Biuletyn Informacji Publicznej RPO

• RPO ma wątpliwości, czy jest to konieczne, uzasadnione i niezbędne w demokratycznym państwie
• Przepisy nie dają bowiem obywatelom jasnych informacji o tym, co dzieje się z ich danymi, jakim organom i służbom są udostępnianie oraz tego, że mogą je one modyfikować
• W tym kontekście zaniepokojenie budzą doniesienia mediów o ujawnieniu informacji o fakcie zaszczepienia - bądź nie - osób publicznych
• AKTUALIZACJA: PUODO wielokrotnie sygnalizował konieczność podwyższania standardów ochrony danych osobowych na etapie projektowania przepisów. Nie sprzyja temu brak konsultacji tych aktów pod kątem zgodności z przepisami o ochronie danych osobowych w toku trwania procesu legislacyjnego
• AKTUALIZACJA2: Prezes Urzędu Ochrony Danych Osobowych nie znalazł podstaw do wszczęcia postępowania administracyjnego - informuje Urząd 

Rzecznik Praw Obywatelskich poprosił prezesa Urzędu Ochrony Danych Jana Nowaka o analizę przepisów w tej sprawie oraz o zbadanie okoliczności, w jakich dziennikarze dowiedzieli się o szczepieniach osób publicznych.

Co mówią przepisy 

Katalog podmiotów, które mogą mieć dostęp do takich informacji, jest zamknięty. Tak wynika z przepisów wykonawczych do ustawy z 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.

Zgodnie z rozporządzeniem Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z występowaniem stanu epidemii, dane osób, które nie poddały się szczepieniu przeciwko COVID-19 (imię i nazwisko, nr PESEL i nr telefonu) mogą być udostępniane z Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych - w celu informowania osób, których dotyczą te dane, o możliwości poddania się szczepieniu.

Z kolei dane osób, które poddały się szczepieniu (m.in. nazwisko i imię, data urodzenia, wiek, płeć, adres, nr PESEL, dane kontaktowe oraz szczegóły zaszczepienia) są – w myśl tego rozporządzenia -  przetwarzane w Elektronicznej Platformie. Mogą być przekazywane do systemu teleinformatycznego udostępnionego przez jednostkę podległą ministrowi ds. zdrowia właściwą w zakresie systemów informacyjnych ochrony zdrowia w celu zapewnienia podmiotom mającym dostęp do tego systemu możliwości weryfikowania posiadania przez daną osobę statusu osoby zaszczepionej przeciwko COVID-19.

Dane te  udostępniane są:
1)    organom Państwowej Inspekcji Sanitarnej, 
2)    Narodowemu Funduszowi Zdrowia, 
3)    Zakładowi Ubezpieczeń Społecznych, 
4)    Kasie Rolniczego Ubezpieczenia Społecznego, 
5)    Narodowemu Instytutowi Zdrowia Publicznego PZH - Państwowemu Instytutowi Badawczemu, 
6)    Narodowemu Instytutowi Kardiologii Stefana Kardynała Wyszyńskiego - Państwowemu Instytutowi Badawczemu w Warszawie, 
7)    wojewodom, 
8)    Policji, 
9)    Straży Granicznej, 
10)    Agencji Bezpieczeństwa Wewnętrznego, 
11)    Centralnemu Biuru Antykorupcyjnemu, 
12)    Krajowej Administracji Skarbowej, 
13)    Państwowej Straży Pożarnej, 
14)    Służbie Ochrony Państwa, 
15)    Służbie Kontrwywiadu Wojskowego, 
16)    Żandarmerii Wojskowej, 
17)    Wojskom Obrony Terytorialnej, 
18)    Systemowi Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego, 
19)    ministrowi właściwemu do spraw informatyzacji, 
20)    operatorowi pocztowemu obowiązanemu do świadczenia usług powszechnych

- w celu realizacji ich zadań ustawowych lub statutowych lub zadań związanych z prowadzeniem działań dotyczących przeciwdziałania epidemii wywołanej zakażeniami wirusem SARS-CoV-2. Ponadto również Narodowy Fundusz Zdrowia może udostępnić dane osoby poddanej szczepieniu świadczeniodawcy podstawowej opieki zdrowotnej w celu realizacji przez świadczeniodawcę ustawowych zadań oraz wydawania zaświadczenia potwierdzającego zaszczepienie.

Dużo podmiotów ma te dane - media ujawniają

Dziennikarze nie są zatem upoważnieni do dostępu do danych wrażliwych, a za takie należy uznać informację o byciu zaszczepionym bądź nie. Trudno winić dziennikarzy, którzy wykorzystując brak odpowiednich zabezpieczeń w systemach teleinformatycznych, dotarli do takich informacji. Należy założyć, że czynili to w interesie publicznym - by skonfrontować deklaracje osób publicznych co do akcji szczepień z ich decyzjami. 

Jak wynika z artykułów, dziennikarze poinformowali o tym Ministerstwo Zdrowia, łącznie z  tym, jak udało im się dotrzeć do takich informacji.  Nie zmienia to jednak faktu naruszenia poufności danych. 

Według mediów jest możliwość zidentyfikowania miejsca zamieszkania danej osoby, o ile mieszka w małej miejscowości. Także to budzi poważne zastrzeżenia co do bezpieczeństwa danych przetwarzanych przez organy państwa w systemach teleinformatycznych.

Należy zastanowić się, czy tak szeroki katalog podmiotów mających dostęp do bardzo szerokich danych dotyczących osób zaszczepionych, jest  konieczny, uzasadniony i niezbędny w demokratycznym państwie. 

TK wskazywał bowiem, że sformułowanie, zgodnie z którym ograniczenia praw i wolności mogą być wprowadzane jedynie w sytuacji, gdy okaże się to „konieczne w demokratycznym państwie”, nakazuje za każdym razem badać, czy za pomocą danego ograniczenia uda się osiągnąć zamierzone skutki, czy unormowanie to jest niezbędne dla ochrony interesu publicznego, któremu ma służyć, i czy efekty owego ograniczenia pozostają w proporcji do ciężaru nałożonego na obywatela.

W ocenie TK ograniczenia żadnego z konstytucyjnie uznanych praw i wolności nie mogą iść tak daleko, by przekreślały ich istotę czy zasadę. Ograniczenia te muszą uwzględniać konieczność każdorazowego wyważenia rangi prawa czy wolności poddanego ograniczeniu oraz rangi prawa, czy zasady to ograniczenie uzasadniającej. Niezachowanie koniecznej proporcjonalności, bądź stwierdzenie, że przyjęte ograniczenie jest w niepotrzebny sposób nadmierne, skutkować może niekonstytucyjnością danej regulacji. 

Ponadto ustanowione ograniczenia nie mogą mieć charakteru arbitralnego, tzn. nie mogą opierać się na klasyfikacjach pozbawionych uzasadnienia w racjonalnych i konstytucyjnie legitymowanych kryteriach, tj. sprzecznych z zasadą równości.

Wnioski do PUODO

Rzecznik zwraca uwagę prezesa UODO na sposób konstruowania przepisów nt. ochrony danych dotyczących zdrowia osób, które poddały się szczepieniu oraz osób, które nie są zaszczepione. 

Zarówno względy bezpieczeństwa, jak i konieczności ochrony zdrowia publicznego wymagają, aby te dane były przekazywane odpowiednim organom. Wątpliwości RPO budzi jednak niezbędność i konieczność ich udostępniania tak szerokiemu katalogowi podmiotów. 

Dlatego RPO prosi prezesa UODO o analizę przepisów pod kątem ich zgodności z przywołanymi wytycznymi TK dotyczącymi przekazywania do unormowania w drodze aktu wykonawczego „niektórych spraw szczegółowych i technicznych związanych z przetwarzaniem danych”. 

Przepisy ustawy nie dają bowiem obywatelom jasnych informacji dotyczących tego, co dzieje się z ich danymi, jakim organom i służbom dane te są udostępnianie, ale także o tym, że dane te mogą być przez te organy i służby modyfikowane. 

Rzecznik pyta, czy mając na uwadze fakt, że prace nad rozporządzeniem rządu prowadzono z pominięciem uzgodnień, opiniowania, konsultacji publicznych oraz komisji prawniczej (uzasadniała to pilność zmian w obliczu pandemii), UODO analizował te regulacje. 

Ponadto PRO prosi o 

• podjęcie działań dla wyjaśnienia okoliczności, w jakich dziennikarze dowiedzieli się o zaszczepieniu bądź niezaszczepieniu osób publicznych, o których mowa była w doniesieniach prasowych i zbadanie tej sprawy zgodnie z właściwością Prezesa;
• wyrażenie opinii co do  konieczności i niezbędności w demokratycznym państwie przekazywania danych dotyczących bycia zaszczepionym bądź niezaszczepionym tak szerokiemu katalogowi podmiotów;
• poinformowanie o dokonywanych przez PUODO analizach rozporządzenia będącego przedmiotem tego wystąpienia, zwłaszcza ich kolejnych zmian co do przetwarzania danych dotyczących zdrowia, jak też przetwarzania ich przez poszczególne podmioty. 

Informację o tym wystąpieniu RPO przekazał premierowi Mateuszowi Morawieckiemu i ministrowi zdrowia Adamowi Niedzielskiemu.

Pierwsza odpowiedź PUODO

Prezes UODO w odpowiedzi podkreśla, że wielokrotnie sygnalizował konieczność podwyższania standardów ochrony danych osobowych na etapie projektowania przepisów, czemu nie sprzyja brak konsultacji tych aktów pod kątem zgodności z przepisami o ochronie danych osobowych w toku trwania procesu legislacyjnego.

Zwraca uwagę, że zasadniczym elementem, który nie został wzięty pod rozwagę przy budowaniu przepisów rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii jest brak oceny skutków dla ochrony danych. 

Prezes UODO informuje również, że na bieżąco monitoruje stan ochrony danych osobowych. W tym również akty prawne, które nie zostały przekazane do zaopiniowania i sygnalizuje projektodawcom nieprawidłowości w tym zakresie. 

Odnosząc się natomiast do doniesień o ujawnianiu danych o stanie zdrowia osób publicznych PUODO informuje, że postępowanie w celu wyjaśnienia tej sprawy jest w toku.

Odpowiedź Katarzyny Hildebrandt, wicedyrektor  Departamentu Kontroli i Naruszeń UODO

W nawiązaniu do skierowanego przez Pana pisma z 27 marca 2023 r. o sygnaturze VII.501.15.2022.KSZ, dotyczącego ujawnienia informacji o zaszczepieniu bądź niezaszczepieniu osób publicznych, informuję, że w powyższym zakresie przez Prezesa Urzędu Ochrony Danych Osobowych zostały przeprowadzone czynności, o których mowa w art. 58 ust. 1 lit. a i lit. e Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.), dotyczące przetwarzania w Ministerstwie Zdrowia danych osobowych w systemie teleinformatycznym „Ewidencja Wjazdów do Polski” i podatności strony internetowej o adresie: www.pacjent.gov.pl oraz możliwych nieprawidłowości związanych z przetwarzaniem danych osobowych w systemie teleinformatycznym „SEPIS”, których administratorem jest Główny Inspektor Sanitarny, zaś podmiotem przetwarzającym - Minister Cyfryzacji.

Mając na względzie ustalony stan faktyczny w powyższych sprawach, w tym w szczególności stosowane środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych odpowiadającego zidentyfikowanym ryzykom, należy wskazać, iż Prezes Urzędu Ochrony Danych Osobowych nie znalazł podstaw do wszczęcia postępowania administracyjnego, o którym mowa w art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a tym samym do zastosowania środków wskazanych w art. 58.

VII.501.15.2022