W marcu br. pisaliśmy o wycieku danych osobowych z Zakładu Ubezpieczeń Społecznych. Wtedy ZUS wysłał na nieaktualne adresy zamieszkania PIT-11A osobom, którym wypłacał zasiłki chorobowe w 2020 roku.

Czytaj również: Wyciek danych osobowych z ZUS - PIT-y wysłane pod niewłaściwe adresy>>

Jak ustaliło Prawo.pl, był to efekt niewłaściwego zaciągnięcia przez system informatyczny starej bazy danych. Teraz jednak okazuje się, że tamten incydent nie był jedynym, a przypadki naruszenia ochrony danych osobowych zdarzają się częściej.

Czytaj w LEX: Kiedy zgłaszać naruszenie przepisów o ochronie danych osobowych? >

- Praktyką ZUS jest wystawianie decyzji administracyjnej i wysyłanie jej na fałszywy adres, mimo zgłoszenia przez ubezpieczonego - osobiście albo przez pracodawcę jako płatnika składek - dobrego adresu. A wszystko po to, aby po drugim awizo uprawomocnić decyzję i pozbawić ubezpieczonego możliwości obrony w sądzie – mówi p. Dariusz (imię zmienione), członek facebookowej grupy „Pokrzywdzeni przez ZUS" oraz „Ruchu Społecznego Kobiety na DG kontra ZUS”. Jak twierdzi, w takich praktykach prym wiodą wrocławski i zielonogórski ZUS. Szczególnie dotyczy to postępowań o podleganie ubezpieczeniom wobec chorych na L4.

Czytaj w LEX: Sankcje administracyjne za naruszenie przepisów RODO >

- Urzędnicy, mimo że dysponują aktualnym adresem chociażby w bazie danych ubezpieczonych, w ZUS PUE, to decyzję dotyczącą wypłaty zasiłku chorobowego wysyłają na adres wskazany w zwolnieniu lekarskim, o którym wiedzą, że jest nieaktualny, bo chory przebywał tam tylko przez kilka miesięcy, w trakcie choroby. W międzyczasie decyzja się uprawomocnia, a chory nie ma już prawa od niej się odwołać. W ten sposób ZUS nie musi zawracać sobie głowy 1-2-letnimi postępowaniami sądowymi, w których może przegrać. Jednocześnie,  nie czekając na prawomocność wcześniejszej decyzji o podleganiu ubezpieczeniom społecznym, wystawia kolejną decyzją administracyjną o zwrot nienależnie pobranych świadczeń L4, która również wysyłana bywa umyślnie na zły adres, aby chory nie odwołał się od niej w terminie – mówi p. Dariusz.

Czytaj w LEX: Postępowanie przed Prezesem Urzędu Ochrony Danych – podstawowe informacje i rodzaje postępowań >

Skargi na ZUS do UODO i doniesienia do prokuratury

Zapytaliśmy Urząd Ochrony Danych Osobowych o to, ile skarg na ZUS złożyły osoby fizyczne począwszy od 2019 roku, jakie stawiały zarzuty i czego skargi dotyczyły. W odpowiedzi Andrzej Sanocki, rzecznik prasowy urzędu poinformował nas, że UODO nie prowadzi tak dokładnych statystyk. - ZUS często pojawia się w skargach, które de facto dotyczą innych administratorów, a cześć spraw trafia do nas pocztą tradycyjną. Dlatego dane te mogą nieco dobiegać od stanu faktycznego – zastrzegł.  Niemniej jednak, jak podał, w 2017 r. do organu nadzoru (a do 25 maja 2018 r. był to Generalny Inspektor Ochrony Danych Osobowych) na Zakład Ubezpieczeń Społecznych wpłynęło około 25 skarg, w 2018 roku i w 2019 r. było ich po około 18, natomiast w 2020 - około 50. W 2021 roku, do tej pory UODO odnotował 9 skarg na ZUS.

Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >

Jak twierdzi Adam Sanocki, w przypadku ZUS skargi dotyczą udostępnienia danych osobom trzecim, np. w wyniku wysyłki dokumentów do niewłaściwego adresata, przesłania danych w niezaklejonej kopercie, zbierania wniosków w taki sposób, że osoby trzecie mogą się zapoznać z ich treścią, czy dostępu różnych podmiotów do danych w PUE ZUS. Niektóre pisma są jedynie informacją (bez wskazania żądań), że ZUS powiadomił te osoby o naruszeniu ochrony ich danych. Bywają też skargi dotyczące wstrzymania wypłaty renty czy od osób, które otrzymały korespondencję innych osób, gdyż adres w okienku koperty był niewidoczny.

- Żadne z postępowań wobec ZUS nie zakończyło się nałożeniem administracyjnej kary pieniężnej – dodaje Adam Sanocki.

Czytaj w LEX: Brak współpracy z UODO jako powód pieniężnej kary administracyjnej >

UODO nie jest jedynym organem, do którego zwracają się ubezpieczeni. Weryfikując informacje poprosiliśmy o dane kilka prokuratur w kraju. 

Jak poinformował nas prokurator Łukasz Wawrzyniak, rzecznik prasowy Prokuratury Okręgowej w Poznaniu, odnotowano siedem spraw dotyczących zawiadomień złożonych na ZUS w roku 2019, w tym cztery sprawy dotyczące art. 231 par. 1 k.k., i po jednej - z art. 160 par. 1 k.k., z art. 244 oraz z art. 271 par.  1 k.k. W roku 2020 odnotowano 10 spraw dotyczących zawiadomień złożonych na ZUS, w tym dwie sprawy dotyczące art. 107 ustawy o ochronie danych osobowych. Pozostałe: z art. 231 par. 1 k.k. – 3 sprawy, z art. 270 par 1 k.k. – 2 sprawy, z art. 284 par 1 k.k. – 1 sprawa, z art. 160 par 1 k.k. – 1 sprawa oraz z art. 271 par 1 k.k. – 1 sprawa.  

Zobacz procedurę w LEX: Rozpatrywanie skarg przez Prezesa Urzędu Ochrony Danych Osobowych >

- W latach 2019 – 2020, w całym okręgu zielonogórskim złożono łącznie 8 zawiadomień na działalność ZUS. W 2019 r. – 2 sprawy, które dotyczy art. 231 par. 1 kk oraz art. 267 par. 1 kk. W roku 2020 – 6 spraw, które dotyczyły: 4 sprawy z art. 231 par. 1 kk, jedna sprawa z art. 286 par. 1 kk oraz jedna sprawa z art. 267 par. 1 kk. Art. 107 RODO nie występuje w żadnej ze zgłoszonej spraw – przekazał nam natomiast prokurator Zbigniew Fąfera, rzecznik prasowy PO w Zielonej Górze.

Funkcjonariusz poświadcza nieprawdę

Czego dotyczyły zawiadomienia? Według wskazanych przepisów w grę wchodziło m.in. nadużycie uprawnień przez funkcjonariusza (art.  231 kk), bezprawnego uzyskania informacji (art. 267 kk), oszustwa (art. 286 kk), a nawet fałszerstwa intelektualnego (art. 271 kk), do którego dochodzi, gdy funkcjonariusz publiczny lub inna osoba uprawniona do wystawienia dokumentu poświadcza w nim nieprawdę co do okoliczności mającej znaczenie prawne.

Zapytaliśmy też ZUS o to, ile postępowań zostało wszczętych wobec Zakładu i jego pracowników w ostatnich dwóch latach, z jakich paragrafów i czy był wśród nich przepis art. 107 ustawy o ochronie danych osobowych dotyczący nielegalnego przetwarzania danych osobowych. W odpowiedzi Zakład Ubezpieczeń Społecznych poinformował nas, że pytanie adresowane do rzecznika prasowego potraktowane zostało jako wniosek o udostępnienie informacji publicznej. ZUS uznał, że wniosek jest nieprecyzyjny i dał nam 7 dni na jego doprecyzowanie poprzez wskazanie, jakich konkretnie postępowań dotyczy, ze wskazaniem przykładów.

Już po publikacji artykułu Paweł Żebrowski, rzecznik prasowy Zakładu Ubezpieczeń Społecznych przekazał nam, że liczba skarg w stosunku do spraw, jakie obsługuje ZUS pokazuje, że liczba tych skarg jest znikoma. Dotyczy jedynie setnych części promila osób, których dane ZUS przetwarza. - Zakład przetwarza dane osobowe znacznej liczby osób: ubezpieczonych, świadczeniobiorców czy płatników składek. Przykładowo w 2019 r. Zakład wypłacił ponad 4,7 mln osób zasiłki oraz świadczenia krótkoterminowe. Przeciętna miesięczna liczba emerytów i rencistów w tym okresie wyniosła niemal 7,8 mln, natomiast liczba osób ubezpieczonych – 16,7 mln, a liczba płatników składek – prawie 2,7 mln. W tym kontekście skala 50 skarg do UODO to przypadki marginalne. Ponadto należy zaznaczyć, że zdarzają się sytuacje, w których skargi składane przez klientów ZUS do UODO, lub kierowane przez nich zawiadomienia o podejrzeniu popełnienia przestępstwa, są następstwem skierowanego przez ZUS zawiadomienia o naruszeniu ochrony danych osobowych – podkreśla Żebrowski. I dodaje: - Każdą sprawę podejrzenia naruszenia ochrony danych osobowych należy rozpatrywać indywidualnie. Wielokrotnie przy okazji licznych szkoleń i rekomendacji realizowanych przez inspektora ochrony danych osobowych przypominane są pracownikom zasady przetwarzania danych osobowych wynikające z art. 5 RODO, a w trakcie audytów jest weryfikowana realizacja tych zasad. W Zakładzie Ubezpieczeń Społecznych wdrożona jest procedura określająca tryb postępowania w przypadku zaistnienia podejrzenia naruszenia ochrony danych osobowych.

Nakładanie administracyjnych kar pieniężnych w rozporządzeniu o ochronie danych osobowych. Aspekty praktyczne

Magdalena Abu Gholeh, Dominika Kuźnicka-Błaszkowska

Sprawdź  

Problem systemowy. Pomoże wysoka kara pieniężna czy kontrola?

W opinii dr Dominika Lubasza, radcy prawnego, wspólnika w kancelarii Lubasz i Wspólnicy, problem może pośrednio wynikać z wprowadzonych przez polskiego ustawodawcę ograniczeń wysokości wynikającej z RODO administracyjnej kary pieniężnej dla jednostek sektora finansów publicznych, jaką jest ZUS. - Kary dla jednostek sektora finansów publicznych są ograniczone i wynoszą do 100 tys. zł, za wyjątkiem instytucji kultury, gdzie to ograniczenie jest jeszcze większe. W efekcie układ sankcyjny przy tak dużej instytucji, jaką jest ZUS i przy tak dużym zakresie danych osobowych, jakimi dysponuje, nie pełni roli strażnika – mówi dr Dominik Lubasz. I dodaje: - Pytanie, czy bardziej dyscyplinujące byłyby dopiero sankcje z przepisów o dyscyplinie finansów publicznych, ale drogę do nich może otworzyć dopiero nakładająca karę pieniężną decyzja Prezes Urzędu Ochrony Danych Osobowych.

Sprawdź w LEX: Czy jednostki administracji publicznej, które przetwarzają dane szczególne, mogą korzystać z usług chmurowych np. OneDrive? >

Zdaniem dr Lubasza, skala i powtarzalność zastrzeżeń dotyczących ochrony danych osobowych, o ile znajdzie ona potwierdzenie w toku postępowań, może być dowodem na systemowy problem z ochroną danych osobowych w ZUS. Powtarzalność ewentualnych naruszeń, liczba poszkodowanych, umyślność lub nieumyślność działania to – jak podkreśla dr Dominik Lubasz – są przesłanki wymienione w art. 83 RODO, które wpływają na ostateczny wymiar administracyjnej kary pieniężnej, którą może nałożyć Prezes Urzędu Ochrony Danych Osobowych.

Zobacz procedurę w LEX: Nakładanie administracyjnych kar pieniężnych >

Także Krzysztof Stucke, prawnik prowadzący własną kancelarię prawa pracy, biegły sądowy z zakresu prawa pracy i RODO, mediator sądowy i pozasądowy, jest zdania, że powtarzające się naruszenia ochrony danych osobowych przez ZUS to efekt niskich kar. – Nie przez przypadek zadbano o to, aby kary pieniężne były nakładane na instytucje publiczne z ustawy o ochronie danych osobowych, gdzie kara maksymalnie może wynieść 100 tys. zł, a nie z rozporządzenia RODO, gdzie górna granica kar wynosi 20 mln euro – twierdzi Krzysztof Stucke. Według niego, sprawą powinna zająć się NIK, która jest jedynym organem do kontrolowania instytucji publicznych. Kontrolę z urzędu powinien wszcząć też Prezes UODO. – Już jedna taka skarga, która wpływa do urzędu powinna wystarczyć do wszczęcia kontroli, by wyjaśnić, dlaczego dochodzi do kolejnych przypadków naruszeń ochrony danych osobowych – zaznacza Stucke.

Czytaj w LEX: Odpowiedzialność karna w świetle polskiej ustawy o ochronie danych osobowych >

Z kolei Mirosław Wróblewski, radca prawny, dyrektor Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego w Biurze Rzecznika Praw Obywatelskich przypomina, że w ostatnim czasie RPO podjął z urzędu sprawę dotyczącą projektu ustawy o świadczeniach pieniężnych. - Napisaliśmy wystąpienie do MRiPS wskazując, że proponowane zmiany zbyt daleko ingerują w prawo do prywatności (VII.501.35.2021). Otrzymaliśmy odpowiedź ZUS, że proponowany przepis został zmodyfikowany – krąg podmiotów zobowiązanych do udostępnienia informacji został ograniczony do płatnika i ubezpieczonego, i zakres przedmiotowy żądania został określony (w celu ustalenia prawa do zasiłku i jego wysokości). Wydaje się, że nasze uwagi zostały więc w całości uwzględnione. Na stronie RCL nie zostały jednak wprowadzone żadne zmiany w tym projekcie, więc jeszcze monitorujemy sprawę – podkreśla Mirosław Wróblewski.

Czytaj w LEX: Zagrożenie koronawirusem a prawo do prywatności >