Kiedy w europejskiej (a w tym polskiej) debacie publicznej przetaczają się dyskusje nad możliwością wprowadzenia obowiązkowych szczepień przeciw Covid-19 oraz ograniczeń wyłącznie wobec osób niezaszczepionych, a także nad potencjalną zgodnością tego typu rozwiązań z prawami i wolnościami obywatela, w polskim porządku prawnym problematyczne zdaje się okazywać zagadnienie znacznie bardziej elementarne – czy w ogóle w obrocie gospodarczym dopuszczalne jest przetwarzanie danych o odbyciu szczepienia przeciw Covid-19, nawet za zgodą osoby, której dane dotyczą?

Czytaj także:

Status szczepienia a limity organizowanych imprez - czy przedsiębiorcy mają prawo pytać o szczepienia

Tylko za zgodą

Obecnie obowiązujące rozporządzenie pandemiczne przewiduje, że do limitów osób mogących uczestniczyć w imprezach i spotkaniach nie wlicza się osób zaszczepionych przeciwko Covid-19 (§ 26 ust. 16 Rozporządzenia Rady Ministrów z 6 maja 2021 r.). Zdaniem prezesa Urzędu Ochrony Danych Osobowych taka regulacja nie uprawnia jednak przedsiębiorców związanych tymi limitami do żądania od klientów udzielenia informacji o zaszczepieniu przeciwko Covid-19. Przepisy te nie spełniają bowiem standardów, o których mowa w art. 9 ust. 2 lit. i RODO. Zgodnie z nim przetwarzanie danych dotyczących zdrowia z uwagi na interes publiczny jest możliwe wyłącznie na podstawie prawa UE lub prawa krajowego, które musi ustanawiać odpowiednie konkretne środki ochrony praw i wolności osób. Przywołane przepisy rozporządzenia nie określają zwłaszcza „kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko Covid-19", a przy tym nie przewidują „konkretnych środków ochrony", o których mowa w przywołanym przepisie RODO. Tym samym – zdaniem prezesa – przedsiębiorcy związani limitami nie mają prawa żądać podania danych o odbyciu szczepienia, a osoba, której dane dotyczą, nie ma obowiązku ich podać.

Prezes wskazuje, że w tej sytuacji przetwarzanie danych jest możliwe wyłącznie na podstawie zgody, a zgoda ta musi spełniać ogólne warunki jej pozyskania, tj. być „dobrowolna, świadoma, konkretna, wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie". Mimo takiego postawienia sprawy prezes wskazał jednocześnie, że przedsiębiorca nie ma prawa do utrwalania okazanych dokumentów (certyfikatów szczepień) czy zebranych oświadczeń woli (zgód), albowiem nie ma ku temu podstaw prawnych, a samo utrwalanie tych dokumentów „stanowiłoby (...) nadmierną ingerencję w prywatność osoby", „Zatem gdy osoba, której dane dotyczą" – konkludował PUODO – „zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać".

„Paragraf 22"

O ile pierwsza część stanowiska prezesa nie budzi większych wątpliwości (za sprawą uregulowania powyższych ograniczeń z naruszeniem art. 31 ust. 3 Konstytucji RP w rozporządzeniu, a nie w ustawie, a niezależnie z uwagi na ich fragmentaryczność, trudno uznać, aby w polskim prawie ustanowiona została podstawa prawna do żądania danych dotyczących zdrowia w rozumieniu art. 9 ust. 2 lit. i RODO), o tyle druga nie daje się obronić nawet na gruncie samego RODO. Nie trzeba bowiem być biegłym w tematyce ochrony danych osobowych, aby czuć, że pomiędzy stwierdzeniem, że zgoda ma być „dobrowolna, świadoma, konkretna, wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie" a stwierdzeniem, że administrator nie może utrwalić informacji o jej udzieleniu, zachodzi wyraźne napięcie. Administrator, który nie może utrwalić informacji o udzieleniu zgody, nie będzie w stanie wykazać, że zgoda została udzielona, a tym bardziej że miała cechy dobrowolności, świadomości, konkretności i jednoznaczności, nie wspominając już o umożliwieniu jej wycofania. Skoro zaś RODO wprost dopuszcza możliwość przetwarzania danych osobowych dotyczących zdrowia na podstawie zgody, a zgoda taka ma spełniać wymogi, o których mowa powyżej, to zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator danych osobowych nie tylko może, ale jest zobowiązany zarchiwizować fakt jej udzielenia, a dane takie nie będą miały charakteru danych nadmiarowych w rozumieniu RODO.

Stanowisko prezesa nie daje się zatem obronić nawet na gruncie samego RODO. Co więcej, administrator, który zachowa się w zgodzie z nim i zaniecha archiwizacji zgód i odnotowania okazania certyfikatu, naraża się też na pociągnięcie do odpowiedzialności administracyjnej przez sanepid. W przypadku kontroli nie będzie bowiem w stanie wykazać, że osoby, które wpuścił ponad limit dla niezaszczepionych, faktycznie są zaszczepione. W grę wchodzi nie tylko kara administracyjna w wysokości do 30 tys. zł, ale też utrata dofinansowania z tarczy PFR (por. § 16 Regulaminu tarczy PFR 2.0, zgodnie z którym naruszenie przez beneficjenta subwencji obostrzeń przeciwpandemicznych stanowi podstawę do natychmiastowego wypowiedzenia umowy o subwencji finansowej). Sytuacja polskiego przedsiębiorcy przypomina w tym sensie sytuację żołnierza z powieści Josepha Hallera „Paragraf 22". Tytułowy paragraf 22 był przepisem, który dawał żołnierzowi możliwość natychmiastowego zakończenia pełnienia służby na własną prośbę z powodu choroby psychicznej. Jednak ktoś, kto w trosce o uratowanie własnego życia wnosił o zwolnienie ze służby, udowadniał tym samym, że jest psychicznie zdrowy, a tym samym nie może prosić o zwolnienie z powodu choroby psychicznej.

Brak politycznej woli

Opisana nieudolność legislacyjna (której efekt został tylko wzmocniony przez osobliwe stanowisko prezesa UODO) nie tylko utrudnia prowadzenie działalności gospodarczej, ale przede wszystkim uniemożliwia skuteczną walkę z pandemią, która na całym świecie pochłonęła już ponad 4 mln żyć ludzkich. Wpisuje się to w szerszy trend w polskiej debacie publicznej na temat koronawirusa, gdzie prawo od początku służy jako pretekst uzasadniający brak efektywnej walki z pandemią. Przypomnieć można w tym względzie, że kiedy kolejne sądy administracyjne uznawały obostrzenia związane ze stanem pandemii za niekonstytucyjne z uwagi na ich ustanowienie w drodze rozporządzenia, a nie ustawy, z kręgów rządu można było słyszeć ironiczne komentarze, że „epidemia jest niezgodna z konstytucją". Miało to sugerować, że Konstytucja RP stanowi przeszkodę w efektywnej walce z epidemią. Takie postawienie sprawy nie było oczywiście uczciwe. Konstytucja nie wyłącza możliwości walki z epidemią, a jedynie w trosce o prawa i wolności obywatela ogranicza sposób, w jaki można to robić (ustawodawca mógł albo wprowadzić stosowne ograniczenia praw i wolności materią ustawową, albo – gdyby uznał to za niecelowe – zdecydować się na wprowadzenie jednego ze stanów nadzwyczajnych przewidzianych Konstytucją RP, co umożliwiłoby ograniczanie praw i wolności w drodze rozporządzenia). Podobnie RODO ogranicza sposób, w jaki można przetwarzać dane dotyczące zdrowia, ale tego nie wyklucza. Staje się to jasne, jeżeli przyjrzymy się innym państwom europejskim, które pomimo bycia związanymi tym samym aktem prawnym z zakresu ochrony danych osobowych i co najmniej równie wysokimi standardami ochrony praw jednostki, w poczuciu społecznej odpowiedzialności znajdują sposoby, aby zgodnie z prawem walczyć z pandemią. Zdaje się zatem, że w kontekście polskim to nie prawo, ale brak politycznej woli stanowi rzeczywistą przeszkodę w efektywnej walce z pandemią.

Wszelkie zaś wiarygodne dane, które do nas spływają, pokazują, że szczepienia są skutecznym środkiem zwalczania pandemii Covid-19 (nie mają stuprocentowej skuteczności, ale znacznie zmniejszają liczbę zachorowań, hospitalizacji i śmierci). Skoro zaś tak, to jako obywatele mamy prawo domagać się od władzy, aby ta zrezygnowała z działań pozornych i – nie bacząc na doraźne koszty polityczne swoich decyzji – wprowadziła narzędzia, które pozwolą na weryfikację odbycia szczepienia. Jak przestrzegał nas bowiem autor „Dżumy", nikt nie będzie wolny, jak długo będą istniały zarazy.

Autor jest doktorem nauk prawnych oraz radcą prawnym. Obecnie pozostaje związany z Centrum Edukacji Prawniczej i Teorii Społecznej Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego oraz Kancelarią Radców Prawnych Daćków i Chwastyk sp. p.