Aktualności
23 marca 2020RODO w czasie epidemii - opinia ZPP
Od powiatów docierają do nas sygnały, że na czas epidemii powinno zostać zawieszone RODO, które poważnie utrudnia wymianę informacji pomiędzy służbami. Pytanie czy to możliwe oraz czy rzeczywiści jest taka potrzeba?
Możliwe ograniczenia w zakresie stosowania RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w art. 23 dopuszcza aby państwo członkowskie aktem prawnym ograniczyło zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5, jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym m.in. zdrowiu publicznemu. Obowiązująca ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych zawiera szereg wyłączeń w zakresie stosowania RODO, również na podstawie art. 23, nie ma jednak wśród nich przetwarzania danych osobowych w związku z ochroną zdrowia publicznego. Aby zmienić stan prawny odpowiednie działania legislacyjne musiałby podjąć Sejm.
Natomiast bez zmiany stanu prawnego warto przypomnieć kilka zasad, które ułatwią administratorom danych osobowych oraz odbiorcą danych właściwe postępowanie.
Podstawa prawna przetwarzania danych osobowych
RODO nie zakazuje przekazywania danych pomiędzy organami administracji publicznej, służbami sanitarnymi czy podmiotami leczniczymi. Zgodnie z tezą 4 preambuły RODO przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. W RODO wprost wskazano, że należy przewidzieć możliwość przekazywania danych, m.in. jeżeli wymaga tego ważny interes publiczny określony w prawie Unii lub prawie państwa członkowskiego. Wyjątki te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego z uwagi na ważne względy interesu publicznego, na przykład do wymiany danych między służbami odpowiedzialnymi za sprawy zabezpieczenia społecznego lub za zdrowie publiczne w przypadku ustalania kontaktów zakaźnych w razie chorób zakaźnych (teza 111 i 112 w Preambule RODO).
Przetwarzanie danych osobowych, to również ich pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, co wprost wynika z art. 4 pkt 2 RODO.
Art. 9 ust. 2 RODO zawiera podstawy prawne przetwarzania tzw. danych osobowych wrażliwych w tym danych dotyczących stanu zdrowia. Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą (teza 35 w Preambule ROD), zatem należy przyjąć, że np. przetwarzanie danych osobowych osoby zdrowej pozostającej w prewencyjnej kwarantannie na podstawie §2 pkt 2 Rozporządzenia Ministra Zdrowia w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu epidemii będzie dotyczyło przetwarzania danych osobowych wrażliwych.
W związku z epidemią może wystąpić więcej niż jedna podstawa prawna przetwarzania danych osobowych. Również w zależności od kategorii podmiotu przetwarzającego dane osobowe, przetwarzanie danych osobowych może odbywać się na odmiennych podstawach prawnych. Podstawy prawne jakie należy brać pod uwagę to:
- Art. 9 ust. 2 lit. i RODO - przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa;
- Art. 9 ust. 2 lit. h RODO - przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
- Art. 9 ust. 2 lit b RODO - przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
Przetwarzanie danych osobowych przez jednostki samorządu terytorialnego w związku z epidemią
Zapobieganie oraz zwalczenie chorób zakaźnych co do zasady jest zadaniem administracji rządowej, na co wskazują przepisy ustawy z 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń oraz chorób zakaźnych u ludzi, ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych czy rozporządzenia Ministra Zdrowia z dnia 20 marca 2020 r. w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu epidemii.
Abstrahując w tym momencie od pewnego bałaganu legislacyjnego, który wynika z nieprecyzyjnych zapisów ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym oraz wątpliwości co do możliwości stosowania tej ustawy w przypadku istnienia wyżej wymienionych przepisów szczególnych, niewątpliwie epidemia mieści się w pojęciu sytuacji kryzysowej w rozumieniu art. 3 pkt 1 ustawy o zarządzaniu kryzysowym a starosta i wójt są organami właściwymi w sprawach zarządzania kryzysowego na obszarze odpowiednio powiatu i gminy. Podstawą przetwarzania danych będzie art. 9 ust. 2 lit. i RODO w zw. z art. 20a ustawy o zarządzaniu kryzysowym, zgodnie z którym organy właściwe w sprawach zarządzania kryzysowego mają prawo żądania udzielenia informacji, gromadzenia i przetwarzania danych osobowych niezbędnych do realizacji zadań określonych w ustawie. Należy zaznaczyć, że w stanie epidemii starosta czy wójt jako organy właściwe w sprawach zarządzania kryzysowego zasadniczo będą pozyskiwać informacje niebezpośrednio od osób których dane dotyczą. W zakresie realizacji obowiązku informacyjnego w takim przypadku, to warto przypomnieć, że jest on wyłączony, jeżeli jego realizacja okazuje się niemożliwa lub wymagałaby niewspółmiernie dużego wysiłku lub gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 lit. b i c RODO).
Jednostki pomocy społecznej są uprawnione do przetwarzania danych osobowych, w zakresie w jakim jest to konieczne dla zapewnienia wsparcia mieszkańcom w sytuacji kryzysowej. Jedną z przyczyn udzielania pomocy społecznej jest wystąpienie sytuacji kryzysowej (art. 7 pkt 14 ustawy o pomocy społecznej), w tym wystąpienie sytuacji kryzysowej na masową skalę (art. 48b ust. 5 pkt 2 ustawy o pomocy społecznej). Podstawą przetwarzania danych osobowych będzie tutaj art. Art. 9 ust. 2 lit b RODO w zw. z art. 100 ust. 2 ustawy o pomocy społecznej (podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z ustawy).
r.pr. Bernadeta Skóbel