Już w czerwcu na stronie Urzędu Ochrony Danych Osobowych pojawił się oficjalny komunikat mówiący, że przedsiębiorcy nie mają prawa żądać udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Nie pomoże tu żaden wewnętrzny regulamin przedsiębiorcy, którego stworzenie sugerowano w poniedziałek podczas konferencji Ministra Zdrowia.
Poniżej treść komunikatu UODO z dnia 23 czerwca 2021. Komunikat odnosi się do rozporządzenia z dnia 6 maja 2021 roku, czyli tego, które cały czas obowiązuje, i które jest systematycznie zmieniane. Najnowsza zmiana tego dokumentu wchodzi w życie właśnie od 1 grudnia 2021 roku.
Przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie uprawniają podmiotów zobowiązanych do przestrzegania określonego tymi przepisami limitu osób do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać z inicjatywy samej osoby zainteresowanej skorzystaniem z usług takiego podmiotu.
Ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu.
Przetwarzanie szczególnych kategorii danych jest więc dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).
Limit osób
W Polsce jednymi z przepisów regulujących kwestie postępowania w związku z przeciwdziałaniem rozprzestrzenianiu się koronawirusa jest rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.
Określa ono m.in. limity osób mogących uczestniczyć w różnych wydarzeniach. Zgodnie z jego § 26 ust. 16, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w § 9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.
Na jakich zasadach można uzyskać informacje o zaszczepieniu?
Przepisy wskazanego rozporządzenia nie regulują możliwości żądania od osób uczestniczących w takim wydarzeniu udostępnienia informacji na temat ich szczepienia. Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Nie przewidują też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.
Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.
W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione – spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a RODO. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w art. 4 pkt 11 i art. 7 RODO. Oznacza to, że zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.
Należy przy tym pamiętać również o tym, by nadmiarowo nie ingerować w prywatność osoby – np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli. Brak jest bowiem przesłanek także do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji.
Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać.
Z poszanowaniem zasad RODO
Warto przypomnieć, że przetwarzanie takich informacji powinno odbywać się z zachowaniem zasad określonych w art. 5 ust. 1 i ust. 2 RODO. Zatem dane muszą być:
– przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
– zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
– adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
– przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
– przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Źródło: https://uodo.gov.pl/pl/138/2088
