Komentarz do komunikatu UODO: Wyłączenia zaszczepionych z limitu osób na imprezach

File:Rabenhof Theater 2019-02 d.jpg - Wikimedia Commons

W tytułowym KOMENTARZU Prezes UODO wskazuje, podstawą prawną wyłączenia zaszczepionych z limitu osób na imprezach kulturalnych jest art. 9 ust. 1 lit. a RODO. 

Z praktycznego punktu widzenia najistotniejsze kwestie zostały ujęte w poniższych akapitach komentarza: 

Cytat 1: 

W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione – spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a RODO. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w art. 4 pkt 11 i art. 7 RODO. Oznacza to, że zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie. 

oraz  

Cytat 2: 

Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać. 

Komentarz pomija fakt, że administrator organizujący imprezy musi udowodnić, że zachował wszelkie limity osób narzucone rozporządzeniem Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii. Nie trzeba dodawać, że naruszenie tych limitów grozi karami finansowymi. 

Postępując zgodnie z wytycznymi PUODO administrator nie jest w stanie wykazać po zakończeniu imprezy, że zapewnił narzucone limity liczby uczestników. Nawet jeżeli uznamy wyłącznie okazanie dokumentu potwierdzającego zaszczepienie za zgodę wyraźną (art. 9 ust. 2 lit. a RODO), to jak należy wykazać, że limit został zachowany? Administrator nie ma żadnego potwierdzenia tego faktu. Nie może też prowadzić rejestru zgód, ani sprzedawać imiennych biletów w celu udowodnienia zgody, jak sugerują to Wytyczne 05/20 dotyczącymi zgody (pkt. 108) ponieważ czynności te będą przetwarzaniem szczególnych kategorii danych osobowych (pośrednia informacja o zaszczepieniu), a tego PUODO zabrania (cytat 2). Pamiętajmy też, że w ten sposób naruszamy dodatkowo art. 7 ust. 1 RODO, ponieważ nie jesteśmy w stanie wyraźnej zgody udowodnić.  

A co będzie mógł zrobić administrator, jeżeli na organizowanej przez niego imprezie było ognisko zakażeń? Służby sanitarne poproszą o wykazanie wszystkich działań zapewniających bezpieczeństwo zdrowia publicznego zgodnie z przepisami, między innymi o to, czy osoby poza limitem były zaszczepione. Czy oświadczenie administratora wystarczy? Jeżeli tak – to przepisy o limitach są martwe, bo weryfikacja ich spełnienia możliwa jest tylko w czasie imprezy. 

Jak się Państwo domyślacie, nie zgadzam się z opinią Prezesa UODO. Rozumiem, że art. 9 ust. 2 lit. i RODO wymaga konkretnych środków ochrony praw i wolności osób ujętych w przepisach prawa, jednak mamy tu do czynienia z przetwarzaniem związanym z interesem publicznym w dziedzinie zdrowia publicznego mającym na celu ochronę przed poważnymi transgranicznymi zagrożeniami zdrowotnymi. Oczywiście rozumiem i uznaję, że podanie informacji o szczepieniu jest dobrowolne. Jednak, jeżeli już ktoś takie dane mi, jako administratorowi, poda muszę je przez jakiś czas posiadać, żeby udowodnić spełnienie wymagań przepisów prawa w dziedzinie zdrowia publicznego. Dlatego zupełnie nie rozumiem powodu, dla którego administrator nie może tych danych przechowywać np. przez 3 tygodnie. Jeżeli okaże się, że żadnego ogniska zakażeń nie było, wtedy można dane usuwać, bo faktycznie są zbędne. Zapewniliśmy bezpieczeństwo na imprezie.