CZY PRZEDSIĘBIORCA MOŻE SPRAWDZAĆ PASZPORTY COVIDOWE?
Kolejna drażliwa kwestia, jaka pojawiła się w związku z najnowszą nowelizacją Rozporządzenia Rady Ministrów z dnia 6 maja 2021r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, dalej: „Rozporządzenia” to wprowadzenie przepisu, mającego (przynajmniej w teorii) regulować możliwość weryfikacji paszportów Covidowych i innych informacji o stanie zdrowia w celu wykroczenia poza limity wskazane w Rozporządzeniu.
„Do ustanowionych w rozporządzeniu limitów liczby osób przebywających w pomieszczeniach, budynkach, obiektach, na określonej powierzchni pomieszczeń, budynków lub obiektów lub na otwartej przestrzeni oraz uczestniczących w zgromadzeniach, nie wlicza się osób zaszczepionych przeciwko COVID-19, pod warunkiem okazania przez te osoby unijnego cyfrowego zaświadczenia COVID lub zaświadczenia o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 uznawanego za równoważne z zaświadczeniami wydawanymi zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/953 z dnia 14 czerwca 2021 r. w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19.” (par. 26a Rozporządzenia)
Czy przepis ten daje podstawę prawną przedsiębiorcom do wymagania okazania tzw. paszportów covidowych, wyników testów na Covid lub innych informacji o stanie zdrowia?
Przepis ten ma charakter czysto techniczny i nie stanowi podstawy prawnej dla przedsiębiorców do żądania udostępnienia danych szczególnie wrażliwych jak informacja o stanie zdrowia, w tym szczepieniu, wyniku testu na Covid czy przebytej chorobie. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać tu jedynie za dobrowolną, świadomą, konkretną– wyrażoną w formie jednoznacznego okazania woli i możliwą do odwołania w każdym czasie ZGODĄ takiej osoby, gdyż dane o stanie zdrowia są w sposób szczególnie chroniony na gruncie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”.
Przetwarzanie danych dotyczących m.in. zdrowia jest dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w art. 9 ust.2 RODO, tj. m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).
Przepisy wskazanego rozporządzenia Rady Ministrów nie określają kto i na jakich zasadach oraz w jaki sposób może weryfikować czy dana osoba jest zaszczepiona przeciwko koronawirusowi. Nie ma przewidzianych też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.
W związku z powyższym nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od klientów lub uczestników takiego wydarzenia informacji o szczepieniu, przebytej chorobie czy wyniku testu na obecność koronawirusa.
Innymi słowy – przedsiębiorcy nie mają prawa żądać podania od klientów takich danych, uzależniając np. od tego wykonanie usługi, a osoba, której dane dotyczą, nie ma obowiązku ich podania.
Jedynym sposobem, by legalnie uzyskać jedną z powyższych informacji jest zgoda takiej osoby (przesłanka przewidziana w art. 9 ust.2 lit. a) – i to zgoda spełniająca określone warunki wynikające również z RODO, tj. świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli, możliwa do odwołania w każdym czasie i dobrowolna – co oznacza, że przedsiębiorca nie może uzależniać spełnienia usługi od podania informacji o szczepieniu osoby, bo naraża się na naruszenie przepisów RODO.
Abstrahując już od tego, że restrykcje zostały wprowadzone w nielegalny sposób, sprzeczny z Konstytucją i co potwierdzają kolejne wyroki sądów, to w mojej ocenie kształt tego Rozporządzenia Rady Ministrów to spychanie odpowiedzialności na barki przedsiębiorców, gdyż znajdują się oni w sytuacji patowej – z jednej strony ograniczani są limitami wynikającymi z Rozporządzenia Rady Ministrów i – przynajmniej teoretycznie- narażają się na negatywne konsekwencje z tytułu ewentualnie nałożonych kar za nieprzestrzeganie obostrzeń– z drugiej przedsiębiorcy nie mają narzędzi prawnych by skontrolować możliwość przekroczenia tych limitów poprzez zbieranie informacji o szczepieniach, testach czy przebytych chorobach – poza tym jednym przypadkiem, kiedy klient dobrowolnie zgadza się takiej informacji udzielić.
Należy jeszcze podkreślić, że nawet w przypadku uzyskania takiej zgody danej osoby na podanie informacji wrażliwych, przedsiębiorca nie powinien ingerować zbytnio w prywatność osoby - np. poprzez utrwalanie okazanych certyfikatów czy też zbierania oświadczeń woli. Jak potwierdził w jednej ze swoich wypowiedzi Prezes UODO, brak jest bowiem przesłanek do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji. Z resztą w samym Rozporządzeniu jest mowa jedynie o „okazaniu” dokumentów – nie ma ani słowa zaś o ich dalszym zarządzaniu przez przedsiębiorców.
A skoro brak jest przesłanek do dalszego przechowywania takich informacji wrażliwych, to pojawia się pytanie w jaki sposób kontrolujący mieliby sprawdzić czy przedsiębiorca zweryfikował osoby zaszczepione, z negatywnym wynikiem testu na obecność koronawirusa lub tzw. „ozdrowieńców” i wpuścił je poza limitem w zgodzie z przepisami rozporządzenia – nie może on przecież w żaden sposób utrwalać takich oświadczeń. Mamy zatem do czynienia z nieweryfikowalnym w praktyce, martwym przepisem.