Główny Inspektorat Sanitarny uważa, że nie musi informować, kto przetwarza dane podawane przez pasażerów przylatujących do Polski. UODO i zapytani przez nas prawnicy są innego zdania.
Od ponad tygodnia pasażerom samolotów lądujących na lotnisku Chopina wręczane są do wypełnienia karty lokalizacyjne. To jeden z elementów walki z koronawirusem. Pasażerowie są proszeni o wskazanie numeru lotu, stałego miejsca zamieszkania, miejsca pobytu w Polsce, numeru kontaktowego czy adresu e-mail. W mediach społecznościowych wciąż mnożą się pytania podróżnych – dlaczego formularze są tylko w jednym języku (zdarza się, że nie ma polskojęzycznych, albo też na odwrót – angielskojęzycznych), czy osoby, które ich nie wypełnią, mogą być niewypuszczone z samolotu, albo też dlaczego z niektórych kierunków nikt ich w ogóle nie zbiera. Powtarza się też pytanie podstawowe – kto zbiera te informacje, czyli mówiąc językiem RODO, kto jest administratorem danych osobowych. Na formularzach nie ma bowiem o tym ani słowa.

GIS nie odpowiada

Z informacji przekazanych przez Lotnisko Chopina w Warszawie wynika, że administratorem danych osobowych jest państwowy graniczny inspektor sanitarny (PGIS) w Warszawie. Podlega on pod Główny Inspektorat Sanitarny, dlatego do rzecznika tej instytucji przesłaliśmy pytanie, dlaczego na formularzu nie ma informacji wymaganych przez RODO czy choćby wskazania administratora, podstawy prawnej przetwarzania czy jego celu.
– Lex specialis derogat legi generali. O resztę proszę pytać urząd zajmujący się ochroną danych osobowych – odpisał nam Jan Bondar.
Spytaliśmy więc Urząd Ochrony Danych Osobowych, czy dostrzega podstawę do tego, by nie podawać na formularzu wymaganych prawem informacji i czy GIS konsultował z nim swe stanowisko. Nie konsultował.
– Nie widzimy podstawy do wyłączenia obowiązku wskazania tak podstawowej informacji jak to, kto jest administratorem danych podawanych przez pasażerów na formularzu – powiedział nam Adam Sanocki, rzecznik prasowy UODO.
Wczoraj na stronie internetowej Lotniska Chopina opublikowano komunikat, w którym wskazano podstawę prawną zbierania danych.
„Obowiązek stosowania Karty Lokalizacyjnej Pasażera wynika wprost z załącznika Nr 9 «Międzynarodowe Normy i Zalecane Metody Postępowania» będącego wykonaniem art. 37 Konwencji o międzynarodowym lotnictwie cywilnym podpisanej w Chicago dnia 7 grudnia 1944 r. (Dz. U. z 1959 r. poz. 212, z późn. zm.)” – można przeczytać w komunikacie.

Wystarczyłaby wzmianka

Podstawa prawna przetwarzania danych nie budzi wątpliwości. Można je natomiast mieć wobec dalszej części komunikatu, w której stwierdzono, że PGIS jest w ogóle zwolniony ze stosowania RODO, w tym także obowiązku informacyjnego, co ma wynikać z art. 6 ust. 1 ustawy o ochronie danych osobowych (patrz: ramka). Zgodnie z tym przepisem ustawy i RODO nie stosuje się, jeśli w przypadku „realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą”.
Czy mamy tu do czynienia z taką sytuacją? Zapytani przez nas prawnicy uważają, że nie.
– Trudno mówić o działaniach mających na celu zapewnienie bezpieczeństwa narodowego. W przepisie tym chodzi np. o służby specjalne czy zwalczanie terroryzmu. Nie mam wątpliwości, że obowiązek informacyjny wynikający z art. 13 powinien zostać spełniony. Dzisiaj z samego formularza nie dowiemy się nawet, kto jest administratorem danych. Jeżeli jest to państwowy graniczny inspektor sanitarny, to informacja taka powinna znaleźć się na formularzu. Podobnie jak podstawa prawna do przetwarzania danych – uważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Podobnego zdania jest Aneta Sieradzka, partner zarządzający w Sieradzka & Partners Kancelaria Prawna.
– PGIS w Warszawie naruszył RODO, bo realizacja uzasadnionego obowiązku administratora nie wyłącza obowiązku informacyjnego, który nie został spełniony nawet w minimalnym zakresie. Powoływanie się na ochronę żywotnych interesów powinno być również uzasadnione, a nie nadużywane. Została naruszona tu zasada przejrzystości i legalności przetwarzanych danych osobowych – ocenia ekspert.
– W imię realizacji takich wartości jak ochrona zdrowia publicznego czy zapewnienie bezpieczeństwa narodowego nie można naruszać istoty podstawowych praw i wolności obywateli. Można je ograniczać, ale nie wyłączać – dodaje.
RODO bez wątpienia nie powinno być przeszkodą w walce z koronawirusem. Tyle że wskazanie na formularzu nazwy administratora i strony internetowej, na której zainteresowani mogą zasięgnąć dalszych informacji, trudno uznać za nadmierny wysiłek. Tym bardziej że podanie tych informacji pasażerom leży przecież w interesie samych służb sanitarnych. Choćby po to, by wiedzieli oni, gdzie zaktualizować dane kontaktowe.
Co mówią przepisy / DGP