Przetwarzanie danych osobowych

Przede wszystkim należy pamiętać, że dyrektor szkoły będzie zbierał kilka dokumentów. Będzie wśród nich np. Deklaracja na szczepienia, na której znajdą się zarówno dane osobowe dzieci, jak i dane osobowe ich opiekunów prawnych. Czy pozyskanie takiej ankiety stanowić będzie przetwarzanie danych osobowych? Autor uważa, że tak. 

Zgodnie bowiem z definicją art. 4 pkt 2) RODO „przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Odnosząc przywołaną definicję do tej czynności, należy wskazać, że szkoła zarówno zbiera, organizuje, przechowuje i udostępnia dane osobowe do punktu szczepień. Czyli realizuje kilka wskazanych wcześniej operacji przetwarzania. 

Powyższe implikuje następne obowiązki, w tym zwłaszcza spełnianie obowiązku informacyjnego z art. 13 RODO. Jednak spełnienie go musi być poprzedzoną analizą kilku dodatkowych zagadnień.

Jaki jest status szkoły?

Autor uważa, że dla opisywanej sytuacji najbardziej właściwa jest relacja współadministrowania, o której jest mowa w art. 26 RODO. Wynika to z kilku względów. 

Po pierwsze już sama definicja wskazuje, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Zbieżność celów wynika z zadania – obydwu administratorom zależy na tym samym celu, czyli zaszczepieniu jak największej liczby dzieci oraz dorosłych.

Po drugie za takim rozwiązaniem przemawia aktualna linia orzecznicza Trybunału Sprawiedliwości Unii Europejskiej. W literaturze przedmiotu wskazuje się, że „linia ta zaczęła się co prawda od wydanego jeszcze w 2014 r. wyroku w sprawie Google Spain SL i inni przeciwko Agencia de Protección de Datos (AEPD) i innym6, jednak swój ostateczny kształt przybrała dopiero w latach 2018–2019 za sprawą wyroków w sprawach Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH7, Jehovan todistajat8 oraz Fashion ID GmbH & Co. KG przeciwko Verbraucherzentrale NRW eV9.” Np. „Cechy współadministrowania może mieć współpraca, w ramach której jeden podmiot świadczy na rzecz drugiego usługi związane z przetwarzaniem danych osobowych, korzystając zarazem za przyzwoleniem tego drugiego z dostępu danych również we własnych celach” (I. Kowalczuk-Pakuła, M. Chołuj, Współadministrowanie – nowy paradygmat w prawie ochrony danych osobowych (dodatek MoP 21/2019)MOP 2019, Nr 21).

Autor dopuszcza także sytuację odrębnych administratorów, ale pierwsze rekomendowane rozwiązanie dotyczy wyboru właśnie instytucji współadministrowania.

Skutki współadministrowania

Najważniejszym skutkiem wybrania takiego rozwiązania jest podpisanie porozumienia, o którym mowa w art. 26 RODO.

Należy w nim ustalić:

  • kto spełnia obowiązek informacyjny – zdecydowanie powinna robić to szkoła;
  • kto jest punktem kontaktowym, czyli zapewne w zakresie danych przetwarzanych w szkole będzie to  pracownik koordynujący szczepienia lub Inspektor Ochrony Danych; zaś w zakresie informacji co do punktu szczepień – kontakt do punktu szczepień.

Właściwa podstawa przetwarzania

Jest to zagadnienie, które wzbudza spore wątpliwości bowiem ministerstwo całkowicie pomija kwestie RODO. Autor uważa, że najlepszą podstawą będzie art. 6 ust 1 lit. e) RODO, czyli działanie realizowane w interesie publicznym. 

Autor doszedł do tego drogą eliminacji, tzn. po kolei zostały wykluczone pozostałe przesłanki wskazane w poszczególnych literach w art. 6 ust. 1 RODO. W ramach uzasadnienia należy wskazać, jakie były tego przyczyny. I tak:

  • zgoda – jest to przesłanka drugiego wyboru, gdyż jej cechą jest m.in. dobrowolne podanie danych. Zgoda może budzić bardzo dużo wątpliwości praktycznych, chociażby takich, jak kwestia jej cofnięcia;
  • realizacja umowy – szczepienie nie jest żadną formą umowy;
  • obowiązek prawny – po pierwsze szczepienie jest dobrowolne, po drugie szkoła nie ma ustawowego obowiązku organizowania szczepień;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej – ta przesłanka zakłada nagłość działania. Zdecydowanie szczepienie nie jest sytuacją nagłą, która ma uratować życie bądź zdrowie. Co więcej osoba poddająca się szczepieniu powinna być zdrowa; 
  • prawnie uzasadniony interes administratora – należy wskazać, że, zgodnie z art. 6 RODO, akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Rzeczywiście organizacja szczepienia nie jest zadaniem szkoły, ale już punktu szczepień – tak. W sytuacji gdyby administrator (szkoła) jednak uznał powyższą przesłankę, należy pamiętać o przeprowadzeniu testu równowagi z punktu widzenia realizacji praw.

Dlatego, jak już wskazano wcześniej, za podstawę prawną należy uznać art. 6 ust. 1 lit. e) RODO, który stanowi, że „ przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi”. 

W opisywanej sytuacji niewątpliwie ma miejsce działanie realizowane w interesie publicznym. W związku z powyższym pozostaje problem podstawy prawnej w prawie krajowym. Niestety, idealnie pasującą podstawę trudno jest znaleźć. Materiały rozesłane do szkół takowej nie posiadają. W związku z powyższym autor postuluje, aby wskazywać art. 21 c)  ustawy z 5.12.2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, który nota bene określa w sprawie kwalifikacji osób przeprowadzających badania kwalifikacyjne i szczepienia ochronne przeciwko COVID-19. Należy wskazać, że powszechne punkty szczepień bazują zresztą na tym przepisie oraz rozporządzeniu wykonawczym (rozporządzenie Ministra Zdrowia z 9.4.2021 r. w sprawie kwalifikacji osób przeprowadzających badania kwalifikacyjne i szczepienia ochronne przeciwko COVID-19). Skoro więc punkty szczepień od kilku miesięcy działają w ten sposób i Prezes UODO nie kwestionuje tych przepisów, należy mieć nadzieję, że w sytuacji przeniesienia takiego punktu do szkoły ta podstawa będzie również wystarczająca.

Rekomendacje

Autor rekomenduje dyrektorom szkół:

  1. Podpisać porozumienie o współadministrowaniu danych z punktem szczepień w myśl art. 26 RODO.
  2. Informować o punkcie szczepień jako o współadministratorze.
  3. Spełniać obowiązek informacyjny przy zapisie dziecka lub rodzica:
    1. informując o współadministratorze;
    2. określając podstawę prawną, czyli, jak wskazano, art. 6 ust 1 lit. e) RODO.