Baza wiedzy

Kategorie:
IT I DANE OSOBOWE | PRAWO PRACY

Certyfikaty COVIDowe a RODO – co wolno przedsiębiorcy?

Czy weryfikacja statusu osoby niezaszczepionej może stanowić naruszenie RODO? Co powinni zrobić przedsiębiorcy, których obowiązują limity osób, do których mogliby nie wliczać osób zaszczepionych?

Rada Ministrów w dniu 14 grudnia 2021 opublikowała rozporządzenie zmieniające dotychczasowe ograniczenia, nakazy i zakazy w związku z epidemią COVID-19. Oprócz przedłużenia obowiązujących regulacji do dnia 31 stycznia 2022 r., pomniejszono limity gości w hotelach, restauracjach, kinach, teatrach itp. z 50% dostępnych miejsc do 30%. Największe kontrowersje wzbudziły przepisy pozwalające na nieuwzględnienie przy obliczaniu osób zaszczepionych. Nie ma problemu jeśli chodzi o osoby mieszące się w wyznaczonych limitach. Gdy jednak liczba gości w restauracji, kinie itp. osiągnie wyznaczony limit kolejne osoby mogą być wpuszczone dopiero po okazaniu certyfikatu szczepienia.

Powrócił problem tego, w jaki sposób weryfikować czy dana osoba jest zaszczepiona oraz czy przedsiębiorcom w ogóle wolno to robić z perspektywy regulacji o ochronie danych osobowych.

Okazanie certyfikatu szczepienia – co na to RODO?

Pierwsze wątpliwości budzi już sama kwestia tego, czy weryfikacja faktu bycia zaszczepionym, np. poprzez samo okazanie certyfikatu (paszportu COVID), stanowi „przetwarzanie” w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO). 

Art. 4 ust. 2 RODO mówi, że przetwarzanie to operacje na danych osobowych, takie jak, m.in. ich przeglądanie. Nie wydaje się więc, żeby te wątpliwości były uzasadnione i należy stwierdzić, że weryfikowanie statusu osoby zaszczepionej nawet przez samo okazanie certyfikatu COVIDowego, stanowi przetwarzanie danych osobowych. Co więcej, należy ona do kategorii danych szczególnych (wcześniej zwanych wrażliwymi) ponieważ informacja o szczepieniu dotyczy zdrowia. 

Trzy podstawy prawne upoważniające do przetwarzania danych a certyfikaty COVID

Żeby przetwarzanie danych osobowych było zgodne z prawem musi zaistnieć jednak ze wskazanych w RODO podstaw prawnych upoważniających do przetwarzania danych. W kontekście weryfikacji szczepienia najczęściej wskazuje się art. 9 ust. 2 pkt. a, c oraz g RODO. 

Zgoda na przetwarzanie danych 

Pierwsza ze wskazanych podstaw (art. 9 ust. 2 pkt a RODO) wymaga pobrania zgody od zainteresowanej osoby. Musi ona mieć formę wyraźnego oświadczenia, a na dodatek administrator danych, czyli podmiot dokonujący weryfikacji statusu osoby zaszczepionej, musi zapewnić sobie możliwość wykazania, że taka zgoda została udzielona. To znaczy, że nie może ona być np. domniemywana. 

Nie znaczy to, że taka zgoda musiałaby być pisemna, ale wymóg utrwalenia faktu jej udzielenia w praktyce oznacza, że stosowanie tej podstawy prawnej byłoby bardzo utrudnione – przedsiębiorca przed weryfikacją statusu osoby zaszczepionej musiałby takiej osoby wręczać formularz zgody do podpisania lub nagrywać fakt udzielenia jej ustnie.

Stosowana mogłaby być natomiast w przypadku przedsięiorców, którzy wymagają wcześniejszej rejestracji na wydarzenie, na którym obowiązują ograniczenia co do liczby osób niezaszczepionych – wówczas w toku rejestracji on-line taka zgoda mogłaby być warunkiem do zaliczenia osoby do puli dla osób zaszczepionych. 

Ochrona żywotnych interesów osoby

Nie jest wymagane pozyskanie zgody na przetwarzanie danych osobowych, jeżeli zachodzi druga ze wskazanych wyżej podstaw do przetwarzania danych osobowych, tj. ich przetwarzanie jest niezbędne do ochrony żywotnych interesów danej osoby (Art. 9 ust. 2 lit. c RODO). Motyw 46 preambuły RODO wskazuje, że jest to podstawa po którą należy sięgać, jeżeli żadna pozostała nie może znaleźć zastosowania. 

Jako przykład żywotnego interesu wskazuje się m.in. monitorowanie epidemii i ich rozprzestrzenianie się. Powstaje zatem pytanie, czy weryfikacja paszportów covidowch ma na celu zapewnienie wolności gospodarczej, dostępu do kultury czy faktycznie ograniczenie pandemii koronawirusa? Obecnie należy uznać, że uzasadnianie weryfikacji statusu osoby zaszczepionej ochroną jej żywotnych interesów jest wysoce ryzykowne i może być w przyszłości kwestionowane.

Upoważnienie ustawowe

Nie trzeba pobierać zgody na przetwarzanie danych, ani powoływać się przetwarzanie czyichś danych w celu ochrony żywotnych interesów tej osoby, jeżeli przepis prawa wyraźnie zezwala danej kategorii podmiotów na przetwarzanie danych osobowych (art. 9 ust. 2 lit. g RODO). Jest to trzecia ze wskazanych wyżej podstaw prawnych. 

Problem w tym, że takiej wyraźnej podstawy prawnej, która zezwoliłaby na to przedsiębiorcom, brak. Przepisy rozporządzenia z dnia 6 maja 2021, w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (wielokrotnie następnie zmienianego) przewidują co prawda możliwość niewliczania do limitu osób przebywających w pomieszczeniach czy uczestniczących w wydarzeniach osób zaszczepionych jeśli okażą one certyfikat osoby zaszczepionej, ale przepis ten nie zawiera wyraźnego upoważnienia dla przedsiębiorców do tego, żeby przetwarzać dane o fakcie bycia zaszczepionym. Ponadto podnosi się, że takie upoważnienie powinno wynikać z treści aktu prawnego o randze ustawy i rozporządzenie jest tutaj niewystarczające.

Przed nowelizacją rozporządzenia z dnia 15 grudnia 2021, która w § 26a wprost mówi o niewliczaniu do limitu osób legitymujących się zaświadczeniem o szczepieniu, wątpliwości wyrażał Prezes Urzędu Ochrony Danych Osobowych, który uznał, że rozporządzenia nie można uznać (…) za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania […]. (komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 czerwca 2021). Wątpliwym wydaje się, by nowelizacja rozporządzenia cokolwiek zmieniła w powyższym zakresie.

Co w takim razie powinni zrobić przedsiębiorcy, których obowiązują limity osób, do których mogliby nie wliczać osób zaszczepionych? 

W praktyce przedsiębiorcy zakładają, że rozporządzenie jest wystarczającą podstawą prawną do weryfikowania statusu osoby zaszczepionej, zakładając, że skoro przyznano im uprawnienie do tego, by ponad ustanowione limity wpuszczali osoby zaszczepione, to wynika z tego upoważnienie do weryfikowania statusu osoby zaszczepionej wystarczające z punktu widzenia wymogów RODO. Jak na razie nie pojawiają się sygnały, by Urząd Ochrony Danych Osobowych kwestionowała praktykę weryfikowania przez przedsiębiorców certyfikatów COVIDowych. Należy jednak pamiętać, że na obecną chwilę jedyną bezpieczną podstawą do weryfikacji statusu osoby zaszczepionej jest pobranie od niej zgody i udokumentowanie faktu jej udzielenia. Traktowanie rozporządzenia jako wystarczającej podstawy prawnej może być w przyszłości kwestionowane, w konsekwencji czego na przedsiębiorców weryfikujących status osób zaszczepionych na tej podstawie mogą być nakładane kary.

Projekt ustawy, która zezwoli na weryfikację paszportu covidowego

Powyższe wątpliwości powinien rozwiać projekt ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19. Poselski projekt ma być w ciągu najbliższych dni skierowany na drugie czytanie w Sejmie.

Przewiduje on, że przedsiębiorcy świadczący usługi dla osób z paszportem covidowym nie podlegają ograniczeniom w prowadzeniu działalności gospodarczej nakładanymi w związku ze stanem epidemii. Art. 5 projektu ustawy daje wyraźną podstawę do przetwarzania wizerunku oraz weryfikację paszportu przy użyciu rządowej aplikacji mobilnej

W uzasadnieniu wskazuje się, że zakres danych pochodzących z paszportu dostępnych poprzez aplikację będzie ograniczony do minimum, w ramach tzw. „uproszczonych certyfikatów”. Projekt wywołuje jednak spore kontrowersje polityczne i nie jest jasne czy i kiedy uda się go uchwalić. 

Na marginesie sam fakt, że ustawodawca uznał za konieczne uchwalić przepis w randze ustawowej stanowiący podstawę prawną do weryfikowania certyfikatów COVIDowych, wskazuje, że istotnie dotychczasowe przepisy były niewystarczające.

Możliwy sposób weryfikacji paszportów covidowych

Rządowa aplikacja na telefon

Zgodnie z informacją podaną na rządowej stronie pacjent.gov.pl – Ministerstwo Zdrowia udostępnia aplikację na telefon „Skaner Certyfikatów COVID”, umożliwiającą weryfikacje certyfikatów szczepienia (data szczepienia, właściciel) poprzez zeskanowanie kodu QR. Aplikacja jest dostępna za darmo w Google Play oraz AppStore i obsługuje certyfikaty pochodzące z całej Unii Europejskiej. 

Aplikacja może zweryfikować następujące dane: 

  • imiona, 
  • pierwszą literę nazwiska, 
  • dzień i miesiąc urodzenia osoby, dla której wystawiono polski kod QR 
  • termin ważności kodu 

lub imion, nazwiska, daty urodzenia osoby, dla której wystawiono polski kod QR oraz unikalnego identyfikatora certyfikatu w przypadku Unijnego Certyfikatu Covid.

Zgodnie z pkt. IV ust. 4 Regulaminu aplikacji mobilnej „Skaner Certyfikatów COVID” Użytkownik zobowiązany jest do korzystania z Aplikacji, w sposób zgodny z obowiązującym prawem oraz z poszanowaniem dóbr osobistych osób trzecich (w tym prawa do prywatności) i wszelkich innych przysługującym im praw. Ponadto wskazuje się, że korzysta on z aplikacji na własną odpowiedzialność.

W Polityce Prywatności można przeczytać, że „W aplikacji „Skaner Certyfikatów COVID” nie są przetrzymywane żadne dane osobowe.” Umożliwia ona jedynie dokonanie odczytu. Wydawałoby się więc, że zakres i okres przetwarzania jest ograniczony więc do minimum potrzebnego do weryfikacji szczepienia, zgodnie z wymaganiami określonymi przez RODO.

Ten sam dokument określa, że „Osoba prezentująca do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych.” O ile, jak zostało wspomniane, brak formy pisemnej nie oznacza nieważności wyrażonej zgody, jednakże wątpliwości może budzić to, czy dana osoba będzie miała świadomość przetwarzania danych osobowych, skoro sama nie jest użytkownikiem aplikacji skanującej. 

Praktyka branżowa – czy przedsiębiorcy weryfikują paszporty covidowe? 

Wobec tego, że projekt ustawy jest obecnie gorąco dyskutowany, a zapisy samego rozporządzenia są nieprecyzyjne, nie wykształciła się do tej pory praktyka wśród przedsiębiorców. 

Zdecydowane działania podjęła IKEA poprzez weryfikację paszportów przy wejściu do sklepu i wpuszczanie bez limitu osób wylegitymowanych. Sieć uznała, że upoważnienie z rozporządzenia do wpuszczania osób legitymujących się certyfikatem szczepienia ponad wyznaczone limity jest wystarczającym upoważnieniem do przeglądania paszportów covidowych. IKEA przyjęła model, wg którego do momentu osiągnięcia limitu osób, mogących jednocześnie być w obiekcie, wpuszczane są wszystkie osoby po kolei. Z momentem osiągnięcia limitu kolejne osoby mogą dopiero wejść po tym, jak inna osoba opuści sklep lub po okazaniu certyfikatu szczepienia.

Natomiast jeszcze przed dodaniem ustępu o okazywaniu dokumentu, sieć kin Helios zorganizowała sprzedaż biletów z dopiskiem „zaszczepiona/y”, w celu dostosowania się do limitów widzów na Sali kinowej. Obecnie osoby kupujące bilety on-line mogą wybrać bilet z puli osób zaszczepionych i otrzymują informację, że zakup biletu oznacza wyrażenie zgody na jego okazanie przy wejściu na salę kinową. Informacja o przetwarzaniu danych dostępna na stronie sieci precyzuje, że istotnie za podstawę do przetwarzania danych zawartych na certyfikatach szczepień sieć uznaję zgodę udzielaną przez widzów. Podobny model działania przyjęły inne sieci kin.

Drukuj



© 2018 Kancelaria Lassota sp. j. Projekt graficzny: Łukasz Podolak  Wdrożenie: WP-Expert