Rozporządzenie Rady Ministrów z dnia 11.06.2021 r. wprowadza zmiany w zakresie ograniczeń związanych z prowadzeniem działalności gospodarczej w czasie trwającej pandemii Covid – 19.

Kluczowe zmiany:

• W zakresie pobytu w hotelach „W przypadku prowadzenia usług hotelarskich w obiekcie hotelarskim, o którym mowa w art. 36 pkt 1–3 ustawy z dnia 29 sierpnia 1997 r. o usługach hotelarskich oraz usługach pilotów wycieczek i przewodników turystycznych, dla gości udostępnia się nie więcej niż 75% pokoi znajdujących się w danym obiekcie”. Do limitów nie wliczamy osób zaszczepionych oraz zorganizowanych grup dzieci poniżej 12. roku życia.”
• W zakresie funkcjonowania gastronomii „Prowadzenie działalności (…) jest dopuszczalne pod warunkiem, że klienci będą zajmowali nie więcej niż 75% liczby miejsc w ogródku gastronomicznym, lokalu lub wydzielonej strefie gastronomicznej i odległość między stolikami będzie wynosiła co najmniej 1,5 m, chyba że między stolikami znajduje się przegroda o wysokości co najmniej 1 m, licząc od powierzchni stolika”.
• W zakresie organizacji konferencji, targów, wystaw „1 osoba na 10 mkw. powierzchni pomieszczenia”.

Kluczowe jest zatem określenie, a raczej zweryfikowanie kto będąc zaszczepionym może korzystać z usług hotelarskich poza dopuszczalnym limitem? Jak może to zweryfikować hotel? Jak prowadzić działalność nie naruszając przepisów RODO?

Kwestie całości zagadnień związanych z ochroną danych osobowych reguluje rozporządzenie Parlamentu Europejskiego i Rady UE nr2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Na mocy wskazanych tam przypadków hotelarze (jak również inne podmioty) mogą w drodze wyjątku przetwarzać dane związane z informacją o zaszczepieniu.

Zgodnie z motywem 46 wskazanego rozporządzenia przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby, której dane dotyczą np. gdy przetwarzanie jest potrzebne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się:

 „Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład, gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.”

O dopuszczeniu przetwarzania danych mówią także inne punkty rozporządzenia, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i  art. 6 ust. 1 lit d).

„Artykuł 6 Zgodność przetwarzania z prawem 1.Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej”

oraz

„Artykuł 9 Przetwarzanie szczególnych kategorii danych osobowych 1.Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 2.Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków.

1. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”

Reasumując, podstawa prawna do przetwarzania danych o zaszczepieniu istnieje, jednakże nie jest ona zawarta w przywołanym Rozporządzeniu Rady Ministrów z dnia 11.06.2021 r., które to również nie określa formy w jakiej hotelarz (przedsiębiorca) ma weryfikować kwestie zaszczepienia gościa (klienta) swojej firmy.

Mamy więc ogólną przesłankę do pobierania danych, jednak bez określenia w jakiej formie mają być zbierane:

• oświadczenie (ustne czy pisemne),
• zaświadczenie o zaszczepieniu,
• certyfikat z aplikacji?

Opierając się na zasadzie minimalizmu, wskazaną w przepisach RODO, pobieramy jak najmniejszą liczbę danych i wykorzystujemy ją w minimalnym zakresie. Sama forma ich przetwarzania jest dowolna, ale z przyczyn dowodowych zalecałbym skorzystanie z pisemnego oświadczenia.

Liczę, że organy stanowiące wskażą konkretną formę weryfikacji. W obecnej sytuacji można dokonać wykładni, iż forma udowodnienia (w/w) jest dowolna a zakresowi weryfikacji podlega jedynie dany moment pobytu.

Piotr Tabor

Jeżeli chcesz zweryfikować posiadaną dokumentację w zakresie dostosowania swojej firmy w zakresie RODO do aktualnych wymagań skontaktuj się z nami: tel. 797 484 283 e-mail: biuro@hoteleplus.pl – aktualnie istnieje możliwość pozyskania dla firm z branży turystycznej dotacji na szkolenie, doradztwo i analizę dokumentacji oraz audyt w zakresie RODO.

Hotele Plus