Informacje o zaszczepieniu są danymi dotyczącymi zdrowia, a zatem stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w tym przepisie - podkreśla UODO.
Limity kontra prywatność
Przetwarzanie szczególnych kategorii danych jest dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).
W Polsce jednymi z przepisów regulujących kwestie postępowania w związku z przeciwdziałaniem rozprzestrzenianiu się koronawirusa jest rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii. Określa ono m.in. limity osób mogących uczestniczyć w różnych wydarzeniach.
Zgodnie z jego § 26 ust. 16, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w § 9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.
Nie można wymuszać zgody
- Przepisy rozporządzenia nie regulują możliwości żądania od osób uczestniczących w takim wydarzeniu udostępnienia informacji na temat ich szczepienia. Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Nie przewidują też „konkretnych środków ochrony", o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO - zauważa UODO.
Dlatego w ocenie UODO, nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.
- W tej sytuacji, tylko wówczas, gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w RODO tj. zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie - wskazuje UODO.
Znacznie więcej o biznesie, finansach oraz prawie
Bez gromadzenia dowodów
Jak zaznacza, należy przy tym pamiętać również o tym, by nadmiarowo nie ingerować w prywatność osoby - np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli. Brak jest bowiem przesłanek do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji.
Osoba, która zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, musi zatem mieć gwarancję, że organizator imprezy się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać, np. w formie skanu certyfikatu.
