Przedsiębiorca nie może żądać od klienta informacji o szczepieniu

Wiele regulacji prawnych wprowadzonych w ramach niedawnego rozporządzenia łagodzącego obostrzenia antycovidowe pozwala przedsiębiorcom nie uwzględniać osób zaszczepionych w ustanowionych limitach gości, którzy mogą np. przebywać w hotelu, brać udział w imprezach (ślubach, koncertach itp.).

Mowa o rozporządzeniu Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. poz. 861; ost.zm. Dz.U. z 2021 r. poz. 1125). To w praktyce oznacza, że restauratorzy, hotelarze i inni przedsiębiorcy muszą dokonywać weryfikacji, kto z klientów jest zaszczepiony, a kto nie. Tyle że pojawiają się wątpliwości przedsiębiorców, czy mają do tego podstawę prawną i czy stawiając gościom takie pytania, nie narażają się na zarzut naruszenia przepisów o ochronie danych osobowych. A zatem jak w praktyce może wyglądać taka weryfikacja? – odpowiadamy na pytania.

• Czy powołując się na rozporządzenie Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, mogę wprost pytać gości, czy są zaszczepieni?

Informacje o zaszczepieniu jako dane dotyczące stanu zdrowia to szczególna kategoria danych osobowych, o których mowa w art. 9 ust. 1 RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [Dz.Urz. UE z 2016 r. L 119, s. 1]). Co do zasady przetwarzanie tego rodzaju danych jest zabronione poza wyjątkami wymienionymi w art. 9 ust. 2 RODO. Przepis ten dopuszcza przetwarzane takich danych m.in., gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

Wspomniane przez czytelnika rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie precyzuje, kto i w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona, ani nie przewiduje żadnych konkretnych środków ochrony praw i wolności tej osoby. W związku z tym rozporządzenie to nie może być uznane za podstawę prawną przetwarzania na podstawie omówionego powyżej wyjątku. W praktyce zatem przedsiębiorcy nie będą mogli żądać podania informacji o zaszczepieniu. Taki pogląd wyraził również prezes Urzędu Ochrony Danych Osobowych w komunikacie z 24 czerwca 2021 r.

• Jak mogę zapytać, czy klient trafiający do hotelu czy restauracji jest zaszczepiony, aby nie zostać posądzonym o naruszenie danych osobowych?

W obecnym stanie prawnym postawą prawną do zadania pytania o szczepienie jest wyłącznie zgoda osoby, której dane dotyczą, określona w art. 9 ust. 2 lit. a RODO. Należy pamiętać jednak o zachowaniu warunków pozyskiwania zgody, w tym jej dobrowolności. Czy można jednak mówić o dobrowolności, gdy od okazania certyfikatu może zależeć pobyt w hotelu lub uczestnictwo w wydarzeniu? Jest to wątpliwe i, niestety, do momentu wprowadzenia przepisów ustawowych, spełniających dodatkowo warunek „odpowiednich, konkretnych środków ochrony praw i wolności osób, których dane dotyczą”, zgoda pozostanie jedyną podstawą przetwarzania danych o zaszczepieniu.

Jak już wspominaliśmy, przedsiębiorcy zostali postawieni pomiędzy młotem a kowadłem. Z jednej strony organ administracji rządowej, jakim jest Rada Ministrów, ustanowił konkretne zobowiązanie przedsiębiorcy, z drugiej nie zadbano o wprowadzenie podstawy prawnej do przetwarzania przez tego przedsiębiorcę danych osobowych osób legitymujących się certyfikatami szczepień.

Trudno jest wyobrazić sobie sytuację, w której przedsiębiorca nie może zapytać klienta o to, czy jest zaszczepiony, skoro rozporządzenie nakłada na niego obowiązek pilnowania limitu osób. Jeżeli zatem przedsiębiorca poprosi o okazanie certyfikatu i pozostawi decyzję o tym klientowi, a ten dobrowolnie go okaże – będzie to zgodne z prawem. Problem pojawia się w przypadku odmowy, w szczególności jeśli limit osób niezaszczepionych został przekroczony. I tu znów wracamy do kwestii dobrowolności zgody.

• Czy i jak powinienem weryfikować prawdziwość oświadczeń, że uczestnik imprezy był szczepiony? Czy wystarczające jest samo jego oświadczenie – czy też mogę prosić go np. o potwierdzenie szczepienia?

Brak jest jednoznacznej odpowiedzi na pytanie, czy wystarczy samo oświadczenie o byciu zaszczepionym. Z jednej strony zgodnie z par. 26 ust. 16 przywołanego powyżej rozporządzenia do określonych limitów nie wlicza się osób zaszczepionych przeciwko COVID-19. Czytając ten przepis wprost, można dojść do wniosku, że samo oświadczenie nie wystarczy, ponieważ mówi on o osobach zaszczepionych, a nie takich, które złożyły oświadczenie o byciu zaszczepionym. Obecnie potwierdzeniem zaszczepienia jest wyłącznie certyfikat, którego prawdziwość oraz prawdziwość zawartych w nim danych można zweryfikować za pomocą aplikacji udostępnionej przez Ministerstwo Zdrowia. Z innej strony, zgodnie z przywoływanym art. 9 ust. 2 lit. a RODO, zgoda osoby, której dane dotyczą, musi być wyraźna, a trudno jest stwierdzić, że okazanie certyfikatu do wglądu przy wejściu do kina, teatru czy podczas check-inu w hotelu ten warunek spełnia.

• Jak hotel może odnotowywać sobie, że dane osoby są zaszczepione? Czy możemy robić osobną listę? Jak długo taką listę mogę przechowywać?

O ile przetwarzanie danych o zaszczepieniu na podstawie zgody osoby, której dane dotyczą, jest uzasadnione, o tyle przechowywanie takich informacji wydaje się nadmierne z punktu widzenia tej osoby i jej prawa do prywatności. Przedsiębiorca nie powinien zatem w żaden sposób zapisywać certyfikatów lub zbierać oświadczeń. Zgodnie z komunikatem prezesa UODO administrator powinien jedynie zapoznać się z okazanym certyfikatem i nie wliczać takiej osoby do określonego limitu, ale danych tych nie powinien przechowywać. W takiej sytuacji problematyczne staje się wykazanie, które osoby i na jakiej podstawie nie zostały do limitu wliczone. Dochodzimy zatem do sytuacji, w której przedsiębiorca ryzykuje naruszeniem przepisów rozporządzenia albo przepisów o ochronie danych osobowych.

Pozostało 86% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.