Raz, dwa, trzy… do limitu nie wliczany jesteś „ty”. Jak sprawdzić, czy klient jest zaszczepiony?
Pandemia Sars-Cov-2 sprawiła, że musimy dostosować się do nałożonych na nas wytycznych oraz do zmiennych zasad reżimu sanitarnego. Czy chcemy, czy nie, staliśmy się odbiorcami nowej rzeczywistości, w której musimy się poruszać. Jeszcze nie tak dawno limit osób uwarunkowany był wyłącznie powierzchnią lokalu i zasadami wyznaczanymi przez sanepid czy mocami przerobowymi pracowników lokalu. Pamiętamy długie kolejki przez lokalami i gości oczekujących na wejście. Teraz mamy nową rzeczywistość, w której – biorąc pod uwagę ograniczenia nakładane przez rząd – ustalamy z góry ile osób możemy zaprosić, czyli wyznaczamy limit. Jednak nie jest to co do zasady wartość graniczna, ponieważ do limitów gości nie wliczamy osób zaszczepionych. I tutaj zaczynają się schody.
Potwierdzenie szczepienia
Certyfikat szczepienia – czy to na papierze, czy w aplikacji, czy jako kod QR – stał się przepustką do wejścia do lokalu, pomimo osiągniętego limitu. W teorii więc zakładamy, że obu stronom zależy, aby ten certyfikat potwierdzić i okazać, jednak nie jest to takie proste i jednoznaczne.
Informacja o szczepieniu to dane dotyczące zdrowia, a tym samym należą one do kategorii danych wrażliwych – danych stanowiących szczególną kategorię. To właśnie o nich jest mowa w art. 9 ust. 1 RODO. Ich przetwarzanie – a fakt dostępu do takich danych również jest formą przetwarzania – objęte jest szczególną ochroną. Dane szczególnych kategorii możemy przetwarzać wyłącznie, jeśli jest to niezbędne do realizacji interesu publicznego, w tym w dziedzinie zdrowia. Wiele osób uważa jednak, że pozyskiwanie takich danych przekracza granice koniecznego przetwarzania i dotyka swoim zakresem danych, do których administrator nie ma prawa.
Pozyskanie danych
Jak więc zorganizować imprezę, w której może wziąć udział więcej osób, niż przewiduje limit, jeśli pozyskanie informacji o szczepieniu jest tak skomplikowane z punktu widzenia RODO?
Rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii określa limitu, jednak nie daje nam wytycznych jak dokonywać weryfikacji osób. Nie możemy więc żądać okazania takiego dokumentu. Jeśli klient wyrazi zgodę na okazanie poświadczenia szczepienia i dobrowolnie taki dokument okaże spełnione są wszystkie przesłanki, aby uznać, że pozyskanie takich danych było uprawnione. Ważne jest jednak, aby pamiętać, że uzasadnienia nie znajduje pozyskiwanie pisemnych oświadczeń o szczepieniu, dokonywanie kopii certyfikatów, a właściciel lokalu nie jest uprawniony do przechowywania takich informacji.
Jeśli więc osoba, której dane dotyczą zostanie poinformowana o możliwości przyjęcia jej bez względu na limit, po okazaniu potwierdzenia szczepienia i okaże dobrowolnie dokument potwierdzający ten fakt, to ma prawo zostać wpuszczona poza limitem. Nie można jednak absolutnie wymagać, zobowiązywać gościa czy wymuszać na nim przedstawienie takich informacji. Moment ich pozyskania też jest kluczowy – może nastąpić wyłącznie w chwili wpuszczenia do lokalu.
Dobra praktyka
Organizując imprezę w lokalu w momencie zawarcia umowy lub ustalania warunków należy poinformować klienta o limicie osób dla danego wydarzenia oraz o możliwości przyjęcia większej liczby osób, jeśli dobrowolnie, w chwili wejścia do lokalu okażą pracownikom potwierdzenie szczepienia. Niedopuszczalne jest tworzenie list, pobieranie informacji o tym kto jest zaszczepiony lub nie. Klient może zadeklarować jedynie, ile osób ponad określony limit będzie uczestniczyło w imprezie.
W dniu wydarzenia, podczas wchodzenia do lokalu osoby powinny dobrowolnie pokazać certyfikat obsłudze. Pod żadnym pozorem nie wolno wymagać podania takich danych, kopiować czy zbierać certyfikatów.
Potwierdzenia szczepień to temat bardzo niejednoznaczny. Informacje o szczepieniach to dane dotyczące zdrowia i przetwarzanie takich danych wymaga szczególnej troski i uwagi, powinno odbywać się z poszanowaniem prawa do prywatności. Niewłaściwe, błędne działanie np. naciskanie, wymuszanie informacji może stanowić podstawę zarzutu nieuprawnionego dostępu do danych oraz dyskryminacji ze względu na preferencje czy zachowanie.
Autor: Adriana Głuchowska