24 cze

Wyłączenia zaszczepionych z limitu osób na imprezach

Do napisania tego wpisu zainspirował mnie Prezes UODO i jego opinia dotycząca ustalania limitu osób na imprezach, gdzie osoby zaszczepione przeciwko COVID-19 nie wliczają się do limitu, a także wasze bardzo liczne pytania. Mam wrażenie, że jest tak, że my, „ludzie od RODO”, mówimy jedno, a ludzie słyszą drugie. Z opinią naprawdę się zgadzam, bo sama doszłam do tych wniosków już dawno. A nawet przygotowywałam klientom (hotelom, agencjom reklamowym, domom kultury) odpowiednie procedury i formularze, które umożliwiają im zgodnie z RODO zapytać o zaszczepienie (jeżeli potrzebujesz wspracie w tym zakresie, napisz do mnie).

Zanim przejdziesz dalej, przeczytaj zacytowaną na początku opinię UODO, najlepiej dwa razy. I zastanów się, czy możesz, czy nie możesz pytać o zaszczepienie. Jeżeli masz wątpliwości, wyjaśniam.

Po pierwsze, aby w ogóle móc przetwarzać dane o zaszczepieniu, czyli zadać pytanie, musisz mieć faktyczny interes prawny. Czyli to pytanie musi czemuś konkretnemu służyć. Nie można pytać z ciekawości. Faktyczny cel w pytaniu o zaszczepienie mają podmioty, które muszą stosować ograniczenia wynikające z rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, w którym jest wskazane, że w określonych sytuacjach do limitu osób, nie wlicza się osób zaszczepionych. Zatem jest faktyczny, rzeczywisty powód do ustalenia, czy ktoś jest zaszczepiony. I tu zaczynają się schody.

Na czym polega problem? Przepisy nie wskazują na możliwość pytania o zaszczepienie, tzn. nie będą stanowić podstawy prawnej uzyskiwania tej informacji. I w tym momencie większość osób drapie się w głowę, mówiąc że to jest jakieś głupie i nikt normalny tego nie zrozumie. Chodzi o to, że skoro uczestnik wydarzenia nie ma obowiązku, wynikającego z przepisu prawa, do podania informacji o tym, że jest zaczepiony, to organizator nie może od niego wymagać podania tej informacji (tzn. nie może tego żądać). Może jedynie poprosić 🙂 To jest naprawdę bardzo, bardzo duża różnica, której większość ludzi nie rozumie (oceniam na podstawie Waszym wiadomości e-mail i komentarzy na Facebooku). Nie jesteście specjalistami od RODO. Macie prawo nie rozumieć. Najprościej można to wytłumaczyć w ten sposób:

Jeżeli organizujesz jakieś wydarzenie lub przeprowadzasz inne działanie, które zgodnie z przepisami wymaga ograniczenia liczby uczestników, ALE do tego limitu nie wliczają się osoby zaszczepione, możesz poprosić te osoby o podanie informacji o zaszczepieniu. Żeby była to prośba, a nie żądanie, musisz wyraźne zazanczyć, że jest to dobrowolne. Ja nawet polecem dać 3 opcje do wyboru: odmawiam udzielenia odpowiedzi / nie jestem zaszczepiona/y / jestem w pełni zaszczepiona/y przeciwko COVID-19.

Wtedy nie będzie można podważyć dobrowolności podania informacji. Istotne w takim wypadku jest to, aby pamiętać o równym traktowaniu wszystkich uczestników. Nie można dyskryminować tych, którzy odmówią podania informacji lub oświadczą, że nie są zaszczepieni. Przykładem dyskryminacji będą, np. sektory na stadione dla osób zaszczepionych (naprawdę na jednym stadionie to zrobiono, nazywając działanie „segregacją covidową).

Weź też pod uwagę, że zgodę można wycofać w dowolnym momencie, więc taki uczestnik w przypadku wycofania zgody będzie traktowany jak osoba niezaszczepiona. A jak z weryfikacją zaszczpienia, czy wystraczy oświadczenie? Moim zdaniem jednak weryfikacja zaświadczenia. Odowłam się do przytoczonej na początku opinii UODO „Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać.” Można się zapoznać, ale NIE rób kopii!

A jeżeli jesteś zainteresowany tematem pytania o szczepienie pracowników, zerknij do mojego poprzedniego wpisu lub do artykułu redakcji prawo.pl (spoiler – zasady są dokładnie takie same).


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 24 czerwca 2021