DKN.5110.3.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), w związku z art. 7 ust. 1 i ust. 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) i art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. a) i b) w związku z art. 6 ust. 1, art. 9 ust. 2 oraz art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), dalej rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Ministra Nauki (poprzednio: Ministra Edukacji i Nauki) oraz przez Ministra Zdrowia danych osobowych w związku z przetwarzaniem danych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19 oraz ich powierzeniem w drodze Porozumienia (…) z dnia (…) grudnia 2021 r. zawartego między Ministrem Zdrowia a Ministrem Nauki (poprzednio: Ministrem Edukacji i Nauki), Prezes Urzędu Ochrony Danych Osobowych,
I. Stwierdzając naruszenie przez Ministra Nauki (poprzednio: Ministra Edukacji i Nauki) przepisów art. 5 ust. 1 lit. a) i b) w związku z art. 6 ust. 1, art. 9 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679, polegające na:
1) przetwarzaniu w sposób nieuprawniony i niezgodny z celem danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19;
2) powierzeniu ww. danych w drodze Porozumienia (…) z dnia (…) grudnia 2021 r. zawartego między Ministrem Zdrowia a Ministrem Nauki (poprzednio: Ministrem Edukacji i Nauki), które nie stanowiło umowy lub innego instrumentu prawnego, w myśl art. 28 ust. 3 rozporządzenia 2016/679, udziela Ministrowi Nauki upomnienia.
II. Stwierdzając naruszenie przez Ministra Zdrowia przepisów art. 5 ust. 1 lit. a) i b) w związku z art. 6 ust. 1, art. 9 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679, polegające na:
1) przetwarzaniu w sposób nieuprawniony i niezgodny z celem danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19;
2) powierzeniu ww. danych w drodze Porozumienia (…) z dnia (…) grudnia 2021 r. zawartego między Ministrem Zdrowia a Ministrem Nauki (poprzednio: Ministrem Edukacji i Nauki), które nie stanowiło umowy lub innego instrumentu prawnego, w myśl art. 28 ust. 3 rozporządzenia 2016/679, udziela Ministrowi Zdrowia upomnienia.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej także jako: Prezes Urzędu) powziął informację o możliwych nieprawidłowościach związanych z przetwarzaniem przez Ministra Edukacji i Nauki (dalej także jako: MEiN) i Ministra Zdrowia (dalej tajże jako: MZ) danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19.
W ramach niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych zwrócił się do wymienionych powyżej organów i uzyskał następujące wyjaśnienia:
- W dniu (…) grudnia 2021 r. Minister Edukacji i Nauki zawarł z Ministrem Zdrowia Porozumienie (…) (dalej także jako: Porozumienie) w celu pozyskania informacji statystycznej o poziomie zaszczepienia przeciwko chorobie COVID-19 następujących członków wspólnot uczelni: pracowników (nauczycieli akademickich, osób prowadzących zajęcia, osób prowadzących działalność naukową, osób biorących udział w prowadzeniu działalności naukowej), studentów oraz osób ubiegających się o stopień doktora. Działania te zostały podjęte na prośbę Konferencji Rektorów Akademickich Szkół Polskich (dalej także jako: KRASP).
- W ocenie MEiN, działania opisane w Porozumieniu podyktowane były koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania i realizacji polityki naukowej państwa. Porozumienie było realizowane przy pomocy podległych Ministrom (MEiN i MZ) jednostek, tj. C. (dalej także jako: C.), podległego Ministrowi Zdrowia oraz Ośrodka (…) (dalej także jako: O.), nadzorowanego przez Ministra Edukacji i Nauki, oraz administrujących w imieniu Ministrów systemami teleinformatycznymi wykorzystanymi do wykonania Porozumienia, w tym bazami danych.
- W celu wykonania Porozumienia, na zlecenie MEiN, O. przekazał ze (…) Systemu (…) (dalej także jako: System […]), o którym mowa w art. 342 ust. 1 ustawy z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. z 2023 r. poz. 742) (dalej także jako: PSWiN), do (…) Platformy (…) (dalej także jako: Platforma (…) oraz […]), administrowanej przez C. następujące dane członków wspólnot uczelni, o których mowa powyżej: numery PESEL (bez imion i nazwisk), z przypisanymi statusami osób (student, doktorant, pracownik uczelni), których nr PESEL dotyczy oraz przypisaniem grup tych osób do konkretnej uczelni.
- W ocenie MEiN, w związku z realizacją Porozumienia w oparciu o wskazane dane, przy użyciu Systemu (…) oraz Platformy (…), MEiN otrzymało wyłącznie dane statystyczne dotyczące poszczególnych uczelni i poziomu zaszczepienia w poszczególnych grupach w tych uczelniach; nie otrzymało natomiast informacji, które konkretnie osoby (z imienia i nazwiska), jak również posługujące się konkretnym nr PESEL zostały zaszczepione, czy też nie.
- W wyjaśnieniach wskazano, iż MEiN nie posiada jednostkowych danych, w tym numerów PESEL poszczególnych osób z uczelni w powiązaniu z informacjami o ich zaszczepieniu lub braku zaszczepienia. MEiN nie posiada tym samym wiedzy, który konkretnie nauczyciel akademicki, student czy doktorant jest zaszczepiony; dysponuje wyłącznie zbiorczymi danymi statystycznymi dotyczącymi poszczególnych uczelni i poziomu zaszczepienia w poszczególnych grupach w tych uczelniach. Podkreślono, iż MEiN nie ma i nie miał tym samym jakiegokolwiek dostępu do danych wrażliwych dotyczących zdrowia ww. osób.
- W wyjaśnieniach Ministra Edukacji i Nauki wskazano, że MEiN jest administratorem danych, przetwarzanych w Systemie (…). Natomiast Minister Zdrowia ma zapewniony ustawowy dostęp do danych członków wspólnot uczelni objętych Porozumieniem zgodnie z art. 343 ust. 5 pkt 1, art. 344 ust. 3 pkt 1 oraz art. 345 ust. 3 pkt 1 PSWiN, w ramach następujących baz danych: (…).
- Jak wskazał MEiN, działania opisane w Porozumieniu podyktowane były koniecznością zagwarantowania uczelniom efektywnego funkcjonowania w czasie epidemii. W związku z tym dane dotyczące szczepień stanowiły istotne informacje dla rektorów uczelni, zwłaszcza mając na uwadze zarządzanie uczelnią w ówczesnej sytuacji epidemiologicznej, które powinno zapewniać bezpieczne i higieniczne warunki pracy i kształcenia, ograniczając w ten sposób rozprzestrzenianie się COVID-19 wśród społeczności akademickiej.
- Wskazano w wyjaśnieniach MEiN, iż w myśl art. 433 ust. 1 PSWiN, przez ministrów nadzorujących uczelnie należy rozumieć ministrów nadzorujących wymienione w tym przepisie uczelnie, w tym Ministra Zdrowia jako ministra nadzorującego uczelnie medyczne. Podkreślono, że Minister Zdrowia, jako organ nadzorujący uczelnie, ma zatem zapewniony ustawowy dostęp do wskazanych w przepisach PSWiN danych osobowych zawartych w wykazie pracowników, wykazie studentów oraz wykazie osób ubiegających się o stopień doktora, w zakresie danych wszystkich osób, których wykazy te dotyczą, bez względu na miejsce ich zatrudnienia, czy wykonywania przez nie działalności naukowej, studiowania, czy też kształcenia w szkole doktorskiej. W ocenie MEiN, powołane wyżej przepisy PSWiN nie ograniczają bowiem dostępu ministrom nadzorującym uczelnie (w tym Ministrowi Zdrowia) tylko do danych osób w uczelni nadzorowanej.
- Odnosząc się do sposobu przekazania numerów PESEL ww. grup osób z Systemu (…) do Platformy (…), MEiN wskazał, że w związku z realizacją Porozumienia, O. zgodnie z poleceniem MEiN udostępnił do C. wyciąg danych z Systemu (…) o nauczycielach akademickich, studentach i doktorantach. Wyciąg danych odnoszący się do poszczególnych grup osób pochodzących z odpowiednich baz danych Systemu (…), zawierający identyfikator w postaci nr PESEL, został wystawiony za pośrednictwem (…) do C. w celu umożliwienia mu pobrania danych. Dane które zostały wykorzystane w tym celu, znajdowały się już w bazach Systemu (…).
- W ramach wyjaśnień z 13 stycznia 2023 r. Minister Zdrowia wskazał, iż jako administrator przetwarzał dane osobowe otrzymane od Ministra Edukacji i Nauki z Systemu (…) w celu wytworzenia informacji statystycznej o poziomie zaszczepienia wśród członków poszczególnych uczelni na podstawie art. 9 ust. 2 lit. i) rozporządzenia 2016/679, gdyż przetwarzanie było niezbędne ze względów związanych z ważnym interesem publicznym w dziedzinie zdrowia publicznego w celu związanym z koniecznością zapobiegania, przeciwdziałania i zwalczania wirusa SARS-CoV-2 powodującego chorobę COVID-19.
- W wyjaśnieniach z 1 marca 2023 r., Minister Zdrowia wskazał, iż nie przetwarzał żadnych danych osobowych otrzymanych od Ministra Edukacji i Nauki, które pochodziły z Systemu (…) od momentu zawarcia Porozumienia (…), tj. w okresie od dnia (…) grudnia 2021 r. do dnia (…) marca 2022 r. Przez powyższe, należało rozumieć, że Minister Zdrowia nie wykonywał żadnych operacji przetwarzania w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679 w odniesieniu do tych danych osobowych. Operacje przetwarzania na danych przekazanych przez Ministra Edukacji i Nauki za pośrednictwem Ośrodka (…), wykonywane były faktycznie przez C., tj. jednostkę podległą Ministrowi Zdrowia właściwą w zakresie technicznej i organizacyjnej obsługi systemów informacyjnych ochrony zdrowia. Przetwarzanie przez podległą jednostkę odbywało się z inicjatywy Ministra Zdrowia i zostało określone w ww. porozumieniu. Jak podkreślono, Minister Zdrowia jako administrator danych osobowych w Platformie (…), w której przetwarzane są dane osób, które poddały się szczepieniu ochronnemu przeciw COVID-19 określił ramowe zasady współpracy stron na potrzeby weryfikowania poziomu zaszczepienia i zapewniał koordynację i przekazywanie danych pochodzących z Systemu (…). Zgodnie z § 1 ust. 2 pkt 1 ww. porozumienia C. otrzymywało dane obejmujące numer PESEL, dane identyfikujące uczelnię oraz rolę w strukturze uczelni (1. pracownicy, tj. nauczyciele akademiccy, osoby prowadzące zajęcia, osoby prowadzące działalność naukową, osoby biorące udział w prowadzeniu działalności naukowej; 2 studenci; 3 osoby ubiegające się o stopień doktora).
- Minister Zdrowia wskazał, iż zgodnie z zawartym w dniu (…) grudnia 2021 r. Porozumieniem (…) rolą Ministra Zdrowia za pośrednictwem C. było: 1) porównanie danych pochodzących z systemu (…) (przekazanych przez Ministra Edukacji i Nauki za pośrednictwem Ośrodka […]) z posiadanymi danymi pochodzącymi z systemu (…), a następnie; 2) przekazanie Ministrowi Edukacji i Nauki informacji statystycznej dotyczącej liczby osób zaszczepionych, a także; 3) przygotowanie i przekazanie Ministrowi Edukacji i Nauki zestawień statystycznych obejmujących informacje o liczbie osób z Systemu (…) przyjętych do porównania, o którym mowa w ust. 2); informacje o % osób zaszczepionych ogółem w uczelniach w skali kraju; informacje o % osób zaszczepionych w poszczególnych uczelniach, w grupach: studenci, osoby ubiegające się o stopień doktora, pracownicy (nauczyciele akademiccy, osoby prowadzące zajęcia, osoby prowadzące działalność naukową, osoby biorące udział w prowadzeniu działalności naukowej.
- Minister Zdrowia podkreślił, iż dane osobowe pochodzące z Ministerstwa Edukacji i Nauki zostały usunięte w dniu (…) marca 2022 r. W tym dniu zamknięto kanał komunikacji z Ministrem Edukacji i Nauki służący do przesyłania danych oraz usunięto wszystkie dane posiadane przez C. w zakresie danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19. Ponadto wskazano, iż Porozumienie (…) zawarte w dniu (…) grudnia 2021 r. pomiędzy Ministrem Zdrowia a Ministrem Edukacji i Nauki nie stanowiło umowy lub innego instrumentu prawnego w rozumieniu art. 28 ust. 3 rozporządzenia 2016/679 ani nie stanowiło wspólnych uzgodnień współadministratorów, o których mowa w art. 26 ww. rozporządzenia.
W związku z powyższymi ustaleniami, Prezes Urzędu Ochrony Danych Osobowych 27 lipca 2023 r. (sygn. DKN.5110.18.2021) wszczął z urzędu postępowania administracyjne w sprawie naruszenia przez Ministra Edukacji i Nauki oraz Ministra Zdrowia przepisów art. 5 ust. 1 lit. a) i b) w zw. z art. 6 ust. 1, art. 9 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679.
Do ww. wszczęcia postępowania ustosunkował się Minister Zdrowia wskazując, że działanie realizowane przez Ministra Zdrowia wraz z Ministrem Edukacji i Nauki było zadaniem służącym ważnym celom leżącym w ogólnym interesie publicznym w zakresie zdrowia publicznego i zabezpieczenia społecznego. W związku ze stanem epidemii, łatwością przenoszenia się wirusa SARS-CoV-2 oraz potencjalnego zagrożenia życia i zdrowia jakie niesie ze sobą zarażenie wirusem SARS-CoV-2 powodującego chorobę COVID-19, zaistniała potrzeba weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 członków wspólnot uczelni umożliwiająca kierującym uczelniami organizację nauczania dostosowaną do tego poziomu. Działanie to było podyktowane koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania i realizacji polityki naukowej państwa.
Dalej, Minister Zdrowia wskazał, iż zgodnie z art. 5 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji o ochronie zdrowia (Dz. U. z 2023 r. poz. 2465) (dalej także jako: SIOZ), system informacji w ochronie zdrowia obejmuje bazy danych funkcjonujące w ramach: Systemu (…) (S.), dziedzinowych systemów teleinformatycznych oraz rejestrów medycznych. System informacji w ochronie zdrowia obsługiwany jest m.in. przez system (…), który stanowi instrument służący wymianie informacji w systemie ochrony zdrowia. Kluczowym elementem systemu informacji w ochronie zdrowia jest niewątpliwie S., który zdefiniowany został w art. 10 ustawy o SIOZ, jako system teleinformatyczny służący przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej udostępnianych przez systemy teleinformatyczne usługodawców. System (…) zasilany jest również danymi pochodzącymi z systemu e. zgodnie z przepisem art. 21e ust. 7 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2023 r. poz. 1284.). Powyższy przepis stanowi, iż dane dotyczące szczepień ochronnych przeciwko COVID-19 zawarte w systemie (…), w tym jednostkowe dane medyczne, są przekazywane do systemu, o którym mowa w art. 7 ust. 1 ustawy o SIOZ, w celu prezentowania ich w I., o którym mowa w art. 7a tej ustawy, oraz monitorowania przebiegu szczepień.
Podkreślono jednocześnie, że Minister Zdrowia nie udostępnił na rzecz Ministra Edukacji i Nauki danych osobowych pochodzących z systemu (…) będącego elementem Systemu (…) (S.). Minister Zdrowia za pośrednictwem C. udostępniał dane anonimowe na rzecz Ministra Edukacji i Nauki, w którego imieniu działanie realizowało O. O. w ocenie Ministra Zdrowia nie przetwarzał danych osobowych osób, których dane dotyczą, zawartych i pochodzących z systemu (…). Zgodnie z § 1 ust. 2 pkt 2 Porozumienia (…) Ministra Zdrowia i Ministra Edukacji i Nauki, C. przekazywało dane anonimowe, pozbawione danych osobowych, tj. jak wskazano wcześniej - informacje dotyczące poziomu zaszczepienia członków wspólnot uczelni (pracowników - nauczycieli akademickich, osób prowadzących zajęcia, osób prowadzących działalność naukową, osób biorących udział w prowadzeniu działalności naukowej, studentów, osób ubiegających się o stopień doktora), które nie będą się wiązać ze zidentyfikowaną lub możliwą do zidentyfikowania osobą, której dane dotyczą i na podstawie których nie będzie można zidentyfikować tych osób.
Minister Nauki (poprzednio: Minister Edukacji i Nauki) nie ustosunkował się do wszczęcia postępowania administracyjnego w niniejszej sprawie.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. a) ww. rozporządzenia, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Zaś w lit. b) ww. artykułu wskazano, iż dane te muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"). Zasady te „nie są jedynie ideami, wartościami czy postulatami odczytywanymi z całokształtu przepisów o ochronie danych osobowych, a mają charakter normatywny - są wiążącymi normami prawa, wyznaczającymi określony sposób postępowania. (...) Mają one szczególne znaczenie dla stosowania i interpretacji przepisów o ochronie danych osobowych. Z faktu uznania w akcie normatywnym określonych norm prawnych za zasady wywieść można wniosek, że prawodawca pragnął w ten sposób podkreślić ich znaczenie i uczynić z nich swoiste normy nadrzędne nad pozostałymi normami określonymi w tych przepisach. Nadrzędność zasad oznacza m.in. konieczność odczytywania norm zawartych w przepisach o ochronie danych w sposób zgodny z tymi zasadami” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z . [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5 [za]: P. Fajgielski, Zasady ogólne przetwarzania i ochrony danych osobowych [w:] Prawna ochrona danych osobowych w Polsce na tle europejskich standardów, red. G. Goździewicz, M. Szabłowska, Toruń 2008, s. 17). Stosownie zaś do art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
W art. 6 ust. 1 rozporządzenia 2016/679 wskazano podstawy dopuszczalności przetwarzania danych osobowych, zaś art. 9 ww. rozporządzenia odnosi się do przetwarzania tzw. szczególnych kategorii danych osobowych. Zgodnie z ust. 1 ww. artykułu, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Ust. 2 powyższego artykułu reguluje z kolei wyjątki od powyższego zakazu, wskazując przesłanki, które umożliwiają przetwarzanie szczególnych kategorii danych osobowych zgodne z prawem, bez uszczerbku dla generalnego zakazu opisanego w ust. 1.
W ocenie Prezesa Urzędu, działanie Ministra Edukacji i Nauki oraz Ministra Zdrowia w postaci pozyskiwania danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień w celu wytworzenia informacji statystycznej o poziomie zaszczepienia przeciwko chorobie COVID-19 wśród członków uczelni było nieuprawnione, zaś wzajemne powierzenie danych na podstawie zawartego pomiędzy ww. organami Porozumienia z dnia (…) grudnia 2021 r. odbyło się w sprzeczności z przepisem art. 28 ust. 3 rozporządzenia 2016/679.
Zgodnie z art. 7 Konstytucji Rzeczypospolitej Polskiej, organy władzy publicznej działają na podstawie i w granicach prawa. Jak wskazuje doktryna, „wymagania stawiane organom władzy publicznej są bardziej rygorystyczne, zaś towarzyszące im obowiązki - dalej idące, niż nałożone na obywateli w przepisie art. 83 konstytucji (...). Obywatelom wolno czynić to wszystko, co nie jest zabronione przez prawo, władzom - tylko to, co jest im dozwolone i przez prawo zaliczone do ich kompetencji i zadań. Kompetencja organu władzy publicznej może być, w zależności od charakteru sprawy, określona bardziej lub mniej szczegółowo, lecz jej prawna podstawa stanowi niezbędną przesłankę podjęcia działania przez dany organ” (M. Zubik, W. Sokolewicz [w:] Konstytucja Rzeczypospolitej Polskiej. Komentarz. Tom I, wyd. II, red. L. Garlicki, Warszawa 2016, art. 7).
W działaniach Ministra Edukacji i Nauki, jak również Ministra Zdrowia, doszło do naruszenia przepisów prawa, a konkretnie przepisów o ochronie danych, w tym podstawowych zasad, określonych w art. 5 ust. 1 lit. a) i b) rozporządzenia 2016/679, związanych również z przetwarzaniem szczególnych kategorii danych osobowych, co doprowadziło do wszczęcia niniejszego postepowania administracyjnego, a dalej, po dogłębnej analizie zgromadzonego w sprawie materiału dowodowego, do udzielenia upomnienia wymienionym powyżej organom.
W niniejszej sprawie przedmiotem postępowania jest przetwarzanie danych osobowych w celu wytworzenia informacji statystycznej o poziomie zaszczepienia przeciwko chorobie COVID-19 wśród członków poszczególnych uczelni, w tym danych o stanie zdrowia, które ze względu na swój charakter podlegają szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679.
Zgodnie z art. 342 ust. 1 PSWiN, Minister Edukacji i Nauki prowadzi (…) System (…), zwany dalej „Systemem (…)”. Z art. 342 ust. 4 PSWiN wynika, że dane w Systemie (…) są przetwarzane w celu wykonywania zadań związanych z ustalaniem i realizacją polityki naukowej państwa, przeprowadzaniem ewaluacji jakości kształcenia, ewaluacji szkół doktorskich i ewaluacji jakości działalności naukowej, prowadzeniem postępowań w sprawie nadania stopnia doktora, stopnia doktora habilitowanego i tytułu profesora, ustalaniem wysokości subwencji i dotacji, nadzorem nad systemem szkolnictwa wyższego i nauki, realizacją zadań przez NAWA, NCBiR oraz NCN. Zgodnie z art. 342 ust. 3 PSWiN, System (…) obejmuje m.in. następujące bazy danych (dotyczące przedmiotu ww. Porozumienia): wykaz nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu; wykaz studentów; wykaz osób ubiegających się o stopień doktora. W kolejnych przepisach ww. ustawy został określony zakres danych osobowych w ww. wykazach, które mogą być gromadzone w Systemie (…) i podmioty, które mają do nich dostęp. I tak, zgodnie z art. 343 ust. 5 pkt 1 PSWiN, dostęp do danych w wykazie nauczycieli akademickich, innych osób prowadzących zajęcia, osób prowadzących działalność naukową oraz osób biorących udział w jej prowadzeniu posiadają m.in. Minister Edukacji i Nauki oraz Minister Zdrowia, który na podstawie art. 433 ust. 1 pkt 4 PSWiN nadzoruje uczelnie medyczne. Analogicznie został uregulowany dostęp Ministra Edukacji i Nauki oraz Ministra Zdrowia do baz danych studentów (art. 344 ust. 3 pkt 1 PSWiN) oraz do wykazu osób ubiegających się o tytuł doktora (art. 345 ust. 3 pkt 1 PSWiN). Ponadto, w przypadku tych dwóch ostatnich wykazów, zgodnie z art. 344 ust. 4 oraz art. 345 ust. 4 PSWiN, danych osobowych objętych wykazami nie udostępnia się. Istotne jest również to, że zgodnie z art. 343 ust. 5 pkt 1, art. 344 ust. 3 pkt 1 i art. 345 ust. 3 pkt 1 PSWiN, Ministrowi Zdrowia przysługuje dostęp do ww. wykazów danych bez ograniczeń - co oznacza, iż katalog ten nie jest ograniczony do uczelni przez niego nadzorowanych. Warto podkreślić, iż ów nadzór ministra nad uczelniami, co wynika z art. 433 ust. 2 PSWiN, jest sprawowany na zasadach określonych w dziale XIII tej ustawy i sprowadza się m.in., zgodnie z art. 426 ust. 1 pkt 1 PSWiN, do sprawowania nadzoru nad uczelniami w zakresie zgodności działania z przepisami prawa oraz prawidłowości wydatkowania środków publicznych.
Cel, w jakim zostało zawarte Porozumienie przez Ministra Edukacji i Nauki oraz Ministra Zdrowia, został określony w pkt (…) preambuły ww. dokumentu, czyli „(…)”.
Nadzór, o którym wspomniano powyżej, oparty na podstawie art. 426 ust. 1, a także art. 433 ust. 1 i 2 PSWiN, dotyczy przede wszystkim zgodnej z prawem działalności uczelni oraz prawidłowości wydatkowania środków publicznych.
Odnosząc się natomiast do polityki naukowej państwa, należy zaznaczyć, iż z treści art. 6 PSWiN wynika, że jest ona dokumentem strategicznym wskazującym priorytety w zakresie funkcjonowania systemu szkolnictwa wyższego i nauki, określanym przez Radę Ministrów. Zgodnie z art. 376 PSWiN, Minister Edukacji i Nauki ustanawia programy i przedsięwzięcia w celu realizacji polityki naukowej państwa. Przepisy tego artykułu nakładają na ministra obowiązek ogłaszania na swojej stronie podmiotowej w BIP komunikatu o ustanowieniu przedsięwzięć i programów oraz o naborze wniosków. Komunikat musi zawierać szereg wymaganych przez ustawę informacji, a w szczególności opisywać: przedmiot programu i podmioty, które są uprawnione do udziału w programie, warunki, jakie muszą być spełnione, aby można było przystąpić do programu, tryb przeprowadzania naboru do programu, w tym tryb odwoławczy, oraz szczegółowe kryteria oceny wniosków.
Należy w tym miejscu podkreślić, iż samo prawo dostępu obu tych organów (Ministra Edukacji i Nauki oraz Ministra Zdrowia) do danych osobowych w Systemie (…) nie stanowi podstawy prawnej do przeprowadzania dowolnych operacji na tych danych - zgodnie z art. 6 ust. 3 rozporządzenia 2016/679 podstawa prawna przetwarzania, o którym mowa w ust. 1 lit. c) i e) rozporządzenia 2016/679, musi być określona: a) w prawie Unii; lub b) w prawie państwa członkowskiego, któremu podlega administrator; cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Z powołanych wyżej przepisów nie wynika, aby wytworzenie informacji w zakresie poziomu zaszczepienia pracowników uczelni, studentów i doktorantów stanowiło zadanie realizowane przez Ministra Edukacji i Nauki w ramach polityki naukowej państwa oraz mieściło się w czynnościach, które zgodnie z przedmiotową ustawą może podejmować Minister Edukacji i Nauki w związku ze sprawowanym nadzorem nad uczelniami. Do analogicznego wniosku można dojść analizując cele, w jakich Minister Zdrowia może przetwarzać dane osobowe w Systemie (…) - wątpliwości budzi okoliczność, czy przetwarzanie przez niego danych osobowych zgodnie z treścią ww. Porozumienia odbywało się w ramach sprawowanego przez powyższy organ nadzoru nad uczelniami medycznymi i tym samym było zgodne z przepisami ustawy Prawo o Szkolnictwie Wyższym i Nauce oraz z rozporządzeniem 2016/679.
Zaznaczenia wymaga, iż uzasadnieniem prawnym dla działań Ministra Edukacji i Nauki wynikających z treści ww. Porozumienia nie może być również wskazywany w ramach złożonych wyjaśnień przepis art. 51a PSWiN. Na podstawie tego przepisu, w przypadkach uzasadnionych nadzwyczajnymi okolicznościami zagrażającymi życiu lub zdrowiu członków wspólnoty uczelni, minister właściwy do spraw szkolnictwa wyższego i nauki, w drodze rozporządzenia, jedynie może czasowo ograniczyć lub czasowo zawiesić funkcjonowanie uczelni na obszarze kraju lub jego części, uwzględniając stopień zagrożenia na danym obszarze.
Powołany przepis nie może stanowić dla Ministra Edukacji i Nauki podstawy prawnej do przetwarzania (w tym udostępnienia) danych osobowych w rozumieniu art. 6 ust. 1 lit. c) lub e) rozporządzenia 2016/679, z uwagi na warunki jakie taka podstawa przetwarzania musi spełniać, a które wynikają z art. 6 ust. 3 ww. rozporządzenia, o czym była już mowa powyżej. Ponadto, cele przetwarzania danych osobowych w Systemie (…) zostały ściśle określone w art. 342 ust. 4 PSWiN (jako katalog zamknięty) i nie znajdują się wśród nich zadania Ministra Edukacji i Nauki wynikające z art. 51a PSWiN.
Zgodnie z § 1 ust. 3 ww. Porozumienia współpraca Ministra Edukacji i Nauki oraz Ministra Zdrowia realizowana była m.in. w formie uzgadniania i podejmowania przez nich w zakresie swojej właściwości wspólnych działań, w tym: (…).
Analiza ustawy SIOZ, która określa m.in. zasady funkcjonowania systemu informacji o ochronie zdrowia i obsługującej go m.in. Elektronicznej Platformy (…), wykorzystanej do realizacji Porozumienia zawartego pomiędzy Ministrem Edukacji i Nauki oraz Ministrem Zdrowia, prowadzi do wniosku, że Minister Zdrowia nie ma podstawy prawnej, w rozumieniu rozporządzenia 2016/679, do przetwarzania danych osobowych w sposób wynikający z przedmiotowego Porozumienia, czyli zestawienia - za pomocą numeru PESEL - danych osobowych przetwarzanych w Systemie (…) (do których ma dostęp na podstawie przepisów PSWiN - art. 343 ust. 5 pkt 1, art. 344 ust. 3 pkt 1, art. 345 ust. 3 pkt 1 i które dodatkowo zostały mu przekazane przez Ministra Edukacji i Nauki, jak wskazano w nadesłanych wyjaśnieniach „w celu usprawnienia i przyśpieszenia procesu opracowania danych statystycznych”) i tych przetwarzanych z wykorzystaniem Platformy (…).
Należy podkreślić, że przed wytworzeniem anonimowej informacji statystycznej na temat poziomu zaszczepienia na uczelniach dochodziło do powstania nowego zbioru danych osobowych, z którego można uzyskać konkretną informację dotyczącą pracowników uczelni, studentów, czy doktorantów zaszczepionych, co stanowi przetwarzanie szczególnych kategorii danych osobowych, podlegające wymogom art. 9 ust. 2 rozporządzenia 2016/679. Przepisy ustawy Prawo o Szkolnictwie Wyższym i Nauce nie stanowią podstawy uprawniającej do przetwarzania takich danych, gdyż w systemie (…) nie są przetwarzane informacje o szczepieniach oraz trudno zakwalifikować wytworzenie informacji statystycznej w zakresie szczepień na uczelniach jako czynności, które może podejmować Minister Zdrowia w ramach nadzoru nad uczelniami medycznymi sprawowanego zgodnie z art. 433 ust. 1 pkt 4 i ust. 2 PSWiN.
Z treści art. 1 ust. 1 SIOZ wynika, że w systemie informacji o ochronie zdrowia, zwanym „systemem informacji”, przetwarzane są dane niezbędne do prowadzenia polityki zdrowotnej państwa, podnoszenia jakości i dostępności świadczeń opieki zdrowotnej oraz finansowania zadań z zakresu ochrony zdrowia. Zgodnie z art. 3 ust. 1 SIOZ, system informacji obejmuje bazy danych tworzone przez podmioty obowiązane do ich prowadzenia, zawierające dane o: 1) udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej; 2) usługodawcach i pracownikach medycznych; 3) usługobiorcach.
W art. 4 ust. 3 SIOZ, zostały określone dane dotyczące usługobiorców gromadzone w przedmiotowym systemie informacji, które obejmują m.in. jednostkowe dane medyczne, czyli zgodnie z art. 2 pkt 7 SIOZ dane osoby fizycznej o udzielonych, udzielanych i planowanych świadczeniach opieki zdrowotnej oraz dotyczące jej stanu zdrowia, w tym profilaktyki zdrowotnej i realizacji programów zdrowotnych. Zgodnie z art. 5 pkt 34 i 40 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2022 r. poz. 2561), do świadczeń opieki zdrowotnej należą świadczenia zdrowotne, czyli działanie służące profilaktyce, zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działanie medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich udzielania. Analiza treści tych przepisów prawa prowadzi do wniosku, że informacja o zaszczepieniu stanowi informację o udzielonych świadczeniach opieki zdrowotnej i jest przetwarzana w „systemie informacji” w celach określonych w ww. ustawie o systemie informacji o ochronie zdrowia.
W „systemie informacji” są też przetwarzane dane usługobiorców w postaci imion i nazwisk, numerów PESEL, numerów i rodzajów dokumentów potwierdzających prawo do świadczeń opieki zdrowotnej finansowanych ze środków publicznych, numerów identyfikacyjnych płatników, ale brak wyszczególnienia, czy dana osoba posiada status pracownika uczelni, studenta, czy doktoranta.
Zgodnie z art. 5 SIOZ, system informacji obejmuje bazy danych funkcjonujące w ramach: 1) S. oraz 2) dziedzinowych systemów teleinformatycznych i jest obsługiwany m.in. przez Elektroniczną Platformę (…). S., co wynika z art. 10 ust. 1 i 8 SIOZ, jest systemem teleinformatycznym służącym przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej udostępnianych przez systemy teleinformatyczne usługodawców, administratorem danych przetwarzanych w S. jest minister właściwy do spraw zdrowia. W art. 12 SIOZ zostały określone cele przetwarzania danych w S., lecz nie ma wśród nich celu przetwarzania danych osobowych wynikającego z zawartego pomiędzy Ministrem Edukacji i Nauki a Ministrem Zdrowia Porozumienia - czyli potrzeba weryfikowania poziomu zaszczepienia przeciwko chorobie COVID-19 wśród członków wspólnot uczelni w związku z koniecznością zapewnienia efektywnego nadzoru oraz prawidłowego ustalania oraz realizacji polityki naukowej państwa.
Dodatkowo, z art. 32 ust. 2 zd. pierwsze SIOZ wynika, iż podmioty prowadzące bazy danych (czyli te, o których mowa w art. 3 SIOZ, w tym minister właściwy do spraw zdrowia), są uprawnione do przetwarzania zgromadzonych danych w zakresie niezbędnym do realizacji wykonywanych przez nie zadań.
Uzupełniająco należy dodać, że zgodnie z art. 21e ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz. U. z 2023 r. poz. 1284.), tworzy się centralny elektroniczny system (…), zwany dalej „systemem (…)”, w którym są przetwarzane:1) informacje niezbędne do przeprowadzania tych szczepień; 2) dane osoby poddającej się tym szczepieniom: imię i nazwisko, numer PESEL, numer i seria dokumentu tożsamości, numer telefonu, adres poczty elektronicznej, adres miejsca zamieszkania, oraz jednostkowe dane medyczne tej osoby; 3) dane zawarte w skierowaniu. Administratorem danych zawartych w systemie (…) jest minister właściwy do spraw zdrowia. Dane dotyczące szczepień ochronnych przeciwko COVID-19 zawarte w systemie (…), w tym jednostkowe dane medyczne, są przekazywane do systemu, o którym mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (czyli do Elektronicznej Platformy […]), w celu prezentowania ich w I., o którym mowa w art. 7a tej ustawy, oraz monitorowania przebiegu szczepień. Z uwagi na to, że w systemie (…) i obsługującej go m.in. Elektronicznej Platformie (…) nie przetwarza się danych o statusie pracownika uczelni, studenta i doktoranta, o czym mowa powyżej, to monitorowanie przebiegu szczepień, o którym mowa w poprzednim zdaniu, nie może obejmować tych informacji, co również przesądza o braku podstaw prawnych dla Ministra Zdrowia do przetwarzania danych osobowych zgodnie z zawartym z Ministrem Edukacji i Nauki Porozumieniem.
Mając na uwadze powyższe, Minister Edukacji i Nauki oraz Minister Zdrowia naruszyli przepisy art. 5 ust. 1 lit. a) i b) w zw. z art. 6 ust. 1 oraz art. 9 ust. 2 rozporządzenia 2016/679 poprzez przetwarzanie w sposób nieuprawniony i niezgodny z celem danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID- 19.
Zgodnie z treścią art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; c) podejmuje wszelkie środki wymagane na mocy art. 32; d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36; g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
W związku z treścią art. 6 ust. 3 oraz art. 9 ust. 2 lit. i) rozporządzenia 2016/679 przywoływane w ramach niniejszej sprawy Porozumienie, nie może być traktowane jako podstawa prawna przetwarzania danych osobowych w sposób w nim opisanym, ponieważ nie stanowi ono „prawa Unii lub prawa państwa członkowskiego”, do których odwołują się przywołane na początku zdania przepisy rozporządzenia 2016/679.
Z powyższych rozważań wynika, że żaden z ww. organów (MEiN oraz MZ) nie posiadał podstaw prawnych do przetwarzania danych osobowych w sposób wynikający z zawartego Porozumienia, zatem nie może być ono traktowane jako udokumentowanie udostępnienia Ministrowi Zdrowia danych z Systemu (…) przez Ministra Edukacji i Nauki, na podstawie jednej z przesłanek, o których mowa w art. 6 rozporządzenia 2016/679. Porozumienia Ministra Edukacji i Nauki oraz Ministra Zdrowia nie można również zakwalifikować jako umowy lub „innego instrumentu prawnego” w rozumieniu art. 28 ust. 3 rozporządzenia 2016/679, gdyż jeden podmiot (tu Minister Edukacji i Nauki) nie może powierzyć przetwarzanie danych osobowych w celu, co do którego nie dysponuje podstawą prawną przetwarzania tych danych.
Z uwagi na brak podstawy prawnej dla przetwarzania danych osobowych w celu wynikającym z przedmiotowego Porozumienia przez obu Ministrów, nie może być ono także uznane za „wspólne uzgodnienia”, które są wymagane przy współadministrowaniu, o którym mowa w art. 26 rozporządzenia 2016/679.
Tym samym Minister Edukacji i Nauki oraz Minister Zdrowia naruszyli przepis art. 28 ust. 3 rozporządzenia 2016/679 wobec powierzenia danych osobowych nauczycieli akademickich, doktorantów i studentów w zakresie szczepień przeciwko COVID-19 w drodze Porozumienia (…) z dnia (…) grudnia 2021 r. zawartego między Ministrem Zdrowia a Ministrem Edukacji i Nauki, który to dokument nie stanowił umowy lub innego instrumentu prawnego, o którym mowa w przywołanym powyżej przepisie rozporządzenia 2016/679.
Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes Urzędu Ochrony Danych Osobowych uznaje za uzasadnione udzielenie Ministrowi Nauki oraz Ministrowi Zdrowia upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. a) i b) w zw. z art. 6 ust. 1, art. 9 ust. 2 oraz art. 28 ust. 3 rozporządzenia 2016/679. Motyw 148 ww. rozporządzenia stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Prezes Urzędu uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Ministrowi Nauki oraz Ministrowi Zdrowia upomnienia. Za okoliczność łagodzącą, która między innymi za tym przemawia, Prezes Urzędu uznał stosunkowo niewielkie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Podkreślenia również wymaga, iż współpraca Ministra Nauki (poprzednio: Ministra Edukacji i Nauki) oraz Ministra Zdrowia z organem nadzorczym w celu wyjaśnienia okoliczności sprawy odbywała się w sposób niebudzący zastrzeżeń. Co równie istotne, Prezes Urzędu wziął także pod uwagę fakt, iż oba podmioty - choć nie uzasadnia to dokonanych naruszeń przepisów o ochronie danych - działały w realiach szczególnie trudnego dla całego społeczeństwa czasu pandemii koronawirusa SARS-CoV-2, który utrudniał, a często też uniemożliwiał właściwe funkcjonowanie organów ze względu na obowiązujący ówcześnie rygor sanitarny.
Biorąc pod uwagę okoliczności przedmiotowej sprawy i poczynione przez Prezesa Urzędu ustalenia, brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły na skutek działań wyżej wymienionych podmiotów szkodę. Powyższe okoliczności uzasadniają zatem udzielenie wskazanym organom upomnienia za naruszenie przepisów o ochronie danych osobowych, mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości. Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa Urzędu wobec Ministra Nauki oraz Ministra Zdrowia będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r. poz. 1634 ze zm.) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie.
Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.