Głównym tematem w pierwszej połowie 2021 roku stały się bez wątpienia masowe szczepienia przeciwko COVID-19 oraz spowodowane nimi stopniowe wygasanie epidemii w Polsce. Akcja szczepień pozwoliła na systematyczne odmrażanie życia społecznego i gospodarczego, co nie oznacza jednak nadejścia stanu pełnej beztroski. Zgodnie z opiniami ekspertów, wirus zostanie z nami na stałe. Dlatego niezwykle istotnym zadaniem służb publicznych jest zagwarantowanie ograniczenia kolejnych fal epidemii.
Aby pogodzić poepidemiczne pragnienie wolności z poczuciem społecznej odpowiedzialności, rząd zdecydował się wprowadzić do covidowego rozporządzenia [i] następujące zasady:
Wprowadzone przez rząd reguły wydają się słuszne. Dążą one do minimalizacji limitów z jednoczesnym zachowaniem granic rozsądku, niejako przy okazji promując ideę szczepień.
Sposób ustalania limitów spotkał się z krytyką środowiska antyszczepionkowego, które podniosło zarzuty dyskryminacji i segregacji obywateli. Argumenty antyszczepionkowców okazały się na tyle ciekawym medialnie tematem, że w publicznej dyskusji zdominowały inną kwestię:
Czy i w jaki sposób weryfikować osoby zaszczepione, aby nie przekraczać dozwolonych przez rząd limitów?
Źródłem tego pytania jest oczywiście RODO, które wymaga, aby przetwarzanie oparte było na podstawie prawnej. Niestety, rozporządzenie covidowe samo w sobie jest wątpliwą podstawą do przetwarzania danych. Z rozporządzenia wynika, że usługodawca lub organizator wydarzenia powinien zapewnić, aby nie przekroczono limitów. Nie wskazuje ono jednak, że można na te potrzeby przetwarzać dane osobowe, a tym bardziej nie wskazuje ich dopuszczalnego katalogu.
Przepis prawa może stanowić podstawę do przetwarzania danych osobowych, jeżeli zawiera w sobie wyraźne upoważnienie w tym zakresie lub jeżeli można bezsprzecznie uznać, że przetwarzanie danych jest niezbędne do wykonania danego prawnego obowiązku. Nie są dopuszczalne rozszerzające interpretacje na tym polu, gdyż godziłoby to w zasadę minimalizacji przetwarzania danych osobowych. Innymi słowy, jeżeli przepis nie posiada wyraźnych zapisów z zakresu RODO, to możemy przetwarzać dane na jego podstawie jedynie, gdy mamy do czynienia z konkretnym, niepodlegającym interpretacji obowiązkiem, którego wypełnienie nie jest możliwe w inny sposób niż przez przetwarzanie danych osobowych.
Powyższe zasady są problematyczne, gdy skonfrontujemy je z rzeczywistością. Covidowy limit osób możemy w praktyce kontrolować, zbierając oświadczenia gości lub przez żądanie przedstawienia przez nich certyfikatu covidowego. Można sobie wyobrazić, że procedury te są przeprowadzane w sposób anonimowy. Jednakże w takim przypadku organizatorowi/usługodawcy niezwykle ciężko będzie wykazać w razie kontroli, że limity są przestrzegane. Nie można też nie wspomnieć, że anonimowe procedury ułatwiają również nadużycia – np. możliwość okazania cudzego certyfikatu covidowego. Ostatecznie jednak ciężko uznać, że przetwarzanie danych jest bezwzględnie niezbędne do zapewnienia przestrzegania limitu osób – organizator może przecież próbować weryfikacji anonimowej albo po prostu nie wpuszczać gości powyżej limitu, przyjmując założenie, że wszyscy chętni są niezaszczepieni. Z tego powodu niestety trudno obronić tezę, że rozporządzenie covidowe stanowi podstawę do żądania od gości/klientów danych osobowych w celu zweryfikowania, czy są zaszczepieni i powinni nie być wliczani do ustalonych limitów.
W wyniku licznych pytań przedsiębiorców, w dniu 23 czerwca 2021 r. swoje stanowisko dotyczące danych i limitów przedstawił Urząd Ochrony Danych Osobowych (UODO). Urząd słusznie zauważył, że weryfikacja faktu zaszczepienia oznacza przetwarzanie danych o zdrowiu. Dane te podlegają szczególnej ochronie. Jeżeli ich przetwarzanie jest niezbędne w interesie publicznym w dziedzinie zdrowia publicznego (z czym mamy do czynienia w obecnej sytuacji), przepis prawa upoważniający do ich przetwarzania powinien przewidywać „odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”. UODO słusznie zatem skonkludował, że rozporządzenie covidowe nie posiada niezbędnych regulacji, aby być podstawą do weryfikacji zaszczepienia gości – w tym nie określa kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona, ani nie wskazuje konkretnych środków ochrony danych osobowych, czego w tym przypadku dodatkowo wymaga RODO.
O ile diagnozie Urzędu nie można odmówić słuszności, to jego zalecenia należy uznać co najmniej za zaskakujące. Skoro bowiem UODO dostrzega braki w obowiązujących przepisach, to powinien zainicjować ich zmianę. Nic bardziej mylnego. Zamiast tego UODO proponuje, aby przedsiębiorcy prosili gości o zgodę na przetwarzanie danych, co nie wydaje się rozwiązaniem trafionym. Przepisy RODO wymagają bowiem, aby zgoda była dobrowolna, a jej udzielenie nie powinno uzależniać wykonania umowy. Ciężko uznać, aby te warunki były spełnione, a goście/klienci udzielali takich zgód w hotelu, czy w kinie w warunkach zupełnej dobrowolności. Dodatkowo nie możemy zapominać, że dane w tej sytuacji nie mają być przetwarzane, gdyż życzy sobie tego przedsiębiorca lub osoba, której dane dotyczą. Powodem przetwarzania jest w tym przypadku obowiązek wynikający z przepisów prawa, o czym UODO wydaje się zapominać, sugerując pozyskiwanie „dobrowolnych” zgód.
Dalsze wywody UODO wydają się jeszcze bardziej zdumiewające. Urząd wskazuje, że przedsiębiorca może weryfikować tożsamość gości w celu dotrzymania limitów, jednak nie może utrwalać żadnych dokumentów ani oświadczeń woli, gdyż uderzałoby to w prywatność klientów. Takie podejście powoduje olbrzymie problemy po stronie przedsiębiorcy w razie kontroli przestrzegania limitów. Dodatkowo podstawową właściwością zgody z RODO jest fakt, że to osoba, której dane dotyczą, powinna decydować o jej zakresie i ewentualnym jej odwołaniu. Zamiast tego zaproponowano konstrukcję zgody, która jest dobrowolna, … ale tylko w zakresie, w jakim Urząd na to pozwala.
Przed przedsiębiorcami postawiono kolejny twardy orzech do zgryzienia. Władza, zamiast wprowadzić jasny i rozsądny przepis, wydaje się jedynie zwiększać niejasności. Skoro jednak na zmianę przepisów nie ma na co liczyć, firmy muszą pogodzić się z zaproponowanym przez UODO „zapasowym” (i bez wątpienia kulawym) pomysłem na zbieranie zgód od gości.
Kością niezgody zostanie zapewne ewentualne utrwalanie oświadczeń i dokumentów związanych z zaszczepieniem. Nie można bowiem zapominać, że część usług i biletów jest nabywana lub rezerwowana online. W takich sytuacjach organizator musi przez pewien czas przechowywać deklaracje o zaszczepieniu, aby dopilnować, że nie zostanie sprzedanych więcej biletów lub dokonanych więcej rezerwacji, niż jest to możliwe w świetle limitów. Wydaje się, że takiej konieczności UODO po prostu nie przewidział.
Wymienione powyżej dylematy i niuanse prawne są dość skomplikowanie. Jak więc temat limitów i danych opanować w praktyce?
Wariant 1
Jeżeli weryfikacja gości dokonywana jest bezpośrednio „przed wejściem” (do lokalu, na wydarzenie):
Wariant 2
Jeżeli weryfikacja gości dokonywana jest przed wydarzeniem (np. zakup biletów online, rezerwacje online):
Powyższe sugestie są bez wątpienia dyskusyjne. Dopuszczają bowiem w pewnym zakresie przechowywanie oświadczeń, czego nie przewiduje UODO w wydanej opinii. Należy jednak je uznać za najbardziej rozsądny kompromis i minimum umożliwiające kontrolę limitów z jednoczesnym zachowaniem zasady minimalizacji przetwarzania danych osobowych i zasady dobrowolności zgody na przetwarzanie danych osobowych. Należy także pamiętać, że z uwagi na niejasną sytuację prawną procedura weryfikacji limitów może być inna ze względu na specyfikę realizowanej usługi lub organizowanego wydarzenia.
Przeprowadzona w niniejszym artykule analiza i wskazane sugestie z pewnością nie niwelują bólu głowy przedsiębiorców objętych limitami. Przez braki z przepisach nawet UODO ma problemy ze spójną oceną sytuacji, a wynikające z tego ryzyko leży po stronie organizatora czy usługodawcy. Pozostaje jedynie liczyć, że organy administracji staną na wysokości zadania i uzupełnią luki prawne możliwe szybko.
Bez wątpienia najprostszym i bardzo korzystnym dla przedsiębiorców krokiem byłoby formalne potwierdzenie, że w celu weryfikacji limitów mogą oni korzystać z aplikacji mobilnych używanych do weryfikacji osób zaszczepionych przez organy administracji i służby mundurowe oraz że stosowanie takiej aplikacji jest rozwiązaniem wystarczającym na potrzeby ewentualnych kontroli. Z kolei rozwiązaniem najbardziej optymalnym byłoby stworzenie dedykowanej aplikacji dla przedsiębiorców, przechowującej odpowiednie statystyki oraz zawierającej przemyślane rozwiązania i regulacje dotyczące prywatności. Pozostaje mieć nadzieję, że po stronie rządzących pojawi się wola i moc sprawcza, aby choć w taki sposób wesprzeć przedsiębiorców z branż najmocniej dotkniętych pandemią.
[i] (Rozporządzenie Rady Ministrów z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii – wraz z jego nowelizacjami)
Autor: Bartosz Mysiak – radca prawny. Specjalizuje się w zagadnieniach dotyczących prawa własności intelektualnej, prawa nowych technologii, prawa mediów i reklamy oraz ochrony danych osobowych. Posiada doświadczenie i ekspercką wiedzę w przedmiocie sporządzania i negocjowania złożonych kontraktów, sporządzania opinii prawnych, a także tworzenia regulaminów świadczenia usług oraz regulaminów akcji promocyjnych, w szczególności z uwzględnieniem prawa ochrony konsumentów.