Bilety tylko dla zaszczepionych – czy to legalne?
Głównym tematem pierwszej połowy 2021 r. stały się masowe szczepienia przeciwko COVID-19. Akcja szczepień pozwoliła na stopniowe odmrażanie życia społecznego i gospodarczego, nie oznacza jednak przejścia do stanu pełnej beztroski. Zgodnie z opiniami ekspertów, wirus zostanie z nami na stałe. Dlatego przed służbami publicznymi stanęło zadanie ograniczenia kolejnych fal pandemii.
W tym celu rząd zdecydował się wprowadzić w drodze „covidowego rozporządzenia” [1] następujące zasady:
■ świadczenie określonych usług (działalność hoteli, klubów nocnych) oraz organizowanie wydarzeń (koncerty, konferencje, seanse kinowe, wesela, uroczystości kościelne) jest dozwolone pod warunkiem zachowania odpowiedniego limitu osób,
■ do limitów osób korzystających z ww. usług lub uczestniczących w wydarzeniach nie wlicza się osób zaszczepionych.
Wprowadzone reguły wydają się słuszne. Dążą do minimalizacji zakazów, przy okazji promując ideę szczepień. Przed adresatami tych zasad postawiono jednak istotne pytanie – czy i w jaki sposób weryfikować, które osoby są zaszczepione, aby nie przekraczać dozwolonych przez rząd limitów?
Zbieramy dane, więc stosujemy RODO
Obowiązujące od 2018 r. ogólne rozporządzenie o ochronie danych osobowych (RODO) wymaga, aby każde przetwarzanie danych osobowych oparte było na podstawie prawnej. Podstawą taką może być m.in. zgoda, realizacja umowy lub obowiązek wynikający z przepisów prawa. Oczywiście jest możliwe, że przedsiębiorca sprawdza certyfikaty szczepień całkowicie anonimowo. Jeżeli uczestnik imprezy ma prawo ukryć widniejące na certyfikacie dane osobowe, to nie będziemy mieli do czynienia z przetwarzaniem danych osobowych. Taka metoda może się sprawdzić np. w dyskotekach lub na wydarzeniach niebiletowanych. W przypadku wszystkich imprez wymagających rejestracji organizator zna jednak tożsamość swoich gości. A to oznacza, że powinny być stosowane zasady wynikające z RODO.
Nie możemy też zapominać o tym, że przestrzeganie limitów covidowych może być skontrolowane. Dlatego nawet gdy zdecydujemy się na całkowicie anonimowe sprawdzanie certyfikatów, to problemy mogą nas nie ominąć. Co prawda organizator wydarzenia nie będzie ryzykował kar wynikających ze złamania przepisów RODO, lecz może spotkać się z zarzutami ze strony sanepidu, który stwierdzi, że liczba gości przekroczyła dozwolony limit, a organizator nie jest w stanie udowodnić, że część z nich faktycznie przedstawiła certyfikat zaszczepienia.
Opinia Urzędu Ochrony Danych Osobowych
W dniu 23 czerwca 2021 r. swoje stanowisko dotyczące limitów covidowych przedstawił Urząd Ochrony Danych Osobowych (UODO). Urząd słusznie zauważył, że weryfikacja faktu zaszczepienia oznacza przetwarzanie danych o zdrowiu. Zgodnie z RODO, ze względu na wyjątkową wrażliwość tego typu danych, dozwolone jest ich przetwarzanie wyłącznie, gdy zostały zapewnione „odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”. UODO w swoim stanowisku stwierdził, że „rozporządzenie covidowe” nie spełnia tych wymogów RODO i nie może być podstawą do żądania okazania certyfikatów zaszczepienia przez gości. W zaistniałej sytuacji UODO zasugerował przedsiębiorcom, aby prosili gości o zgodę na przetwarzanie danych osobowych. Urząd jednocześnie zaznaczył, że zgoda powinna być dobrowolna, co oznacza, że każdy ma prawo odmówić jej udzielenia i mimo tego zostać wpuszczony na wydarzenie, jeżeli limit nie został osiągnięty. Urząd podkreślił też, że przedsiębiorca może weryfikować tożsamość osób, które wyraziły zgodę na przetwarzanie danych, ale nie może utrwalać żadnych dokumentów ani oświadczeń woli, gdyż uderzałoby to w prywatność gości.
Bez wątpienia stanowisko UODO należy uznać za kontrowersyjne. Organizatorom wydarzeń zaproponowano zbieranie „dobrowolnych” zgód, mimo że stoją za nimi „obowiązkowe” limity. Stanowisko Urzędu powoduje także problemy w razie kontroli przestrzegania covidowych zasad. Nie można bowiem zapominać, że w przypadku systemu rezerwacji online, organizator musi przez pewien czas przechowywać deklaracje o certyfikacie, aby dopilnować, że nie zostanie udostępnionych więcej miejsc, niż jest to możliwe w świetle covidowego rozporządzenia. Taka sytuacja jest nie do pogodzenia z opinią Urzędu, który zabrania przechowywania oświadczeń woli i dokumentów w związku z covidowymi limitami.
Jak poradzić sobie z limitami i danymi?
Wymienione powyżej dylematy i prawne niuanse brzmią skomplikowanie. Jak zatem temat limitów i danych opanować w praktyce?
Wariant 1
Jeżeli weryfikacja gości dokonywana jest bezpośrednio „przed wejściem” na wydarzenie:
1. Dozwolone jest poproszenie gościa o przedstawienie certyfikatu.
2. Jeżeli zachodzą wątpliwości, czy certyfikat okazuje właściwa osoba, można prosić o okazanie dokumentu tożsamości.
3. Jeżeli limit osób na wydarzeniu nie został jeszcze osiągnięty, gość ma prawo odmówić udzielenia zgody na okazanie certyfikatu. Nieudzielenie zgody nie może być podstawą do odmowy wpuszczenia go na wydarzenie. Osoba, która odmówiła udzielenia zgody, powinna być traktowana jak niezaszczepiona.
4. Gdy limit uczestników zostanie osiągnięty, można poinformować, że wyrażenie zgody i okazanie certyfikatu jest warunkiem wpuszczenia do lokalu/na wydarzenie.
5. Nie można dokumentować oświadczeń i archiwizować dokumentów w związku z weryfikacją limitów.
Wariant 2
Jeżeli weryfikacja gości dokonywana jest przed wydarzeniem (np. rezerwacje online):
1. W formularzu rezerwacyjnym możliwe jest zapytanie klienta, czy w momencie wejścia na wydarzenie okaże certyfikat covidowy. Zbieranie takiej informacji wymaga dodania w formularzu not prawnych wymaganych przez RODO.
2. Jeżeli limit covidowy nie został osiągnięty w momencie rezerwacji, klient ma prawo odmówić udzielenia zgody. Nie może być to podstawą do odmowy sprzedaży biletu. Osoba, która odmówiła udzielenia zgody, powinna być traktowana jak niezaszczepiona.
3. Jeżeli limit został osiągnięty, można poinformować, że wyrażenie zgody w formularzu i zobowiązanie się do okazania certyfikatu jest warunkiem rezerwacji.
4. Można utrwalać oświadczenia klientów, którzy wyrazili zgodę na przetwarzanie danych – aby zweryfikować, czy faktycznie okażą one certyfikat (w przeciwnym razie nie powinny zostać wpuszczone na wydarzenie). Po wydarzeniu oświadczenia należy bezzwłocznie usunąć.
5. Osoby, które nie wyraziły zgody w formularzu, nie powinny być proszone o przedstawianie certyfikatów w momencie wejścia wydarzenie.
Powyższe sugestie są bez wątpienia dyskusyjne i ryzykowne. Dopuszczają bowiem w pewnym zakresie przechowywanie oświadczeń uczestników, czego nie przewiduje UODO. Wydają się być jednak najbardziej realnym wyjściem dążącym do realizacji zarówno zasad RODO, jak i reguł wynikających z covidowego rozporządzenia.
Lepsze rozwiązania?
Stanowisko wydane przez UODO nie niweluje bólu głowy przedsiębiorców, którzy wciąż mierzą się z niejasnymi przepisami. Możliwa jest oczywiście rezygnacja ze sprawdzania certyfikatów i ograniczanie liczby gości do minimum. Takie rozwiązanie nie jest jednak korzystne ani dla przedsiębiorców, ani dla zaszczepionych.
Pozostaje mieć nadzieję, że rząd możliwie szybko uzupełni braki rozporządzenia covidowego. Wskazanie w nim konkretnych zasad wymaganych przez RODO pozwoli spokojniej spać organizatorom wydarzeń, jak i zabezpieczy prywatność uczestników. Optymalnym rozwiązaniem wydaje się być stworzenie dedykowanej, oficjalnej aplikacji mobilnej, która pozwoliłaby w prosty i niekontrowersyjny sposób weryfikować limity covidowe przez podmioty z branży hotelarskiej, rozrywkowej czy eventowej. Dobrze, gdyby po stronie rządzących pojawiła się wola, aby choć w taki sposób wesprzeć przedsiębiorców z branż najmocniej dotkniętych pandemią.
Bartosz Mysiak, radca prawny, praktyka ochrony danych osobowych, LSW Leśnodorski, Ślusarek i Wspólnicy
Specjalizuje się w zagadnieniach dotyczących prawa własności intelektualnej, prawa nowych technologii, prawa mediów i reklamy, praw konsumenta oraz ochrony danych osobowych.
www.lsw.com.pl
www.lswipblog.pl
----------------------------------------------------------------------------------------
[1] Rozporządzenie Rady Ministrów z dnia 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii – wraz z jego nowelizacjami.