Ministerstwa żonglują naszymi danymi bez odpowiednich upoważnień prawnych – uważają eksperci. Rząd twierdzi, że działa zgodnie ze swoimi kompetencjami. Sprawie przygląda się Urząd Ochrony Danych Osobowych.

Ministerstwo Edukacji i Nauki opublikowało dane na temat liczby zaszczepionych studentów, doktorantów i pracowników na każdej uczelni. Informacja została przedstawiona w formie statystycznej. Eksperci wskazują jednak, że zanim dane zsumowano, najpierw za pomocą numeru PESEL sprawdzono, kto jest zaszczepiony. Budzi to ich zastrzeżenia. Twierdzą, że doszło do złamania prawa.
- Wielki Brat chce mieć jak najszersze informacje o każdym obywatelu i rozszerza cały czas liczbę zbieranych danych. Istnieje ryzyko, że w przypadku innych rejestrów również może dochodzić do nadużyć, skoro rząd swobodnie interpretuje przepisy i uważa, że pozwalają mu na praktycznie nieograniczone łączenie danych z różnych baz. Możliwe, że w ten sposób zestawiane są informacje w innych rejestrach prowadzonych przez inne resorty - obawia się Krystyna Szumilas, posłanka PO.
Orwell wiecznie żywy
MEiN stoi na stanowisku, że dane zostały pozyskane zgodnie z prawem. Połączyło informacje z dwóch baz - prowadzonego przez ministra nauki rejestru o szkolnictwie wyższym POL-on z danymi ministra zdrowia z Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych. Wskazuje, że wszystkie sprawy, w tym podstawy prawne, zostały uregulowane w porozumieniu między nim a Ministerstwem Zdrowia. Na prośbę DGP o udostępnienie treści tego dokumentu resort na razie nie odpowiedział, przesłał natomiast wyjaśnienie.
- Podstawę prawną połączenia danych z POL-on i platformy stanowią przepisy art. 343, 344, 345 ustawy - Prawo o szkolnictwie wyższym i nauce (dalej: p.s.w.n.) oraz art. 7 ustawy o systemie ochrony zdrowia. A cel takiego działania (weryfikacji) wynika z art. 342 ust. 4 p.s.w.n., zgodnie z którym dane w Systemie POL-on są przetwarzane w celu wykonywania zadań związanych z ustalaniem i realizacją polityki naukowej państwa, (…) nadzorem nad systemem szkolnictwa wyższego i nauki - tłumaczy Anna Ostrowska, rzecznik prasowy MEiN.
- Ta odpowiedź to urzędowy bełkot, którego celem jest zatarcie działania bez podstawy prawnej - mówi prof. Hubert Izdebski, radca prawny, kierownik Katedry Prawa Publicznego i Międzynarodowego SWPS.
Dodaje, że nie ma ustawy o systemie ochrony zdrowia, którą wskazuje ministerstwo. - Chodzi zapewne o ustawę o systemie informacji w ochronie zdrowia, ale i tak podanie ogólnie jej art. 7 nic nie wyjaśnia. Podobnie wyliczenie artykułów prawa o szkolnictwie wyższym i nauce. Wskazują one m.in., co znajduje się w bazie i w jakim celu się ją prowadzi - tłumaczy.
I dodaje: - Nie wiadomo, co szczepienia (zwłaszcza studentów) mają mieć wspólnego z polityką naukową państwa.
Podobnego zdania jest dr Paweł Litwiński, adwokat z Kancelarii Barta Litwiński. - Resort próbuje wyinterpretować kompetencję do przetwarzania danych szczególnych kategorii z ogólnego przepisu, i to dotyczącego celu przetwarzania danych w bazie, a nie kompetencji ministra. Potwierdza to tezę, że nie ma podstawy prawnej do tego, co zostało zrobione - mówi.
Cel statystyczny, dane jednostkowe
Zwróciliśmy się o wyjaśnienia do Ośrodka Przetwarzania Informacji, który na zlecenie MEiN przeprowadził analizę.
- Dane liczbowe o szczepieniach mają charakter statystyczny, a zatem podstawowym celem ich przetwarzania jest cel statystyczny, który jest wynikiem przetwarzania nie poszczególnych danych osobowych, lecz danych zbiorczych, a wynik tego przetwarzania nie odnosi się do konkretnych osób fizycznych, ale do liczbowych zjawisk masowych - wyjaśnia Sławomir Rybka z OPI.
Zaznacza, że na żadnym etapie przetwarzania danych minister nauki ani Ośrodek Przetwarzania Informacji - PIB nie mieli dostępu do szczególnej kategorii danych dotyczących stanu zdrowia poszczególnych osób ani ich nie przetwarzali.
Również z tą argumentacją nie zgadzają się eksperci.
- Najpierw kwestia podstawowa. Wprost wskazano, że do wykonania zestawienia użyto numerów PESEL jako identyfikatorów. Cała operacja odbyła się zatem na danych osobowych, czyli na informacjach dotyczących konkretnych nauczycieli akademickich, doktorantów i studentów. A to oznacza, że doszło do przetwarzania danych osobowych dotyczących zdrowia, bo informacja o tym, kto został zaszczepiony, stanowi szczególną kategorię danych osobowych. A skoro tak, to przetwarzanie tych informacji przez władze publiczne wymaga istnienia ustawowej podstawy prawnej, co wynika wprost z przepisów polskiej konstytucji - uważa dr Paweł Litwiński.
Dodaje, że nie ma znaczenia, że minister i OPI nie mieli dostępu do danych dotyczących stanu zdrowia poszczególnych osób ani ich nie przetwarzali.
- Proces wyglądał zapewne tak, że do bazy osób zaszczepionych zostało skierowane pytanie zawierające numery PESEL studentów, doktoratów i nauczycieli akademickich, a przekazana odpowiedź zawierała numery PESEL zaszczepionych. Wiemy to stąd, że uczelniom przekazano dane statystyczne na poziomie poszczególnych uczelni z podziałem na kategorie. Nikt poza osobami zarządzającymi bazą POL-on nie wie, że określony numer PESEL to doktorant, a inny to student, a więc z prawdopodobieństwem graniczącym z pewnością informacja zwrotna była taka, że do numeru PESEL przyporządkowano informację zaszczepiony/niezaszczepiony - wyjaśnia dr Litwiński.
Na uczelniach chętnie się szczepią / Dziennik Gazeta Prawna - wydanie cyfrowe
Możliwe konsekwencje
Ekspert zaznacza, że porozumienie między ministerstwami nie wystarczy do przekazywania tej rangi informacji i nie może stanowić do niego podstawy. - Z dużym prawdopodobieństwem doszło do przetwarzania szczególnych kategorii danych osobowych bez podstawy prawnej, co stanowi naruszenie RODO i jest zagrożone karą finansową z art. 107 ust. 2 ustawy o ochronie danych osobowych, a także karą pozbawienia wolności do lat trzech - dodaje dr Litwiński.
Hubert Izdebski uważa, że konsekwencje mogą być nawet dalej idące. - Ochrona danych osobowych jest regulowana w pierwszej kolejności w przepisach unijnych. Mogło dojść do ich złamania, więc grożą nam konsekwencje ze strony unijnych instytucji - ostrzega.
Eksperci uważają, że sprawą powinien zająć się Urząd Ochrony Danych Osobowych.
- Nie mamy pewności, czy gdzieś, ktoś nie ma nadal dostępu do danych dotyczących szczepień konkretnych osób. Bo to, że takie dane na którymś etapie tego procesu powstały, jest oczywiste, na co wskazuje użycie numeru PESEL jako identyfikatora. Nie wiemy, czy ta baza istnieje nadal, czy została usunięta, kto ma lub miał do niej dostęp itp. W tej sytuacji z urzędu powinno zostać wszczęte postępowanie przez prezesa UODO - twierdzi dr Litwiński.
Zwróciliśmy się do UODO z prośbą o przedstawienie stanowiska. Na razie bada sprawę. ©℗