Jak przestrzegać limitów osób na imprezach, nie naruszając RODO?

dane o szczepieniu

Trwająca epidemia koronawirusa Sars-Cov-2 wymusza na przedsiębiorcach i organizatorach wydarzeń sportowych, artystycznych, czy kulturalnych przestrzeganie ograniczeń określonych w rozporządzeniu Rady Ministrów, m.in. w zakresie zmniejszenia ilości ich uczestników. W związku z rozpoczęciem w Polsce programu szczepień na koronawirusa, ustawodawca zdecydował się na wprowadzenie preferencyjnych wyłączeń od ustanowionych ograniczeń dla osób w pełni zaszczepionych. Polegają one w szczególności na możliwości niepodlegania przez te osoby pod ustanowione limity ilościowe uczestników, a po stronie organizatorów – na możliwości przekroczenia limitu o liczbę osób zaszczepionych.

Ustanowiona regulacja powoduje jednak szereg problemów praktycznych związanych z ochroną danych osobowych, zwłaszcza biorąc pod uwagę, że informacja o statusie osoby zaszczepionej stanowi dane o stanie zdrowia, czyli dane wrażliwe, czy też inaczej dane szczególnych kategorii, podlegające wzmożonej ochronie na gruncie przepisów RODO. W chwili, gdy weszły w życie przepisy dotyczące wyłączenia z limitów osób zaszczepionych, nie było oficjalnego stanowiska polskiego organu nadzorczego z tego zakresu. Zdarzało się, że podmioty zobowiązane do przestrzegania ustalonych limitów żądały informacji o fakcie „bycia” bądź „nie bycia” zaszczepionym powołując się na przepisy rozporządzenia Rady Ministrów w sprawie ograniczeń covidowych i potrzebę weryfikacji ustanowionych obostrzeń co do ilości osób. Zdarzało się również, że z ostrożności w ogóle nie weryfikowano faktu zaszczepienia przez uczestników wydarzenia licząc na nieosiągnięcie limitu, a w razie jego osiągnięcia np. uzależniano uczestnictwo od okazania certyfikatu. Organizatorzy wydarzeń nie mieli jasnych wytycznych co do sposobu weryfikacji limitów, których zobowiązani byli przestrzegać, jednak 23 czerwca 2021 r. w sprawie wypowiedział się ostatecznie – acz kontrowersyjnie – Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO).

Zdaniem PUODO, przepisy rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, nie stanowią podstawy prawnej do żądania od osób uczestniczących w danym wydarzeniu udostępnienia informacji na temat ich szczepienia. Zgodnie ze stanowiskiem prezentowanym przez PUODO, mimo obowiązku przestrzegania przez organizatorów limitów osobowych, zgodne z prawem pozyskanie takiej informacji jest możliwe wyłącznie za zgodą uczestnika wydarzenia, z zachowaniem przesłanek dobrowolności zgody. Co więcej, organizator nie jest uprawniony do utrwalania zgód oraz dowodów potwierdzających fakt zaszczepienia – jako, iż zdaniem polskiego organu nadzorczego jest to nadmierna ingerencja w prywatność osoby fizycznej. I tutaj pojawia się problem – bowiem zgodnie z wyrażoną w RODO zasadą rozliczalności, administrator powinien działać tak, aby był w stanie wykazać, iż działa w zgodzie z przepisami, a przetwarzane przez niego dane osobowe są odpowiednio ochronione.

Tworzy to pewnego rodzaju impas, ponieważ przyjęło się, iż administrator powinien utrwalić wyrażenie zgody przez osobę, której dane dotyczą, na potrzeby ewentualnego wykazania w trakcie kontroli, że dane przetwarzane są właśnie na podstawie zgody, jako przesłance legalizacyjnej. Oznacza to w praktyce, że organizator wydarzenia objętego limitem osobowym, nie będzie w stanie wykazać, kto wyraził zgodę na przetwarzanie danych o zaszczepieniu, ponieważ zdaniem PUODO, nie może faktu wyrażenia tej zgody utrwalić. Weryfikacja osób, które chcą udostępnić dane o statusie osoby zaszczepionej, odbywać się ma wyłącznie na podstawie okazania certyfikatu szczepienia. Wykazanie zgodności z prawem przetwarzania danych będzie musiało natomiast następować na podstawie tego tylko faktu, czy organizator wdrożył regulacje umożliwiające przestrzeganie ustalonego limitu osób, a jednocześnie zapewnił mechanizm dobrowolności zgody na przetwarzanie danych o szczepieniach. Powinien to być przy tym taki mechanizm, który inicjatywę podania tych danych przypisuje uczestnikowi wydarzenia, a nie jego organizatorowi.