Przedsiębiorcy nie mają prawa żądać paszportów covidowych i uzależniać od nich wykonania usługi

Czy przepis ten daje podstawę prawną przedsiębiorcom do wymagania okazania tzw. paszportów covidowych, wyników testów na Covid lub innych informacji o stanie zdrowia?

Przepis ten ma charakter czysto techniczny i nie stanowi podstawy prawnej dla przedsiębiorców do żądania udostępnienia danych szczególnie wrażliwych jak informacja o stanie zdrowia, w tym szczepieniu, wyniku testu na Covid czy przebytej chorobie. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać tu jedynie za dobrowolną, świadomą, konkretną– wyrażoną w formie jednoznacznego okazania woli i możliwą do odwołania w każdym czasie ZGODĄ takiej osoby, gdyż dane o stanie zdrowia są w sposób szczególnie chroniony na gruncie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”.

Przetwarzanie danych dotyczących m.in. zdrowia jest dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w art. 9 ust.2 RODO, tj.  m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).

Przepisy wskazanego rozporządzenia Rady Ministrów nie określają kto i na jakich zasadach oraz w jaki sposób może weryfikować czy dana osoba jest zaszczepiona przeciwko koronawirusowi. Nie ma przewidzianych też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.

W związku z powyższym nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od klientów lub uczestników takiego wydarzenia informacji o szczepieniu, przebytej chorobie czy wyniku testu na obecność koronawirusa.

Innymi słowy – przedsiębiorcy nie mają prawa żądać podania od klientów takich danych, uzależniając np. od tego wykonanie usługi, a osoba, której dane dotyczą, nie ma obowiązku ich podania.

Jedynym sposobem, by legalnie uzyskać jedną z powyższych informacji jest zgoda takiej osoby (przesłanka przewidziana w art. 9 ust.2 lit. a) – i to zgoda spełniająca określone warunki wynikające również z RODO, tj. świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli, możliwa do odwołania w każdym czasie i dobrowolna – co oznacza, że przedsiębiorca nie może uzależniać spełnienia usługi od podania informacji o szczepieniu osoby, bo naraża się na naruszenie przepisów RODO.

Abstrahując już od tego, że restrykcje zostały wprowadzone w nielegalny sposób, sprzeczny z Konstytucją, o czym pisałam już w zeszłym roku na łamach Bezprawnika i co potwierdzają kolejne wyroki sądów, to w mojej ocenie kształt tego Rozporządzenia Rady Ministrów to spychanie odpowiedzialności na barki przedsiębiorców, gdyż znajdują się oni w sytuacji patowej – z jednej strony ograniczani są limitami wynikającymi z Rozporządzenia Rady Ministrów i – przynajmniej teoretycznie-  narażają się na negatywne konsekwencje z tytułu ewentualnie nałożonych kar za nieprzestrzeganie obostrzeń– z drugiej przedsiębiorcy nie mają narzędzi prawnych by skontrolować możliwość przekroczenia tych limitów poprzez zbieranie informacji o szczepieniach, testach czy przebytych chorobach – poza tym jednym przypadkiem, kiedy klient dobrowolnie zgadza się takiej informacji udzielić.

Należy jeszcze podkreślić, że nawet w przypadku uzyskania takiej zgody danej osoby na podanie informacji wrażliwych, przedsiębiorca nie powinien ingerować zbytnio w prywatność osoby - np. poprzez utrwalanie okazanych certyfikatów czy też zbierania oświadczeń woli. Jak potwierdził w jednej ze swoich wypowiedzi Prezes UODO, brak jest bowiem przesłanek do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji. Z resztą w samym Rozporządzeniu jest mowa jedynie o „okazaniu” dokumentów – nie ma ani słowa zaś o ich dalszym zarządzaniu przez przedsiębiorców.

A skoro brak jest przesłanek do dalszego przechowywania takich informacji wrażliwych, to pojawia się pytanie w jaki sposób kontrolujący mieliby sprawdzić czy przedsiębiorca zweryfikował osoby zaszczepione, z negatywnych wynikiem testu na obecność koronawirusa lub tzw. „ozdrowieńców” i wpuścił je poza limitem w zgodzie z przepisami rozporządzenia – nie może on przecież w żaden sposób utrwalać takich oświadczeń. Mamy zatem do czynienia z nieweryfikowalnym w praktyce, martwym przepisem.

adwokat Monika Cichocka – absolwentka Wydziału Prawa i Administracji na Uniwersytecie Warszawskim, ukończyła z wyróżnieniem zarówno studia, jak i aplikację adwokacką przy Izbie Adwokackiej w Warszawie, a obecnie od kilku lat prowadzi indywidualną kancelarię prawną. Specjalizuje się w obsłudze prawnej przedsiębiorców w związku z wystąpieniem stanu epidemii i  nałożonymi restrykcjami oraz szeroko pojętym prawie cywilnym: odszkodowania, także te dochodzone od Skarbu Państwa, zadośćuczynienia, konstrukcja umów i zabezpieczeń kontraktowych, roszczenia o ochronę dóbr osobistych, spadki, prawo rodzinne, windykacja należności oraz prawie pracy.

Pomaga szkołom tańca i placówkom z branży fitness w prawnym zabezpieczaniu swojej działalności gospodarczej. Choć siedziba Kancelarii zlokalizowana jest w Warszawie, świadczy pomoc prawną na terenie całego kraju, obsługując zarówno osoby fizyczne, jak i prawne. Kontakt: www.kancelariacichocka.pl  lub https://www.facebook.com/kancelariacichocka