123RF
Dane wyciekają, ale postępowania nie będzie
Redaktor: Iwona Konarska
Data: 11.05.2023
Źródło: RPO
Działy:
Aktualności w Koronawirus
Aktualności
Tagi: | Rzecznik Praw Obywatelskich, Urząd Ochrony Danych Osobowych, COVID-19, Jan Nowak, Katarzyna Hildebrandt |
Zbyt dużo podmiotów publicznych ma dostęp do danych na temat osób zaszczepionych. Mimo to prezes Urzędu Ochrony Danych Osobowych Jan Nowak nie znalazł podstaw do wszczęcia postępowania administracyjnego.
Rzecznik Praw Obywatelskich poprosił prezesa Urzędu Ochrony Danych Osobowych (UODO) Jana Nowaka o analizę przepisów w tej sprawie. Zgodnie z rozporządzeniem Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z występowaniem stanu epidemii dane osób, które nie poddały się szczepieniu przeciwko COVID-19 (imię i nazwisko, nr PESEL i nr telefonu), mogą być udostępniane z Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych – w celu informowania osób, których dotyczą te dane, o możliwości poddania się szczepieniu.
Dane osób, które poddały się szczepieniu są natomiast – w myśl tego rozporządzenia – przetwarzane w elektronicznej platformie. Mogą być przekazywane do systemu teleinformatycznego udostępnionego przez jednostkę podległą ministrowi ds. zdrowia właściwą w zakresie systemów informacyjnych ochrony zdrowia w celu zapewnienia podmiotom mającym dostęp do tego systemu możliwości weryfikowania posiadania przez daną osobę statusu osoby zaszczepionej przeciwko COVID-19.
Ponadto również Narodowy Fundusz Zdrowia może udostępnić dane osoby poddanej szczepieniu świadczeniodawcy podstawowej opieki zdrowotnej w celu realizacji przez świadczeniodawcę ustawowych zadań oraz wydawania zaświadczenia potwierdzającego zaszczepienie.
Daje to m.in. możliwość zidentyfikowania miejsca zamieszkania danej osoby, o ile mieszka w małej miejscowości. Budzi to także poważne zastrzeżenia co do bezpieczeństwa danych przetwarzanych przez organy państwa w systemach teleinformatycznych.
W ocenie RPO należy zastanowić się, czy obszerny katalog podmiotów mających dostęp do bardzo szerokich danych dotyczących osób zaszczepionych jest konieczny, uzasadniony i niezbędny w demokratycznym państwie.
Prezes UODO w odpowiedzi podkreślił, że wielokrotnie sygnalizował konieczność podwyższania standardów ochrony danych osobowych na etapie projektowania przepisów, czemu nie sprzyja brak konsultacji tych aktów pod kątem zgodności z przepisami o ochronie danych osobowych w toku trwania procesu legislacyjnego. Zwrócił też uwagę, że zasadniczym elementem, który nie został wzięty pod rozwagę przy budowaniu przepisów rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, jest brak oceny skutków dla ochrony danych. Poinformował również, że na bieżąco monitoruje stan ochrony danych osobowych.
W tym również akty prawne, które nie zostały przekazane do zaopiniowania, i sygnalizuje projektodawcom nieprawidłowości w tym zakresie.
Katarzyna Hildebrandt, wicedyrektor Departamentu Kontroli i Naruszeń UODO, poinformowała, że mając na względzie stosowane środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych odpowiadającego zidentyfikowanym ryzykom, prezes Urzędu Ochrony Danych Osobowych nie znalazł podstaw do wszczęcia postępowania administracyjnego.
Opracowanie: INK
Dane osób, które poddały się szczepieniu są natomiast – w myśl tego rozporządzenia – przetwarzane w elektronicznej platformie. Mogą być przekazywane do systemu teleinformatycznego udostępnionego przez jednostkę podległą ministrowi ds. zdrowia właściwą w zakresie systemów informacyjnych ochrony zdrowia w celu zapewnienia podmiotom mającym dostęp do tego systemu możliwości weryfikowania posiadania przez daną osobę statusu osoby zaszczepionej przeciwko COVID-19.
Ponadto również Narodowy Fundusz Zdrowia może udostępnić dane osoby poddanej szczepieniu świadczeniodawcy podstawowej opieki zdrowotnej w celu realizacji przez świadczeniodawcę ustawowych zadań oraz wydawania zaświadczenia potwierdzającego zaszczepienie.
Daje to m.in. możliwość zidentyfikowania miejsca zamieszkania danej osoby, o ile mieszka w małej miejscowości. Budzi to także poważne zastrzeżenia co do bezpieczeństwa danych przetwarzanych przez organy państwa w systemach teleinformatycznych.
W ocenie RPO należy zastanowić się, czy obszerny katalog podmiotów mających dostęp do bardzo szerokich danych dotyczących osób zaszczepionych jest konieczny, uzasadniony i niezbędny w demokratycznym państwie.
Prezes UODO w odpowiedzi podkreślił, że wielokrotnie sygnalizował konieczność podwyższania standardów ochrony danych osobowych na etapie projektowania przepisów, czemu nie sprzyja brak konsultacji tych aktów pod kątem zgodności z przepisami o ochronie danych osobowych w toku trwania procesu legislacyjnego. Zwrócił też uwagę, że zasadniczym elementem, który nie został wzięty pod rozwagę przy budowaniu przepisów rozporządzenia Rady Ministrów w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii, jest brak oceny skutków dla ochrony danych. Poinformował również, że na bieżąco monitoruje stan ochrony danych osobowych.
W tym również akty prawne, które nie zostały przekazane do zaopiniowania, i sygnalizuje projektodawcom nieprawidłowości w tym zakresie.
Katarzyna Hildebrandt, wicedyrektor Departamentu Kontroli i Naruszeń UODO, poinformowała, że mając na względzie stosowane środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych odpowiadającego zidentyfikowanym ryzykom, prezes Urzędu Ochrony Danych Osobowych nie znalazł podstaw do wszczęcia postępowania administracyjnego.
Opracowanie: INK