W związku z zaostrzeniem od 15 grudnia limitów dla osób niezaszczepionych mogących korzystać z usług hoteli i braku jasnych wytycznych dotyczących możliwości weryfikacji przez przedsiębiorców certyfikatów covidowych, "Hotelarz" zwrócił się do Urzędu Ochrony Danych Osobowych z pytaniami dotyczącymi technicznych aspektów okazywania i dalszego przetwarzania danych zaszczepionych gości. Po niemal miesiącu otrzymaliśmy odpowiedź. Wynika z niej, że okazywanie certyfikatów jest dobrowolne, przedsiębiorcy mają zaś możliwość przetwarzania danych zaszczepionych klientów w czasie realizacji usługi, nie mają zaś możliwości utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania.
Przed miesiącem, przy okazji ogłaszania przez ministra zdrowia Adama Niedzielskiego dalszych restrykcji dotyczących możliwości świadczenia usług dla niezaszczepionych gości, Główny Inspektor Sanitarny informował, że "dane osobowe, w tym potwierdzenie faktu zaszczepienia - przekazywane przez klientów wyłącznie dobrowolnie - mogą być przetwarzane w celu realizacji usługi tak, aby zapewnić zgodność działania podmiotu z obowiązującymi przepisami. Przekazane przez klienta dobrowolnie dane mogą być przetwarzane do czasu zakończenia realizacji usługi". Ponieważ stanowisko to stało w części w sprzeczności z wcześniejszym stanowiskiem UODO, które twierdziło, że jakiekolwiek przechowywanie danych klientów jest niezgodne z prawem, zwróciliśmy się do tego urzędu z prośbą o ponowną interpretację przepisu (TUTAJ wcześniejsze stanowisko UODO).
Po niemal miesiącu otrzymaliśmy odpowiedź od rzecznika prasowego UODO Adama Sanockiego. Jak czytamy " udostepnienie informacji o zaszczepieniu może się odbywać z inicjatywy samej osoby zaszczepionej, która jest zainteresowana skorzystaniem z danej usługi. Zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie". Co istotne, jak wskazuje rzecznik "przepis rozporządzenia nie nakłada obowiązku udostępniania danych o stanie zdrowia na osoby przebywające w pomieszczeniach i uczestniczące w zgromadzeniach".
Okazywanie i przetwarzanie certyfikatów covidowych. Co wolno przedsiębiorcy?
Rzecznik w przesłanym do naszej redakcji stanowisku podkreśla, że "konstrukcja przepisu nie generuje również uprawnień przedsiębiorców do pozyskiwania i dalszego przetwarzania pozyskanych dobrowolnie danych od osoby (która chce przebywać w danym miejscu niezależnie od limitu osób wskazanego w przepisach), w inny sposób i w innej formie niż wskazana w jego treści (okazanie, a nie utrwalanie w postaci kopii dokumentów, czy sporządzanych list)".
Oznacza to, że po wykorzystaniu w danym miejscu limitu dla osób niezaszczepionych, klient "może z własnej inicjatywy wyrazić zgodę na przetwarzanie danych o jej stanie zdrowia i okazać odpowiednie zaświadczenie". Jeśli dana osoba nie przedstawi wymaganych dokumentów będzie wliczana w limit osób niezaszczepionych.
Rzecznik informuje także, że "UODO podtrzymuje swoje dotychczasowe stanowisko, zgodnie z którym nawet jak dana osoba okaże z własnej inicjatywy zaświadczenie o odbytym szczepieniu w celu weryfikacji, to nie oznacza to, że administrator danych jest uprawniony do utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania".
Pełna treść odpowiedzi poniżej:
(...) w odpowiedzi na Pana e-mail informuję, że udostepnienie informacji o zaszczepieniu może się odbywać z inicjatywy samej osoby zaszczepionej, która jest zainteresowana skorzystaniem z danej usługi. Zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.
Podstawę prawną do ww. działań stanowi obecnie § 26a rozporządzenia z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii. Przedmiotowy przepis rozporządzenia nie nakłada obowiązku udostępniania danych o stanie zdrowia na osoby przebywające w pomieszczeniach i uczestniczące w zgromadzeniach.
Wskazany przepis nie pozbawia zatem osoby, której dane dotyczą prawa do podjęcia dobrowolnej decyzji co do ujawnienia danych o jej stanie zdrowia i doprecyzowuje jedynie sposób weryfikacji tych danych mianowicie wskazuje jakie dokumenty będą okazane dla potwierdzenia podawanych dobrowolnie danych (cyfrowe zaświadczenie COVID lub zaświadczenie o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19).
Rozwiązanie to ma wpływ na kształtowanie zasad bezpieczeństwa sanitarnego w określonym środowisku przebywania tych osób i w sposób przejrzysty określa typy dokumentów potwierdzające uprawnienia tych osób do przebywania w tych miejscach poza ustalonymi limitami.
Należy podkreślić, że konstrukcja przepisu nie generuje również uprawnień przedsiębiorców do pozyskiwania i dalszego przetwarzania pozyskanych dobrowolnie danych od osoby (która chce przebywać w danym miejscu niezależnie od limitu osób wskazanego w przepisach), w inny sposób i w innej formie niż wskazana w jego treści (okazanie, a nie utrwalanie w postaci kopii dokumentów, czy sporządzanych list). Wskazany przepis nie daje również podstaw do przetwarzania danych na czas dłuższy niż jest niezbędne dla realizacji określonego celu (usługi).
Oznacza to, że w dalszym ciągu to osoba, której dane dotyczą, po uzyskaniu informacji o tym, iż np. w danym lokalu został wykorzystany prawnie określony limit osób niezaszczepionych, może z własnej inicjatywy wyrazić zgodę na przetwarzanie danych o jej stanie zdrowia i okazać odpowiednie zaświadczenie. Administrator zaś pozyskując dane od tej osoby powinien spełnić obowiązek określony w art. 13 RODO. W przypadku wyrażenie zgody na udostepnienie takich danych, w oparciu o obowiązujące przepisy prawa przedsiębiorca będzie miał podstawę do zweryfikowania okoliczności zaszczepienia dla wykonania nałożonych na niego obowiązków związanych z zapewnieniem bezpieczeństwa epidemiologicznego w oparciu o określone dokumenty, co wynika z § 26a rozporządzenia z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.
Możne jednak dojść do sytuacji, w której osoba pomimo zaszczepienia, nie będzie chciała o tym fakcie poinformować organizatora danego wydarzenia i przedstawić odpowiedniego zaświadczenia. Wówczas będzie wliczana w limit osób mogących uczestniczyć w różnych wydarzeniach.
Zatem jeżeli dana osoba chce skorzystać z korzyści jakie niesie za sobą fakt zaszczepienia, czyli niewliczania do limitu osób mogących uczestniczyć w wydarzeniu, wówczas może z własnej inicjatywy i dobrowolnie poinformować organizatora o zaszczepieniu.
Jednocześnie informuję, że UODO podtrzymuje swoje dotychczasowe stanowisko, zgodnie z którym nawet jak dana osoba okaże z własnej inicjatywy zaświadczenie o odbytym szczepieniu w celu weryfikacji, to nie oznacza to, że administrator danych jest uprawniony do utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania.
Warto zwrócić też uwagę na przepisy ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej, które wskazują, że w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej, o których mowa w przepisach o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, Główny Inspektor Sanitarny lub działający z jego upoważnienia inny organ Państwowej Inspekcji Sanitarnej może wydawać osobom prawnym, osobom fizycznym i jednostkom organizacyjnym nieposiadającym osobowości prawnej, w szczególności podmiotom wykonującym działalność leczniczą czy pracodawcom zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań.
Z punktu widzenia UODO istotne jest, by administratorzy dysponowali podstawą do przewarzania danych osobowych. A zgodnie z przywołaną wyżej ustawą decyzja GIS wydana na podstawie tych regulacji może być taką podstawą.
Pozdrawiam Adam Sanocki
Rzecznik Prasowy
Z wiedzy ogólnej o chorobach. Od kiedy osoba zaszczepiona nie roznosi wirusów i bakterii? Oczywiście może zachorować i zarażać innych. Tylko i wyłącznie sama przejdzie chorobę lżej niż nie zaszczepiony. Także, skąd te absurdy i totalna głupota na podział na „lepszych” i „gorszych”. Przypomina to polowanie na czarownicę. Komu zależy na wrogosci wobec siebie? Czyżby maksyma „DZIEL I RZADŻ”?