RPO interweniuje ws. danych o szczepieniach osób publicznych

• Rzecznik Praw Obywatelskich poprosił prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka o zbadanie okoliczności, w jakich dziennikarze dowiedzieli się o szczepieniach osób publicznych i analizę przepisów w tej sprawie.
• Z odpowiedzi UODO wynika, że chociaż dostęp do tych informacji powinien być ograniczony, to w praktyce luki w przepisach sprawiają, mogą one trafiać do osób nieuprawnionych.
• W ocenie prezesa UODO standardy ochrony danych osobowych nie są odpowiednio uwzględniane podczas procesu legislacyjnego, a ocena skutków dla ochrony danych nie została przeprowadzona przy tworzeniu przepisów dotyczących stanu epidemii.
• RPO wskazuje też na konieczność zastanowienia się nad zmniejszeniem liczby podmiotów mających dostęp do tych danych.

Katalog podmiotów, które mogą mieć dostęp do takich informacji, jest zamknięty. Tak wynika z przepisów wykonawczych do ustawy z 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.

Dane osób niezaszczepionych i zaszczepionych: co mówią przepisy?

Zgodnie z rozporządzeniem Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z występowaniem stanu epidemii, dane osób, które nie poddały się szczepieniu przeciwko COVID-19, mogą być udostępniane z Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych - w celu informowania osób, których dotyczą te dane, o możliwości poddania się szczepieniu.

Z kolei dane osób, które poddały się szczepieniu, są przetwarzane w Elektronicznej Platformie. Mogą być przekazywane do systemu teleinformatycznego udostępnionego przez jednostkę podległą ministrowi ds. zdrowia. W sumie dostęp do takich danych ma 20 instytucji, w tym NFZ, ZUS, KRUS, policja, straż pożarna a nawet Krajowa Administracja Skarbowa.

Ponadto NFZ może udostępnić dane osoby poddanej szczepieniu świadczeniodawcy podstawowej opieki zdrowotnej w celu realizacji przez świadczeniodawcę ustawowych zadań oraz wydawania zaświadczenia potwierdzającego zaszczepienie.

Dziennikarze nie są upoważnieni do dostępu do danych wrażliwych, a za takie należy uznać informację o byciu zaszczepionym bądź nie. Jak zauważa RPO, trudno winić ich za to, że wykorzystując brak odpowiednich zabezpieczeń w systemach teleinformatycznych dotarli do takich informacji. - “Należy założyć, że czynili to w interesie publicznym - by skonfrontować deklaracje osób publicznych co do akcji szczepień z ich decyzjami” - czytamy w piśmie Rzecznika.

W ocenie RPO ta sytuacja budzi poważne zastrzeżenia co do bezpieczeństwa danych przetwarzanych przez organy państwa w systemach teleinformatycznych. Dlatego - jak wskazuje - należy zastanowić się, czy tak szeroki katalog podmiotów mających dostęp do bardzo szerokich danych dotyczących osób zaszczepionych jest konieczny, uzasadniony i niezbędny w demokratycznym państwie.

Wnioski do UODO

Rzecznik zwraca uwagę prezesa UODO na sposób konstruowania przepisów nt. ochrony danych dotyczących zdrowia osób, które poddały się szczepieniu oraz osób, które nie są zaszczepione.

“Zgodnie z orzeczeniem Trybunału Konstytucyjnego wszelkie ograniczenia praw i wolności obywatelskich muszą być proporcjonalne i nie mogą przekraczać granic, które mogłyby naruszyć istotę tych praw. Ograniczenia muszą uwzględniać wagę prawa czy wolności, które są ograniczane, oraz interes publiczny, który takie ograniczenie uzasadnia“ – czytamy w stanowisku Rzecznika.

Ponadto PRO prosi o:

• wyrażenie opinii co do konieczności i niezbędności w demokratycznym państwie przekazywania danych dotyczących bycia zaszczepionym bądź niezaszczepionym tak szerokiemu katalogowi podmiotów;
• poinformowanie o dokonywanych przez UODO analizach rozporządzenia będącego przedmiotem tego wystąpienia, zwłaszcza ich kolejnych zmian co do przetwarzania danych dotyczących zdrowia, jak też przetwarzania ich przez poszczególne podmioty.

UODO: ochrona danych osobowych nie jest odpowiednio uwzględniana podczas procesu legislacyjnego

Prezes UODO w odpowiedzi podkreśla, że wielokrotnie sygnalizował konieczność podwyższania standardów ochrony danych osobowych na etapie projektowania przepisów, czemu nie sprzyja brak konsultacji tych aktów pod kątem zgodności z przepisami o ochronie danych osobowych w toku trwania procesu legislacyjnego.

Zwraca uwagę, że zasadniczym elementem, który nie został wzięty pod rozwagę przy budowaniu przepisów rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii jest brak oceny skutków dla ochrony danych.

Prezes UODO informuje również, że na bieżąco monitoruje stan ochrony danych osobowych. W tym również akty prawne, które nie zostały przekazane do zaopiniowania i sygnalizuje projektodawcom nieprawidłowości w tym zakresie.

Odnosząc się natomiast do doniesień o ujawnianiu danych o stanie zdrowia osób publicznych UODO informuje, że postępowanie w celu wyjaśnienia tej sprawy jest w toku.

PRZECZYTAJ TAKŻE: Portal pisał o farmaceutach “z “imienia i nazwiska” bez ich zgody. Jest decyzja UODO