Wiele regulacji prawnych wprowadzonych w ramach niedawnego rozporządzenia łagodzącego obostrzenia antycovidowe pozwala przedsiębiorcom nie uwzględniać osób zaszczepionych w ustanowionych limitach gości, którzy mogą np. przebywać w hotelu, brać udział w imprezach (ślubach, koncertach itp.).

Mowa o rozporządzeniu Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. poz. 861; ost.zm. Dz.U. z 2021 r. poz. 1125). To w praktyce oznacza, że restauratorzy, hotelarze i inni przedsiębiorcy muszą dokonywać weryfikacji, kto z klientów jest zaszczepiony, a kto nie. Tyle że pojawiają się wątpliwości przedsiębiorców, czy mają do tego podstawę prawną i czy stawiając gościom takie pytania, nie narażają się na zarzut naruszenia przepisów o ochronie danych osobowych. A zatem jak w praktyce może wyglądać taka weryfikacja? – odpowiadamy na pytania.
Czy powołując się na rozporządzenie Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, mogę wprost pytać gości, czy są zaszczepieni?
Informacje o zaszczepieniu jako dane dotyczące stanu zdrowia to szczególna kategoria danych osobowych, o których mowa w art. 9 ust. 1 RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [Dz.Urz. UE z 2016 r. L 119, s. 1]). Co do zasady przetwarzanie tego rodzaju danych jest zabronione poza wyjątkami wymienionymi w art. 9 ust. 2 RODO. Przepis ten dopuszcza przetwarzane takich danych m.in., gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Wspomniane przez czytelnika rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie precyzuje, kto i w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona, ani nie przewiduje żadnych konkretnych środków ochrony praw i wolności tej osoby. W związku z tym rozporządzenie to nie może być uznane za podstawę prawną przetwarzania na podstawie omówionego powyżej wyjątku. W praktyce zatem przedsiębiorcy nie będą mogli żądać podania informacji o zaszczepieniu. Taki pogląd wyraził również prezes Urzędu Ochrony Danych Osobowych w komunikacie z 24 czerwca 2021 r.
Jak mogę zapytać, czy klient trafiający do hotelu czy restauracji jest zaszczepiony, aby nie zostać posądzonym o naruszenie danych osobowych?
W obecnym stanie prawnym postawą prawną do zadania pytania o szczepienie jest wyłącznie zgoda osoby, której dane dotyczą, określona w art. 9 ust. 2 lit. a RODO. Należy pamiętać jednak o zachowaniu warunków pozyskiwania zgody, w tym jej dobrowolności. Czy można jednak mówić o dobrowolności, gdy od okazania certyfikatu może zależeć pobyt w hotelu lub uczestnictwo w wydarzeniu? Jest to wątpliwe i, niestety, do momentu wprowadzenia przepisów ustawowych, spełniających dodatkowo warunek „odpowiednich, konkretnych środków ochrony praw i wolności osób, których dane dotyczą”, zgoda pozostanie jedyną podstawą przetwarzania danych o zaszczepieniu.
Jak już wspominaliśmy, przedsiębiorcy zostali postawieni pomiędzy młotem a kowadłem. Z jednej strony organ administracji rządowej, jakim jest Rada Ministrów, ustanowił konkretne zobowiązanie przedsiębiorcy, z drugiej nie zadbano o wprowadzenie podstawy prawnej do przetwarzania przez tego przedsiębiorcę danych osobowych osób legitymujących się certyfikatami szczepień.
Trudno jest wyobrazić sobie sytuację, w której przedsiębiorca nie może zapytać klienta o to, czy jest zaszczepiony, skoro rozporządzenie nakłada na niego obowiązek pilnowania limitu osób. Jeżeli zatem przedsiębiorca poprosi o okazanie certyfikatu i pozostawi decyzję o tym klientowi, a ten dobrowolnie go okaże – będzie to zgodne z prawem. Problem pojawia się w przypadku odmowy, w szczególności jeśli limit osób niezaszczepionych został przekroczony. I tu znów wracamy do kwestii dobrowolności zgody.
Czy i jak powinienem weryfikować prawdziwość oświadczeń, że uczestnik imprezy był szczepiony? Czy wystarczające jest samo jego oświadczenie – czy też mogę prosić go np. o potwierdzenie szczepienia?
Brak jest jednoznacznej odpowiedzi na pytanie, czy wystarczy samo oświadczenie o byciu zaszczepionym. Z jednej strony zgodnie z par. 26 ust. 16 przywołanego powyżej rozporządzenia do określonych limitów nie wlicza się osób zaszczepionych przeciwko COVID-19. Czytając ten przepis wprost, można dojść do wniosku, że samo oświadczenie nie wystarczy, ponieważ mówi on o osobach zaszczepionych, a nie takich, które złożyły oświadczenie o byciu zaszczepionym. Obecnie potwierdzeniem zaszczepienia jest wyłącznie certyfikat, którego prawdziwość oraz prawdziwość zawartych w nim danych można zweryfikować za pomocą aplikacji udostępnionej przez Ministerstwo Zdrowia. Z innej strony, zgodnie z przywoływanym art. 9 ust. 2 lit. a RODO, zgoda osoby, której dane dotyczą, musi być wyraźna, a trudno jest stwierdzić, że okazanie certyfikatu do wglądu przy wejściu do kina, teatru czy podczas check-inu w hotelu ten warunek spełnia.
Jak hotel może odnotowywać sobie, że dane osoby są zaszczepione? Czy możemy robić osobną listę? Jak długo taką listę mogę przechowywać?
O ile przetwarzanie danych o zaszczepieniu na podstawie zgody osoby, której dane dotyczą, jest uzasadnione, o tyle przechowywanie takich informacji wydaje się nadmierne z punktu widzenia tej osoby i jej prawa do prywatności. Przedsiębiorca nie powinien zatem w żaden sposób zapisywać certyfikatów lub zbierać oświadczeń. Zgodnie z komunikatem prezesa UODO administrator powinien jedynie zapoznać się z okazanym certyfikatem i nie wliczać takiej osoby do określonego limitu, ale danych tych nie powinien przechowywać. W takiej sytuacji problematyczne staje się wykazanie, które osoby i na jakiej podstawie nie zostały do limitu wliczone. Dochodzimy zatem do sytuacji, w której przedsiębiorca ryzykuje naruszeniem przepisów rozporządzenia albo przepisów o ochronie danych osobowych.