A teraz coś z całkiem innej beczki czyli próba poukładania sobie i P.T. Czytelnikom w głowie następujących zagadnień: czy dopuszczalne jest przetwarzanie danych o zaszczepieniu przeciwko COVID-19 przez usługodawców, których obowiązują limity w przyjmowaniu klientów? Czy można żądać okazania zaświadczenia o szczepionce?
W krótkich punktach, od ogółu do szczegółu (i unikając obowiązkowej pralni w/s spisku, dyskryminacji, etc.):
- dane o zdrowiu stanowią jeden z rodzajów szczególnych kategorii danych osobowych (kiedyś powiedzielibyśmy „danych wrażliwych”), a to obok m.in. informacji o pochodzeniu rasowym i etnicznym, orientacji seksualnej, poglądach politycznych, religii i innych przekonaniach światopoglądowych, a także danych biometrycznych (art. 9 ust. 1 RODO);
- przetwarzanie szczególnych kategorii danych osobowych co do zasady jest zakazane, chyba że zachodzi jedna z określonych przesłanek; przesłanek tych jest dziesięć, natomiast na potrzeby niniejszych rozważań pozwoliłem sobie zwrócić uwagę na trzy z nich: zgodę osoby, niezbędność dla ważnego interesu publicznego określonego w przepisie prawa oraz niezbędność w związku z interesem publicznym w dziedzinie zdrowia publicznego;
art. 9 ust. 2 rozporządzenia 2016/679 o ochronie danych osobowych
[Zakaz przetwarzania szczególnych kategorii danych osobowych, np. dotyczących zdrowia] nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; (…)
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; (…)
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; (…)
- przechodząc na (grząski) grunt prawa krajowego: rozporządzenie w/s epidemicznych ograniczeń, zakazów i nakazów przewiduje możliwość udostępniania danych osób, które poddały się szczepieniu przeciwko COVID-19 m.in. Sanepidowi, Poczcie Polskiej (!), NFZ, ZUS, wojewodom, policji, straży pożarnej, straży granicznej, żandarmerii, KAS, WOT (!), a także określonym służbom specjalnym (par. 2 ust. 8, Dz.U. z 2021 r. poz. 1054);
- to samo rozporządzenie w paru miejscach wyraźnie zastrzega, że osób zaszczepionych przeciwko COVID-19 nie wlicza się do określonych limitów: wiernych w kościołach, uczestników zgromadzeń, pasażerów komunikacji zbiorowej, klientów siłowni i centrów fitness, bywalców dyskotek, kasyn, gości w hotelach, klientów lokali gastronomicznych, widzów na koncertach i innych imprezach (tak plenerowych, jak w pomieszczeniach), widzów w kinach, etc.,etc.
- dla przykładu: od 26 czerwca na zorganizowany na otwartym powietrzu koncert muzyczny przyjść może nie więcej niż 250 osób (par. 9 ust. 19d rozporządzenia) — ale do tego limitu nie wlicza się osób zaszczepionych na koronawirusa;
par. 9 ust. 19b rozporządzenia w/s ograniczeń, zakazów i nakazów
Do ograniczeń, o których mowa w ust. 3, 3a, 5a, 6a, 6b, 7, 7b, 16, 16a, 19a, 19c-20b, 22, 22a, 23, 23a, 26, 26a, 27, 27a, 31 pkt 7-9, ust. 31e, 34, 34a-34e, 35, 35c, 35d, 38b i 38c, nie wlicza się osób zaszczepionych przeciwko COVID-19.
- jak to rozumieć? czy organizator powinien uzależniać sprzedaż biletów od okazania zaświadczenia o przyjęciu szczepionki lub certyfikatu? i, nawet ważniejsze: czy wynikające z rozporządzenia limity pozwalają na żądanie okazania zaświadczenia i czy można to traktować jako przetwarzanie danych o zdrowiu?
- moim zdaniem wymóg stosowania limitów nie oznacza bezwzględnego uprawnienia do żądania udzielenia informacji o zaszczepieniu na COVID-19, bo i przepis nie zakazuje wpuszczania osób niezaszczepionych (np. ozdrowieńców, którzy z medycznego punktu widzenia są całkiem „podobni”, toteż np. certyfikat ma ich także uprawniać do wyjazdów zagranicznych) — ale limity oznaczają konieczność stosowania pewnego rodzaju zasady „first come, first served”;
- w praktyce: wiem, że mogę wpuścić na koncert 250 osób, więc odnotowuję na bramkach ilu weszło zaszczepionych i niezaszczepionych, a za każdego niezaszczepionego odejmuję jeden od ogółu 250, co oznacza, że niezaszczepiony nr 251 ma pecha i wraca do domu (wersja „niedyskryminacyjna”, ale raczej gorsza i głupsza: pierwsze dwieście pięćdziesiąt osób wpuszczam bez gadania, każdy następny musi się okazać);
- czy taki wymóg przedstawienia dowodu zaszczepienia — załóżmy, że poważnie traktuję to wszystko, a więc nie polegam na gołym oświadczeniu, lecz na zaświadczeniu — oznacza przetwarzanie danych o zdrowiu? ja bym powiedział, że być może, ale niekoniecznie, ponieważ widziałbym tu świetne pole do zastosowania instytucji przetwarzania niewymagającego identyfikacji (art. 11 RODO)… no ale te dywagacje odpadają, skoro aplikacja UCC — Unijny certyfikat Covid jednak wyświetla dane osobowe;
- oznacza to, że przetwarzanie danych o zaszczepieniu dla zachowania limitów musi opierać się na jednej z przesłanek wskazanych w art. 9 ust. 2 RODO; rozważmy zatem każdą z powyżej zaproponowanych — dla stopniowania napięcia: od końca;
- czy mógłby być to przepis odnoszący się do ważnego interesu publicznego (art. 9 ust. 2 lit. g) RODO)? oczywiście przeciwdziałanie pandemii leży w interesie publicznym, ale na dziś żaden przepis naszego (nadal bardzo ułomnego) prawa, nie może być traktowany jako podstawa do przetwarzania danych o przyjęciu szczepionki (zaś prawo unijne nie zamierza się tym w ogóle zajmować — na szczeblu UE będzie regulowany tylko certyfikat w kontekście podróży zagranicznych);
- lepiej już prezentuje się przetwarzanie w interesie publicznym odnoszonym do zdrowia publicznego (art. 9 ust. 2 lit. i) RODO) — chociaż już „ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi” znów bardziej pasuje do kwestii przekraczania granic (to raczej nie jest problem, bo niewątpliwie ten katalog nie jest zamknięty — „takich jak”) — problemem znów jest podstawa prawna (lub jej brak), ale też konieczność zapewnienia tajemnicy zawodowej jako środka ochrony praw i wolności;
- a więc być może przetwarzanie danych o zaszczepieniu da się oprzeć na zgodzie osoby zainteresowanej wejściem na koncert, do kina lub noclegiem w hotelu (por. spór w/s zgody na przetwarzanie danych biometrycznych)? i tu chyba mamy najprostszą odpowiedź: zamierzając wziąć udział w imprezie, na której obowiązują limity dla zaszczepieńców, powinienem mieć na uwadze konieczność wykazania tego warunku, a więc także wyrażenia zgody na przetwarzanie danych o zaszczepieniu;
- oczywiście pamiętając nawet o „first come, first served” nie możemy pomijać jednego: że dopóki limit (swoją drogą słowo dość okropne…) nie uległ wyczerpaniu, dopóty wpuszczać należy niezaszczepionych — paradoks polega na tym, że prywatność niezaszczepionego nie podlega żadnym ograniczeniom, bo to nie jego dane będą przetwarzane — a więc istnieje ryzyko, że pierwszych 250 widzów po prostu wejdzie na hasło „nie mam”, wyczerpując w ten sposób pulę dla niezaszczepionych (drugi paradoks polega na tym, że najwyraźniej komfort społecznego życia niezaszczepionych zależeć będzie w znacznym stopniu od samozaparcia zaszczepionych…) — no ale cóż…
- a więc zgoda, że zgoda chętnego jest najlepszą w tym przypadku przesłanką upoważniającą organizatora do przetwarzania danych o stanie zdrowia — co wcale nie pozwala nam zapomnieć o dwóch rzeczach: raz, że ta zgoda musi być wyrażona „wyraźnie”, a także dobrowolna, konkretna, świadom i jednoznaczna (art. 4 pkt 11 RODO), ale też administrator musi być w stanie wykazać, że zgoda została udzielona (art. 7 ust. 1 RODO);
- no i pamiętać warto, że skoro mówimy o przetwarzaniu danych osobowych, to każdemu należy się pewien dość określony zestaw informacji (art. 13 RODO).
Podsumowując: napisać przepis jest dość łatwo, podpisać się pod rozporządzeniem jeszcze łatwiej (podzielić się z P.T. Czytelnikami luźnymi dywagacjami także nie jest szczególnie trudno) — natomiast wziąć pod uwagę dalsze konsekwencje tego, co się napisało, jest nieco trudniej (bo i nie twórcy prawa muszą się borykać z jego bolączkami).