Urząd Ochrony Danych Osobowych ma wątpliwości, czy unijne certyfikaty covidowe można wykorzystywać przy weryfikacji szczepienia klientów chcących wejść do restauracji, kina czy na koncert. Zwraca uwagę, że zgodnie z unijnymi przepisami zawarte w nich dane przetwarza się w jednym celu – ułatwień przy przekraczaniu granic.
Od połowy grudnia w związku z czwartą falą koronawirusa obowiązują zaostrzone limity na imprezach i w lokalach. Jednocześnie utrzymano zasadę, że osoby zaszczepione nie są do nich wliczane. Problem w tym, że wciąż brakuje jednoznacznej podstawy prawnej do ich sprawdzania. Premier co prawda wskazuje, że mogą ją stanowić wewnętrzne regulaminy przedsiębiorców, a Ministerstwo Zdrowia porównuje to z selekcją w dyskotekach, argumentując, że skoro ta jest zgodna z konstytucją, to podobnie jest z weryfikacją certyfikatów, ale prawnicy nie mają wątpliwości – podstawa prawna powinna wynikać z ustawy. Pojawiła się szansa, że w jakiś sposób zostanie to wreszcie uregulowane. W projekcie ustawy o szczególnych rozwiązaniach zapewniających możliwość prowadzenia działalności gospodarczej w czasie epidemii COVID-19 oprócz przepisów dotyczących sprawdzania szczepień przez pracodawców wpisano również regulacje dotyczące ich kontroli przez restauratorów, hotelarzy czy organizatorów wydarzeń kulturalnych.
Artykuł 4 projektu mówi, że ograniczeniom nie podlega działalność gospodarcza wykonywana na rzecz osoby mającej negatywny wynik testu, przebyła infekcję lub jest szczepiona, a przedsiębiorca może żądać okazania wyników badań, zaświadczenia czy certyfikatu covidowego. Po raz pierwszy więc wprost przepis przyznawałby prawo do sprawdzania unijnych certyfikatów potwierdzających zaszczepienie.
UODO, którego poprosiliśmy o skomentowanie tej propozycji, ma jednak wątpliwości, czy byłoby to zgodne z RODO. Zwraca uwagę, że podstawą do przetwarzania danych zawartych w certyfikacie jest unijne rozporządzenie 2021/953 w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19.
– Dane te można przetwarzać jedynie w celach określonych wprost w art. 10 ust. 2 tego rozporządzenia, czyli dla ułatwienia korzystania z prawa do swobodnego przemieszczania się w obrębie Unii w czasie pandemii COVID-19. Przepisy te nie przewidują możliwości zmiany i rozszerzenia określonych nimi celów. Nie może to więc następować w drodze przepisów krajowych, gdyż będzie prowadziło to do naruszenia zasady ograniczenia celu określonej w art. 5 ust. 1 lit. b RODO – zauważa Adam Sanocki, rzecznik prasowy UODO.
Taka wykładnia w praktyce oznaczałaby, że nawet gdyby uchwalono ustawę, wciąż nie byłoby podstawy do przetwarzania danych osobowych. Część ekspertów nie zgadza się jednak z tą interpretacją.
– Artykuł 6 ust. 4 pkt 4 RODO zezwala wprost na zmianę celu przetwarzania danych, choć muszą być przy tym spełnione określone warunki – podkreśla dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Unijne certyfikaty w wielu krajach są wykorzystywane przy weryfikacji zaszczepienia przy wpuszczaniu klientów do restauracji, obiektu sportowego, hotelu czy na wydarzenie kulturalne (np. Niemcy, Włochy, Austria). Podstawa do przetwarzania zawartych w nich danych nie została zakwestionowana przez tamtejsze organy ochrony danych.
Na razie nie wiadomo, czy ustawa ma szanse na uchwalenie, zwłaszcza że projekt ma przeciwników w szeregach samego PiS. Z kolei część opozycji zarzuca mu, że jest zbyt łagodny. Decyzją sejmowej komisji zdrowia 5 stycznia 2022 r. ma się odbyć jego publiczne wysłuchanie.
Etap legislacyjny
Projekt ustawy skierowany do wysłuchania publicznego