Brak przepisów o wykorzystaniu paszportów covidowych problemem dla przedsiębiorstw
11/12/2021

Brak jasnych i sprecyzowanych przepisów o postępowaniu z zaszczepionymi i niezaszczepionymi osobami stawia przedsiębiorców w trudnej sytuacji. Pomimo jednak niejasności w tym względzie, część ekspertów jest zdania, iż po przekroczeniu dopuszczalnych limitów można wpuszczać jedynie klientów z certyfikatami covidowymi.
Z czego wynikają obecne problemy przedsiębiorców w związku z brakiem jasnych wytycznych ze strony rządu?
Otóż od początku grudnia obowiązują zaostrzone limity uczestnictwa osób na imprezach i w obiektach, przy czym utrzymano zasadę, iż osoby zaszczepione nie są do owych limitów wliczane. Pomimo jednak kolejnej nowelizacji przepisów, rządzący nadal nie pokusili się o wprowadzenie przepisu, który pozwalałby na weryfikację certyfikatów covidowych.
Owe tak zwane paszporty covidowe są powszechnie używane w wielu państwach unijnych, tymczasem w Polsce są praktycznie bezużyteczne. Przedsiębiorcy obawiają się bowiem kontrolować osoby przy wejściu do obiektu z wykorzystaniem owych certyfikatów z uwagi na przepisy RODO i grożące kary.
W tym względzie Jan Nowak, prezes Urzędu Ochrony Danych Osobowych (UODO), już w czerwcu bieżącego roku ostrzegał, iż nie ma podstawy prawnej do przetwarzania danych osobowych w postaci paszportów covidowych. Obecne przepisy bowiem, szczególnie zaś rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (Dz.U. z 2021 r. poz. 861 ze zm.), zdaniem Jana Nowaka „nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19 (…) Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.”.
Z kolei rządzący są innego zdania, uważając, że nie potrzeba specjalnej podstawy prawnej, gdyż wspomniane rozporządzenie daje przedsiębiorcom możliwość określania własnych regulaminów. Jak tłumaczył Adam Niedzielski, minister zdrowia „Wewnętrznie mogą one oznaczać, że jeżeli jest jakiś limit, to do tego limitu się wpuszcza. Jeżeli limit zostanie przekroczony, to zgoda osoby okazującej paszport (covidowy) na to, żeby wejść, jest domyślna.”
Z kolei Krzysztof Saczka, pełniący obowiązki głównego inspektora sanitarnego, zapowiedział kontrole w przedsiębiorstwach pod kątem posiadania procedur weryfikacji limitów oraz właścicieli obiektów i organizatorów imprez. Tym samym przedsiębiorcy zostali niejako postawieni pod ścianą, mając dwa wyjścia, przy czym każde z nich jest niedobre, mianowicie:
- nie będą kontrolować certyfikatów covidowych, narażając się na karę ze strony sanepidu
- będą kontrolować certyfikaty covidowe, narażając się na sankcje ze strony UODO
W tym kontekście wspomniana przez ministra zdrowia domyślna zgoda jest nieporozumieniem, gdyż byłoby to w sposób oczywisty niezgodne z RODO. Problemu nie rozwiązuje również wydana przez resort zdrowia darmowa aplikacja pod nazwą Skaner Certyfikatów COVID, gdyż wprawdzie w jej opisie umieszczono informację, że „osoba, która przedstawia kod QR do skanowania, wyraża równocześnie zgodę na przetwarzanie danych osobowych zawartych w tym kodzie”, lecz nie ma on żadnej mocy prawnej.
A jak eksperci oceniają obecny stan prawny pod kątem sprawdzania certyfikatów covidowych?
Zdaniem części prawników, pomimo braku jednoznacznych przepisów, przedsiębiorcy mogą uzależniać wstęp do obiektu od okazania certyfikatu. Jak bowiem tłumaczy profesor Robert Suwaj, adwokat w Kancelarii Suwaj, Zachariasz, wykładowca Politechniki Warszawskiej, rozporządzenie nie uprawnia przedsiębiorców do wydawania poleceń klientom w zakresie udzielania informacji o szczepieniu. Jednocześnie są oni jednak zobowiązani do prowadzenia działalności zgodnie z określonymi limitami. Tym samym mają więc prawo poinformować swych klientów o możliwości dobrowolnego okazania przez nich paszportu, co pozwoli na skorzystanie z usług. Jeżeli klient odmówi wyrażenia na to zgody, wówczas przedsiębiorca ma prawo odmówić sprzedaży usługi, jeżeli miałoby to doprowadzić do przekroczenia dopuszczalnego limitu osobowego.
W tej argumentacji mamy do czynienia z odwróceniem sytuacji, gdyż przedsiębiorca nie wymaga okazania certyfikatu covidowego, lecz może wpuścić tylko tych, którzy go okażą. Tym samym klienci sami wyrażają zgodę na przetwarzanie danych osobowych. I zdaniem doktora Pawła Litwińskiego, adwokata z Kancelarii Barta Litwiński, taką zgodę można uznać za dobrowolną, pod jednym wszakże warunkiem – gdy osiągnięto już limit obłożenia.
W sytuacji bowiem, gdy zostaje przekroczony określony rozporządzeniem limit osób, organizator nie ma prawa wpuścić innych osób, aniżeli zaszczepione. W tej sytuacji może uzależnić wpuszczenie kolejnych osób od wyrażenia przez nie dobrowolnej zgody na przetwarzanie danych osobowych i skanowanie certyfikatu. Ważne jest również, iż owa zgoda może być wyrażona w dowolny sposób, zatem nie jest konieczne zbieranie oświadczeń na piśmie czy przez Internet. Zatem wystarczy samo okazanie certyfikatu.
A jak do powyższych rozważań odnosi się UODO?
Generalnie stanowisko UODO jest takie, iż nie wynika z niego wprost, czy zgadza się on z zaprezentowaną powyżej interpretacją prawników. Jak bowiem tłumaczy Adama Sanocki, rzecznik UODO „Może dojść do sytuacji, w której osoba pomimo zaszczepienia nie będzie chciała o tym fakcie poinformować organizatora danego wydarzenia i przedstawić odpowiedniego zaświadczenia. Wówczas będzie wliczana w limit osób mogących uczestniczyć w różnych wydarzeniach. Jeżeli zatem chce skorzystać z korzyści, jakie niesie ze sobą fakt zaszczepienia, czyli niewliczania do limitu osób mogących uczestniczyć w wydarzeniu, może z własnej inicjatywy i dobrowolnie poinformować organizatora o zaszczepieniu.”
Prawnicy z kolei zauważają, iż uzależniania wejścia od okazania certyfikatu wyklucza dobrowolność zgody. Jak przestrzega Adam Szkurłat, adwokat w Kancelarii Lubasz i Wspólnicy, pamiętać należy, iż art. 7 ust. 4 ustawy o RODO wprowadza zakaz uzależniania świadczenia lub wykonania umowy przez dany podmiot od uzyskania zgody na przetwarzanie danych osobowych. W opisywanej sytuacji brak zgody niesie ze sobą negatywne konsekwencje dla osoby, której dane dotyczą, gdyż nie będzie ona mogła uczestniczyć w wydarzeniu bądź wejść do obiektu. W konsekwencji zgoda wyrażona w takich warunkach nie jest dobrowolna, co skutkuje jej nieważnością.
Jak zatem powinni postępować przedsiębiorcy?
Generalnie wszyscy zgodni są co do tego, iż winni temu zamieszaniu są rządzący i ustawodawca. Zdaniem profesora Roberta Suwaja, jest to sytuacja wyjątkowa, gdy decydent mający podejmować adekwatne działania związane z zapobieganiem i przeciwdziałaniem rozwojowi epidemii pokazuje, iż albo zupełnie nie ma kompetencji do ich legalnego wprowadzenia, bądź obawiając się reakcji odbiorców, świadomie rezygnuje z ich wprowadzenia do porządku prawnego.
Jednocześnie jednak taki obowiązek uchwalił, wprowadzając w błąd opinię publiczną i przerzucając ciężar odpowiedzialności wynikającej z zamieszania i niezadowolenia na przedsiębiorców. Pod kątem PR-owym jest to być może sprytne, lecz wyjątkowo nieetyczne z punktu widzenia interesu publicznego, który organy władzy mają chronić.
Generalnie wystarczyłoby bowiem dodanie jednego zdania do którejś w licznych ustaw covidowych, które zezwalałoby na sprawdzanie certyfikatów. Jak zauważa Adam Szkurłat, pomimo niemalże 2 lat obowiązywania stanu epidemicznego ani ustawodawca, ani UODO nie podjęli żadnych działań, które pozwoliłyby na usunięcie przeszkód związanych z przetwarzaniem danych dotyczących stanu zdrowia w kontekście przeciwdziałania COVID-19 lub które sankcjonowałyby weryfikację dokumentów potwierdzających szczepienie.
Rozwiązaniem tej sytuacji byłoby zapewne uchwalenie przepisów określających dopuszczalność i zasady kontroli certyfikatów covidowych czy też generalna regulacja przetwarzania danych związanych z zapobieganiem rozprzestrzenianiu się koronawirusa.
Podsumowując, z jednej strony rządzący wprowadzili z początkiem grudnia bieżącego roku kolejne obostrzenia z związku z epidemią, polegające w głównej mierze na zmianie limitów liczby osób uczestniczących w imprezach i wydarzeniach. Owe limity nie dotyczą zaszczepionych i tutaj pojawia się problem. Nie ma bowiem jasnych i precyzyjnych przepisów, które pozwalałyby przedsiębiorcom kontrolować osoby pod kątem okazywania certyfikatów szczepień. Zatem przedsiębiorcy mogą obecnie albo nie kontrolować posiadania szczepienia, narażając się na kary ze strony sanepidu, bądź też kontrolować, narażając się na kary ze strony UODO. Jedno i drugie rozwiązanie jest złe, a praktycznie wystarczyłoby dodanie jednego zdania do szeregu wprowadzanych regulacji covidowych, by ten problem zniknął. Chyba, że takie jest założenie rządzących, by problem ten przerzucić na przedsiębiorców.