Rzecznik praw obywatelskich wystąpił do Ministerstwa Zdrowia w sprawie tzw. paszportów covidowych. Wskazał, że do jego biura zgłosiła się kobieta, która w czerwcu zaszczepiła się, dzięki czemu uzyskała Unijny Certyfikat COVID. Następnie doszło u niej do zmiany numeru PESEL. Przypomnijmy, jest to możliwe m.in. w przypadku błędu urzędnika, zmiany daty urodzenia czy płci. Okazało się, że nowy numer identyfikacyjny zaktualizował się w prawie wszystkich publicznych systemach. Prawie, bowiem z Internetowego Konta Pacjenta zniknął certyfikat szczepienia, zaś Centrum e-Zdrowia odmówiło „przepisania” go na nowe dane.
W związku z tym RPO zwrócił się do Centrum e-Zdrowia z prośbą o wyjaśnienie sytuacji. Jego zdaniem zgłoszenie przez obywatela utraty dostępu do dokumentacji medycznej zgromadzonej w systemie teleinformatycznym (a za taką rzecznik uznał unijny certyfikat o zaszczepieniu) ze względu na zmianę danych identyfikacyjnych powinno zostać rozpatrzone z uwzględnieniem przepisów rozporządzeń Parlamentu Europejskiego i Rady dotyczących unijnych cyfrowych zaświadczeń COVID oraz RODO. Co za tym idzie – Centrum e-Zdrowia powinno wydać nowy certyfikat, uwzględniając nową tożsamość obywatela.
W odpowiedzi CeZ wskazało, że obecnie nie ma możliwości przepisania dokumentacji medycznej dotyczącej szczepień na nowo nadany numer PESEL. Przy tym – jak wskazuje poproszone o komentarz Biuro RPO – nie sprecyzowano, czy to kwestie techniczne, czy np. prawne stoją na przeszkodzie. Sprawę skierowano do Ministerstwa Zdrowia jako organu odpowiedzialnego za dalsze procedowanie tej sprawy. Tam również zwrócił się RPO ze swoją interwencją.
Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, podkreśla, że z punktu widzenia przepisów RODO certyfikat COVID powinien zawierać prawidłowe dane osoby, dla której został wystawiony, co wynika z art. 16. RODO. Stąd jeśli doszło do zmiany numeru PESEL, w certyfikacie powinna nastąpić modyfikacja danych na prawidłowe. – Z opisu sprawy wynika, że Centrum e-Zdrowia miało taką informację, ale z jakichś powodów nie ma możliwości ich zmiany w odpowiednim systemie. Jeżeli tak jest, wówczas dochodziłoby do naruszenia nie tylko art. 16 RODO – bo system nie umożliwia korekty danych na te prawidłowe – lecz także art. 25 ust. 1 RODO, czyli zasady privacy by design. Wygląda bowiem na to, że projektując system, nie zapewniono przestrzegania zasad ochrony danych osobowych i możliwości ich korekty – podkreśla ekspert.
O komentarz poprosiliśmy również Biuro RPO. „W ocenie rzecznika na władzach krajowych spoczywa obowiązek takiego zorganizowania systemu wydawania certyfikatów, żeby każda osoba spełniająca kryteria jego uzyskania mogła go otrzymać. Rzecznik liczy na niezwłoczne rozwiązanie istniejącego problemu. Dalsze działania w sprawie rozważy po uzyskaniu odpowiedzi z Ministerstwa Zdrowia” – czytamy w przesłanym do nas stanowisku.