Jak zgodnie z prawem zweryfikować, czy klient jest zaszczepiony?

Upowszechnienie szczepień przeciwko COVID-19 spowodowało, że wywiązała się dyskusja, czy fakt przyjęcia szczepionki przeciwko SARS-CoV-2 powinien pozwalać na otrzymywanie przywilejów, np. wstępu do obiektów gastronomicznych czy też kulturalnych, niezależnie od obowiązujących limitów liczby osób na danym wydarzeniu.

Częściową odpowiedź na to pytanie przyniosły przepisy rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii z dnia 6 maja 2021 r.
(Dz. U. z 2021 r. poz. 861), które określają limity wstępu osób niezaszczepionych i wskazują, że osoby zaszczepione nie są wliczane do przedmiotowych limitów.

Jednakże przedmiotowe przepisy nie dały administratorom danych żadnych narzędzi, wskazówek ani też wytycznych, w jaki sposób mają weryfikować, kto z ich klientów jest zaszczepiony, a kto nie.

Certyfikaty szczepień a przepisy RODO

Certyfikat szczepień stanowi potwierdzenie, że osoba, która się nim posługuje, jest zaszczepiona. Certyfikat można mieć wydrukowany na papierze lub korzystać z aplikacji lub kodu QR. Okazanie takiego certyfikatu pozwala uznać, że legitymująca się nim osoba jest zaszczepiona przeciwko COVID-19.

Jednakże na gruncie przepisów RODO informacja o przyjęciu bądź nieprzyjęciu szczepionki stanowi dane dotyczące zdrowia, które zgodnie z art. 4 pkt 15 są definiowane jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia.

W tej sytuacji zgodnie z art. 9 ust. 1 RODO zabronione jest przetwarzanie danych osobowych ujawniających dane dotyczące zdrowia osoby fizycznej. Przetwarzanie tych danych możliwe jest jedynie w sytuacjach określonych w art. 9 ust. 2 RODO, w szczególności gdy spełniony jest m.in. jeden z poniższych warunków:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Ważne

Zgodnie z przepisami RODO administrator danych może przetwarzać dane dotyczące przyjęcia szczepionki, a potwierdzone certyfikatem szczepień, w zasadzie tylko w dwóch sytuacjach:

  • gdy osoba, której dane dotyczą, wyrazi na to dobrowolną zgodę,
  • gdy będzie upoważniony do takiej weryfikacji na podstawie przepisów prawa.

Obecnie nie ma...

Dalsza część jest dostępna dla użytkowników z wykupionym planem