PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 27 marca 2019 r.

Decyzja

ZSZZS.440.60.2018

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149), art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h oraz i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. D. oraz Pani M. D., na nieprawidłowości w procesie przetwarzania danych osobowych ich oraz ich małoletnich dzieci: A. D., M. D. oraz L. D. przez Samodzielny Publiczny Zakład Opieki Zdrowotnej w B. oraz Państwowego Powiatowego Inspektora Sanitarnego w N., Prezes Urzędu Ochrony Danych Osobowych

  1. nakazuje usunięcie przez Państwowego Powiatowego Inspektora Sanitarnego w N., danych osobowych Pani M. D. w zakresie jej numeru telefonu,
  2. odmawia uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana P. D. oraz Pani M. D., zwanych dalej Skarżącymi, na nieprawidłowości w procesie przetwarzania ich danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania i numeru telefonu Skarżącej oraz danych osobowych ich małoletnich dzieci: A. D., M. D. oraz L. D. w zakresie imion, nazwisk, adresu zamieszkania, dat urodzenia, danych medycznych o szczepieniach ochronnych, przez Samodzielny Publiczny Zakład Opieki Zdrowotnej w B., zwany dalej Przychodnią, oraz Państwowego Powiatowego Inspektora Sanitarnego w N, zwany dalej PPIS.

W treści skargi Skarżący wskazali, że Przychodnia bezprawnie udostępniła PPIS dane osobowe ich oraz ich małoletnich dzieci. Skarżący wskazali, że oczekują od Generalnego Inspektora wydania decyzji przywracającej stan sprzed udostępnienia danych, nakazania usunięcia ze zbiorów danych PPIS wszelkich dotyczących ich danych, zakazania przetwarzania  ich danych przez PPIS oraz nałożenia kar na Przychodnię oraz PPIS.

W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny.

  1. Skarżący, jako osoby sprawujące pieczę nad swoimi małoletnimi dziećmi nie wykonali w stosunku do nich obowiązku szczepień ochronnych.
  2. W związku z nierealizowaniem przez Skarżących obowiązku szczepień ochronnych w stosunku do ich małoletnich dzieci, Przychodnia udostępniła ich dane osobowe w zakresie imion, nazwisk, numerów PESEL, adresu zamieszkania, numeru telefonu Skarżącej zawartego w kartach uodpornienia małoletnich dzieci, dat urodzenia małoletnich oraz danych medycznych małoletnich, w szczególności informacje dotyczące obowiązkowych szczepień ochronnych Państwowemu Powiatowemu Inspektorowi Sanitarnemu w N.
  3. PPIS w wyjaśnieniach z […] lipca 2018 r. wskazał, iż dane Skarżących są przetwarzane w związku z koniecznością wyegzekwowania od Skarżących wykonania w stosunku do ich małoletnich dzieci obowiązku szczepień ochronnych.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) (zwanej dalej: ustawą z 2018 r.), tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) (zwanej dalej ustawą z 1997 r.) zgodnie z zasadami określonymi w ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149), (zwanej dalej: k.p.a). Wszelkie czynności podejmowane przez Generalnego Inspektora przed 25 maja 2018 r. pozostają skuteczne.

Konieczne jest podkreślenie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi się w doktrynie „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Jednocześnie niniejszy organ podziela stanowisko wyrażone przez Naczelny Sąd Administracyjny w wyroku z dnia 25 listopada 2013 r., wydanym w sprawie o sygn. akt I OPS 6/1, w którym ww. Sąd wskazał cyt.: „W postępowaniu administracyjnym, regulowanym przepisami Kodeksu postępowania administracyjnego, zasadą jest, że organ administracji publicznej załatwia sprawę przez wydanie decyzji, która rozstrzyga sprawę co do jej istoty, według stanu prawnego i faktycznego na dzień wydania decyzji”.

Prezes Urzędu Ochrony Danych Osobowych musi ocenić czy kwestionowany proces przetwarzania danych osobowych na dzień wydania decyzji administracyjnej jest zgodny z prawem. Odnosząc powyższe do ustalonego stanu faktycznego, podkreślenia wymaga, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, mają dwie okoliczności. Po pierwsze zaznaczyć należy, że udostępnienie danych osobowych Skarżących i ich małoletnich dzieci było zdarzeniem jednorazowym, do którego doszło w okresie obowiązywania ustawy z 1997 r., w związku z czym do oceny zgodności z prawem tej sytuacji zastosowanie mają przepisy tejże ustawy. Po drugie wskazać należy, że udostępnione dane osobowe są nadal przetwarzane przez PPIS, w związku z czym swoje zastosowanie mają tu przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), (zwane dalej: RODO).

Odnosząc się do udostępnienia danych, w pierwszej kolejności wskazać należy, że każda forma przetwarzania danych osobowych tzw. „zwykłych” powinna była znaleźć oparcie w jednej z enumeratywnie wyliczonych w art. 23 ust. 1 ustawy z 1997 r., przesłanek warunkujących legalność tego procesu. Natomiast przetwarzanie danych osobowych tzw. „wrażliwych”, których wyczerpujący katalog określał art. 27 ust. 1 ustawy z 1997 r., powinno było mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2 ustawy z 1997 r. Przesłanki warunkujące legalność przetwarzania danych osobowych, są wyczerpująco wyliczone w wyżej wymienionych przepisach. Każda z nich miała charakter autonomiczny i niezależny. Oznacza to, że przesłanki te były równoprawne, a spełnienie co najmniej jednej z nich stanowiło o zgodnym z prawem przetwarzaniu danych osobowych. Wskazać należy, że niezależnie od zgody osoby, której dane dotyczą, przetwarzanie jej danych osobowych było dopuszczalne między innymi wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa w przypadku przetwarzania danych zwykłych (art. 23 ust. 1 pkt 2 ustawy z 1997 r.). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby której dane dotyczą dozwolone było m.in. w przypadku, gdy przepis szczególny innej ustawy zezwalał na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarzał pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy z 1997 r.).

Zgodnie z art. 5 ust. 1 pkt 1 ppkt b ustawy z dnia 5 grudnia 2008 o zabieganiu oraz zwalczaniu zakażenia i chorób zakaźnych u ludzi (Dz. U. 2008 Nr 234 poz. 1570) (zwanej dalej: u.z.z.) osoby przebywające na terytorium Rzeczpospolitej Polskiej są zobowiązane na zasadach określonych w tej ustawie do poddawania się szczepieniom ochronnym. W przypadku osoby bez pełnej zdolności do czynności prawnych, odpowiedzialność za spełnienie tego obowiązku ponosi osoba, która sprawuje prawną pieczę lub faktyczną opiekę nad osobą małoletnią lub bezradną, zgodnie z art. 3 ust. 1 pkt 1 ustawy z dnia 6 listopada 2008 r. o Prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 z późń. zm.). Co więcej, art. 5 ust. 1 pkt 4 u.z.z. zobowiązuje osoby przebywające na terytorium Rzeczpospolitej Polskiej do udzielania danych osobowych i informacji między innymi organom Państwowej Inspekcji Sanitarnej, które są niezbędne do prowadzenia nadzoru epidemiologicznego nad zakażeniami i chorobami zakaźnymi, zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych oraz informacji niezbędnych do realizacji obowiązków wymienionych w art. 5 ust. 1 pkt 1-3 u.z.z.

Zgodnie z art. 17 ust. 8 u.z.z. osoby przeprowadzające szczepienia ochronne prowadzą dokumentację medyczną dotyczącą obowiązkowych szczepień, przechowują karty uodpornienia, dokonują wpisów potwierdzających wykonanie szczepienia, sporządzają sprawozdania z przeprowadzonych szczepień ochronnych oraz sporządzają sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną  opieka zdrowotna, które przekazywane są do odpowiedniego Państwowego Powiatowego Inspektora Sanitarnego. Artykuł 17 ust. 10 u.z.z. wskazuje, iż wzór sprawozdania określa Rozporządzenie Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych (t.j. Dz. U. z 2018 r. poz. 753), zwane dalej: r.o.s.o., które wymaga umieszczenia w nim wykazu osób uchylających się od szczepień ochronnych (załącznik nr 4, dział drugi r.o.s.o.).

W przedmiotowej sprawie istotne jest rozgraniczenie zakresu danych osobowych przekazanych przez Przychodnię na rzecz PPIS. Jak wykazano, zgodnie z obowiązującym prawem, Przychodnia jest zobowiązana do przygotowania sprawozdania dotyczącego przeprowadzonych szczepień ochronnych i sporządzenia imiennego wykazu osób, które się od szczepień ochronnych uchylają, by umożliwić Państwowej Inspekcji Sanitarnej sprawowanie nadzoru nad wypełnianiem tego obowiązku oraz jego efektywną egzekucję. Wskazać bowiem należy, że przestrzeganie ustawowego obowiązku poddania się szczepieniom ochronnym przeciw chorobom zakaźnym wynikającego z art. 5 ust. 1 pkt 1 ppkt b u.z.z., jak również udzielenie informacji dotyczących jego realizacji zabezpieczone zostało przymusem administracyjnym (tak również: Wojewódzki Sąd Administracyjny w Kielcach wyroku z dnia 21 lutego 2013 r. wydanym w sprawie o sygn. akt II SA/Ke 7/13). Zgodnie bowiem z art. 3 § 1 w zw. z art. 2 §1 pkt 10 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. 2014 r. poz. 1619 ze zm.), zwanej dalej: u.p.e.a. lub ustawą o postępowaniu egzekucyjnym, egzekucję administracyjną stosuje się do obowiązków o charakterze niepieniężnym pozostających we właściwości organów administracji rządowej i samorządu terytorialnego lub przekazanych do egzekucji administracyjnej na podstawie szczególnego przepisu. W rozumieniu art. 1a pkt 13 u.p.e.a. wierzycielem jest podmiot uprawniony do żądania wykonania obowiązku lub jego zabezpieczenia w administracyjnym postępowaniu egzekucyjnym lub zabezpieczającym (tu: PPIS), natomiast zgodnie z art. 5 §1 pkt 2 u.p.e.a. uprawnionym do żądania wykonania w drodze egzekucji administracyjnej obowiązku określonego w art. 2 §1 pkt 10 u.p.e.a. jest organ lub instytucja bezpośrednio zainteresowana w wykonaniu przez zobowiązanego obowiązku albo powołana do czuwania nad wykonaniem obowiązku (por. również wyrok Naczelnego Sądu Administracyjnego z dnia 12 czerwca 2014 r. wydany w sprawie o sygn. akt II OSK 1312/13; wyrok Wojewódzkiego Sądu Administracyjnego w Bydgoszczy z dnia 9 czerwca 2015 r. wydany w sprawie o sygn. akt II SA/Bd 423/15). Uznać zatem należy, że sprawozdanie  sporządzane na podstawie art. 17 ust. 8 pkt 2 u.z.z. powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych czynności egzekucyjnych w przypadku niewykonania obowiązku. Podkreślić bowiem należy, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy o postępowaniu egzekucyjnym. Zgodnie z art. 27 § 1 pkt 2 i 3 u.p.e.a., tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL zobowiązanego oraz treść podlegającego egzekucji obowiązku.

W związku z powyższym, stwierdzić należy że dane osobowe Skarżących w zakresie imienia, nazwiska, numeru PESEL, adresu zamieszkania oraz dat urodzenia małoletnich zostały udostępnione przez Przychodnię na rzecz PPIS na podstawie art. 23 ust. 1 pkt 2 ustawy z 1997 r., a dane ich małoletnich dzieci w zakresie informacji o niewykonanych szczepieniach na podstawie art. 27 ust. 2 pkt 2 ustawy z 1997 r., co w obu przypadkach należy ponownie uznać za adekwatne i celowe w świetle obowiązku nadzorczego pełnionego przez PPIS. Niemniej jednak, dane osobowe w postaci numeru telefonu do Skarżącej nie są niezbędne do przekazania w sprawozdaniu, zgodnie z zakresem danych wymaganych do wydania skutecznego tytułu egzekucyjnego. Tym samym uznać należy, iż dane osobowe Skarżącej w zakresie numeru telefonu zostały udostępnione niezgodnie z przepisami ustawy z 1997 r. w związku z brakiem konieczności przetwarzania tego rodzaju danych osobowych przez PPIS w celu realizacji jego zadań ustawowych. Dodatkowo, udostępnienie danych osobowych zbędnych do realizacji celu ustawowego, uznać należy za nieadekwatne i merytorycznie niepoprawne, a tym samym sprzeczne z art. 26 ust. 1. pkt 3 ustawy z 1997 r., który nakłada na administratora danych obowiązek zapewnienia merytorycznej poprawności i adekwatności danych w stosunku do celów ich przetwarzania. W tym kontekście, adekwatność definiuje się poprzez uznanie, iż „rodzajem i treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. (…) wymóg [ten] sprzeciwia się też zbieraniu zarówno wszelkich danych dla (…) celu nieistotnych, niemających znaczenia, jak i danych o "większym - niż uzasadniony z tego względu - stopniu szczegółowości" (Barta, Janusz, Fajgielski, Paweł i Markiewicz, Ryszard. Art. 26. W: Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015.). Wobec powyższego uznać należy że, Przychodnia nie miała podstawy prawnej zezwalającej na udostępnienie numeru telefonu Skarżącej na rzecz PPIS, a co więcej, zgodnie z obowiązującymi przepisami dotyczącymi egzekucji administracyjnej, dana ta była zbędna do efektywnej egzekucji obowiązku szczepiennego i nie powinna była być przez PPIS przetwarzana. W związku z powyższym, Prezes Urzędu zdecydował o nakazaniu usunięcia przez PPIS danych osobowych Skarżącej w tym zakresie.

Wobec powyższego, należy uznać art. 17 ust. 8 pkt 2 u.z.z., który obliguje Przychodnię do przekazania danych osobowej małoletnich oraz ich rodziców w związku ze spoczywającym na nich obowiązku szczepień do PPIS, za przepis który zezwalał na udostępnienie danych osobowych Skarżących zgodnie art. 23 ust. 1 pkt 2 ustawy z 1997 r. Jednocześnie wskazać należy iż zgodnie z art. 5 ust. 3  ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz. U. z 2017 r. poz. 1261) (zwanej dalej ustawą o PIS), PPIS jest uprawniony przez Ustawodawcę do pełnienia efektywnego nadzoru nad realizacją obowiązku szczepień ochronnych, co wymaga przetwarzania danych osobowych. Co więcej, obowiązek szczepień ochronnych został zabezpieczony przymusem administracyjnym zgodnie z art. 5 ust. 1 pkt 1 lit. b u.z.z. Zgodnie z powyższym, stwierdzić należy że w dane osobowe Skarżących w zakresie imion, nazwiska, numerów PESEL, adresu zamieszkania, dat urodzin małoletnich oraz danych medycznych dotyczących małoletnich zostały udostępnione przez Przychodnię na rzecz PPIS zgodnie z obowiązującymi przepisami. Natomiast dane osobowe Skarżącej w postaci jej numeru telefonu zostały udostępnione przez Przychodnię na rzecz PPIS niezgodnie z obowiązującymi przepisami, wobec czego nakazuje się usunięcie tych danych ze zbioru PPIS.

Odnosząc się natomiast do trwającego procesu przetwarzania danych Skarżących przez PPIS, wskazać należy iż RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z Rozporządzeniem również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze  (art. 6 ust. 1 lit. c RODO). Zgodnie z artykułem 5 ust. 3 ustawy o PIS, do kompetencji PPIS należy ustalanie zakresu i terminów obowiązkowych szczepień ochronnych oraz sprawowanie nadzoru w zakresie wykonywalności obowiązku wykonania szczepień ochronnych, co spełnia wymóg art. 6 ust. 1 lit. c RODO.

Ze względu na szczególną kategorię danych (tzw. danych „wrażliwych”) przetwarzanych w przedmiotowej sprawie rozważyć należy również art. 9 RODO który enumeratywnie określa sytuacje w których takie dane mogą być przetwarzane. Zgodnie z art. 9 RODO przetwarzanie danych wrażliwych jest dozwolone tylko jeśli spełniony jest jeden z warunków art. 9 ust. 2 RODO. Jako możliwe przesłanki zezwalającą na przetwarzanie przepis ten wymienia między innymi przetwarzanie danych do celów profilaktyki zdrowotnej (…) na podstawie prawa Unii lub prawa państwa członkowskiego z zastrzeżeniami ust. 3 (lit. h) oraz przetwarzanie niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego (lit. i). W przedmiotowej sprawie za podstawę prawną należy uznać zarówno art. 9 ust. 2 lit h, w związku z profilaktycznym stosowaniem szczepionek, oraz art. 9 ust. 2 lit. i w związku z interesem publicznym w dziedzinie zdrowia publicznego, jakim jest zapobieganie epidemiom chorób zakaźnych. Obie te podstawy zakładają istnienie podstawy prawnej w postaci przepisu na szczeblu Unii Europejskiej bądź przyjętym przez państwo członkowskie Unii Europejskiej. W Rzeczpospolitej Polskiej takie przepisy zawarte są w ustawie o zabieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.

Zgodnie z powyższą analizą, art. 17 ust. 8 pkt 2 u.z.z. należy uznać za przepis zezwalający na przetwarzanie danych osobowych wrażliwych przez PPIS (tj. dotyczących informacji o poddaniu szczepieniom ochronnym małoletnich dzieci Skarżących). Ponadto, ustawodawca przewidział uprawnienia do pozyskiwania informacji o osobach w celu umożliwienia efektywnego nadzoru nad realizacją obowiązku szczepień ochronnych zgodnie z art. 5 ust. 1 pkt 1 lit. b u.z.z. w zw. z art. 3 ust. 1 u.p.e.a. Powyższe oznacza, że przetwarzanie danych osobowych przez PPIS w zakresie informacji o poddaniu się szczepieniom ochronnym ma oparcie w przesłankach określonych w art. 9 ust. 2 lit. h oraz i RODO.

Zauważyć w tym miejscu należy, iż postępowanie administracyjne prowadzone przez Prezesa Urzędu służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 r. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy, Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym podmiotom (pkt 5), usunięcie danych osobowych (pkt 6).

Odnosząc się do wspomnianych wcześniej żądań Skarżących, wymienionych w piśmie przedmiotowym z dnia [...] kwietnia 2016 r., wskazać należy, że przetwarzanie przez PPIS w zakresie informacji o stanie zdrowia dzieci Skarżących znajduje oparcie w przesłankach określonych w art. 9 ust. 2 lit. h oraz i RODO, a w zakresie pozostałych danych Skarżących oraz ich dzieci w przesłance przewidzianej w art. 6 ust. 1 lit. c RODO, natomiast udostepnienie tych danych przez Przychodnię do PPIS miało oparcie w art. 27 ust. 2 pkt 2 ustawy z 1997 r. w zakresie informacji o stanie zdrowia, a w zakresie pozostałych danych w art. 23 ust. 1 pkt 2 ustawy z 1997 r., wobec czego przychylenie się do żądań Skarżących należy uznać za bezzasadne.

W tym stanie faktycznym oraz prawnym Prezes Urzędu Ochrony Danych Osobowych orzekł, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Zespół ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-03-27
Wprowadził informację:
user Mateusz Wnuk
date 2019-03-29 11:16:31
Ostatnio modyfikował:
user Iwona Jeleń
date 2019-04-24 15:11:53