Stan faktyczny
Skarga dotyczyła nieprawidłowości w procesie przetwarzania danych dwóch osób w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru telefonu, jak również danych ich małoletnich dzieci w zakresie imion, nazwisk, adresu zamieszkania, dat urodzenia, danych medycznych o szczepieniach ochronnych. Podmioty, których dotyczyła skarga to Samodzielny Publiczny Zakład Opieki Zdrowotnej (dalej: Przychodnia) oraz Państwowy Powiatowy Inspektor Sanitarny (PPIS). W treści skargi Skarżący wskazali, że Przychodnia bezprawnie udostępniła PPIS dane osobowe ich oraz ich małoletnich dzieci. W toku postępowania ustalono, że Skarżący – jako osoby sprawujące pieczę nad swoimi małoletnimi dziećmi – nie wykonali w stosunku do nich obowiązku szczepień ochronnych. W związku z nierealizowaniem powyższego obowiązku w stosunku do małoletnich dzieci, Przychodnia udostępniła PPIS dane osobowe Skarżących i ich dzieci.
Decyzja Prezesa UODO oraz jej uzasadnienie
Jak wykazano, zgodnie z obowiązującym prawem, Przychodnia jest zobowiązana do przygotowania sprawozdania dotyczącego przeprowadzonych szczepień ochronnych i sporządzenia imiennego wykazu osób, które się od szczepień ochronnych uchylają, by umożliwić Państwowej Inspekcji Sanitarnej sprawowanie nadzoru nad wypełnianiem tego obowiązku oraz jego efektywną egzekucję. W związku z tym, sprawozdanie powinno zawierać dane niezbędne do wysłania przez odpowiedni oddział Państwowej Inspekcji Sanitarnej upomnienia wzywającego do wykonania obowiązku szczepiennego oraz podejmowania dalszych czynności egzekucyjnych w przypadku niewykonania obowiązku. PUODO podkreślił, że dane pozyskiwane przez PPIS jak i mu udostępniane muszą być również wystarczające do prowadzenia skutecznej egzekucji obowiązku szczepień, w ramach której wierzyciel (tu: PPIS) sporządza tytuł wykonawczy. Zakres tych danych regulowany jest przez art. 27 ustawy o postępowaniu egzekucyjnym. Zgodnie z jej art. 27 § 1 pkt 2 i 3 tytuł wykonawczy powinien zawierać imię, nazwisko, adres zamieszkania, numer PESEL oraz treść obowiązku podlegającego egzekucji.
Prezes Urzędu stwierdził, że dane osobowe Skarżących w zakresie imienia, nazwiska, numeru PESEL, adresu zamieszkania oraz dat urodzenia małoletnich zostały udostępnione przez Przychodnię na rzecz PPIS na podstawie art. 23 ust. 1 pkt 2 „starej” ustawy o ochronie danych z 1997 r., a dane ich małoletnich dzieci w zakresie informacji o niewykonanych szczepieniach na podstawie art. 27 ust. 2 pkt 2 tejże ustawy, co PUODO uznał za adekwatne i celowe w świetle obowiązku nadzorczego pełnionego przez PPIS. Niemniej jednak, dane osobowe w postaci numeru telefonu jednej ze skarżących osób nie były niezbędne do przekazania w sprawozdaniu. Tym samym PUODO uznał, iż dane osobowe w zakresie numeru telefonu zostały udostępnione niezgodnie z przepisami ustawy o ochronie danych osobowych z 1997 r. w związku z brakiem konieczności przetwarzania tego rodzaju danych osobowych przez PPIS w celu realizacji jego zadań ustawowych. W związku z powyższym, Prezes Urzędu zdecydował o nakazaniu usunięcia przez PPIS numeru telefonu Skarżącej.
