Choć zwolennicy dowolności szczepień przeciw Covid-19 przekonywali, że paszporty covidowe ujawniają dane wrażliwe dotyczące zdrowia i mogą naruszać rozporządzenie Parlamentu Europejskiego i Rady o ochronie danych osobowych (RODO), prawnicy i instytucje są zgodne: wymóg okazania świadectwa zaszczepienia nie narusza prawa.
Certyfikat lege artis
Jak poinformowało Ministerstwo Zdrowia, w ciągu tygodnia z Internetowego Konta Pacjenta (IKP) pobrano ponad milion unijnych certyfikatów covidowych. Uruchomienie systemu ogólnoeuropejskiego, w ramach którego certyfikaty będą honorowane na terenie całej Unii Europejskiej, zaplanowano na 1 lipca. Na razie system testowany jest pilotażowo przez siedem państw: Polskę, Niemcy, Danię, Czechy, Bułgarię, Grecję i Chorwację. Okazanie certyfikatu ma zwalniać podróżnych z ograniczeń takich jak kwarantanna czy obowiązek wykonywania testu, choć mogą one być wprowadzane w razie pogorszenia się sytuacji epidemicznej.
Część komentatorów zauważa, że informacja o szczepieniu jest daną wrażliwą i może naruszać RODO, szczególnie że okazania informacji o szczepieniu zaczęły wymagać od pracowników niektóre zakłady pracy. Prawnicy instytucji państwowych nie mają jednak wątpliwości: – Przepisy o ochronie danych osobowych nie mogą być stawiane jako przeszkoda w realizacji działań w związku z walką z koronawirusem. Europejska Rada Ochrony Danych Osobowych wskazała, że RODO jest obszernym aktem prawnym, zawierającym przepisy mające zastosowanie również do przetwarzania danych osobowych w kontekście takim jak ten dotyczący Covid-19. RODO pozwala organom ds. zdrowia publicznego i pracodawcom na przetwarzanie danych osobowych w kontekście epidemii, zgodnie z prawem krajowym i na określonych w nim warunkach. Na przykład, gdy przetwarzanie danych jest konieczne ze względu na istotny interes publiczny w dziedzinie zdrowia publicznego. W tych okolicznościach nie ma potrzeby polegania na zgodzie osób fizycznych – informuje rzecznik Urzędu Ochrony Danych Osobowych Adam Sanocki.
Z kolei Jakub Gołąb z biura rzecznika praw pacjenta dodaje, że choć RODO w art. 9 ust. 1 zabrania przetwarzania danych dotyczących m.in. stanu zdrowia, nie jest to jednak zasada bezwzględna. – Można je przetwarzać bez zgody danej osoby, gdy jest to niezbędne z punktu widzenia interesu publicznego w dziedzinie zdrowia publicznego, tj. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej – mówi.
Kolory, nie dane
Justyna Maletka z Ministerstwa Zdrowia zaznacza, że projekt rozporządzeń unijnych dot. Unijnego Certyfikatu Covid był konsultowany w zakresie przetwarzania danych osobowych z Europejskim Inspektorem Ochrony Danych Osobowych i Europejską Radą Ochrony Danych i „uzyskał w tym zakresie pozytywną opinię 31 marca 2021 r.”. Jak dodaje, weryfikacja certyfikatu oparta jest na minimalizacji prezentowanych danych, weryfikuje status danej osoby (kolor zielony – certyfikat ważny, kolor czerwony – certyfikat nieważny) i podstawowych danych pozwalających na potwierdzenie tożsamości (imię i nazwisko, data urodzenia, unikalny identyfikator dokumentu). Dane osobowe, w tym dane medyczne, nie są wymieniane w kontekście transgranicznym w tym procesie ani nie są widoczne w aplikacjach weryfikujących. A dane o zaszczepieniu nie są prezentowane osobie weryfikującej ani przetwarzane w ramach tej czynności – zapewnia Justyna Maletka.
