Zgodnie z art. 32a ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, Państwowy Inspektor Sanitarny lub Główny Inspektor Sanitarny, w związku z prowadzonym dochodzeniem epidemiologicznym, może żądać udzielenia konkretnych informacji od każdego, kto takie dane posiada, lub jednostek administracji publicznej, które dane takie mogą ustalić.

Żądanie może dotyczyć osób zakażonych lub podejrzanych o zakażenie, chorych lub podejrzanych o chorobę zakaźną, osób zmarłych z powodu choroby zakaźnej lub osób, wobec których istnieje takie podejrzenie; oraz osób, które mogły mieć styczność z osobami, o których mowa wcześniej.

Wskazany w ustawie zakres przekazywanych danych również jest dość szeroki i obejmuje: imię i nazwisko; datę urodzenia; numer PESEL, a w przypadku gdy osobie nie nadano tego numeru – serię i numer paszportu albo numer identyfikacyjny innego dokumentu, na podstawie którego jest możliwe ustalenie danych osobowych; płeć; adres miejsca zamieszkania; informacje o aktualnym miejscu pobytu; numer telefonu kontaktowego oraz adres poczty elektronicznej lub innych środków komunikacji elektronicznej; rozpoznanie kliniczne zakażenia lub choroby zakaźnej oraz charakterystykę podstawowych objawów klinicznych i biologicznego czynnika chorobotwórczego; okoliczności narażenia na zakażenie, ze szczególnym uwzględnieniem czynników ryzyka; trasę podróży krajowej lub międzynarodowej oraz wykorzystywane podczas niej przez osobę chorą lub zakażoną środki transportu; miejsca pobytu osoby zakażonej w okresie wylęgania choroby.

Udostępniając dane zawsze należy mieć na uwadze wskazaną w art. 5 ust. 2 RODO zasadę „rozliczalności”. Administrator danych jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Żądanie o dane powinno zatem mieć formę pisemną, powinno wskazywać podstawę prawną oraz wyraźnie określać katalog danych do przekazania.

Oczywistym jest, że w opisywanym w artykule przypadku nie może być mowy o sporządzeniu jakiejkolwiek umowy powierzenia przetwarzania danych osobowych. Dane są przekazywane są na zasadzie udostępniania, a nie powierzenia.