Choć tzw. ustawa Hoca daleka będzie od doskonałości, to wreszcie da przedsiębiorcom jakąkolwiek podstawę prawną do sprawdzania certyfikatów covidowych klientów. Nadal jednak wprost nie da uprawnień do przetwarzania zawartych w nich danych.

Minister zdrowia Adam Niedzielski na ubiegłotygodniowej konferencji nie wykluczył nowych obostrzeń, a nawet uzależnienia możliwości wchodzenia do galerii handlowych, kin czy siłowni od posiadania certyfikatów covidowych. Problem w tym, że sama możliwość sprawdzania certyfikatów budzi dziś duże wątpliwości prawne. Przewidziano ją bowiem, i to w dość ułomny sposób, w rozporządzeniu wykonawczym, a nie ustawie. Choć szef resortu zdrowia uważa, że jest to wystarczające do weryfikowania certyfikatów, to jednocześnie przyznaje, że ustawa Hoca da silniejsze umocowanie.
– Według naszego stanowiska może to być już teraz robione, ale, jak rozumiem, podstawa ustawowa powinna rozwiewać wszelakie wątpliwości i zachęcać wszystkich do stosowania tego instrumentu – mówił w ubiegłym tygodniu Adam Niedzielski.
Chodzi o poselski projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19, którego wysłuchanie publiczne odbyło się na początku stycznia. Oprócz przepisów dotyczących sprawdzania szczepień przez pracodawców wpisano również regulacje dotyczące ich kontroli przez przedsiębiorców: restauratorów, hotelarzy czy organizatorów wydarzeń kulturalnych.
Artykuł 5 projektu mówi, że ograniczeniom nie podlega działalność gospodarcza wykonywana na rzecz osoby posiadającej negatywny wynik testu, która przebyła infekcję lub jest szczepiona, a przedsiębiorca może żądać okazania wyników badań, zaświadczeń czy certyfikatu covidowego. Po raz pierwszy więc wprost przepis ustawowy przyznawałby prawo do sprawdzania tych certyfikatów.
Weryfikacja certyfikatów ma się odbywać z użyciem aplikacji Skaner Certyfikatów COVID. To zaś oznacza przetwarzanie danych osobowych, nawet jeśli nie będą (bo nie mogą być) przechowywane przez przedsiębiorcę. Proces jest zautomatyzowany, co oznacza spełnienie przesłanki przetwarzania danych. Do tego zaś niezbędna jest podstawa prawna. Niestety ustawa nie daje jej wprost, choć – co ciekawe – bezpośrednio mówi o przetwarzaniu wizerunku posiadacza certyfikatu.
Projekt mówi bowiem jedynie o możliwości żądania od klientów okazania certyfikatu, a to nie jest równoznaczne z przetwarzaniem jego danych. Aby sprawdzić, czy dokument jest wystawiony na okazującą go osobę, przepisy umożliwią sprawdzanie wizerunku twarzy i przy tej czynności rzeczywiście już wprost pojawia się zgoda na przetwarzanie.
– W idealnej formie, w którymś z projektowanych przepisów powinno pojawić się zdanie: „przedsiębiorca przetwarza dane osobowe zawarte w certyfikacie” lub podobne. Stanowiłoby to ustawową podstawę do przetwarzania danych i ucięłoby wszelkie dyskusje. Niestety taka podstawa w projekcie nigdzie się wprost nie pojawia, a można ją wyinterpretować jedynie w przypadku przetwarzania danych w relacji pracodawca–pracownik – mówi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Mimo tej ułomności można bronić interpretacji, że ustawa da jednak podstawę do przetwarzania danych z bazy certyfikatów. Zwalnia ona bowiem z ograniczeń covidowych przedsiębiorców, którzy wykonują swą działalność na rzecz osoby posiadającej negatywny wynik testu lub unijny certyfikat covidowy. Ergo – bez przetwarzania tych danych nie można świadczyć usług. Jest więc to konieczne do wykonania umowy, co wypełnia przesłankę z art. 6 ust. 1 lit. b RODO. Bez przetwarzania tych danych nie można zrealizować umowy. ©℗
Etap legislacyjny
Projekt ustawy przed II czytaniem w Sejmie