Pisma urzędowe
Status: Aktualne

Pismo
z dnia 27 marca 2020 r.
Prezes Urzędu Ochrony Danych Osobowych
DOL.023.347.2020
Stanowisko w sprawie danych osobowych, jakie mogą być udostępniane przez Głównego Inspektora Sanitarnego

Urząd Ochrony Danych Osobowych Warszawa, marca 2020 r.

ul. Stawki 2

00-193 Warszawa

tel. 22 531-03-88 f

ax 22 531-03-99

www.uodo.gov.pl

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

Jan Nowak

DOL.023.347.2020

Pan Jarosław Pinkas

Główny Inspektor Sanitarny

ul. Targowa 65 03-729 Warszawa

Elektroniczna skrzynka podawcza: GIS/SkrytkaESP

Szanowny Panie Inspektorze,

w odpowiedzi na pismo z 20 marca 2020 r. dotyczące prośby o jednoznaczne wskazanie jakim podmiotom, jakie dane oraz na jakiej podstawie mogą być udostępniane przez Głównego Inspektora Sanitarnego, uprzejmie wskazuję na poniższe. Prezes Urzędu Ochrony Danych Osobowych, dostrzegając ogrom obowiązków i podejmowanych działań mających na celu dobro i zdrowie publiczne obywateli oraz ilość zadań, przed którymi obecnie stoi Główny Inspektor Sanitarny związanych z przeciwdziałaniem COVID-19 podkreśla, że wszelkie działania podejmowane przez Głównego Inspektora Sanitarnego oraz Państwową Inspekcję Sanitarną powinny mieć oparcie w obowiązujących przepisach prawa regulujących ich działalność, a przepisy te istnieją już w obrocie prawnym. Przetwarzanie danych osobowych, które mieści się w zakresie tych przepisów będzie zatem legalne w świetle art. 6 i art. 9 ogólnego rozporządzenia o ochronie danych. Szeroki zakres uprawnień Głównego Inspektora Sanitarnego wynika nie tylko z przepisów ustawy określającej jego kompetencje, ale przede wszystkim z ustawy z dnia 2 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), tzw. specustawy, która daje ogromne możliwości realizowania zadań przez Głównego Inspektora Sanitarnego. Artykuł 17 specustawy dotyczącej przeciwdziałania COVID-19 wskazuje, że Główny Inspektor Sanitarny lub działający z jego upoważnienia państwowy wojewódzki inspektor sanitarny może wydawać wskazanym podmiotom decyzje nakładające na nie pewne obowiązki oraz zalecenia i wytyczne określające sposób postępowania w trakcie realizacji zadań. Zatem wszelkie działania jakie będzie podejmował Główny Inspektor Sanitarny oraz wskazane podmioty będą wynikały z przepisów prawa oraz ww. decyzji, wytycznych oraz zaleceń. Środki te będą stanowiły podstawę prawną tych działań, w tym podstawę do przetwarzania danych osobowych. Główny Inspektor Sanitarny, działając jako organ ustalający ogólne kierunki działania organów Państwowej Inspekcji Sanitarnej oraz koordynujący i nadzorujący działalność tych organów, rozpoznając pojawiające się problemy oraz konieczność uregulowania pewnych kwestii związanych ze zwalczaniem epidemii, posiada również przesłanki do wprowadzenia nowych regulacji. Analizując zatem potrzeby związane z przeciwdziałaniem COVID-19 Główny Inspektor Sanitarny może oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a w przypadku sygnalizowanych mu problemów wskazywać na przyjmowanie właściwych rozwiązań. Przy podejmowaniu wszelkich działań wsparciem dla Głównego Inspektora Sanitarnego powinni być wyznaczeni w organach sanitarnych inspektorzy ochrony danych, którzy posiadają wiedzę nie tylko z zakresu ochrony danych osobowych, ale przede wszystkim znają specyfikę realizowanych zadań oraz aspekty praktycznej działalności organów i jednostek Państwowej Inspekcji Sanitarnej. Dlatego też organy te - przy wsparciu swoich inspektorów ochrony danych - powinny dostosowywać podejmowane działania tak, aby, działając zgodnie z prawem nie naruszać istoty autonomii jednostki, przy jednoczesnym realizowaniu zadań z zakresu zdrowia publicznego. Podczas opracowywania nowych regulacji prawnych, wytycznych i zaleceń należy pamiętać o zasadach dotyczących przetwarzania danych osobowych, w szczególności aby móc wskazać postawę prawną takiego przetwarzania (zasada zgodności z prawem, rzetelności i przejrzystości - art. 5 ust. 1 lit. a RODO), przetwarzać dane niezbędne dla realizacji konkretnego celu, np. zalecenia Głównego Inspektora Sanitarnego (zasada ograniczenia celu - art. 5 ust. 1 lit. b RODO), a także przez czas nie dłuższy niż wymaga tego określone rozwiązanie (zasada ograniczenia przechowywania - art. 5 ust. 1 lit. e RODO). Planując wdrożenie 3 odpowiednich rozwiązań należy również upewnić się, że wszelkie dane, które będą przetwarzane - będą odpowiednio zabezpieczone (zasada integralności i poufności - art. 5 ust. 1 lit. f RODO). Dlatego też dokonując powyższych analiz warto współpracować z inspektorami ochrony danych wyznaczonymi w organach Państwowej Inspekcji Sanitarnej oraz w innych podmiotach - z którymi współpracują służby sanitarne - którzy monitorują wszystkie procesy związane z przetwarzaniem danych osobowych i przy tworzeniu nowych uregulowań będą - godząc zadania z zakresu zapobiegania, przeciwdziałania i zwalczania COVID-19 oraz z zakresu właściwego przetwarzania danych osobowych - wskazywać na rozwiązania właściwe i rozsądne. Prezes Urzędu Ochrony Danych Osobowych zwraca się z prośbą, aby szczególną uwagę zwrócić na zakres udostępnianych informacji, np. podczas wywiadów czy konferencji prasowych, dotyczących osób dotkniętych koronawirusem. Podczas ujawniania informacji dotyczących osób fizycznych należy zminimalizować ich zakres danych osobowych. Przekazywanie do publicznej wiadomości jedynie danych niezbędnych pozwoli na zachowanie zasad przetwarzania danych osobowych, a także uchroni osoby, których dane dotyczą przed naruszeniem prywatności, utratą ich godności oraz wykluczeniem społecznym. Zatem, podczas upubliczniania widomości Państwowa Inspekcja Sanitarna powinna, w każdym przypadku, stosować się do zasad określonych w ogólnym rozporządzeniu o ochronie danych, w szczególności do zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). Dotychczasowa praktyka wskazywania np. ogólnie współistniejących chorób, bez podawania szczegółowych jednostek chorobowych, jest jak najbardziej prawidłowa i powinna być kontynuowana w tak wyważonym zakresie. Informacje o osobach zarażonych i poddanych kwarantannie powinny się ograniczać tylko do takich, które pozwolą w sposób wystarczający informować opinię publiczną i unikać chaosu informacyjnego. Realizacja zadań związanych z przeciwdziałaniem COVID-19 wymaga współpracy służb sanitarnych z wieloma organami i podmiotami publicznymi, np. jednostkami samorządu terytorialnego, strażami czy inspekcjami. Warto zwrócić uwagę, że zadania tych podmiotów, które są określone w ustawach regulujących ich działalność w obecnej sytuacji muszą być realizowane we współpracy z Państwową Inspekcją Sanitarną również z uwzględnieniem zmian wprowadzonych specustawą. Prezes Urzędu Ochrony Danych Osobowych mając na uwadze powagę sytuacji, mnogość zadań oraz konieczność podejmowania szeregu działań związanych z przeciwdziałaniem COVID-19 wskazuje, że w przypadku wątpliwości Głównego Inspektora Sanitarnego co do zgodności podejmowanych działań z przepisami o ochronie danych osobowych wyraża pełną gotowość do współpracy oraz wsparcia merytorycznego w zakresie ochrony danych osobowych, 4 tak aby podejmowane działania jednocześnie służyły zapobieganiu i zwalczaniu epidemii oraz nie naruszały prawa do prywatności oraz przepisów o ochronie danych osobowych. W razie konieczności omówienia konkretnych problemów, z którymi stykają się służby sanitarne, proszę o ich zasygnalizowanie. Z poważaniem, Prezes Urzędu Ochrony Danych Osobowych Jan Nowak

Opublikowano: www.uodo.gov.pl