6 czerwca 2021 r. weszło w życie Rozporządzenie Rady Ministrów z dnia 4 czerwca 2021 r. zmieniające rozporządzenie w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.
Rozporządzenie powyższe zakłada, że osoby zaszczepione nie są wliczane do limitów między innymi na weselach, koncertach, rejestrowanych zgromadzeniach, meczach piłki nożnej, w kinach i hotelach. Zweryfikować fakt zaszczepienia ma organizator imprezy.
Przekroczenie limitu może narazić organizatora na odpowiedzialność związaną z naruszeniem zasad reżimu sanitarnego. Obowiązek weryfikacji oraz udokumentowania tego czy dana osoba rzeczywiście była zaszczepiona niesie szereg wyzwań pod względem ochrony danych osobowych.
Minister zdrowia 8 czerwca poinformował, że dla popularnych systemów operacyjnych stosowanych w telefonach komórkowych dostępna jest aplikacja do weryfikacji unijnego certyfikatu covidowego. Ma ona ułatwić organizatorom imprez weryfikację faktu zaszczepienia.
Wyzwaniem dla podmiotu, który przetwarza dane osobowe dotyczące szczepień, jest wskazanie odpowiedniej podstawy prawnej do ich przetwarzania. Zgodnie z art. 9 RODO dane na temat zdrowia stanowią szczególną kategorię danych osobowych. A to oznacza, że są objęte wyjątkową ochroną.
Wydaje się, że właściwą podstawą do przetwarzania danych na temat szczepienia jest zgoda, która musi być wyrażona w sposób wyraźny a także być dobrowolna, konkretna, świadoma i jednoznaczna (art. 4 pkt 11 RODO). Podmiot ją obierający musi też być w stanie wykazać, że została ona udzielona (art. 7 ust. 1 RODO).
Nie zmienia to jednak faktu, że zgoda może być w każdym momencie odwołana przez osobę, która jej udzieliła. Niewątpliwie sytuacją pożądaną byłby stan, w którym organizatorzy mogliby powołać się na konkretny przepis uprawniający ich do przetwarzania danych. Do tego jednak potrzebna jest zmiana istniejących przepisów.
