Stanowisko UODO dotyczy sytuacji, w których przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii przewidują wyłączenia zaszczepionych z limitu osób na imprezach. Zdaniem urzędu, wspomniane regulacje "nie uprawniają podmiotów zobowiązanych do przestrzegania określonego tymi przepisami limitu osób do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19". Dlaczego?
Zgoda tylko dobrowolna
Jak wyjaśnia UODO informacje o zaszczepieniu są danymi dotyczącymi zdrowia, przez co stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO, czyli w unijnym rozporządzeniu o ochronie danych osobowych. Przetwarzanie danych dotyczących zdrowia jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w unijnym rozporządzeniu.
Do przesłanek takich należy sytuacja, w której przetwarzanie danych dotyczących zdrowia jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej.
Wydawać by się mogło, że weryfikacja certyfikatów szczepień jest związana z interesem publicznym w dziedzinie zdrowia publicznego. Zdaniem urzędu problem jednak w tym, że przepisy rozporządzenia "covidowego" nie regulują możliwości żądania udostępnienia informacji na temat szczepienia od uczestników wydarzeń objętych limitami.
W rozporządzeniu brakuje też szczegółów dotyczących tego, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Dlatego - w ocenie UODO - nie można uznać rozporządzenia za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania takich danych przez uczestników, a osoba, której dane dotyczą, nie ma obowiązku ich podania.
"W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione" - podkreśla UODO i wskazuje warunki pozyskania legalnej zgody. Musi być ona dobrowolna, świadoma, konkretna - wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie. Urząd przypomina też, by nie ingerować nadmiernie w prywatność osoby - np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli o szczepieniu. Brakuje bowiem przesłanek do dalszego przechowywania danych o zaszczepieniu po zweryfikowaniu informacji.
Okazanie danych to ich przetwarzanie?
- Dla mnie argumentacja UODO, że okazywanie dowodów potwierdzających fakt zaszczepienia może odbywać się tylko na podstawie zgody danej osoby, jest zgoła wadliwa. Uważam, że jest wadliwa, ponieważ sam urząd wskazuje, że zgoda ta musi być wyraźna i dobrowolna. Jeżeli zgoda musi być wyraźna, to jeżeli ktoś przychodzi na imprezę i okazuje rzekomo z własnej inicjatywy poświadczenie, że został zaszczepiony i ma to tylko okazać, to ta zgoda nie jest wyraźna. Jak później przedsiębiorca ma udowodnić, że dana zgoda została udzielona? - zastanawia się mec. Renata Bugiel z Kancelarii GKR Legal.
Sytuacja wygląda podobnie w przypadku wymogu dobrowolności okazania dowodu szczepienia. - Dobrowolność oznacza, że ja mogę pokazać dowód, albo go nie pokazać. Ale ja przychodzę na imprezę i chciałabym na nią wejść, a jak nie pokażę dowodu szczepienia, to mnie nie wpuszczą. Dla mnie to nie jest wybór - ocenia prawniczka. Jak uzupełnia, warunki zgody, na które powołuje się UODO, są trudne do spełnienia w tych okolicznościach.
- Zgadzam się ze stanowiskiem UODO w tym zakresie, że nie powinniśmy przetwarzać danych w sposób nadmiarowy, czyli nie powinniśmy robić list osób zaszczepionych albo niezaszczepionych, czy kopiować dokumentów, ale z drugiej strony, jeżeli uczestnicy wydarzeń jedynie okazują dowody szczepienia i nikt tego nie rejestruje, to pojawia się pytanie, czy w ogóle mamy do czynienia z przetwarzaniem danych - wskazuje mec. Bugiel. I przytacza przypadek sporu o mierzenie temperatury, gdzie ostatecznie uznano, że jeżeli wyniki pomiaru nie są nigdzie zapisywane, to nie mamy do czynienia z przetwarzaniem danych.
Problem dla przedsiębiorców
- Zgodnie z RODO w przepisach dotyczących limitów na imprezach powinno pojawić się doprecyzowanie, w jakim zakresie dane miałyby być przetwarzane. Na przykład można byłoby zawrzeć w przepisach stwierdzenie, że dane mogą być przetwarzane tylko w zakresie niezbędnym do ustalenia limitów - wskazuje mec. Renata Bugiel.
Jak dodaje, przedsiębiorcy zostają z problemem sami i muszą decydować o tym, czy ryzykują nałożenie kar za brak weryfikacji tego, kto jest zaszczepiony, a kto nie, czy decydują się na ryzyko naruszenia przepisów RODO, za co grożą niebagatelne kary. Już teraz klienci zwracają się do kancelarii prawnych z prośbą o wyważenie tych ryzyk i z pytaniem: "co robić?".
A pytanie to wydaje się zasadne. Prof. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN i Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy zwraca uwagę, że powołując się na stanowisko UODO, osoba, od której zebrano dane o szczepieniu, może wystąpić o roszczenie odszkodowawcze określone w art. 82 RODO, który dotyczy naruszenia przepisów o ochronie danych osobowych. Może też zwrócić się do prezesa UODO, żeby zakazał przetwarzania danych i nałożył karę pieniężną na organizatora wydarzenia, który zebrał informacje o szczepieniu.
"Nikt się tym nie zajął"
- Stanowisko UODO jest kolejnym sygnałem w czasie epidemii, że w naszym kraju brakuje porządnych przepisów krajowych, które pozwalałyby na przetwarzanie danych o stanie zdrowia dla potrzeb przeciwdziałania zagrożeniom epidemicznym różnych podmiotów, np. pracodawców czy organizatorów wydarzeń - ocenia prof. Grzegorz Sibiga.
Jak dodaje, nie doczekaliśmy się takich przepisów, mimo że problem istnieje już od roku, od chwili gdy rozpoczęto mierzenie temperatury. - Moim zdaniem nie jest to wina przepisów RODO, ale przepisów krajowych. Brakuje w pełni odpowiedzialnego podejścia rządu, który nie stworzył projektu takich przepisów od początku obowiązywania stanu epidemii, a wręcz w przypadku niektórych propozycji, np. projektu senackiego dotyczącego mierzenia temperatury, nie podejmował inicjatywy - wskazuje prof. Sibiga.
Jak wyjaśnia prawnik, RODO kwalifikuje nawet najbardziej ogólną informację o świadczeniu medycznym jako daną wrażliwą, szczególnie chronioną. Pozwala na przetwarzania tych danych w sytuacji chociażby zagrożenia epidemicznego, ale musi się to odbywać na podstawie i zgodnie z przepisami prawa krajowego.
- Czyli RODO mówi: tak, to jest pewien dopuszczalny i jak najbardziej uzasadniony kierunek, ale ponieważ są to dane szczególnie chronione, musi się to odbywać w sposób gwarantujący prawa i wolności osób, których dane dotyczą, bo jest to ingerencja w prywatność. Takie kwestie powinny być uregulowane na poziomie ustawowym. Trzeba uregulować kto, w jakim zakresie, w jakich sytuacjach może przetwarzać dane zdrowotne, jakie prawa mają osoby, które przekazują takie dane. Od początku epidemii nikt się tym nie zajął - podsumowuje prof. Sibiga.
Dominika Pietrzyk
