Od początku grudnia w związku z czwartą falą koronawirusa obowiązują zaostrzone limity na imprezach i w obiektach. Utrzymano przy tym zasadę, że osoby zaszczepione nie są do nich wliczane. Mimo kolejnej nowelizacji rozporządzenia rząd wciąż nie pokusił się o wprowadzenie przepisu, który pozwalałby na weryfikację certyfikatów covidowych. Powszechnie używane w wielu państwach UE, w Polsce praktycznie są bezużyteczne. Przedsiębiorcy boją się je kontrolować przy wejściu do obiektu lub na jakieś wydarzenie, bo za naruszenie RODO grozi im kara.
Jan Nowak, prezes Urzędu Ochrony Danych Osobowych, już w czerwcu ostrzegał, że nie ma podstawy prawnej do przetwarzania danych osobowych w postaci paszportów covidowych. W żaden sposób nie regulują tej kwestii przepisy rozporządzenia w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. z 2021 r. poz. 861 ze zm.).
„Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. (…) Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania” - napisał w opinii zamieszczonej na swej stronie internetowej.
„Domyślna” zgoda
Rząd jest innego zdania i uważa, że nie potrzeba specjalnej podstawy prawnej. Jak tłumaczył ostatnio minister zdrowia, rozporządzenie daje przedsiębiorcom możliwość określania własnych regulaminów.
- Wewnętrznie mogą one oznaczać, że jeżeli jest jakiś limit, to do tego limitu się wpuszcza. Jeżeli limit zostaje przekroczony, to zgoda osoby okazującej paszport (covidowy) na to, żeby wejść, jest domyślna - tłumaczył Adam Niedzielski.
Krzysztof Saczka, p.o. główny inspektor sanitarny, zapowiedział z kolei kontrole pod kątem posiadania procedur weryfikacji limitów przez właścicieli obiektów i organizatorów imprez.
Przedsiębiorcy zostali postawieni pod ścianą - albo nie będą kontrolować certyfikatów i narażą się na karę ze strony sanepidu, albo też będą to robić, narażając się na sankcję ze strony UODO. Ta ostatnia może być liczona nawet w milionach euro.
O wspomnianej przez ministra zdrowia „domyślnej” zgodzie klientów na przetwarzanie danych nie może być mowy, bo byłoby to w sposób oczywisty niezgodne z RODO. Problemu nie rozwiązuje też wydana przez resort darmowa aplikacja: Skaner Certyfikatów COVID. Co prawda w jej opisie umieszczono adnotację: „osoba, która przedstawia kod QR do skanowania, wyraża równocześnie zgodę na przetwarzanie danych osobowych zawartych w tym kodzie”, ale nie ma on żadnej mocy prawnej.
Prawo, a nie obowiązek
Część prawników uważa jednak, że mimo wszystko można uzależniać wstęp do obiektu objętego limitem od okazania certyfikatu.
- Rozporządzenie w żadnym razie nie uprawnia przedsiębiorców do wydawania poleceń klientom w zakresie udzielenia informacji o zaszczepieniu. Nie zmienia to jednak faktu, że są oni zobowiązani do prowadzenia działalności wyłącznie w granicach określonych limitami. Mają więc prawo poinformować swoich klientów o możliwości dobrowolnego okazania przez nich paszportu, co pozwoli na skorzystanie z oferowanych usług. W przypadku braku takiej zgody przedsiębiorca jest obowiązany odmówić dokonania sprzedaży usługi, jeżeli miałoby to doprowadzić do przekroczenia dopuszczalnego limitu osobowego. Okazanie paszportu jest w takim przypadku prawem, a nie obowiązkiem klienta - argumentuje prof. Robert Suwaj, adwokat w kancelarii Suwaj Zachariasz, wykładowca Politechniki Warszawskiej.
Przy tym podejściu zostaje odwrócona sytuacja - przedsiębiorca nie wymaga okazania certyfikatu, ale może wpuścić tylko tych, którzy to zrobią. Klienci więc sami wyrażają zgodę na przetwarzanie danych. Zdaniem dr. Pawła Litwińskiego, adwokata z kancelarii Barta Litwiński, można ją uznać za dobrowolną, pod jednym jednak warunkiem - gdy osiągnięto już limit obłożenia.
- Jeśli zostaje przekroczony określony rozporządzeniem limit osób, które mogą wejść do obiektu, organizator nie ma prawa wpuścić innych osób niż zaszczepione, które nie są wliczane do limitu. W takiej sytuacji może uzależniać wpuszczenie kolejnych osób od wyrażenia przez nie - choć to może dziwnie zabrzmieć - dobrowolnej zgody na przetwarzanie danych i skanowanie certyfikatu. Mamy bowiem do czynienia z czymś ponadstandardowym, a żeby z tego skorzystać, trzeba przedstawić informacje, które ma tylko zainteresowana osoba. Normą jest tutaj wpuszczanie osób do określonego prawem limitu, a czymś dodatkowym tych, które do tego limitu nie są wliczane - uważa dr Paweł Litwiński.
Co istotne, zgoda na przetwarzanie danych może zostać wyrażona w dowolny sposób, a więc nie jest konieczne zbieranie oświadczeń na piśmie czy przez internet. Wystarczy samo okazanie certyfikatu przy spełnieniu innych obowiązków wynikających z RODO, np. informacyjnych.
Co na to UODO?
O zajęcie stanowiska poprosiliśmy również UODO. Niestety nie wynika z niego wprost, czy zgadza się on z interpretacją cytowanych prawników. Przypomniano w nim, że klient może dobrowolnie okazać certyfikat i wówczas przedsiębiorca ma prawo go zeskanować.
„Może dojść do sytuacji, w której osoba pomimo zaszczepienia nie będzie chciała o tym fakcie poinformować organizatora danego wydarzenia i przedstawić odpowiedniego zaświadczenia. Wówczas będzie wliczana w limit osób mogących uczestniczyć w różnych wydarzeniach. Jeżeli zatem chce skorzystać z korzyści, jakie niesie za sobą fakt zaszczepienia, czyli niewliczania do limitu osób mogących uczestniczyć w wydarzeniu, może z własnej inicjatywy i dobrowolnie poinformować organizatora o zaszczepieniu” - napisał w odpowiedzi na pytania DGP Adam Sanocki, rzecznik prasowy UODO.
Niektórzy prawnicy mówią wprost, że uzależnianie wejścia od okazania certyfikatu wyklucza dobrowolność zgody.
- Trzeba pamiętać, że art. 7 ust. 4 RODO wprowadza zakaz uzależniania świadczenia lub wykonania umowy od udzielania przez podmiot danych zgody. W analizowanym wypadku brak zgody niesie negatywne konsekwencje dla osoby, której dane dotyczą - jest ona pozbawiona możliwości udziału w wydarzeniu lub wstępu do obiektu. W konsekwencji zgoda wyrażona w takich warunkach nie jest dobrowolna, co skutkuje jej nieważnością - przekonuje Adam Szkurłat, adwokat w kancelarii Lubasz i Wspólnicy.
Zaniechania władzy
Co do jednego wszyscy nasi rozmówcy są zgodni - winni temu zamieszaniu są rząd i ustawodawca.
- To sytuacja wyjątkowa, kiedy to decydent mający podejmować adekwatnie działania związane z zapobieganiem i przeciwdziałaniem rozwojowi epidemii pokazuje, że albo zupełnie nie ma kompetencji do ich legalnego wprowadzenia, albo - obawiając się reakcji odbiorców - świadomie rezygnuje z ich wprowadzenia do porządku prawnego. Jednocześnie jednak twierdzi, że obowiązek taki uchwalił, wprowadzając w błąd opinię publiczną i przerzucając ciężar odpowiedzialności wynikającej z zamieszania i niezadowolenia na przedsiębiorców. Może PR-owo jest to sprytne, ale wyjątkowo nieetyczne z perspektywy interesu publicznego, który władza ma chronić - ocenia prof. Robert Suwaj.
Tak naprawdę wystarczyłoby dodać jedno zdanie do którejś z licznych ustaw covidowych, które zezwalałoby na sprawdzanie certyfikatów. Przedsiębiorcy mieliby wówczas podstawę prawną rangi ustawowej i nie musieliby prosić klientów o żadne zgody.
- Pomimo niemal dwóch lat obowiązywania stanu epidemicznego ani ustawodawca, ani prezes UODO nie podjęli żadnych działań, które pozwoliłyby na usunięcie przeszkód związanych z przetwarzaniem danych dotyczących stanu zdrowia w kontekście przeciwdziałania COVID-19 lub które sankcjonowałyby weryfikację dokumentów potwierdzających szczepienie - ubolewa Adam Szkurłat, adwokat w kancelarii Lubasz i Wspólnicy.
Według niego remedium na tę sytuację byłoby uchwalenie przepisów określających dopuszczalność i zasady kontroli certyfikatów covidowych czy też generalna regulacja przetwarzania danych związanych z zapobieganiem rozprzestrzenianiu się koronawirusa.
- Również aktywne działanie organu nadzorczego i opublikowanie bardziej szczegółowych, praktycznych wytycznych dotyczących paszportów covidowych byłoby pomocne dla administratorów - dodaje Adam Szkurłat.
Nowe limity w obiektach i na imprezach / Dziennik Gazeta Prawna - wydanie cyfrowe