Prezes Urzędu Ochrony Danych Osobowych (UODO) udzielił upomnień czterem instytucjom publicznym za niezgodne z prawem przetwarzanie danych osobowych naukowców z bazy POL-on w celu stworzenia analizy poziomu zaszczepienia przeciw COVID-19 na polskich uczelniach. Decyzja ta była wynikiem skargi złożonej przez obywatela – naukowca pracującego na jednej z uczelni.
Jak doszło do naruszenia?
W ramach współpracy między Ministerstwem Edukacji i Nauki (MEiN) a Ministerstwem Zdrowia (MZ) przekazano Centrum e-Zdrowia dane osobowe z bazy POL-on, zawierające m.in. numery PESEL oraz statusy osób (student, doktorant, pracownik uczelni) i dane identyfikujące uczelnie. Informacje te zostały porównane z danymi z systemu P1 (Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych), aby stworzyć statystyczne zestawienie poziomu zaszczepienia na uczelniach.
W wyniku tego procesu powstały dane statystyczne obejmujące nazwę uczelni, grupy (studenci, doktoranci, pracownicy), poziom zaszczepienia w każdej grupie (brak szczepienia, jedna dawka, pełna dawka) oraz liczby osób w poszczególnych kategoriach. Centrum e-Zdrowia przekazało te dane do MEiN, a Ośrodek Przetwarzania Informacji (OPI) opublikował je na swojej stronie internetowej.
Brak podstawy prawnej
Jak podkreślił Prezes UODO, taka operacja była niezgodna z prawem. Dane osobowe naukowców z bazy POL-on oraz informacje z systemu P1 zostały przetworzone w celach, które wykraczały poza zakres, dla którego zostały pierwotnie zebrane. Przekazanie danych osobowych nie miało odpowiedniej podstawy prawnej, co stanowi naruszenie przepisów o ochronie danych osobowych.
Porozumienie o współpracy zawarte 21 grudnia 2021 r. między MEiN a MZ nie zmienia faktu, że cele przetwarzania danych w systemach POL-on i SIM (System Informacji Medycznej, część systemu P1) są określone w odpowiednich ustawach i nie obejmują działań, takich jak stworzenie analiz statystycznych na temat szczepień.
Decyzja WSA: podtrzymanie stanowiska UODO
Centrum e-Zdrowia, nie zgadzając się z decyzją Prezesa UODO, złożyło skargę do Wojewódzkiego Sądu Administracyjnego (WSA). Jednak wyrokiem z 14 stycznia 2025 r. (sygn. akt II SA/Wa 536/24) sąd podtrzymał decyzję UODO, uznając brak podstaw prawnych dla przetwarzania danych. Uzasadnienie wyroku nie zostało jeszcze opublikowane.