Prezes Urzędu Ochrony Danych Osobowych udzielił ministrom nauki oraz zdrowia upomnienia za nieuprawnione i niezgodne z prawem wykorzystanie danych osobowych nauczycieli akademickich, doktorantów i studentów dotyczących ich zaszczepienia przeciwko COVID-19.

Sprawa ciągnie się od dwóch lat. W styczniu 2022 r. rzecznik praw obywatelskich (RPO) wystąpił do ministra edukacji i nauki o wyjaśnienie okoliczności uzyskania danych nauczycieli akademickich, studentów oraz doktorantów uczelni wraz z informacją o byciu zaszczepionym przeciwko COVID-19 (o sprawie pierwszy napisał DGP: „Minister Czarnek dokładnie wie, kto jest zaszczepiony”, nr 11/2022). Pismo wiązało się z obawami, że ówczesny minister nauki Przemysław Czarnek mógł mieć dostęp do szczegółowych danych zdrowotnych. Są to informacje o charakterze wrażliwym, co do których konstytucja przewiduje najwyższy stopień ochrony. Żaden zaś akt prawny nie upoważniał ministra edukacji i nauki do dostępu do takich danych. Mogło zatem dojść do naruszenia konstytucyjnej zasady legalizmu, zgodnie z którą organy władzy działają na podstawie i w granicach prawa.

Minister odpisał, że resort uzyskał jedynie dane statystyczne na temat poziomu zaszczepienia w uczelniach, a więc dane anonimowe. Z wyjaśnień ministerstwa wynikało jednak, że zestawiono dane zawarte w dwóch różnych rejestrach i połączono je po numerze PESEL – by sprawdzić, które osoby z tych grup są zaszczepione, a które nie.

Dane przekazano na zlecenie ministra nauki ze Zintegrowanego Systemu Informacji o Szkolnictwie Wyższym i Nauce POL-on do Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych w porozumieniu z ministrem zdrowia, którym wówczas był Adam Niedzielski.

– Doszło do tego na podstawie porozumienia, a więc bez podstawy prawnej wynikającej z ustawy – podkreślił Marcin Wiącek, RPO, zwracając się do prezesa Urzędu Ochrony Danych Osobowych o stanowisko i informację o podjętych krokach.

– Prezes udzielił ministrowi nauki oraz ministrowi zdrowia upomnienia w związku z naruszeniem przez administratorów przepisów. Naruszenie polegało na przetwarzaniu w sposób nieuprawniony i niezgodny z celem danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19 oraz powierzeniu tych danych w drodze porozumienia o współpracy z 21 grudnia 2021 r. zawartego między ministrami, które nie stanowiło umowy lub innego instrumentu prawnego – wyjaśniła Katarzyna Hildebrandt, zastępczyni dyrektora departamentu kontroli i naruszeń UODO.

Decyzja jest ostateczna. Stronom służy prawo do wniesienia skargi na decyzję Wojewódzkiego Sądu Administracyjnego. ©℗