Interpelacja nr 1321

do ministra zdrowia

w sprawie przetwarzania danych osobowych w świetle rozporządzenia Ministra Zdrowia z dnia 18 sierpnia 2011 r.

Zgłaszający: Paweł Skutecki

Data wpływu: 24-02-2016

W rozporządzeniu Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień ochronnych na podstawie art. 17 ust. 10 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. nr 234, poz. 1570, z 2009 r. nr 76, poz. 641 oraz z 2010 r. nr 107, poz. 679 i nr 257, poz. 1723) zarządza się, m.in.:

§ 13.

Kwartalne sprawozdanie z przeprowadzonych obowiązkowych szczepień ochronnych, którego wzór jest określony w załączniku nr 4 do rozporządzenia, jest sporządzane i przekazywane przez osoby przeprowadzające obowiązkowe szczepienia ochronne państwowemu powiatowemu inspektorowi sanitarnemu, w terminie 7 dni po zakończeniu kwartału, za pomocą środków komunikacji elektronicznej albo listem poleconym.

W w.w. ustawie § 13 nie zarządza się przetwarzania danych osobowych i w żaden sposób nie nakazuje ich przetwarzania. Jednak w załączniku nr 4 w Dziale 2 „Osoby uchylające się od obowiązku szczepień” należy wpisać liczbę osób uchylających się od obowiązku szczepień ochronnych, których „wykaz imienny” trzeba dołączyć do sprawozdania. Poprzez załącznik nr 4 następuje przekazanie danych osobowych instytucji trzeciej, czyli w tym przypadku państwowemu powiatowemu inspektorowi sanitarnemu. Wiedzą ogólnie dostępną jest, iż państwowy powiatowy inspektor sanitarny przekazuje zawarte w „wykazie imiennym” dane wrażliwe dalej do odpowiednich Urzędów Wojewódzkich.

W art. 17 ust. 10 ustawy z dnia 5 grudnia 2008 roku o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. nr 234, poz. 1570, z 2009 r. nr 76, poz. 641 oraz z 2010 r. nr 107, poz. 679 i nr 257, poz. 1723) nie ma wzmianki o możliwości gromadzenia i przekazywania – przetwarzania – danych osobowych nieszczepionych pacjentów i w odniesieniu do nieszczepionych małoletnich danych ich opiekunów prawnych oraz osób uchylających się od obowiązku szczepień.

Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 – art. 54a).

Mając na uwadze, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i ustawa z dnia 5 grudnia 2008 roku o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi posiada moc wyższą niż rozporządzenie z dnia 18 sierpnia 2011 r. oraz, iż rozporządzenie nie może być sprzeczne z ustawą i nie może wykraczać poza swoją prawną kompetencję, proszę o następujące informacje:

  1. Jak w rozporządzeniu Ministra Zdrowia z dnia 18 sierpnia 2011 roku definiuje się pojęcie „wykaz imienny”?
  2. Jakie dane powinien zawierać ów „wykaz imienny” oraz jakie dane są wpisywane pod opisem „wykaz imienny” do sprawozdania kwartalnego przez osoby przeprowadzające obowiązkowe szczepienia ochronne? Czy jest oddzielne rozporządzenie regulujące tę kwestię? Jeśli jest proszę je podać.
  3. Kto i na jakiej podstawie prawnej gromadzi oraz komu przekazuje dane, które jako dane medyczne należą do tzw. danych sensytywnych, i których zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity, Dz. U. z 2002r., nr 101, poz. 926 ze zm.) w art. 27 ust. 1 przetwarzanie jest zabronione.
  4. Komu i w jakim celu według Ministerstwa Zdrowia potrzebny jest „wykaz imienny”?
  5. Czy organ, który gromadzi i przetwarza dane zawarte w „wykazie imiennym” dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych - obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
  6. Czy organ, który gromadzi i przetwarza dane zawarte w „wykazie imiennym” oraz osoby przeprowadzające obowiązkowe szczepienia spełniają warunki określone w ustawie o ochronie danych osobowych w art. 27 ust. 2 pkt 1-10?

Z poważaniem,

Paweł Skutecki