Przekazywanie danych osobowych jest jedną z operacji przetwarzania danych osobowych i musi być oparte na zasadach określonych w artykule 5 RODO.
Przekazując dane osobowe należy kierować się takim zasadami jak:
- zgodność z prawem, rzetelność i przejrzystość;
- ograniczenie celu;
- minimalizacja danych (zbieranie danych adekwatnie do celu);
- prawidłowość danych i w razie potrzeby ich uaktualnianie;
- ograniczenie przechowywania;
- poufność (dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych).
Dane osobowe informujące o zakażeniu SARS-CoV-2 to informacje o stanie zdrowia, czyli tzw.: „dane szczególnych kategorii”, o których mowa w art. 9 ust. 1 RODO. Przetwarzanie tego typu danych jest objęte ściślejszą ochroną i dopuszczalne oraz legalne po spełnieniu przynajmniej jednej z przesłanek określonych w ustępie 2 powołanego przepisu.
Przetwarzanie szczególnych kategorii danych jest więc dopuszczalne m.in. wówczas, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które zawierają odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową (art. 9 ust. 2 lit. i RODO) lub np. jeśli osoba, której dane dotyczą wyraziła wyraźną, świadomą zgodę na ich przetwarzanie (art. 9 ust. 2 lit. a RODO).
Zgodnie z obwiązującymi krajowymi przepisami dotyczącymi zapobiegania rozprzestrzeniania się wirusa SARS-CoV-2 uczelnie wyższe są zobowiązane do przekazywania określonych danych osobowych pracowników czy studentów zakażonych SARS-CoV-2 do Sanepidu. Ponadto Sanepid zgłasza również uczelniom wyższymi informacje o zakażonych studentach i pracownikach. Informacje te z Sanepidu trafiają na dedykowane adresy mailowe, gdzie przetwarzane są przez upoważnione przez administratora danych osoby. Informacje o zakażeniu studenta czy pracownika muszą być przetwarzane z poszanowaniem zasad opisanych powyżej, a szczególności zasady poufności i poszanowania prywatności zakażonego studenta czy pracownika. Zatem dalsze przekazywanie informacji powinno się już odbywać bez danych identyfikujących pracownika czy studenta, a dostęp do pełnych danych identyfikujących wraz z informacją o zakażeniu danej osoby mogą mieć tylko osoby upoważnione przez administratora danych.
W przypadku udostępniania informacji o zakażonych studentach należy stosować się do informacji zamieszczanych na Schemacie, który każdorazowo wysłany jest wraz z informacją o zakażonym studencie do władz dziekańskich.
