Do kancelarii prawnych już zgłaszają się osoby, które uważają, że rząd bezprawnie wykorzystał ich dane, aby dowiedzieć się, ile osób na uczelniach jest zaszczepionych. Oczekują zadośćuczynienia
Dane ponad 1 mln studentów, ok. 100 tys. pracowników uczelni oraz 30 tys. doktorantów zostały przekazane między Ministerstwem Edukacji i Nauki (MEiN) oraz Ministerstwem Zdrowia (MZ) bez wystarczającej podstawy prawnej - uważają eksperci.
- Zgłaszają się do nas osoby, których dane bezprawnie wykorzystano. Postępowania trwają. Wnioski są kierowane zarówno do prezesa Urzędu Ochrony Danych Osobowych (UODO), jak i do prokuratury - przyznaje radca prawny, który pomaga pokrzywdzonym (prosi o nieujawnianie danych).
UODO zabiera głos
Resorty nauki i zdrowia podkreślają, że chciały jedynie ustalić, ile zaszczepionych jest na uczelniach. - MEiN podpisało porozumienie z MZ. Porównane zostały dane z systemu POL-on oraz Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych - potwierdza Anna Ostrowska, rzeczniczka MEiN. Na podstawie zawartego porozumienia Centrum e-Zdrowia oraz Ośrodek Przetwarzania Informacji - Państwowy Instytut Badawczy sprawdziły, ilu studentów, doktorantów i nauczycieli akademickich jest zaczepionych. Posłużyły się w tym celu numerami PESEL. Dane zostały zsumowane i przesłane zbiorczo do uczelni. Jednak zastrzeżenia ekspertów budzi to, że połączono dane z dwóch baz. Rzecznicy resortów podkreślają, że cała procedura odbyła się zgodnie z prawem.
Jednak specjaliści uważają, że ministerstwa przekroczyły swoje kompetencje. Z odpowiedzi UODO na pytanie DGP wynika, że minister edukacji nie ma prawa dostępu do danych zawartych na platformie dotyczącej zdarzeń medycznych, a minister zdrowia nie ma prawa wglądu do bazy o studentach, doktorantach i pracownikach uczelni zawartych w systemie POL-on, przepisy zaś zastrzegają, że danych tych się nie udostępnia (odpowiedź UODO - patrz ramka).
Dalsze kroki
Ewa Kurowska-Tober, współkierująca globalnym zespołem ochrony danych osobowych, prywatności i cyberbezpieczeństwa z Kancelarii Prawnej DLA Piper, wyjaśnia, że pokrzywdzeni mogą złożyć skargę do prezesa UODO. - Zgodnie z art. 77 RODO osoba, której dane dotyczą, ma prawo złożyć skargę do organu nadzorczego, w tym przypadku prezesa UODO, jeżeli sądzi, że ich przetwarzanie narusza przepisy RODO. A z takim przypadkiem mamy prawdopodobnie do czynienia. Można też wnieść powództwo cywilne do sądu, dochodząc odszkodowania - wyjaśnia.
W tym wypadku naruszenie mogło mieć miejsce zarówno po stronie MZ, jak i MEiN. - Nie mamy pełnej wiedzy o stanie faktycznym, więc trudno jednoznacznie przesądzać. Należy jednak podkreślić, że dane o zaszczepionych osobach jako dane o zdrowiu stanowią dane szczególnej kategorii i jako takie podlegają szczególnym zasadom przetwarzania. Trudno znaleźć podstawę prawną, która by dopuszczała połączenie takich informacji z danymi z bazy resortu edukacji w celu przygotowania zbiorczego zestawienia osób zaszczepionych - ocenia.
Ekspertka tłumaczy, że złożenie skargi do prezesa UODO skutkuje rozpoczęciem postępowania, które w przypadku stwierdzenia naruszenia przepisów RODO może skończyć się nawet nałożeniem kary na organy za to odpowiedzialne. W przypadku postępowania sądowego możliwe jest dochodzenie odszkodowania pieniężnego lub innego zadośćuczynieniazgodnie z art. 82 RODO.
- Ponadto w sytuacji stwierdzenia naruszenia ochrony danych osobowych przez ministerstwa prezes UODO ma do dyspozycji kilka możliwości. Może ograniczyć się do upomnienia lub nałożyć karę finansową. Należy jednak pamiętać, że podmiotom z sektora finansów publicznych, do których zalicza się organy administracji rządowej, grożą niższe kary niż w sektorze prywatnym, w wymiarze do 100 tys. zł - wskazuje. ©℗
Odpowiedź Urzędu Ochrony Danych Osobowych na pytane DGP (skrót)
Należy wziąć pod uwagę przepisy ustawy z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (t.j. Dz.U. z 2021 r. poz. 666 ze zm.). Jej art. 7 określa zasady funkcjonowania Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych. Regulacja ta określa kto, w jakim zakresie oraz do jakiego celu ma dostęp do danych zgromadzonych w tym systemie. Wśród podmiotów wymienionych w art. 7 ustawy o systemie informacji w ochronie zdrowia nie ma jednak Ministerstwa Edukacji i Nauki oraz Ośrodka Przetwarzania Informacji. Należy też wziąć pod uwagę przepisy ustawy z 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (t.j. Dz.U. z 2021 r. poz. 478 ze zm.), która reguluje kwestie związane z funkcjonowaniem systemu POL-on. Przepisy tej ustawy nie przyznają ministrowi zdrowia dostępu do danych w tych wykazach. A przepisy dotyczące tych wykazów określają, że danych tych się nie udostępnia. Podstawą do udostępniania danych nie może być porozumienie, skoro z przepisów wynikają jasne zasady przetwarzania.
Warto w tym miejscu wskazać na ryzyka związane z łączeniem publicznych baz danych. Zgodnie z treścią motywu 31 RODO, odnoszącym się do ujawniania danych oraz ryzyka łączenia zbiorów, żądanie ujawnienia danych osobowych, z którym występują organy publiczne, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych. Przetwarzając otrzymane dane, takie organy powinny przestrzegać mających zastosowanie przepisów, zgodnie z celami przetwarzania.
