Polityka prywatności systemu Ewidencja Wjazdu do Polski (EWP)

W tej polityce prywatności wyjaśniamy, jak przetwarzamy i chronimy dane osobowe w systemie Ewidencja Wjazdu do Polski (EWP, System). System EWP jest systemem teleinformatycznym dedykowanym do wsparcia działań podejmowanych w celu zapobiegania, przeciwdziałania i zwalczania epidemii COVID-19. Polityka prywatności dotyczy Systemu, który jest zintegrowanym elementem systemów e-zdrowia i może współpracować z Internetowym Kontem Pacjenta (IKP), które umożliwia osobie, której dane dotyczą, dostęp do wybranych informacji przetwarzanych w Systemie.

Mając na uwadze poszanowanie konstytucyjnej zasady prawa do prywatności, wdrożyliśmy niezbędne procedury ochrony danych osobowych. Ich stosowanie służy realizacji wszystkich wymogów i standardów wynikających m.in. z rozporządzenia Parlamentu i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych – RODO) oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Dokładamy szczególnych starań, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty. Dane są zbierane i przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Dbamy o to, aby przetwarzać dane jedynie w niezbędnym zakresie oraz by zawsze były prawidłowe, a w razie potrzeby aktualizowane. Dane osobowe są przetwarzane w okresie nie dłuższym niż jest to niezbędne do realizacji celów przetwarzania lub nie dłużej niż to wynika z przepisów prawa. Jednocześnie, przy zachowaniu powyższych zasad, za nadrzędną wartość przyjmujemy dbałość o integralność oraz poufność danych osobowych.

1. Podstawa prawna przetwarzania danych

  • art. 6 ust. 1 lit. c i e oraz art. 9 ust.2 lit. h-i RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
  • art. 6 ust. 1 lit. f RODO – w związku z prawnie uzasadnionym interesem administratora w celu ustalania, dochodzenia i obrony roszczeń
  • Ustawa z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych
  • Ustawa z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi
  • Rozporządzenie Ministra Zdrowia z dnia 31 grudnia 2020 r. w sprawie metody zapobiegania COVID-19
  • Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w Systemie jest Minister Zdrowia, z którym można się kontaktować:

  • listownie na adres siedziby w Warszawie (00-952) przy ul. Miodowej 15
  • za pośrednictwem adresu e-Doręczeń: AE:PL-11185-96749-VHSCS-20
  • za pośrednictwem elektronicznej skrzynki podawczej (adres skrytki: /8tk37sxx6h/SkrytkaESP)
  • poprzez e-mail: kancelaria@mz.gov.pl.

Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych osobowych. Z Inspektorem Ochrony Danych można kontaktować się poprzez: e- mail: iod@mz.gov.pl, e-PUAP, e-Doręczenia lub listownie na adres siedziby administratora.

Administratorem Systemu odpowiedzialnym za techniczno-organizacyjną obsługę systemu teleinformatycznego jest Centrum e-Zdrowia (CeZ) (ul. Dubois 5A, 00-184 Warszawa, AE: PL-81405-68798-CIRHA-30, ePUAP: /csiozgovpl/SkrytkaESP, e-mail: biuro@cez.gov.pl). Centrum e-Zdrowia jest państwową jednostką organizacyjną odpowiedzialną za utrzymanie, rozwój oraz funkcjonowanie systemów teleinformatycznych w ochronie zdrowia, w tym aplikacji, działającą w zakresie określonym przepisami prawa.

3. Cel przetwarzania danych osobowych

Twoje dane osobowe będą przetwarzane w celu:

  1. prowadzenia Systemu
  2. wywiązania się z obowiązków administratora danych osobowych, związanych zwłaszcza z zapewnieniem sprawnego i efektywnego korzystania z Systemu
  3. zapobiegania, przeciwdziałania i zwalczania wirusa SARS-CoV-2 powodującego chorobę COVID-19
  4. monitorowania stanu zagrożenia epidemią na terenie Rzeczypospolitej Polskiej
  5. monitorowania poziomu wykonywania testów w kierunku obecności wirusa
  6. monitorowania ruchu osobowego na granicach RP, w celu oceny i rozwoju sytuacji epidemiologicznej w Polsce
  7. uwierzytelnienia użytkownika oraz w zakresie realizacji zadań publicznych związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, w przypadku osób będących użytkownikami instytucjonalnymi Systemu
  8. umożliwienia użytkownikowi Systemu za pośrednictwem Internetowego Konta Pacjenta – po zalogowaniu się, dostępu do niektórych danych przetwarzanych w Systemie (aplikacja IKP - dostępna jest pod adresem https://pacjent.gov.pl, aplikacja mojeIKP dostępna do pobrania z AppStore lub GooglePlay)
  9. zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej i zabezpieczenia społecznego, zgodnie z obowiązującymi przepisami
  10. realizacji zadań wynikających z ustawy o narodowym zasobie archiwalnym
  11. zapewnienia bezpieczeństwa i prawidłowego działania Systemu (logi systemowe, rejestr zdarzeń, zapobieganie nadużyciom), ochrony integralności danych oraz infrastruktury teleinformatycznej, a także obsługi zgłoszeń technicznych i reklamacji związanych z Systemem
  12. ustalenia, dochodzenia i obrony roszczeń oraz prowadzenia statystyk służących poprawie efektywności pracy i jakości usług oraz dostosowaniu ich do odbiorców – w ramach prawnie uzasadnionych interesów administratora.

4. Zakres danych przetwarzanych 

W Systemie przetwarzane są dane osobowe, dane administracyjne i dane medyczne.

W Systemie przetwarzane są następujące dane:

  1. imię i nazwisko
  2. numer PESEL, a w przypadku osób, które nie mają nadanego numeru PESEL - seria, numer oraz rodzaj i kraj wydania dokumentu stwierdzającego tożsamość
  3. data urodzenia
  4. wiek
  5. płeć
  6. adres miejsca zamieszkania, adres miejsca pobytu na terytorium Rzeczypospolitej Polskiej lub adres miejsca zameldowania, jeżeli posiada
  7. numer telefonu, jeżeli posiada
  8. adres poczty elektronicznej, jeżeli posiada
  9. dane osób podlegających obowiązkowej kwarantannie, osób podlegających izolacji, izolacji w warunkach domowych z powodu zachorowania na chorobę wywołaną zakażeniem SARS-CoV-2, w tym adres miejsca zamieszkania lub pobytu, w którym odbyła się obowiązkowa kwarantanna, izolacja albo izolacja w warunkach domowych oraz numer telefonu do bezpośredniego kontaktu z tą osobą
  10. dane osób, w stosunku do których podjęto decyzję o wykonaniu testu diagnostycznego w kierunku SARS-CoV-2
  11. dane osób zakażonych wirusem SARS-CoV-2 oraz informacje dotyczące zgonu tych osób w zakresie objętym formularzem ZLK-5 (tj. data, przyczyna i choroby współistniejące)
  12. osoby powiązane (domownicy).

Użytkownikowi Systemu za pośrednictwem IKP umożliwia się między innymi dostęp do danych przetwarzanych w systemie Ewidencja Wjazdów do Polski. Zakres przetwarzanych danych może być modyfikowany, zwłaszcza w kontekście rozwoju usług systemu e-zdrowie lub zmian legislacyjnych.

Dane dotyczące zdrowia użytkownika są wykorzystywane wyłącznie w celu świadczenia usług zdrowotnych oraz realizacji funkcjonalności Systemu w tym aplikacji IKP i nie są wykorzystywane do celów reklamowych, marketingowych ani komercyjnych.

5. Odbiorcy danych 

Odbiorcami danych osobowych przetwarzanych w systemie EWP są:

  1. Centrum e-Zdrowia
  2. organy Państwowej Inspekcji Sanitarnej
  3. organy Wojskowej Inspekcji Sanitarnej
  4. Narodowy Fundusz Zdrowia
  5. Zakład Ubezpieczeń Społecznych
  6. Kasa Rolniczego Ubezpieczenia Społecznego
  7. Narodowy Instytut Zdrowia Publicznego PZH - Państwowy Instytut Badawczy
  8. Agencja Oceny Technologii Medycznych i Taryfikacji
  9. Wojewodowie
  10. Policja
  11. straż gminna (miejska) w zakresie danych przetwarzanych na potrzeby wydawania i weryfikacji Certyfikatu COVID
  12. Państwowa Straż Pożarna
  13. Straż Graniczna
  14. Agencja Bezpieczeństwa Wewnętrznego
  15. Krajowa Administracja Skarbowa
  16. Straż Ochrony Kolei w zakresie danych przetwarzanych na potrzeby wydawania i weryfikacji Certyfikatu COVID
  17. Centralne Biuro Antykorupcyjne
  18. Służba Ochrony Państwa
  19. Służba Kontrwywiadu Wojskowego
  20. Żandarmeria Wojskowa
  21. Wojska Obrony Terytorialnej
  22. System Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego
  23. minister właściwy do spraw informatyzacji
  24. operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe (Dz. U. z 2023 r. poz. 1640)
  25. podmioty wykonujące działalność leczniczą w celu realizacji ich zadań ustawowych lub statutowych lub zadań związanych z prowadzeniem działań dotyczących przeciwdziałania epidemii wywołanej zakażeniami SARS-CoV-2.

Dane osobowe mogą być udostępniane podmiotom uprawnionym do ich uzyskania na mocy prawa powszechnie obowiązującego oraz podmiotom świadczącym obsługę administracyjno-organizacyjną administratora.

Dane osobowe nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.

6. Przechowywanie danych

Dane w Systemie przechowywane są przez okres niezbędny do realizacji celu w jakim zostały zebrane a także wykonania obowiązków wynikających z przepisów o ochronie danych osobowych, w szczególności zapewnienia rozliczalności prowadzonych operacji przetwarzania oraz prawidłowego funkcjonowania i bezpieczeństwa Systemu. Dane będą przechowywane nie dłużej niż to wynika z przepisów prawa.

Jeżeli dane stanowią dowód w postępowaniu prowadzonym na podstawie przepisów prawa lub administrator powziął informację, że mogą stanowić taki dowód, okres ten wydłuża się do czasu prawomocnego zakończenia postępowania.

7. Prawa związane z przetwarzaniem danych osobowych

Twoje dane zdrowotne nie są wykorzystywane do celów marketingowych ani reklamowych, nie są sprzedawane ani udostępniane w takich celach, są przetwarzane wyłącznie w celu realizacji funkcjonalności Systemu oraz świadczenia usług zdrowotnych.

Masz prawo żądać od Administratora:

  • dostępu do swoich danych (art. 15 RODO) – możesz dowiedzieć się, jakie dane o Tobie przetwarzamy, oraz otrzymać ich pierwszą kopię za darmo (art. 15 ust. 3 RODO)
  • sprostowania swoich danych (art. 16 RODO) – możesz poprawić swoje dane, jeśli są błędne. Jeżeli jednak sprostowanie dotyczyłoby danych medycznych – zmiany są możliwe tylko wtedy, gdy nie naruszają autonomii zawodowej osoby wykonującej zawód medyczny, która wprowadziła dane do dokumentacji
  • usunięcia swoich danych (art. 17 RODO) – jeśli:
    • cofnęłaś / cofnąłeś zgodę na ich przetwarzanie
    • dane nie są już potrzebne do celu, w jakim je zebrano
    • dane są przetwarzane niezgodnie z prawem
    • zgłosiłaś / zgłosiłeś sprzeciw i nie ma nadrzędnych prawnie uzasadnionych podstaw do dalszego przetwarzania
  • ograniczenia przetwarzania swoich danych (art. 18 RODO), jeżeli:
    • kwestionujesz ich prawidłowość – na okres pozwalający administratorowi sprawdzić prawidłowość danych
    • przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia danych
    • administrator nie potrzebuje już danych, ale ty potrzebujesz ich do ustalenia lub obrony roszczeń
    • wniosłaś / wniosłeś sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu jego rozpatrzenia
  • przeniesienia swoich danych osobowych (art. 20 RODO), gdy:
    • przetwarzanie opiera się na Twojej zgodzie (w myśl art. 6 ust. 1 lit. a)
    • dane są przetwarzane automatycznie
  • jeśli przetwarzanie opiera się na Twojej zgodzie (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO), możesz ją w każdej chwili wycofać – wycofanie zgody nie wpływa na to, co przetworzono wcześniej. Nie można jednak wycofać zgody ani żądać usunięcia danych, jeśli prawo wymaga ich dalszego przetwarzania (art. 17 ust. 3 lit. b RODO).

Każdy wniosek zostanie rozpatrzony zgodnie z RODO. Dla danych przetwarzanych w systemie nie stosuje się prawa do bycia zapomnianym. Dane będą przetwarzane aż do czasu wygaśnięcia celu przetwarzania.

Masz także prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych na adres e-email: kancelaria@uodo.gov.pl.

8. Informacja w zakresie zautomatyzowanego podejmowania decyzji oraz profilowania 

Twoje dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.

9. Zmiany w polityce prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w polityce prywatności. Aktualizacje będą publikowane na stronie internetowej https://pacjent.gov.pl/polityka-prywatnosci-ewp.