W tej polityce prywatności wyjaśniamy, jak przetwarzamy i chronimy dane osobowe w systemie Ewidencja Wjazdu do Polski (EWP, System). System EWP jest systemem teleinformatycznym dedykowanym do wsparcia działań podejmowanych w celu zapobiegania, przeciwdziałania i zwalczania epidemii COVID-19. Polityka prywatności dotyczy Systemu, który jest zintegrowanym elementem systemów e-zdrowia i może współpracować z Internetowym Kontem Pacjenta (IKP), które umożliwia osobie, której dane dotyczą, dostęp do wybranych informacji przetwarzanych w Systemie.
Mając na uwadze poszanowanie konstytucyjnej zasady prawa do prywatności, wdrożyliśmy niezbędne procedury ochrony danych osobowych. Ich stosowanie służy realizacji wszystkich wymogów i standardów wynikających m.in. z rozporządzenia Parlamentu i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych – RODO) oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Dokładamy szczególnych starań, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty. Dane są zbierane i przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Dbamy o to, aby przetwarzać dane jedynie w niezbędnym zakresie oraz by zawsze były prawidłowe, a w razie potrzeby aktualizowane. Dane osobowe są przetwarzane w okresie nie dłuższym niż jest to niezbędne do realizacji celów przetwarzania lub nie dłużej niż to wynika z przepisów prawa. Jednocześnie, przy zachowaniu powyższych zasad, za nadrzędną wartość przyjmujemy dbałość o integralność oraz poufność danych osobowych.
1. Podstawa prawna przetwarzania danych
- art. 6 ust. 1 lit. c i e oraz art. 9 ust.2 lit. h-i RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
- art. 6 ust. 1 lit. f RODO – w związku z prawnie uzasadnionym interesem administratora w celu ustalania, dochodzenia i obrony roszczeń
- Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych
- Ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi
- Rozporządzenie Ministra Zdrowia z dnia 31 grudnia 2020 r. w sprawie metody zapobiegania COVID-19
- Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
2. Administrator danych osobowych
Administratorem danych osobowych przetwarzanych w Systemie jest Minister Zdrowia, z którym można się kontaktować:
- listownie na adres siedziby w Warszawie (00-952) przy ul. Miodowej 15
- za pośrednictwem adresu e-Doręczeń: AE:PL-11185-96749-VHSCS-20
- za pośrednictwem elektronicznej skrzynki podawczej (adres skrytki: /8tk37sxx6h/SkrytkaESP)
- poprzez e-mail: kancelaria@mz.gov.pl.
Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych osobowych. Z Inspektorem Ochrony Danych można kontaktować się poprzez: e- mail: iod@mz.gov.pl, e-PUAP, e-Doręczenia lub listownie na adres siedziby administratora.
Administratorem Systemu odpowiedzialnym za techniczno-organizacyjną obsługę systemu teleinformatycznego jest Centrum e-Zdrowia (CeZ) (ul. Dubois 5A, 00-184 Warszawa, AE: PL-81405-68798-CIRHA-30, ePUAP: /csiozgovpl/SkrytkaESP, e-mail: biuro@cez.gov.pl). Centrum e-Zdrowia jest państwową jednostką organizacyjną odpowiedzialną za utrzymanie, rozwój oraz funkcjonowanie systemów teleinformatycznych w ochronie zdrowia, w tym aplikacji, działającą w zakresie określonym przepisami prawa.
3. Cel przetwarzania danych osobowych
Twoje dane osobowe będą przetwarzane w celu:
- prowadzenia Systemu
- wywiązania się z obowiązków administratora danych osobowych, związanych zwłaszcza z zapewnieniem sprawnego i efektywnego korzystania z Systemu
- zapobiegania, przeciwdziałania i zwalczania wirusa SARS-CoV-2 powodującego chorobę COVID-19
- monitorowania stanu zagrożenia epidemią na terenie Rzeczypospolitej Polskiej
- monitorowania poziomu wykonywania testów w kierunku obecności wirusa
- monitorowania ruchu osobowego na granicach RP, w celu oceny i rozwoju sytuacji epidemiologicznej w Polsce
- uwierzytelnienia użytkownika oraz w zakresie realizacji zadań publicznych związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, w przypadku osób będących użytkownikami instytucjonalnymi Systemu
- umożliwienia użytkownikowi Systemu za pośrednictwem Internetowego Konta Pacjenta – po zalogowaniu się, dostępu do niektórych danych przetwarzanych w Systemie (aplikacja IKP - dostępna jest pod adresem https://pacjent.gov.pl, aplikacja mojeIKP dostępna do pobrania z AppStore lub GooglePlay)
- zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej i zabezpieczenia społecznego, zgodnie z obowiązującymi przepisami
- realizacji zadań wynikających z ustawy o narodowym zasobie archiwalnym
- zapewnienia bezpieczeństwa i prawidłowego działania Systemu (logi systemowe, rejestr zdarzeń, zapobieganie nadużyciom), ochrony integralności danych oraz infrastruktury teleinformatycznej, a także obsługi zgłoszeń technicznych i reklamacji związanych z Systemem
- ustalenia, dochodzenia i obrony roszczeń oraz prowadzenia statystyk służących poprawie efektywności pracy i jakości usług oraz dostosowaniu ich do odbiorców – w ramach prawnie uzasadnionych interesów administratora.
4. Zakres danych przetwarzanych
W Systemie przetwarzane są dane osobowe, dane administracyjne i dane medyczne.
W Systemie przetwarzane są następujące dane:
- imię i nazwisko
- numer PESEL, a w przypadku osób, które nie mają nadanego numeru PESEL - seria, numer oraz rodzaj i kraj wydania dokumentu stwierdzającego tożsamość
- data urodzenia
- wiek
- płeć
- adres miejsca zamieszkania, adres miejsca pobytu na terytorium Rzeczypospolitej Polskiej lub adres miejsca zameldowania, jeżeli posiada
- numer telefonu, jeżeli posiada
- adres poczty elektronicznej, jeżeli posiada
- dane osób podlegających obowiązkowej kwarantannie, osób podlegających izolacji, izolacji w warunkach domowych z powodu zachorowania na chorobę wywołaną zakażeniem SARS-CoV-2, w tym adres miejsca zamieszkania lub pobytu, w którym odbyła się obowiązkowa kwarantanna, izolacja albo izolacja w warunkach domowych oraz numer telefonu do bezpośredniego kontaktu z tą osobą
- dane osób, w stosunku do których podjęto decyzję o wykonaniu testu diagnostycznego w kierunku SARS-CoV-2
- dane osób zakażonych wirusem SARS-CoV-2 oraz informacje dotyczące zgonu tych osób w zakresie objętym formularzem ZLK-5 (tj. data, przyczyna i choroby współistniejące)
- osoby powiązane (domownicy).
Użytkownikowi Systemu za pośrednictwem IKP umożliwia się między innymi dostęp do danych przetwarzanych w systemie Ewidencja Wjazdów do Polski. Zakres przetwarzanych danych może być modyfikowany, zwłaszcza w kontekście rozwoju usług systemu e-zdrowie lub zmian legislacyjnych.
Dane dotyczące zdrowia użytkownika są wykorzystywane wyłącznie w celu świadczenia usług zdrowotnych oraz realizacji funkcjonalności Systemu w tym aplikacji IKP i nie są wykorzystywane do celów reklamowych, marketingowych ani komercyjnych.
5. Odbiorcy danych
Odbiorcami danych osobowych przetwarzanych w systemie EWP są:
- Centrum e-Zdrowia
- organy Państwowej Inspekcji Sanitarnej
- organy Wojskowej Inspekcji Sanitarnej
- Narodowy Fundusz Zdrowia
- Zakład Ubezpieczeń Społecznych
- Kasa Rolniczego Ubezpieczenia Społecznego
- Narodowy Instytut Zdrowia Publicznego PZH - Państwowy Instytut Badawczy
- Agencja Oceny Technologii Medycznych i Taryfikacji
- Wojewodowie
- Policja
- straż gminna (miejska) w zakresie danych przetwarzanych na potrzeby wydawania i weryfikacji Certyfikatu COVID
- Państwowa Straż Pożarna
- Straż Graniczna
- Agencja Bezpieczeństwa Wewnętrznego
- Krajowa Administracja Skarbowa
- Straż Ochrony Kolei w zakresie danych przetwarzanych na potrzeby wydawania i weryfikacji Certyfikatu COVID
- Centralne Biuro Antykorupcyjne
- Służba Ochrony Państwa
- Służba Kontrwywiadu Wojskowego
- Żandarmeria Wojskowa
- Wojska Obrony Terytorialnej
- System Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego
- minister właściwy do spraw informatyzacji
- operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe (Dz. U. z 2023 r. poz. 1640)
- podmioty wykonujące działalność leczniczą w celu realizacji ich zadań ustawowych lub statutowych lub zadań związanych z prowadzeniem działań dotyczących przeciwdziałania epidemii wywołanej zakażeniami SARS-CoV-2.
Dane osobowe mogą być udostępniane podmiotom uprawnionym do ich uzyskania na mocy prawa powszechnie obowiązującego oraz podmiotom świadczącym obsługę administracyjno-organizacyjną administratora.
Dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.
6. Przechowywanie danych
Dane w Systemie przechowywane są przez okres niezbędny do realizacji celu w jakim zostały zebrane a także wykonania obowiązków wynikających z przepisów o ochronie danych osobowych, w szczególności zapewnienia rozliczalności prowadzonych operacji przetwarzania oraz prawidłowego funkcjonowania i bezpieczeństwa Systemu. Dane będą przechowywane nie dłużej niż to wynika z przepisów prawa.
Jeżeli dane stanowią dowód w postępowaniu prowadzonym na podstawie przepisów prawa lub administrator powziął informację, że mogą stanowić taki dowód, okres ten wydłuża się do czasu prawomocnego zakończenia postępowania.
7. Prawa związane z przetwarzaniem danych osobowych
Twoje dane zdrowotne nie są wykorzystywane do celów marketingowych ani reklamowych, nie są sprzedawane ani udostępniane w takich celach, są przetwarzane wyłącznie w celu realizacji funkcjonalności Systemu oraz świadczenia usług zdrowotnych.
Masz prawo żądać od Administratora:
- dostępu do swoich danych (art. 15 RODO) – możesz dowiedzieć się, jakie dane o Tobie przetwarzamy, oraz otrzymać ich pierwszą kopię za darmo (art. 15 ust. 3 RODO)
- sprostowania swoich danych (art. 16 RODO) – możesz poprawić swoje dane, jeśli są błędne. Jeżeli jednak sprostowanie dotyczyłoby danych medycznych – zmiany są możliwe tylko wtedy, gdy nie naruszają autonomii zawodowej osoby wykonującej zawód medyczny, która wprowadziła dane do dokumentacji
- usunięcia swoich danych (art. 17 RODO) – jeśli:
- cofnęłaś / cofnąłeś zgodę na ich przetwarzanie
- dane nie są już potrzebne do celu, w jakim je zebrano
- dane są przetwarzane niezgodnie z prawem
- zgłosiłaś / zgłosiłeś sprzeciw i nie ma nadrzędnych prawnie uzasadnionych podstaw do dalszego przetwarzania
- ograniczenia przetwarzania swoich danych (art. 18 RODO), jeżeli:
- kwestionujesz ich prawidłowość – na okres pozwalający administratorowi sprawdzić prawidłowość danych
- przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia danych
- administrator nie potrzebuje już danych, ale ty potrzebujesz ich do ustalenia lub obrony roszczeń
- wniosłaś / wniosłeś sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu jego rozpatrzenia
- przeniesienia swoich danych osobowych (art. 20 RODO), gdy:
- przetwarzanie opiera się na Twojej zgodzie (w myśl art. 6 ust. 1 lit. a)
- dane są przetwarzane automatycznie
- jeśli przetwarzanie opiera się na Twojej zgodzie (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO), możesz ją w każdej chwili wycofać – wycofanie zgody nie wpływa na to, co przetworzono wcześniej. Nie można jednak wycofać zgody ani żądać usunięcia danych, jeśli prawo wymaga ich dalszego przetwarzania (art. 17 ust. 3 lit. b RODO).
Każdy wniosek zostanie rozpatrzony zgodnie z RODO. Dla danych przetwarzanych w systemie nie stosuje się prawa do bycia zapomnianym. Dane będą przetwarzane aż do czasu wygaśnięcia celu przetwarzania.
Masz także prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych na adres e-email: kancelaria@uodo.gov.pl.
8. Informacja w zakresie zautomatyzowanego podejmowania decyzji oraz profilowania
Twoje dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.
9. Zmiany w polityce prywatności
Administrator zastrzega sobie prawo do wprowadzania zmian w polityce prywatności. Aktualizacje będą publikowane na stronie internetowej https://pacjent.gov.pl/polityka-prywatnosci-ewp.