• Rzecznik Praw Obywatelskich wystąpił do prezesa Urzędu Ochrony Danych, Jana Nowaka, z prośbą o analizę przepisów dotyczących udostępniania informacji o szczepieniach osób publicznych oraz zbadanie, w jaki sposób dziennikarze uzyskali te dane
• Zgodnie z obowiązującymi przepisami dostęp do tych informacji jest ograniczony
• Dane osób zaszczepionych są przetwarzane w Elektronicznej Platformie i mogą być udostępniane różnym instytucjom w celu realizacji ich ustawowych lub statutowych zadań związanych z przeciwdziałaniem epidemii COVID-19

Naruszona prywatność danych

Jak wynika z pisma RPO, dziennikarze, wykorzystując luki w systemach teleinformatycznych, uzyskali nieuprawniony dostęp do tych danych, co stanowi naruszenie poufności informacji. Choć ich działania mogły być podyktowane interesem publicznym i konfrontacją deklaracji osób publicznych z ich decyzjami dotyczącymi szczepień, Rzecznik podkreśla, że prywatność danych została naruszona.

Media donoszą również, że istnieje możliwość zidentyfikowania miejsca zamieszkania osób na podstawie tych danych, zwłaszcza jeśli mieszkają w mniejszych miejscowościach. To wzbudza poważne obawy dotyczące bezpieczeństwa danych przetwarzanych przez organy państwa w systemach teleinformatycznych.

W związku z tym RPO wzywa do zastanowienia się, czy tak szeroki katalog podmiotów mających dostęp do tych danych jest konieczny, uzasadniony i niezbędny w demokratycznym państwie.

- Zgodnie z orzeczeniem Trybunału Konstytucyjnego wszelkie ograniczenia praw i wolności obywatelskich muszą być proporcjonalne i nie mogą przekraczać granic, które mogłyby naruszyć istotę tych praw. Ograniczenia muszą uwzględniać wagę prawa czy wolności, które są ograniczane, oraz interes publiczny, który takie ograniczenie uzasadnia - czytamy w stanowisku rzecznika.

Potrzeba skutecznego monitorowania i kontroli

Ponadto, zgodnie z pismem RPO, ograniczenia nie mogą być arbitralne i nie mogą opierać się na nieuzasadnionych klasyfikacjach, które są sprzeczne z zasadą równości. Istnieje obawa, że wprowadzone ograniczenia naruszają te zasady konstytucyjne.

- W świetle tych wydarzeń ważne jest podjęcie działań mających na celu wzmocnienie ochrony danych osobowych. Konieczne jest przeprowadzenie gruntownej analizy przepisów dotyczących udostępniania tak wrażliwych informacji. Należy poszukać rozwiązań, które będą skutecznie chroniły prywatność osób i zapobiegały nieuprawnionemu dostępowi do danych. Rzecznik wskazuje też na konieczność zastanowienia się nad zmniejszeniem liczby podmiotów mających dostęp do tych danych. Obecnie katalog instytucji jest bardzo szeroki, co stwarza ryzyko nadmiernego rozproszenia i potencjalnych zagrożeń dla bezpieczeństwa danych - przyznaje RPO.

W jego opinii należy również wprowadzić skuteczne mechanizmy kontroli i monitoringu, które będą zapobiegać naruszeniom poufności danych. Systemy teleinformatyczne powinny być w pełni zabezpieczone przed nieuprawnionym dostępem, a wszelkie próby naruszenia poufności danych powinny być ścigane zgodnie z obowiązującym prawem.

RPO zwrócił się więc do Urzędu Ochrony Danych Osobowych o podjęcie działań dla wyjaśnienia okoliczności, w jakich dziennikarze dowiedzieli się o zaszczepieniu bądź niezaszczepieniu osób publicznych, o których mowa była w doniesieniach prasowych i zbadanie tej sprawy zgodnie z właściwością Prezesa, wyrażenie opinii co do konieczności i niezbędności w demokratycznym państwie przekazywania danych dotyczących bycia zaszczepionym bądź niezaszczepionym tak szerokiemu katalogowi podmiotów; a także poinformowanie o dokonywanych przez PUODO analizach rozporządzenia będącego przedmiotem tego wystąpienia, zwłaszcza ich kolejnych zmian co do przetwarzania danych dotyczących zdrowia, jak też przetwarzania ich przez poszczególne podmioty.

Brak podstaw do wszczęcia postępowania?

W odpowiedzi na pismo RPO prezes UODO odniósł się do kwestii związanych z ochroną danych osobowych w kontekście projektowania przepisów i przetwarzania danych w Ministerstwie Zdrowia oraz systemie teleinformatycznym "Ewidencja Wjazdów do Polski" i "SEPIS".

Prezes UODO zauważa, że standardy ochrony danych osobowych nie są odpowiednio uwzględniane podczas procesu legislacyjnego, a ocena skutków dla ochrony danych nie została przeprowadzona przy tworzeniu przepisów dotyczących stanu epidemii.

Szef UODO zaznaczył, że monitoruje sytuację i zgłasza nieprawidłowości projektodawcom. W odpowiedzi na pytanie dotyczące ujawniania danych o stanie zdrowia osób publicznych prezes UODO poinformował, że postępowanie w tej sprawie jest w toku. 

Jednak po ponownym zapoznaniu się ze sprawą, "mając na względzie ustalony stan faktyczny w powyższych sprawach, w tym w szczególności stosowane środki techniczne i organizacyjne w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych odpowiadającego zidentyfikowanym ryzykom" prezes UODO "nie znalazł podstaw do wszczęcia postępowania administracyjnego".

• RZECZNIK PRAW OBYWATELSKICH
• UODO
• PRAWO
• DANE MEDYCZNE