Jak weryfikować certyfikaty covidowe? Mamy odpowiedź UODO   KORONAWIRUS

W związku z zaostrzeniem od 15 grudnia limitów dla osób niezaszczepionych mogących korzystać z usług hoteli i braku jasnych wytycznych dotyczących możliwości weryfikacji przez przedsiębiorców certyfikatów covidowych, "Hotelarz" zwrócił się do Urzędu Ochrony Danych Osobowych z pytaniami dotyczącymi technicznych aspektów okazywania i dalszego przetwarzania danych zaszczepionych gości. Po niemal miesiącu otrzymaliśmy odpowiedź. Wynika z niej, że okazywanie certyfikatów jest dobrowolne, przedsiębiorcy mają zaś możliwość przetwarzania danych zaszczepionych klientów w czasie realizacji usługi, nie mają zaś możliwości utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania.

fot. Adobe Stock

Przed miesiącem, przy okazji ogłaszania przez ministra zdrowia Adama Niedzielskiego dalszych restrykcji dotyczących możliwości świadczenia usług dla niezaszczepionych gości, Główny Inspektor Sanitarny informował, że "dane osobowe, w tym potwierdzenie faktu zaszczepienia - przekazywane przez klientów wyłącznie dobrowolnie - mogą być przetwarzane w celu realizacji usługi tak, aby zapewnić zgodność działania podmiotu z obowiązującymi przepisami. Przekazane przez klienta dobrowolnie dane mogą być przetwarzane do czasu zakończenia realizacji usługi". Ponieważ stanowisko to stało w części w sprzeczności z wcześniejszym stanowiskiem UODO, które twierdziło, że jakiekolwiek przechowywanie danych klientów jest niezgodne z prawem, zwróciliśmy się do tego urzędu z prośbą o ponowną interpretację przepisu (TUTAJ wcześniejsze stanowisko UODO).

Po niemal miesiącu otrzymaliśmy odpowiedź od rzecznika prasowego UODO Adama Sanockiego. Jak czytamy " udostepnienie informacji o zaszczepieniu może się odbywać z inicjatywy samej osoby zaszczepionej, która jest zainteresowana skorzystaniem z danej usługi. Zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie". Co istotne, jak wskazuje rzecznik "przepis  rozporządzenia nie nakłada obowiązku udostępniania danych o stanie zdrowia  na osoby przebywające w pomieszczeniach i uczestniczące w zgromadzeniach".

Okazywanie i przetwarzanie certyfikatów covidowych. Co wolno przedsiębiorcy?

Rzecznik w przesłanym do naszej redakcji stanowisku podkreśla, że "konstrukcja przepisu nie generuje również uprawnień przedsiębiorców do pozyskiwania i dalszego przetwarzania pozyskanych dobrowolnie danych od osoby (która chce przebywać w danym miejscu niezależnie od limitu osób wskazanego w przepisach), w inny sposób i w innej formie niż wskazana w jego treści (okazanie, a nie utrwalanie w postaci kopii dokumentów, czy sporządzanych list)".

Oznacza to, że po wykorzystaniu w danym miejscu limitu dla osób niezaszczepionych, klient "może z własnej inicjatywy wyrazić zgodę na przetwarzanie danych o jej stanie zdrowia i okazać odpowiednie zaświadczenie". Jeśli dana osoba nie przedstawi wymaganych dokumentów będzie wliczana w limit osób niezaszczepionych.

Rzecznik informuje także, że "UODO podtrzymuje swoje dotychczasowe stanowisko, zgodnie z którym nawet jak dana osoba okaże z własnej inicjatywy zaświadczenie o odbytym szczepieniu w celu weryfikacji, to nie oznacza to, że administrator danych jest uprawniony do utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania".

Pełna treść odpowiedzi poniżej:


(...) w odpowiedzi na Pana e-mail informuję, że udostepnienie informacji o zaszczepieniu może się odbywać z inicjatywy samej osoby zaszczepionej, która jest zainteresowana skorzystaniem z danej usługi. Zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.

Podstawę prawną do ww. działań stanowi obecnie § 26a rozporządzenia z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii. Przedmiotowy przepis  rozporządzenia nie nakłada obowiązku udostępniania danych o stanie zdrowia  na osoby przebywające w pomieszczeniach i uczestniczące w zgromadzeniach.

Wskazany przepis nie pozbawia zatem osoby, której dane dotyczą prawa do podjęcia dobrowolnej decyzji co do ujawnienia danych o jej stanie zdrowia i doprecyzowuje jedynie sposób weryfikacji tych danych mianowicie wskazuje jakie dokumenty będą okazane dla potwierdzenia podawanych dobrowolnie danych (cyfrowe zaświadczenie COVID lub zaświadczenie o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19).

Rozwiązanie to ma wpływ na kształtowanie zasad bezpieczeństwa sanitarnego w określonym środowisku przebywania tych osób i w sposób przejrzysty określa typy dokumentów potwierdzające uprawnienia tych osób do przebywania w tych miejscach poza ustalonymi limitami.

Należy podkreślić, że konstrukcja przepisu nie generuje również uprawnień przedsiębiorców do pozyskiwania i dalszego przetwarzania pozyskanych dobrowolnie danych od osoby (która chce przebywać w danym miejscu niezależnie od limitu osób wskazanego w przepisach), w inny sposób i w innej formie niż wskazana w jego treści (okazanie, a nie utrwalanie w postaci kopii dokumentów, czy sporządzanych list). Wskazany przepis nie daje również podstaw do przetwarzania danych na czas dłuższy niż jest niezbędne dla realizacji określonego celu (usługi).

Oznacza to, że w dalszym ciągu to osoba, której dane dotyczą, po uzyskaniu informacji o tym, iż np.  w danym lokalu został wykorzystany prawnie określony limit osób niezaszczepionych, może z własnej inicjatywy wyrazić zgodę na przetwarzanie danych o jej stanie zdrowia i okazać odpowiednie zaświadczenie. Administrator zaś pozyskując dane od tej osoby powinien spełnić obowiązek określony w art. 13 RODO. W przypadku wyrażenie zgody na udostepnienie takich danych, w oparciu o obowiązujące przepisy prawa przedsiębiorca będzie miał podstawę do zweryfikowania okoliczności zaszczepienia dla wykonania nałożonych na niego obowiązków związanych z zapewnieniem bezpieczeństwa epidemiologicznego w oparciu o określone dokumenty, co wynika z § 26a rozporządzenia z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.

Możne jednak dojść do sytuacji, w której osoba pomimo zaszczepienia, nie będzie chciała o tym fakcie poinformować organizatora danego wydarzenia i przedstawić odpowiedniego zaświadczenia. Wówczas będzie wliczana w limit osób mogących uczestniczyć w różnych wydarzeniach.

Zatem jeżeli dana osoba chce skorzystać z korzyści jakie niesie za sobą fakt zaszczepienia, czyli niewliczania do limitu osób mogących uczestniczyć w wydarzeniu, wówczas może z własnej inicjatywy i dobrowolnie poinformować organizatora o zaszczepieniu.

Jednocześnie informuję, że UODO podtrzymuje swoje dotychczasowe stanowisko, zgodnie z którym nawet jak dana osoba okaże z własnej inicjatywy zaświadczenie o odbytym szczepieniu w celu weryfikacji, to nie oznacza to, że administrator danych jest uprawniony do utrwalania okazanych dokumentów czy też zebranych oświadczeń woli i dalszego ich przetwarzania.

Warto zwrócić też uwagę na przepisy ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej, które wskazują, że w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego, w szczególności wystąpienia choroby szczególnie niebezpiecznej lub wysoce zakaźnej, o których mowa w przepisach o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, Główny Inspektor Sanitarny lub działający z jego upoważnienia inny organ Państwowej Inspekcji Sanitarnej może wydawać osobom prawnym, osobom fizycznym i jednostkom organizacyjnym nieposiadającym osobowości prawnej, w szczególności podmiotom wykonującym działalność leczniczą czy pracodawcom zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań.

Z punktu widzenia UODO istotne jest, by administratorzy dysponowali podstawą do przewarzania danych osobowych. A zgodnie z przywołaną wyżej ustawą decyzja GIS wydana na podstawie tych regulacji może być taką podstawą.

Pozdrawiam Adam Sanocki
Rzecznik Prasowy


Komentarze

  • Spółka Polskie Wydawnictwa Specjalistyczne ProMedia Sp. z o.o., nie ponosi odpowiedzialności za treść opinii zamieszczanych przez użytkowników portalu.
  • Spółka zastrzega sobie prawo do usuwania komentarzy naruszających prawo.

1 komentarz do “Jak weryfikować certyfikaty covidowe? Mamy odpowiedź UODO

  1. Z wiedzy ogólnej o chorobach. Od kiedy osoba zaszczepiona nie roznosi wirusów i bakterii? Oczywiście może zachorować i zarażać innych. Tylko i wyłącznie sama przejdzie chorobę lżej niż nie zaszczepiony. Także, skąd te absurdy i totalna głupota na podział na „lepszych” i „gorszych”. Przypomina to polowanie na czarownicę. Komu zależy na wrogosci wobec siebie? Czyżby maksyma „DZIEL I RZADŻ”?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *