Udostępnianie danych osobowych przez przychodnię przedmiotem decyzji Prezesa UODO

Prezes UODO podjął decyzję odmawiającą uwzględnienia skargi dotyczącej udostępnienia danych osobowych przez przychodnię Państwowemu Inspektoratowi Sanitarnemu. Skarżący wskazali, że udostępienie danych nastąpiło bez zgody i podstawy prawnej. Prezes UODO ustalił, że udostępnienie danych było związane z niewykonaniem obowiązku szczepień ochronnych przez małoletnie dzieci skarżących.

Tematyka: Prezes UODO, udostępnienie danych osobowych, Państwowy Inspektorat Sanitarny, RODO, ZapobChoróbU, obowiązek szczepień ochronnych, przetwarzanie danych osobowych, kontrola danych, ochrona danych osobowych

Prezes UODO na podstawie art. 104 § 1 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j.
Dz.U. z 2018 r. poz. 2096 ze zm., dalej jako: KPA) oraz art. 6 ust. 1 lit. c, art. 9 ust. 2 lit. h oraz i, art. 58 ust. 2
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L Nr 119 z 4.5.2016 r., s. 1, dalej jako: RODO)
w decyzji odmawiającej uwzględnienia skargi z 17.6.2019 r. (ZSZZS.440.50.2019) wypowiedział się w kwestii
udostępnienia danych osobowych skarżących oraz ich dzieci Państwowemu Inspektoratowi Sanitarnemu.
Stan faktyczny
Pani M.P., Pan M.P. oraz ich małoletnie dzieci wskazali w skardze skierowanej do Prezesa UODO, że przychodnia
udostępniła na rzecz Państwowego Powiatowego Inspektora Sanitarnego (dalej jako: PPIS) ich dane w zakresie
imion, nazwisk, adresu zamieszkania, dat urodzenia, numerów PESEL oraz informacji dotyczących stanu zdrowia
dzieci.
Skarżący wskazali, że przychodnia udostępniła na rzecz PPIS ich dane osobowe bez zgody i podstawy
prawnej oraz zażądali dostosowania operacji przetwarzania danych osobowych do przepisów o ochronie
danych osobowych oraz wprowadzenia zakazu przetwarzania wskazanych danych w tym zakazu
przekazywania danych innym instytucjom.
Ustalenia faktyczne Prezesa UODO
W toku prowadzonego postępowania administracyjnego, Prezes UODO ustalił, że:
1. skarżąca oraz jej mąż, jako osoby sprawujące pieczę nad małoletnimi dziećmi, nie wykonali w stosunku od nich
obowiązku szczepień ochronnych;
2. w związku z nierealizowaniem przez skarżących obowiązku szczepień ochronnych w stosunku do ich
małoletnich dzieci przychodnia udostępniła ich dane osobowe w zakresie imienia, nazwiska, numeru PESEL,
adresu zamieszkania oraz informacji o niewykonanych szczepieniach Państwowemu Powiatowemu Inspektorowi
Sanitarnemu w celu zrealizowania ciążącego na nich obowiązku prawnego.
Rozstrzygnięcie
Przetwarzanie danych zwykłych regulowane jest w art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych
osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym
przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Natomiast przetwarzanie tzw.
danych wrażliwych uregulowane jest w art. 9 RODO, który enumeratywnie określa sytuacje w których takie
dane mogą być przetwarzane. Zgodnie z art. 9 RODO przetwarzanie danych wrażliwych jest dozwolone tylko jeśli
spełniony jest jeden z warunków wskazanych w ust. 2 tego przepisu. Każda z przesłanek legalizujących proces
przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co
do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem
przetwarzaniu danych osobowych. Wskazać również należy, że zgodnie z art. 6 ust. 1 RODO, przetwarzanie
danych zwykłych może nastąpić niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) i jest
dopuszczalne również wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na
administratorze (art. 6 ust. 1 lit. c RODO). Natomiast dane szczególne mogą być przetwarzane między innymi do
celów profilaktyki zdrowotnej na podstawie prawa UE lub prawa państwa członkowskiego z zastrzeżeniami
ust. 3 (lit. h) oraz gdy przetwarzanie jest niezbędne w związku z interesem publicznym w dziedzinie zdrowia
publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i).
Zgodnie z art. 5 ust. 1 pkt 1 ppkt b ustawy z 5.12.2008 r. o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych
u ludzi (t.j. Dz.U. z 2018 poz. 151 ze zm., dalej jako: ZapobChoróbU) o soby przebywające na terytorium
Rzeczypospolitej Polskiej są zobowiązane na zasadach określonych w tej ustawie do poddawania się
szczepieniom ochronnym. W przypadku osoby bez pełnej zdolności do czynności prawnych, odpowiedzialność za
spełnienie tego obowiązku ponosi osoba, która sprawuje prawną pieczę lub faktyczną opiekę nad osobą małoletnią
lub bezradną, zgodnie z art. 3 ust. 1 pkt 1 ustawy z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j.
Dz.U. z 2019 r. poz. 1127 ze zm.). Co więcej art. 5 ust. 1 pkt 4 ZapobChoróbU zobowiązuje osoby przebywające
na terytorium RP do udzielania danych osobowych i informacji między innymi organom Państwowej

Inspekcji Sanitarnej, które są niezbędne do prowadzenia nadzoru epidemiologicznego nad zakażeniami
i chorobami zakaźnymi, zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych oraz informacji
niezbędnych do realizacji innych obowiązków.
Zgodnie z art. 17 ust. 8 ZapobChoróbU osoby przeprowadzające szczepienia ochronne prowadzą dokumentację
medyczną dotyczącą obowiązkowych szczepień, przechowują karty uodpornienia, dokonują wpisów
potwierdzających wykonanie szczepienia, sporządzają sprawozdania z przeprowadzonych szczepień ochronnych
oraz sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które
przekazywane są do odpowiedniego Państwowego Powiatowego Inspektora Sanitarnego. Artykuł 17 ust. 10
ZapobChoróbU wskazuje, że wzór sprawozdania określa Rozporządzenie Ministra Zdrowia z 18.8.2011 r. w sprawie
obowiązkowych szczepień ochronnych (t.j. Dz.U. z 2018 r. poz. 753), które wymaga umieszczenia w nim wykazu
osób uchylających się od szczepień ochronnych.
Prezes UODO wskazał, że zgodnie z obowiązującym prawem przychodnia jest zobowiązana do przygotowania
sprawozdania dotyczącego przeprowadzonych szczepień ochronnych i sporządzenia imiennego wykazu
osób, które się od szczepień ochronnych uchylają, by umożliwić Państwowej Inspekcji Sanitarnej
sprawowanie nadzoru nad wypełnianiem tego obowiązku oraz jego efektywną egzekucję. Przestrzeganie
ustawowego obowiązku poddania się szczepieniom ochronnym przeciw chorobom zakaźnym wynikającego z art. 5
ust. 1 pkt 1 ppkt b ZapobChoróbU oraz udzielenie informacji dotyczących jego realizacji zabezpieczone zostało
przymusem administracyjnym. Zgodnie z art. 3 § 1 w zw. z art. 2 §1 pkt 10 ustawy z 17.6.1966 r. o postępowaniu
egzekucyjnym w administracji (t.j. Dz.U. 2018 r. poz. 1314 ze zm., dalej jako: EgzAdmU) egzekucję administracyjną
stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji
rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego
przepisu. W rozumieniu art. 1a pkt 13 EgzAdmU wierzycielem jest podmiot uprawniony do żądania wykonania
obowiązku lub jego zabezpieczenia w administracyjnym postępowaniu egzekucyjnym lub zabezpieczającym (w
omawianej sprawie PPIS), natomiast zgodnie z art. 5 §1 pkt 2 EgzAdmU uprawniony do żądania wykonania w drodze
egzekucji administracyjnej obowiązku określonego w art. 2 §1 pkt 10 EgzAdmU jest organ lub instytucja
bezpośrednio zainteresowana wykonaniem przez zobowiązanego obowiązku albo powołana do czuwania nad
wykonaniem obowiązku. Należy zatem uznać, że sprawozdanie sporządzane na podstawie art. 17 ust. 8 pkt 2
ZapobChoróbU powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji
Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych
czynności egzekucyjnych w przypadku niewykonania obowiązku. Podkreślić należy, że zarówno dane pozyskiwane
przez PPIS, jak i udostępniane temu organowi muszą być również wystarczające do prowadzenia skutecznej
egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zgodnie z art. 27
§ 1 pkt 2 i 3 EgzAdmU tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL
zobowiązanego oraz treść podlegającego egzekucji obowiązku.
Dane osobowe skarżących w zakresie imienia, nazwiska, numeru PESEL, adresu zamieszkania zostały
udostępnione przez przychodnię na rzecz PPIS na podstawie art. 6 ust. 1 lit. c RODO, a dane ich małoletnich
dzieci w zakresie informacji o niewykonanych szczepieniach na podstawie art. 9 ust. 2 lit. h oraz i RODO, co
w obu przypadkach należy ponownie uznać za adekwatne i celowe w świetle obowiązku nadzorczego
pełnionego przez PPIS.
W odniesieniu do żądań skarżących, wskazano, że udostępnienie danych w zakresie informacji o stanie zdrowia
dziecka skarżących przez przychodnię do PPIS miało oparcie w art. 9 ust. 2 lit h oraz i RODO w zakresie
informacji o stanie zdrowia, a w zakresie pozostałych danych w art. 6 ust. 1 lit. c RODO, wobec czego w tym
zakresie danych przychylenie się do żądań skarżących uznano za bezzasadne. Natomiast w związku
z żądaniem przeprowadzenia kontroli w przychodni Prezes UODO zwrócił uwagę, że kompleksowe czynności
kontrolne w sprawie przetwarzania i zabezpieczania danych przez określonego administratora danych mogą
zostać podjęte przez Prezesa UODO z urzędu, po otrzymaniu informacji o niezgodnych z prawem działaniach
podmiotu i po dokonaniu wstępnej oceny zasadności stawianych mu zarzutów, jednak decyzję
o przeprowadzeniu tych czynności organ podejmuje samodzielnie w oparciu o uzasadnione podejrzenie
naruszania przepisów RODO. W przedmiotowej sprawie skazać należy, że kwestionowane przez skarżącą
okoliczności wynikały z celowego działania przychodni, zgodnego z obowiązującymi przepisami, wobec
czego żądanie przeprowadzenia kontroli należy uznać za bezpodstawne.
W omawianej sprawie ustalono, że udostępnienie danych osobowych skarżących przez przychodnię na rzecz PPIS
oraz ich przetwarzanie przez ten organ nie stanowiło naruszenia przepisów o ochronie danych osobowych, wobec
czego zastosowanie uprawnień naprawczych wynikających z art. 58 ust. 2 RODO jest bezzasadne.

ZSZZS.440.50.2019

Prezes UODO uznał, że udostępnienie danych osobowych było zgodne z przepisami RODO oraz ZapobChoróbU. Decyzja Prezesa UODO odrzucająca skargę skarżących została uzasadniona przepisami prawa dotyczącymi przetwarzania danych osobowych oraz obowiązków związanych ze szczepieniami ochronnymi.