga handläggningen har även rättschefen David Törngren medverkat.
Linn Sandmark, 2021-09-23 (Det här är en elektronisk signatur)