Jak podkreśla UODO w opublikowanym w czwartek wyjaśnieniu, ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu.

Czytaj: Firma, chcąc ochronić załogę, dowie się, kto się zaszczepił>>

Przetwarzanie z wieloma zastrzeżeniami

Przetwarzanie szczególnych kategorii danych jest więc dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).

Limit osób według rozporządzenia 

UODO zwraca uwagę, że w Polsce jednymi z przepisów regulujących kwestie postępowania w związku z przeciwdziałaniem rozprzestrzenianiu się koronawirusa jest rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.

Określa ono m.in. limity osób mogących uczestniczyć w różnych wydarzeniach. Zgodnie z jego § 26 ust. 16, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w § 9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.

 

Ochrona danych osobowych. Ocena ryzyka i skutków. Metody i praktyczne przykłady

Mirosław Gumularz, Tomasz Izydorczyk

Sprawdź  

Na jakich zasadach można uzyskać informacje o zaszczepieniu?

Według UODO przepisy tego rozporządzenia nie regulują możliwości żądania od osób uczestniczących w takim wydarzeniu udostępnienia informacji na temat ich szczepienia. Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Nie przewidują też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.

Czytaj: Kasa biletowa tylko dla zaszczepionych? Niekoniecznie legalna>>

Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.

W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione - spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a RODO. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w art. 4 pkt 11 i art. 7 RODO. Oznacza to, że zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.

- Należy przy tym pamiętać również o tym, by nadmiarowo nie ingerować w prywatność osoby - np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli. Brak jest bowiem przesłanek także do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji. Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać - czytamy w wyjaśnieniu Urzędu Ochrony Danych Osobowych.

Z poszanowaniem zasad RODO

UODO przypomina, że przetwarzanie takich informacji powinno odbywać się z zachowaniem zasad określonych w art. 5 ust. 1 i ust. 2 RODO. Zatem dane muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
  • przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.