Do Biura GIODO coraz częściej zgłaszają się rodzice bądź opiekunowie prawni dzieci, podając w wątpliwość zasadność informowania przez podmioty lecznicze powiatowych inspektorów sanitarnych o braku wykonania obowiązkowych szczepień ochronnych dzieci.

Tymczasem przepisy prawa wprost je do tego zobowiązują, a przygotowana przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) opinia jednoznacznie to potwierdza.

W pierwszej kolejności należy wskazać, iż każda forma przetwarzania danych osobowych tzw. zwykłych, jak np. imię i nazwisko, numer PESEL czy adres zamieszkania, powinna znaleźć oparcie w jednej z przesłanek wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych (dalej: u.o.d.o.), warunkujących legalność tego procesu. Natomiast przetwarzanie danych osobowych tzw. wrażliwych, których wyczerpujący katalog określono w art. 27 ust. 1 ustawy, a do których należą m.in. dane o stanie zdrowia, powinno mieć oparcie w jednej z przesłanek wymienionych w art. 27 ust. 2. Każda ze wskazanych w ustawie przesłanek ma charakter autonomiczny i niezależny. Oznacza to, że są one równoprawne, a spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

Zgoda osoby, której dane dotyczą, nie jest jedynym warunkiem legalizującym wykonywanie operacji na danych osobowych. W przypadku danych osobowych zwykłych, ich przetwarzanie jest dopuszczalne m.in. również wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o). W przypadku danych wrażliwych, przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą dozwolone jest m.in. w przypadku, gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 u.o.d.o).

Zgodnie z przepisami ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi[1], osoby przebywające na terytorium Rzeczypospolitej Polskiej obowiązane są do poddawania się szczepieniom ochronnym. Do sprawowania nadzoru nad wykonywaniem obowiązku szczepień zostały zaś powołane organy Państwowej Inspekcji Sanitarnej i na podstawie art. 5 ust. 1 pkt 4 ppkt c ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi są one uprawnione do dochodzenia wykonania obowiązku szczepień na drodze postępowania egzekucyjnego w administracji.

W tym celu zgodnie z prawem, organy Państwowej Inspekcji Sanitarnej muszą być informowane przez prowadzących szczepienia ochronne o wykonaniu lub niewykonaniu obowiązku szczepień. Zgodnie z art. 17 ust. 8 powołanej ustawy, osoby przeprowadzające szczepienia ochronne są zobowiązane do prowadzenia dokumentacji medycznej dotyczącej obowiązkowych szczepień ochronnych, w tym przechowywania karty uodpornienia oraz dokonywania wpisów potwierdzających wykonanie szczepienia i sporządzania sprawozdania z przeprowadzonych obowiązkowych szczepień ochronnych oraz sprawozdania ze stanu zaszczepienia osób objętych profilaktyczną opieką zdrowotną, które przekazują państwowemu powiatowemu inspektorowi sanitarnemu (dalej PPIS).

W rozporządzeniu Ministra Zdrowia z dnia 18 sierpnia 2011 r. w sprawie obowiązkowych szczepień wskazuje się zaś, że kwartalne sprawozdanie z przeprowadzonych obowiązkowych szczepień ochronnych jest sporządzane i przekazywane przez osoby przeprowadzające obowiązkowe szczepienia ochronne państwowemu powiatowemu inspektorowi sanitarnemu, w terminie 7 dni po zakończeniu kwartału, za pomocą środków komunikacji elektronicznej albo listem poleconym (art. 13 rozporządzenia).

A zatem istnieje podstawa prawna do przekazywania przez podmioty lecznicze PPIS informacji o niezaszczepionych pacjentach. GIODO zwrócił jednak uwagę na kształt powołanych regulacji, które mogą powodować wątpliwości interpretacyjne. Zastrzeżenia organu budzi w szczególności fakt, iż zestawienia danych osób, które nie poddały się szczepieniom, tworzone są na podstawie nieprecyzyjnego i niewystarczającego sformułowania „imienny wykaz", o którym mowa w załączniku nr 4 do wskazanego rozporządzenia, co nie stwarza pełnych gwarancji ochrony wrażliwych danych osobowych. W związku z tym Generalny Inspektor Ochrony Danych Osobowych skierował do Głównego Inspektora Sanitarnego oraz do Ministerstwa Zdrowia wystąpienie z postulatem o wyraźne uregulowanie w przepisach rangi ustawy kwestii przekazywania przez podmioty lecznicze informacji o niezaszczepionych pacjentach do PPIS. W odpowiedzi na inicjatywę GIODO, Główny Inspektor Sanitarny zapewnił, iż podejmie takie działania.