W związku z wieloma pytaniami dotyczącymi przetwarzania danych dotyczących zdrowia na skutek działań zapobiegających rozprzestrzenianiu się wirusa COVID-19, informujemy, że po uzyskaniu informacji o dodatnim wyniku zakażania koronawirusem SARs-CoV-2, sanepid rozpoczyna dochodzenie epidemiologiczne, które obejmuje ustalenie osób, z którymi zarażony miał kontakt.
Podstawa prawna przekazywania danych osobowych do sanepidu
Obowiązki wynikające z wytycznych sanitarno-epidemiologicznych
Dyrektor placówki oświatowej realizuje obowiązki wynikające z wytycznych GIS, Ministra Zdrowia i Ministra Edukacji Narodowej. Z wytycznych wynika zaś, że w przypadku potwierdzonego zakażenia SARS-CoV-2 na terenie placówki należy stosować się do zaleceń państwowego powiatowego inspektora sanitarnego. Rekomenduje się ustalenie listy osób przebywających w tym samym czasie w części/częściach podmiotu, w których przebywała osoba podejrzana o zakażenie i zalecenie stosowania się do wytycznych Głównego Inspektora Sanitarnego dostępnych na stronie https://www.gov.pl/web/koronawirus/ oraz https://gis.gov.pl/ odnoszących się do osób, które miały kontakt z zakażonym.
Dyrektor jest obowiązany przestrzegać wytycznych GIS, MZ i MEN. Ich realizacja jest więc wykonywaniem obowiązku prawnego.
Przepisy szczególne związane z działaniami zapobiegającymi rozprzestrzenianiu się wirusa COVID-19 korespondują z przepisami RODO, które również przewidują sytuacje związane z ochroną zdrowia i zapobieganiem rozprzestrzeniania się chorób zakaźnych (art. 9 ust. 2 lit i art. 6 ust. 1 lit d). Zgodnie z motywem 46 RODO przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą np. gdy przetwarzanie jest niezbędne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.
Jeżeli zatem dyrektor tworzy listę osób, które mogły mieć styczność z osobą zakażoną i przekazuje dane tych osób do sanepidu, to tym samym wykonuje obowiązek prawny. Zakres danych, o które sanepid może się ubiegać wskazuje treść art. 32a Ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, 21.
Ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. z 2020r. poz. 1845) – art. 32a