PAŃSTWOWA INSPEKCJA SANITARNA Państwowa Inspekcja Sanitarna Zbieranie i ochrona danych osobowych w nadzorze epidemiologicznym Michał Ilnicki, Departament Przeciwepidemiczny Główny Inspektorat Sanitarny

Jakie dane są danymi osobowymi Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio (imię i nazwisko) lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Kiedy przetwarzanie danych osobowych jest dopuszczalne Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Kiedy dopuszczalne jest przetwarzanie danych osobowych ? gdy wynika to z obowiązku ustawowego (nie jest konieczne uzyskanie zgody osoby chyba, że ustawa wyraźnie tego wymaga) gdy wynika to z uprawnienia ustawowego i gdy dodatkowo osoba się na to zgodziła (w przypadku zbierania danych przez podmiot administracji publicznej - musi on być do tego uprawniony wprost lub musi być to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku

Jakich informacji należy udzielić osobie której dane są zbierane Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Jakich informacji należy udzielić osobie której dane są zbierane Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.

Wyłączenia art.25 Przepisu art.. 25 ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą, 2) (uchylony), 3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania, 4) (uchylony), 5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa, 6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Obowiązki zawarte w art. 25 ust. 1 zgodnie z art. 25 ust Obowiązki zawarte w art. 25 ust. 1 zgodnie z art. 25 ust. 2 nie dotyczą przetwarzania danych osobowych na podstawie przepisów prawa przez: organy państwowe (np.: PPIS, PWIS, GIS) organy samorządu terytorialnego państwowe i komunalne jednostki organizacyjne (np.: PZH, SP ZOZ wskazany przez PWIS jako właściwy do sprawowania nadzoru nad gruźlicą lub chorobami przenoszonymi drogą płciową) podmioty niepubliczne realizujące zadania publiczne (np.: NZOZ wskazany przez PWIS jako właściwy do sprawowania nadzoru nad gruźlicą lub chorobami przenoszonymi drogą płciową) Generalna zasada: z obowiązku zawartego w art. 25 ust. 1 zwolnione są wszelkie podmioty o ile zbierają dane na podstawie przepisów prawa lub w celu realizacji zadania publicznego