Coraz częściej pojawiają się pytania, związane z nasilającym się zjawiskiem sprzeciwu wobec przekazywania danych osobowych przez pracodawców, do właściwych terytorialnie stacji sanitarno-epidemiologicznych.
Argumentem podnoszonym przez osoby składające sprzeciw jest z reguły brak ich zgody na przetwarzanie ich danych osobowych w tym właśnie celu.
Może to powodować problem z podjęciem decyzji jak w takiej sytuacji należy postąpić: czy przychylić się do żądania udostępnienia danych, wystosowanego przez organ powołany do określonych działań na polu przeciwdziałania rozprzestrzeniania się epidemii czy też uwzględnić sprzeciw osoby, która jest „właścicielem” przekazywanych danych.
Tym bardziej, że wnioski od „właścicieli” nierzadko zawierają groźbę złożenia skargi na postępowanie udostępniającego do Urzędu Ochrony Danych Osobowych.
Wyjaśniamy jak należy wyjść z tej sytuacji nie narażając się na konsekwencje prawne.
Stosowne przepisy, które nadają szczególne uprawnienia inspekcji sanitarnej nie są wcale nowe i zostały wdrożone w obliczu pandemii. Zgodnie z art. 32a ust. 1 i 2 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi Państwowy Inspektor Sanitarny lub Główny Inspektor Sanitarny ma prawo żądania wskazanych informacji „(…) od każdego kto takie dane posiada (…)” a w szczególności:
O osobach zakażonych lub podejrzanych o zakażenie, chorych lub podejrzanych o chorobę zakaźną, osobach zmarłych z powodu choroby zakaźnej lub osobach, wobec których istnieje takie podejrzenie,
O osobach, które mogły mieć styczność z osobami, o których mowa w pkt 1
Jak zatem widzimy możliwość udostępniania danych na wezwania sanepidu została przewidziana już ponad dekadę temu. W dalszej części ustawa precyzuje, które dane osobowe należy udostępniać.
Konkretny zakres danych, które należy udostępnić na wezwanie sanepidu został zdefiniowany w ust. 2, który ma następujące brzmienie:
„Dane osób, o których mowa w ust. 1, obejmują:
imię i nazwisko;
datę urodzenia;
numer PESEL, a w przypadku gdy osobie nie nadano tego numeru – serię i numer paszportu albo numer identyfikacyjny innego dokumentu, na podstawie którego jest możliwe ustalenie danych osobowych;
płeć;
adres miejsca zamieszkania;
informacje o aktualnym miejscu pobytu;
numer telefonu kontaktowego oraz adres poczty elektronicznej lub innych środków komunikacji elektronicznej;
rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz charakterystykę podstawowych objawów klinicznych i biologicznego czynnika chorobotwórczego;
okoliczności narażenia na zakażenie, ze szczególnym uwzględnieniem czynników ryzyka;
trasę podróży krajowej lub międzynarodowej oraz wykorzystywane podczas niej przez osobę chorą lub zakażoną środki transportu;
miejsca pobytu osoby zakażonej w okresie wylęgania choroby.”
Ponadto zgodnie z definicją zawartą w RODO (art. 4 pkt 9): „(…). Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania (…), nie są jednak uznawane za odbiorców; (…)” a tym samym administrator nie ma obowiązku informować o fakcie przekazania danych osobowych osoby, której dane dotyczą.
PODSUMOWUJĄC:
Przekazanie danych osobowych wskazanych osób oraz w zakresach, które określi sanepid jest obowiązkowe. Natomiast podstawą do ich przekazania nie jest zgoda osoby, której dane dotyczą a obowiązek prawny wynikający z powyższych przepisów.
Osoba, która w tym zakresie nie zgadza się z tym faktem, może rzecz jasna dochodzić swoich praw, jednak argumenty, będą przemawiały przeciw niej.
Niemniej w każdej sytuacji związanej z wątpliwościami w zakresie udostępniania danych osobowych, których jesteście administratorami warto zasięgnąć opinii fachowca. Zapraszamy do kontaktu i współpracy w zakresie ochrony danych osobowych w firmach.
Dodatkowe informacje: