W dniu 1 lipca 2021 r. uruchomiony został ogólnoeuropejski system, w ramach którego Unia Europejska dąży do stopniowego przywracania traktatowej swobody przepływu osób, która wiosną 2020 roku została znacząco ograniczona w związku z pandemią koronawirusa.
Wspomniany system opiera się na tzw. paszportach covidowych, którego posiadanie – co do zasady ma uprawniać obywateli do przekraczania granic pomiędzy państwami Unii Europejskiej bez obowiązku poddania się kwarantannie lub wykonywania testu, przy czym i te mechanizmy mogą zostać wprowadzone na nowo wraz z pogarszaniem się sytuacji pandemicznej.
Wprowadzenie do obiegu paszportów covidowych spotkało się z akceptacją określonych grup społecznych, niemniej jednak usłyszeć również można sceptyczne głosy w odniesieniu do wykorzystywania paszportów covidowych ze względu na ryzyko ujawnienia danych wrażliwych dotyczących zdrowia, a tym samym naruszenia przepisów RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE: ogólne rozporządzenie o ochronie danych).
Wątpliwości w zakresie wprowadzenia i stosowania paszportów covidowych pojawiły się przede wszystkim na tle regualcji art. 9 ust. 1 wskazanego rozporządzenia RODO, zgodnie z którym:
„zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.
Nie ma zatem wątpliwości, że rozporządzenie RODO wprowadza zakaz przetwarzania danych dotyczących zdrowia, jednak ustawodawca unijny uelastycznił wprowadzony w system prawa unijnego zakaz w ten sposób, że nie nadał mu charakteru bezwzględnego. W zastanej sytuacji pandemicznej, z którą zmaga się nie tylko Unia Europejska, ale cały świat, pierwszeństwo stosowania ma wyjątek od wprowadzonego zakazu, który wynika wprost z rozporządzenia RODO, a mianowicie – stosownie do art. 9 ust. 2 pkt i tego rozporządzenia – wprowadzony zakaz nie ma zastosowania, gdy:
„przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową”.
Przetwarzanie danych osobowych w kontekście treści paszportu covidowego jest zatem zgodne z prawem unijnym, przetwarzanie tych danych jest bowiem niezbędne z punktu widzenia interesu publicznego w dziedzinie zdrowia publicznego. Ponadto, patrząc na już dostępny unijny paszport covidowy, widać wyraźnie, że w zakresie posługiwania się nim i przetwarzania danych na nim zawartych, mamy do czynienia z minimalizmem udostępnianych danych w zakresie identyfikacji tożsamości osoby posługującej się paszportem covidowym. Najważniejsza jest jednak nieograniczona wolność w zakresie posługiwania się paszportem covidowym. Nieposiadanie paszportu nie jest równoznaczną z zakazem przekraczania granic w obszarze Unii Europejskiej.