Nawet w najczarniejszych scenariuszach nikt nie spodziewał się tego co wydarzyło się w pierwszych miesiącach 2020r. Pandemia COVID 19 zmiotła nasze wcześniejsze plany, wywracając do góry nogami całą dotychczasową rzeczywistość. Strach przed nieznanym, próby dostosowania się do dynamicznie zmieniających się rządowych obostrzeń, niepewność biznesowa, spowodowały, że w imię walki z COVID postanowiliśmy poświęcić prywatność. Rząd niestety nie wprowadził żadnych precyzyjnych zapisów w przepisach, które pozwalałyby na bezpieczne funkcjonowanie w tej rzeczywistości.
Podczas pierwszej fali pandemii wiele branż odwiedzanych przez klientów (np. branża beauty, hotele, branża medyczna, branża lotnicza) postanowiło wprowadzić oświadczenia COVID-owe, oraz wprowadzić pomiar temperatury osób korzystających z ich usług.
Od początku byłem temu przeciwny, czemu dałem wyraz w artykule na ten temat z maja 2020r. (https://odowhotelu.pl/zbieranie-danych-wrazliwych-w-hotelu-podczas-pandemii-49/n).
Nikt przecież nie zbierał oświadczeń od klientów sklepów, restauracji, wiernych odwiedzających kościoły, czy pasażerów kolei lub autobusów.
Oświadczenia w swoim zamyśle w przypadku zlokalizowania ogniska epidemii miały umożliwić SANEPID-owi dotarcie do wszystkich, którzy potencjalnie mieli możliwość zetknięcia się z wirusem. A przecież wszystkie te informacje można uzyskać w inny sposób.
Hotel prowadzi ewidencję wszystkich Gości.
W mojej ocenie w czasie COVID WSZYSTKIE osoby korzystające z usług Hotelu powinny być „zameldowane”.
Fryzjerka, kosmetyczka, czy też lekarz umawiając kogoś na wizytę posiadają przecież informacje zwykle wraz z numerem kontaktowym telefonu do osoby korzystającej z ich usług. Branża lotnicza również nie powinna mieć przecież problemu z ustaleniem danych pasażera linii lotniczych. Tak więc w przypadku zlokalizowania ogniska choroby, ustalenie osób, które mogły mieć styczność z wirusem jest stosunkowo proste i nie wymaga zbierania specjalnych oświadczeń o stanie zdrowia.
Jedynym efektem wprowadzenia oświadczeń o stanie zdrowia były walające się po śmietnikach kartki zawierające dane osobowe (imię, nazwisko, telefon, adres, czasem e-mail). Nikt też nie potrafił ustalić czasu przechowywania tych oświadczeń. Próbowałem ten temat zgłębić na prośbę kilku hoteli.
Po wielu telefonach do SANEPID-u, w jednej z wojewódzkich stacji ustaliłem ustnie z kierowniczką, że okres retencji (przechowywania danych), może wynosić 30 dni (14 dni na możliwe pojawienie się objawów i 14 dni na wszelki wypadek… ).
Dlaczego tak rozpisuję się na temat zbieranych oświadczeń? To proste – wszystkie te oświadczenia zawierają prócz podstawowych danych osobowych dane o stanie zdrowia (dane szczególnej kategorii), które zgodnie z RODO należy poddać szczególnej ochronie.
Zbierając oświadczenia prawie wszyscy zapomnieli o istnieniu RODO, o obowiązku informacyjnym, o minimalizacji zbierania danych, o tym, że jest to nowy element czynności przetwarzania danych który należy umieścić w rejestrze czynności przetwarzania danych.*
Podczas drugiej fali kreatywność hotelarzy mierzyła się z nieudolnością rządzących w zakresie tworzenia przepisów. I tak zamiast noclegu można było wynająć parking przed hotelem otrzymując pokój gratis… W końcu rząd tak przykręcił śrubę, że podczas trzeciej fali jedyną furtką na przyjęcie gości stały się hotele świadczące usługi medyczne.
Planowałem nawet napisać na ten temat artykuł, ale ogrom informacji koniecznych do przekazania zająłby zapewne cały numer „Hotelarza”.
Aby nie zbankrutować, wielu hotelarzy zdecydowało się na ten krok i na szybko tworzyło na terenie swoich obiektów placówki medyczne. Niektórzy nawet nie przeanalizowali dogłębnie tematu, tylko poszli na pełny żywioł. Odradzałem ten zabieg wszystkim hotelom, z którymi na stałe współpracuję, ponieważ przekształcenie się w placówkę świadczącą usługi medyczne wiąże się z wieloma obowiązkami i utrudnieniami dla hotelu. Pomijam trudności administracyjne i odbiór przez SANEPID.
Jednym z obowiązków wynikających z odrębnych przepisów jest prowadzenie dokumentacji medycznej, która podlega bardzo restrykcyjnym obostrzeniom. Obawiam się, że niewiele hoteli wie jak prawidłowo i jak długo należy prowadzić i przechowywać dokumentację medyczną. Ponadto przetwarzając dane szczególnej kategorii (dane o stanie zdrowia) Hotel powinien w większości przypadków powołać Inspektora Ochrony Danych.
Innym problemem może być zakwalifikowanie świadczonych usług przez Hotel w ramach medycznych pakietów pobytowych do usług medycznych objętych zwolnioną stawką VAT. Usługi medyczne są zwolnione z VAT i jeśli są świadczone w ramach kompleksowej usługi pakietu leczniczego obejmującego zakwaterowanie wraz z usługą medyczną (bo przecież Hotel nie może przyjmować Gości na pobyt, tylko może świadczyć usługę medyczną wraz zapewnieniem noclegu), to cały pakiet powinien być oparty na tej samej stawce VAT. Ten „niuans” może sporo namieszać w przypadku takiego podejścia organów podatkowych do tematu. Może to poskutkować brakiem możliwości odliczenia podatku VAT od zakupionych towarów i usług, co znacząco wpłynie na rozliczenia podatkowe oraz koszty prowadzenia działalności Hotelu.
Znany jest mi przypadek gdzie Urząd Skarbowy zakwestionował odliczenie VAT z tego tytułu. Sprawa jest w Sądzie w kolejnej instancji i bardzo jestem ciekawy jej ostatecznego rozstrzygnięcia.
Czwarta fala, jak alarmują rządzący właśnie nadchodzi i być może w dniu opublikowania tego artykułu będziemy o niej mówić w czasie dokonanym. Obecnie Hotel ma prawo przyjmować Gości w określonej ilości procentowej i jeśli chce przyjąć ponad te ograniczenia, musi zweryfikować je czy są zaszczepione. Podobnie jest przy organizacji imprez z udziałem osób niezaszczepionych i zaszczepionych.
Wielce prawdopodobne wydaje się że Polska podąży wzorem innych krajów Europy, które pozwalają w pełni korzystać z hoteli i gastronomii tylko osobom zaszczepionym.
Rodzi się więc pytanie kto i na jakich zasadach powinien weryfikować informacje o osobach zaszczepionych których nie obowiązuje limit wskazany w rozporządzeniu.
Odniósł się do tego Prezes Urzędu Ochrony Danych Osobowych w swoim oświadczeniu z 23 czerwca 2021r.
Przepisy rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii nie uprawniają podmiotów zobowiązanych do przestrzegania określonego tymi przepisami limitu osób do żądania od nich udostępnienia informacji o zaszczepieniu przeciwko COVID-19. Ewentualne okazywanie dowodów potwierdzających fakt zaszczepienia może się odbywać z inicjatywy samej osoby zainteresowanej skorzystaniem z usług takiego podmiotu.
Ponieważ informacje o zaszczepieniu są danymi dotyczącymi zdrowia, to stanowią szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO. Ich przetwarzanie jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu.
Przetwarzanie szczególnych kategorii danych jest więc dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO).
Limit osób
W Polsce jednymi z przepisów regulujących kwestie postępowania w związku z przeciwdziałaniem rozprzestrzenianiu się koronawirusa jest rozporządzenie Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii.
Określa ono m.in. limity osób mogących uczestniczyć w różnych wydarzeniach. Zgodnie z jego § 26 ust. 16, do liczby osób mogących uczestniczyć w imprezie i spotkaniu do 25 osób, które odbywają się w lokalu lub budynku wskazanym jako adres miejsca zamieszkania lub pobytu osoby, która organizuje imprezę lub spotkanie, a także w imprezie i spotkaniu do 150 osób, które odbywają się na otwartym powietrzu albo w lokalu lub w wydzielonej strefie gastronomicznej sali sprzedaży, o których mowa w § 9 ust. 15 pkt 2 tego rozporządzenia, nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.
Na jakich zasadach można uzyskać informacje o zaszczepieniu?
Przepisy wskazanego rozporządzenia nie regulują możliwości żądania od osób uczestniczących w takim wydarzeniu udostępnienia informacji na temat ich szczepienia. Nie określają też, kto i na jakich zasadach oraz w jaki sposób może weryfikować, czy dana osoba jest zaszczepiona przeciwko COVID-19. Nie przewidują też „konkretnych środków ochrony”, o których mowa w powołanym wyżej art. 9 ust. 2 lit. i RODO.
Dlatego nie można uznać ich za podstawę uprawniającą podmioty zobowiązane do przestrzegania określonego tymi przepisami limitu osób do pozyskiwania od uczestników takiego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego. Tym samym nie mają one prawa żądać podania od nich takich danych, a osoba, której dane dotyczą, nie ma obowiązku ich podania.
W tej sytuacji, tylko gdy zainteresowana osoba wyrazi zgodę na przedłożenie informacji o zaszczepieniu, pozyskanie takich informacji może zostać uznane za uprawnione - spełniona bowiem będzie przesłanka, o której mowa w art. 9 ust. 2 lit. a RODO. Co istotne, zachowane muszą być przy tym warunki pozyskania zgody określone w art. 4 pkt 11 i art. 7 RODO. Oznacza to, że zgoda musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie.
Należy przy tym pamiętać również o tym, by nadmiarowo nie ingerować w prywatność osoby - np. poprzez utrwalanie okazanych dokumentów czy też zebranych oświadczeń woli. Brak jest bowiem przesłanek także do dalszego przechowywania informacji o zaszczepieniu po zweryfikowaniu informacji.
Zatem gdy osoba, której dane dotyczą, zdecyduje się na dobrowolne okazanie certyfikatu szczepienia, to wystarczające jest, że administrator się z nim zapozna i wpuści tę osobę poza limitem. Nie może zaś tej informacji dalej przechowywać.”
Weryfikacja informacji o zaszczepieniu Gościa hotelowego może odbywać się na podstawie okazania przez Gościa Certyfikatu COVID w wersji papierowej lub okazania certyfikatu w smartfonie w aplikacji mObywatel. Do weryfikacji kodu QR służy aplikacja Skaner Certyfikatów COVID udostępniona przez Ministerstwo Zdrowia, która jest do pobrania w sklepie Google Play lub Apple Store.
W przypadku organizacji imprez takich jak konferencje czy wesela, zalecam umieszczenie w umowie pomiędzy hotelem, a organizatorem odpowiedniego zapisu, który
zobowiązuje i w konsekwencji przerzuca odpowiedzialność z hotelu na organizatora imprezy weryfikację ilości osób zaszczepionych w ogólnej liczbie uczestników imprezy.
Warto przeanalizować ten temat, ponieważ lokalne Sanepidy w turystycznych miejscowościach już teraz zapowiadają we wrześniu kontrole COVID-owe.
Specjalista do spraw ochrony danych osobowych w hotelach
Maciej Kopeć
www.odowhotelu.pl
*Rejestr czynności przetwarzania danych – rejestr jest wymagany przez UODO podczas kontroli.
