Zdaniem UODO zgodnie z unijnymi przepisami zawarte w certyfikatach covidowych dane przetwarza się w jednym celu – ułatwień przy przekraczaniu granic

Urząd Ochrony Danych Osobowych ma wątpliwości, czy unijne certyfikaty covidowe można wykorzystywać przy weryfikacji szczepienia klientów chcących wejść do restauracji, kina czy na koncert. Zwraca uwagę, że zgodnie z unijnymi przepisami zawarte w nich dane przetwarza się w jednym celu – ułatwień przy przekraczaniu granic.
Od połowy grudnia w związku z czwartą falą koronawirusa obowiązują zaostrzone limity na imprezach i w lokalach. Jednocześnie utrzymano zasadę, że osoby zaszczepione nie są do nich wliczane. Problem w tym, że wciąż brakuje jednoznacznej podstawy prawnej do ich sprawdzania. Premier co prawda wskazuje, że mogą ją stanowić wewnętrzne regulaminy przedsiębiorców, a Ministerstwo Zdrowia porównuje to z selekcją w dyskotekach, argumentując, że skoro ta jest zgodna z konstytucją, to podobnie jest z weryfikacją certyfikatów, ale prawnicy nie mają wątpliwości – podstawa prawna powinna wynikać z ustawy. Pojawiła się szansa, że w jakiś sposób zostanie to wreszcie uregulowane. W projekcie ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 oprócz przepisów dotyczących sprawdzania szczepień przez pracodawców wpisano również regulacje dotyczące ich kontroli przez restauratorów, hotelarzy czy organizatorów wydarzeń kulturalnych.
Artykuł 4 projektu mówi, że ograniczeniom nie podlega działalność gospodarcza wykonywana na rzecz osoby mającej negatywny wynik testu, przebyła infekcję lub jest szczepiona, a przedsiębiorca może żądać okazania wyników badań, zaświadczenia czy certyfikatu covidowego. Po raz pierwszy więc wprost przepis przyznawałby prawo do sprawdzania unijnych certyfikatów potwierdzających zaszczepienie.
UODO, którego poprosiliśmy o skomentowanie tej propozycji, ma jednak wątpliwości, czy byłoby to zgodne z RODO. Zwraca uwagę, że podstawą do przetwarzania danych zawartych w certyfikacie jest unijne rozporządzenie 2021/953 w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19.
– Dane te można przetwarzać jedynie w celach określonych wprost w art. 10 ust. 2 tego rozporządzenia, czyli dla ułatwienia korzystania z prawa do swobodnego przemieszczania się w obrębie Unii w czasie pandemii COVID-19. Przepisy te nie przewidują możliwości zmiany i rozszerzenia określonych nimi celów. Nie może to więc następować w drodze przepisów krajowych, gdyż będzie prowadziło to do naruszenia zasady ograniczenia celu określonej w art. 5 ust. 1 lit. b RODO – zauważa Adam Sanocki, rzecznik prasowy UODO.
Taka wykładnia w praktyce oznaczałaby, że nawet gdyby uchwalono ustawę, wciąż nie byłoby podstawy do przetwarzania danych osobowych. Część ekspertów nie zgadza się jednak z tą interpretacją.
– Artykuł 6 ust. 4 pkt 4 RODO zezwala wprost na zmianę celu przetwarzania danych, choć muszą być przy tym spełnione określone warunki – podkreśla dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Unijne certyfikaty w wielu krajach są wykorzystywane przy weryfikacji zaszczepienia przy wpuszczaniu klientów do restauracji, obiektu sportowego, hotelu czy na wydarzenie kulturalne (np. Niemcy, Włochy, Austria). Podstawa do przetwarzania zawartych w nich danych nie została zakwestionowana przez tamtejsze organy ochrony danych.
Na razie nie wiadomo, czy ustawa ma szanse na uchwalenie, zwłaszcza że projekt ma przeciwników w szeregach samego PiS. Z kolei część opozycji zarzuca mu, że jest zbyt łagodny. Decyzją sejmowej komisji zdrowia 5 stycznia 2022 r. ma się odbyć jego publiczne wysłuchanie.
Etap legislacyjny
Projekt ustawy skierowany do wysłuchania publicznego