Nieprawidłowa podstawa prawna i udostępnianie szczególnej kategorii danych osobom nieuprawnionym – zdaniem ekspertów akcja bezpośredniego zachęcania do szczepień odbywa się z pogwałceniem prawa do prywatności.

Telefony z NFZ do osób niezaszczepionych to jedna z inicjatyw, które miały zachęcać do przyjęcia szczepionki. Szybko jednak wzbudziła wątpliwości związane – po stronie placówek medycznych, jak i samych pacjentów. Okazało się, że obywatele unikają rozmów z dzwoniącymi urzędnikami i składają oświadczenia o „niewyrażeniu zgody na przekazanie danych osobowych podmiotom trzecim w celu realizacji telefonicznego zachęcania do zapisania na szczepienie przeciw COVID-19”. Reakcją był komunikat Ministerstwa Zdrowia, że nie wywołują one skutków prawnych. – Przetwarzanie danych osobowych nie jest bowiem oparte na podstawie udzielonej zgody, lecz na podstawie przepisu prawa powszechnie obowiązującego – argumentował resort, podkreślając, że art. 7a rozporządzenia Rady Ministrów z 6 maja 2021 r. w sprawie ustanowienia określonych ograniczeń, nakazów i zakazów w związku z wystąpieniem stanu epidemii (t.j. Dz.U. poz. 861 ze zm.) „kreuje możliwość przekazania danych obejmujące imię i nazwisko, numer PESEL oraz numer telefonu do NFZ w celu poinformowania Polaków o możliwości poddania się szczepieniu przeciwko COVID-19”. Zaś podstawę prawną na gruncie RODO stanowi nie zgoda, a wykonanie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).

Eksperci innego zdania

Zdaniem dr. Pawła Litwińskiego, adwokata z kancelarii Barta Litwiński, z prawnego punktu widzenia sytuacja wygląda wręcz odwrotnie. – Resort w tym zakresie powołuje się na art. 7a rozporządzenia (...). Tymczasem nie jest to właściwa podstawa prawna, bowiem musi to być przepis rangi ustawowej – wskazuje, podkreślając, że wynika to nie tyle z przepisów RODO, ile z konstytucji. – Niestety w tym przypadku po raz kolejny mamy do czynienia z zarządzaniem stanem epidemii za pomocą rozporządzeń, nad czym, jako prawnicy, ubolewamy od początku pandemii – dodaje.
Podobne wątpliwości ma Urząd Ochrony Danych Osobowych. – System prawa polskiego przewiduje, że zasadnicza materia regulacji praw i obowiązków jest przedmiotem ustaw, a nie rozporządzeń wykonawczych – czytamy w przesłanym do nas komunikacie. Urząd podkreśla, że projekt rozporządzenia, które stoi u podstaw przekazania danych, nie został w czasie procesu legislacyjnego podany opiniowaniu przez UODO. Również z oceny skutków regulacji nie wynika, aby jego autorzy poddali analizie następstwa planowanych operacji przetwarzania dla ochrony danych osobowych, do czego są zobowiązani zgodnie z art. 35 RODO. – Umożliwiłoby to zarówno projektodawcy, jak i organowi nadzorczemu, ocenę modelu przyjmowanych rozwiązań, choćby co do spełnienia postulatu zgodności z zasadami dotyczącymi przetwarzania danych – podkreśla UODO.
Czy jednak, pomijając problem wadliwej podstawy prawnej, pomysł na infolinię dla niezaszczepionych z punktu widzenia RODO mógł się udać? Okazuje się, że niekoniecznie. Zdaniem dr. Litwińskiego urzędnik NFZ czy jakikolwiek inny operator infolinii mógłby bowiem uzyskać dostęp wyłącznie do tzw. zwykłych danych, czyli imienia, nazwiska, numeru PESEL i numeru telefonu. – To, co wydaje mi się, umyka w dyskusji nad tym problemem, to fakt, że operator posiada informację o tym, że konkretna osoba nie jest zaszczepiona. Zaś w tym momencie przechodzimy już do danych o zdrowiu, a więc ich szczególnej kategorii – alarmuje ekspert.
Podkreśla, że przetwarzanie takich danych jest możliwe na gruncie RODO, bo art. 9 ust. 2 lit. h przewiduje taką możliwość, jeśli jest to niezbędne do celów profilaktyki zdrowotnej (a szczepienia ochronne są za nią uznawane). Jednak w takim wypadku RODO wymaga, by pracownik je przetwarzający podlegał obowiązkowi zachowania tajemnicy zawodowej – bądź na podstawie przepisów unijnych, bądź krajowych. – Co oznacza, że w tej sytuacji operatorem infolinii mógłby być wyłącznie lekarz – wskazuje dr Litwiński.
Co równie istotne, problemu zachowania tajemnicy nie można rozwiązać za pomocą umów o poufności (non-disclosure agreement). – RODO wyraźnie wskazuje na tajemnicę zawodową. Stąd nie ma możliwości rozprawienia się z problemem za pomocą umów z operatorami infolinii – podkreśla ekspert.

Za próbę kontaktu do sądu?

Co zatem zrobić, gdy zadzwoni do nas NFZ? Doktor Litwiński wskazuje, że należy rozróżnić kwestię braku obowiązku rozmowy – pracownik infolinii bowiem to nie rachmistrz, dlatego nikt nie ma obowiązku z nim rozmawiać – od tego, czy w ogóle powinno się do nas dzwonić. – Ze względu na wadliwą podstawę prawną i fakt, że urzędnik nie powinien uzyskać danych o tym, że nie jesteśmy zaszczepieni – moim zdaniem NFZ nie powinien dzwonić. A jeśli to robi, to znaczy, że mamy dowód na to, iż doszło do naruszenia ochrony naszych danych osobowych – wskazuje.
Podkreśla również, że na tej podstawie widać duże szanse powodzenia na wygranie powództwa przed sądem powszechnym, skierowanego przeciwko Skarbowi Państwa. Podobną drogę wskazuje UODO. – Każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO – informuje urząd. Wskazuje również, że w razie wątpliwości co do prawidłowości postępowania z naszymi danymi można złożyć skargę do UODO.
Można mieć zatem wątpliwości, czy gra jest warta świeczki. NFZ poinformował DGP, że skuteczność kampanii wynosi 8 proc. Chodzi o osoby, które zarezerwowały termin szczepienia od razu podczas rozmowy lub zadeklarowały, że samodzielnie zapiszą się na podanie szczepionki. Konsultanci infolinii Narodowego Programu Szczepień wykonali 700 tys. telefonów. Tymczasem pałeczkę w tej konkurencji mają przejąć lekarze rodzinni. Wczoraj weszło w życie zarządzenie prezesa NFZ przyznające im premie za skuteczne zachęcanie do szczepień. Sami nie kryją jednak wątpliwości, co do sensu tej akcji na tym etapie.©℗
Dane osobowe szczególne - art. 9 RODO