W obowiązujących przepisach związanych z przeciwdziałaniem rozprzestrzenianiu się koronawirusa SARS-CoV-2 (w szczególności w rozporządzeniu w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii) określone zostały różnego rodzaju limity osób mogących uczestniczyć w pewnych wydarzeniach, do których nie wlicza się m.in. osób zaszczepionych przeciwko COVID-19.
Należy mieć na uwadze, iż dane dotyczące zdrowia (w tym także informacje o zaszczepieniu) stanowią tzw. szczególną kategorię danych osobowych, podlegającą ściślejszej ochronie uregulowanej w szczególności w art. 9 RODO. W tym kontekście powstają wątpliwości kto i w jaki sposób może przetwarzać informacje o zaszczepieniu zgodnie z RODO.
W dniu 23 czerwca 2021 r. Urząd Ochrony Danych Osobowych wydał komunikat w tej sprawie. Wskazano w nim wyraźnie, iż skoro obecnie obowiązujące przepisy nie określają warunków w jakich ma odbywać się weryfikacja faktu zaszczepienia, oznacza to, iż jedyną podstawą uprawniającą podmioty zobowiązane do przestrzegania określonego limitu osób do pozyskiwania od uczestników danego wydarzenia informacji o odbyciu przez nich szczepienia ochronnego jest zgoda tychże uczestników (art. 9 ust. 2 lit a RODO).
Zgoda ta musi spełniać warunki określone w RODO tj. musi być dobrowolna, świadoma, konkretna – wyrażona w formie jednoznacznego okazania woli i możliwa do odwołania w każdym czasie. Ponadto, przetwarzanie danych winno odbywać się z poszanowaniem pozostałych zasad wyrażonych w RODO. W komunikacie UODO podkreślono, iż celem poszanowania prywatności osoby przedstawiającej informację o zaszczepianiu, za wystarczające oraz właściwe uznaje się jedynie zapoznanie się z okazanym certyfikatem. Dalsze przechowywanie tych informacji poprzez jakiekolwiek jej ewidencjonowanie danych o zaszczepieniu czy ich utrwalanie jest niedopuszczalne.