Czy trzeba podawać numer PESEL w decyzji nakładającej obowiązek kwarantanny

Zbieranie danych na podstawie art. 32a ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi, wymagane do uzupełnienia np. wpisów do Rejestru EWP, nie jest wystarczające do określenia strony postępowania numerem PESEL w decyzji. Również pozostałe wskazane w pytaniu podstawy prawne, w tym konieczność przekazania decyzji o kwarantannie podmiotom trzecim, nie stanowi wystarczającej podstawy do posługiwania się numerem PESEL w decyzji.

W pierwszej kolejności należy wskazać, że przepisy Kodeksu postępowania administracyjnego nie zawierają uregulowań odnoszących się do przetwarzania danych osobowych i nie zawierają wyraźnych upoważnień w tym zakresie. W doktrynie i orzecznictwie przyjmuje się, że w ogólnym postępowaniu administracyjnym rolę przepisów przyznających uprawnienie do przetwarzania danych osobowych spełniają przepisy proceduralne k.p.a. Pomimo braku w przepisach k.p.a. wyraźnego upoważnienia do przetwarzania danych osobowych przyjmuje się, że przetwarzanie danych osobowych przez organ administracji publicznej do celów prowadzonego postępowania jest niezbędne dla wykonania uprawnień i obowiązków przyznanych organowi w przepisach k.p.a. (por. wyroki NSA z 6.12.2011 r., sygn. I OSK 268/11, wyrok NSA z 13 grudnia 2011 r., sygn. akt I OSK 300/11, wyrok NSA z 13 grudnia 2011 r., I OSK 521/11).

Wobec tego należy uznać, że przetwarzanie danych osobowych przez organ administracji dla celów prowadzonego postępowania jest niezbędne dla wykonania obowiązków przyznanych organowi w przepisach k.p.a. i odbywa się na podstawie art. 6 ust. 1 lit. c RODO. Następnie należy wskazać, że administrator danych, przetwarzając dane osobowe w ramach postępowania administracyjnego, zobowiązany jest przestrzegać wymogów wynikających z RODO. Wymogi te wynikają m.in. z zasad przetwarzania danych osobowych, które ustanawia RODO (art. 5).  Zgodnie z zasadą minimalizacji danych dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Oznacza to, że ADO może przetwarzać w ramach postępowania administracyjnego tylko te dane osobowe bez których nie jest możliwe osiągnięcie przez niego zamierzonego celu przetwarzania, tj. przeprowadzenia postępowania i wydania rozstrzygnięcia.

W przypadku decyzji administracyjnych konieczne elementy wskazuje art. 107 § 1 k.p.a. Decyzja powinna zawierać m.in. oznaczenie strony lub stron postępowania. Oznaczenie stron może być zamieszczone w początkowej części decyzji, ale też może znaleźć się na końcu w rozdzielniku adresatów, którym decyzja zostaje doręczona. Dopuszczalne jest również oznaczenie stron w odrębnym załączniku do decyzji, ale pod warunkiem, że będzie on integralną częścią decyzji i razem z decyzją zostanie wszystkim stronom doręczony (por. wyrok NSA z 4 sierpnia 2011 r., sygn. akt I OSK 1370/10).

Oznaczenie stron powinno zostać zawarte w decyzji w taki sposób, aby była możliwa ich identyfikacja. Gdy stroną postępowania jest osoba fizyczna, to oprócz imienia i nazwiska wskazuje się jej miejsce zamieszkania. Taki zakres danych osobowych zasadniczo jest wystarczający do zidentyfikowania adresata decyzji. W mojej opinii nie można jednak wykluczyć, że w danych okolicznościach faktycznych identyfikacja adresata decyzji możliwa jest poprzez wskazanie numeru PESEL (np. pod jednym adresem zamieszkania znajdują się dwie osoby o identycznym imieniu i nazwisku lub w stosunku do osób bezdomnych).