Niedawno informowaliśmy o najnowszym rządowym rozporządzeniu, z którego wynika, że dane osób, które nie poddały się szczepieniu przeciwko COVID-19, będą udostępniane Narodowemu Funduszowi Zdrowia z systemu teleinformatycznego. Z dokumentu wynika, że NFZ będzie przetwarzać dane niezaszczepionych obejmujące m.in. imię i nazwisko, numer PESEL oraz numer telefonu.
- Konsultanci infolinii będą telefonować do osób, które nie zostały zaszczepione i nie mają umówionego terminu, z konkretną propozycją jego ustalenia. Jednocześnie będą zapisywali na dogodny dla danej osoby termin - informuje Sylwia Wądrzyk, dyrektor Biura Komunikacji Społecznej NFZ. Jej zdaniem dane nie będą udostępniane żadnym zewnętrznym podmiotom.
Rząd powinien takie decyzje skonsultować z Urzędem Ochrony Danych Osobowych. Tymczasem Adam Sanocki, rzecznik UODO, w przesłanym do nas komentarzu twierdzi, że rząd nie zapytał się urzędu o zdanie. - Nowego rozporządzenia nie skonsultowano ani z nami, ani z innymi podmiotami - mówi.
Okazuje się, że UODO zapoznał się z treścią projektu rozporządzenia dopiero po jego wejściu w życie. Zdaniem Adama Sanockiego najważniejszym wnioskiem z tej lektury jest brak uzasadnienia, w jakim celu dane niezaszczepionych mają być udostępniane.
Bez konsultacji ani rusz
- Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych umożliwiłaby projektodawcy i organowi nadzorczemu ocenę modelu przyjmowanych rozwiązań. Jednocześnie system prawa polskiego przewiduje, że zasadnicza materia regulacji praw i obowiązków jest przedmiotem ustaw, a nie rozporządzeń wykonawczych - podkreśla Adam Sanocki.
Eksperci zajmujący się RODO nie mają wątpliwości, że nowa rządowa inicjatywa powinna być skonsultowana z UODO. - Chodzi w tym wypadku nie tylko o kwestie bezpieczeństwa, ale także o zapewnienie realizacji innych zasad wynikających z RODO. Na przykład: w jakim celu dane niezaszczepionych będą przekazywane, a także na jak długo - komentuje Łukasz Onysyk z firmy AURACO.
Z kolei Tomasz Czarnecki, prezes zarządu firmy DOIT.BIZ, uważa, że powinna być jasno wskazana podstawa prawna, która umożliwia przetwarzanie danych osobowych. Według niego rozporządzenie nie jest wystarczającym aktem prawnym, który może być podstawą do przetwarzania danych osobowych.
W tym kontekście cytuje art. 51 pkt. 1 polskiej Konstytucji, który mówi, że: "Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym".
- Dodatkowo w przypadku wprowadzania nowego procesu przetwarzania danych zgodnie z kryterium dużej skali osób, których dane będą przetwarzane, NFZ powinien przeprowadzić tzw. procedurę DPIA (ocena skutków dla ochrony danych). Dopiero z niej powinno wynikać, czy należy przeprowadzić konsultacje z UODO. Ostatecznie to one zadecydowałyby, czy przetwarzanie danych będzie można realizować - twierdzi Tomasz Czarnecki.
W ostatnim czasie na szczepienie mogą zapisać się coraz młodsze osoby. Od 7 czerwca rozpoczęły się m.in. szczepienia dzieci w wieku od 12 do 15 lat. To jak dotąd najmłodsza grupa osób rekomendowanych do szczepienia przeciwko COVID-19. Razem z grupą 16-18 lat zaszczepić się może m.in. ponad 2,5 mln uczniów z ok. 24 tys. szkół i placówek.
Z najnowszych danych wynika, że do tej pory w Polsce wykonano 22 340 624 szczepień. W pełni zaszczepionych jest obecnie 8 368 827 Polaków.