Pracownicy i funkcjonariusze Krajowej Administracji Skarbowej są monitorowani. Sprawdzana jest ich służbowa poczta, a nawet – jak twierdzą związkowcy – strony internetowe, na które wchodzą ze służbowego komputera. Problem w tym, że nie sprawdza tego ich pracodawca, a informatycy z Centrum Informatyzacji Resortu Finansów. Do tego w mailach służbowych mogą być przekazywane informacje objęte tajemnicą skarbową.
Z sygnałów, jakie docierają do redakcji Prawo.pl, wynika, że w Krajowej Administracji Skarbowej (dalej: KAS) jest prowadzony monitoring poczty elektronicznej. Zajmuje się Centrum Informatyki Resortu Finansów, które nie jest pracodawcą dla zatrudnionych w izbach administracji skarbowej.
Nasze informacje potwierdza Tomasz Ludwiński, przewodniczący Rady Krajowej Sekcji Administracji Skarbowej NSZZ „Solidarność”. – Nie wiem jeszcze, na jakich zasadach inwigiluje pocztę elektroniczną pracowników i funkcjonariuszy Centrum Informatyki Resortu Finansów, na jakich zasadach CIRF ma dostęp do tajemnicy skarbowej, jakie są zasady monitoringu, jak ten monitoring jest wykorzystywany - np. czy są przekazywane dane do IAS w celu prowadzenia postępowań dyscyplinarnych itp., - i dlaczego o tym, że CIRF dokonuje monitoringu poczty, nie zostali poinformowani wszyscy pracownicy i funkcjonariusze – mówi Prawo.pl.
Jak twierdzi, nie wszyscy jeszcze dyrektorzy izb administracji skarbowej udzielili odpowiedzi w trybie dostępu do informacji publicznej na pytanie, czy użytkownicy poczty zostali o tym poinformowani oraz czy w regulaminach pracy zamieszczono na ten temat wymagane prawem informacje. – Wychodzi na to, że tam, gdzie służbowe skrzynki są monitorowane to robi się to albo na poziomie IAS, albo poza izbą. CIRF robi to niezależnie od izb, bo cały system administracji jest w Radomiu, gdzie jest siedziba CIRF – mówi Ludwiński. I dodaje: - Wszyscy pracownicy powinni być poinformowani o tym, kto i jakie informacje zbiera i na jakiej zasadzie się to odbywa. Poza tym, do monitorowania poczty służbowej uprawniony jest pracodawca, a dla pracowników i funkcjonariuszy IAS, nie jest nim CIRF. Nie wykluczamy, że zawarto jakieś umowy czy porozumienia dotyczące monitoringu CIRF, ale skoro tak, to dlaczego na pytanie, czy w IAS prowadzony jest monitoring poczty służbowej, otrzymywaliśmy odpowiedzi, że IAS monitoringu nie prowadzi, usługa monitoringu nie była zlecana lub monitoring nie jest prowadzony?
Czytaj również: Pracodawca ma poinformować pracownika, że chce sprawdzać jego maile>>
Czytaj w LEX: Indywidualny monitoring pracownika – zagadnienie monitorowania pracowników i ich danych >>>
To wynika wprost z Kodeksu pracy. Zgodnie bowiem z art. 22(3) par. 1 k.p., jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Jak stanowi par. 2, monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika. Przepisy zaś art. 22(2) par. 6-10 k.p. dotyczące monitoringu w zakładzie pracy stosuje się odpowiednio.
Co więcej, przepisy par. 1-3 stosuje się odpowiednio do innych form monitoringu niż określone w par. 1, jeśli ich zastosowanie jest konieczne do realizacji celów określonych w par. 1 (par. 4).
WZORY DOKUMENTÓW w LEX:
W tym jednak przypadku sprawa monitoringu poczty elektronicznej pracowników i funkcjonariuszy KAS nabiera szczególnego znaczenia, ponieważ w mailach służbowych mogą być przekazywane informacje objęte tajemnicą skarbową. O tym, jakie informacje są nią objęte oraz kto może mieć do nich dostęp i na jakich zasadach (czyli zakres przedmiotowy i podmiotowy tajemnicy skarbowej) określa Ordynacja podatkowa w art. 293 i art. 294. Lista uprawnionych osób jest wymieniona enumeratywnie. I tak, do przestrzegania tajemnicy skarbowej obowiązani są:
Wszyscy muszą składać oświadczenie na piśmie, że będą przestrzegać tajemnicy skarbowej. Zachowanie tajemnicy skarbowej obowiązuje również po ustaniu zatrudnienia, zakończeniu stażu lub praktyki lub po ustaniu członkostwa w Radzie.
Z kolei ustawa o Krajowej Administracji Skarbowej przewiduje sankcje za ujawnienie tajemnicy skarbowej. Zgodnie z jej art. 278 ust. 1, ten, kto będąc obowiązanym do zachowania tajemnicy skarbowej, o której mowa w dziale VII Ordynacji podatkowej, ujawnia informacje objęte tą tajemnicą, podlega karze pozbawienia wolności do lat 5. Karze pozbawienia wolności od 6 miesięcy do lat 5 grozi natomiast temu, kto będąc obowiązanym do zachowania tajemnicy skarbowej, o której mowa w dziale VII Ordynacji podatkowej, ujawnia informacje określone w art. 48 (czyli informacje udzielane przez banki i inne instytucje kredytowe i finansowe).
Czytaj w LEX: Indywidualny monitoring pracownika – zagadnienie monitorowania pracowników i ich danych >>>
Czytaj w LEX: Bezpodstawne ujawnienie tajemnicy skarbowej jest karalne - omówienie orzeczenia >>>
Czy doszło do naruszenia RODO i praw pracowniczych?
- Przede wszystkim warto zacząć od tego, że nie każde działania monitorujące muszą być monitoringiem pracowniczym. Być może zatem przedstawionego problemu nie należy rozpatrywać z tej perspektywy. Oczywiście nie znamy całego stanu faktycznego, więc i takiego wątku nie możemy wykluczyć. Generalnie jednak nie można zapominać o uregulowaniach ustawy o krajowej administracji skarbowej. Zgodnie z jej przepisami, minister właściwy do spraw finansów publicznych ma liczne zadania w zakresie zadań i usług informatycznych w KAS. Zadania takie mogą być w pewnym zakresie podstawą do podejmowania przez CIRF pewnych czynności. Minister zarządza bowiem bezpieczeństwem infrastruktury teleinformatycznej. Być może więc działania CIRF nie tyle są monitoringiem pracowniczym, co realizacją wymienionych albo jeszcze innych zadań. Nie należy zapominać, że jesteśmy w przestrzeni administracji publicznej i wykonywania jej licznych obowiązków, a pewne kompetencje są często „rozsiane” na różnych jej szczeblach. Co równie istotne, zgodnie z wymienioną ustawą, minister właściwy do spraw finansów publicznych jest współadministratorem w rozumieniu art. 26 ust. 1 RODO danych gromadzonych przez organy KAS – tłumaczy dr Piotr Strumiński, radca prawny w kancelarii Sobczyk & Współpracownicy.
I dodaje: - Problem z pewnością wymaga precyzyjnego przeanalizowania od strony faktycznej. Gdyby nawet pojawił się wątek monitoringu pracowniczego, należy pamiętać, że nie każde działanie kontrolujące pocztę elektroniczną jest monitoringiem, który jednak wymaga pewnej stałości i permanentności działania, a pracodawca może powierzyć wykonywanie innemu podmiotowi w jego imieniu usługi (zadania), której elementem są pewne czynności monitorujące.
Czytaj w LEX: Współadministrowanie danymi osobowymi - przykłady relacji >>>
W opinii dr Piotra Strumińskiego, inną kwestią jest poinformowanie pracowników administracji skarbowej o przetwarzaniu ich danych osobowych. - Niezależnie z którym scenariuszem mamy do czynienia, obowiązki informacyjne wynikające z RODO są tutaj w pełni aktualne – podkreśla.
- Outsourcing to znany problem na gruncie ochrony danych osobowych i w kontekście różnych systemów i dziedzin, w których występuje. Mieliśmy z nim do czynienia w bankowości, a ostatnio także w medycynie – wszędzie tam, gdzie istnieje specyficzna tajemnica podlegająca ochronie, do której mają dostęp głównie specjaliści z branży IT – mówi Maciej Gawroński, radca prawny, partner zarządzający w kancelarii Gawroński & Partners. I przypomina, że w 2018 r. ze względu na ochronę danych osobowych zmienione zostały przepisy Kodeksu pracy. – Od pięciu prawie lat pracodawca powinien kwestie monitoringu ustalać z reprezentacją pracowników, a w szczególności ze związkami zawodowymi. To z nimi powinny one zostać przeprocesowane. Tu jest naruszenie praw pracowniczych, które może mieć wpływ na ochronę tajemnicy służbowej – podkreśla mec. Gawroński.
I dodaje: - Jeżeli ktoś monitoruje pocztę służbową w resorcie finansów to pytanie, na jakiej zasadzie: czy zostało zawarte porozumienie, umowa powierzenia i kto jest administratorem tych danych. Można domniemywać, że Ministerstwo Finansów zawarło z CIRF umowę powierzenia, ale to będzie kolejny problem tajemnicy skarbowej. Bo jeżeli dostęp do informacji objętych tajemnicą skarbową nie został w ogóle uregulowany, a mimo to pracownicy centrum mają do tych informacji dostęp, to to jest już naruszenie, które kwalifikuje się pod najwyższy wymiar kary, czyli 100 tys. zł.
Jak zaznacza mec. Maciej Gawroński, odrębną kwestią jest używanie poczty służbowej do celów prywatnych, a dokładnie – niewykorzystywanie poczty służbowej do celów prywatnych, o czym pracodawca też powinien poinformować pracowników.
Bartosz Kubista, adwokat, doradca podatkowy, partner zarządzający w kancelarii GLC, asystent w Katedrze Prawa Finansowego Uniwersytetu Śląskiego, również jest zdania, że monitoring służbowej poczty elektronicznej administracji skarbowej, w której przesyłane maile mogą zawierać informacje objęte tajemnicą skarbową, to poważny problem. Zwłaszcza, że - jak mówi - zakres podmiotowy osób, które mogą mieć dostęp do takich danych jest określony w ustawie – Ordynacja podatkowa.
– Udostępnianie takich danych innym osobom niż wymienione w przepisach może być złamaniem prawa – twierdzi mec. Kubista. Jak mówi, kluczowe jest, czy CIRF ma jakiekolwiek upoważnienie do dostępu do tych danych – choć teoretycznie minister finansów i pracownicy obsługujący tego ministra są objęci tajemnicą skarbową, to nie uzasadnia to nieograniczonego przepływu informacji nią objętych czy akt. Niemniej, zasady ich udostępniania innym podmiotom również następują w sytuacjach wyraźnie wskazanych w przepisach prawa. Dodatkowo - ze statutu CIRF wynika przy tym, że pracodawcą dla tych pracowników jest samo Centrum, a nie Minister Finansów. Kwestia należytego dostępu do tych danych powinna być więc uregulowana w procedurach wewnętrznych i dostęp powinien być ograniczony do niezbędnego minimum. Powszechny dostęp wszystkich pracowników, nawet Ministerstwa do takich danych trudno byłoby zaakceptować – dodaje mec. Kubista.
Czytaj w LEX: Jak sformułować zapisy w regulaminie pracy dotyczące monitoringu pracowników? >>>
Zapytaliśmy Ministerstwo Finansów, czy to prawda, że jest prowadzony monitoring poczty elektronicznej pracowników i funkcjonariuszy KAS i że prowadzi go CIRF oraz poprosiliśmy o podanie podstawy prawnej i zasad, na jakich centrum ma dostęp do służbowych skrzynek, które mogą zawierać informacje objęte tajemnicą skarbową. Zapytaliśmy też Państwową Inspekcję Pracy i Urząd Ochrony Danych Osobowych m.in. o to, czy sprawa jest im znana.
MF przekazało nam, że resort finansów wykorzystuje własną usługę poczty elektronicznej – usługodawcą jest Centrum Informatyki Resortu Finansów (CIRF), który jest państwową jednostką budżetową podległą ministrowi właściwemu do spraw budżetu, finansów publicznych i instytucji finansowych oraz zapewnia usługi informatyczne na rzecz Ministerstwa Finansów oraz jednostek organizacyjnych podległych Ministrowi lub przez niego nadzorowanych. Według ministerstwa, zgodnie z par. 5.1 statutu CIRF, do podstawowej działalności Centrum należy m.in.: dostarczanie i utrzymanie usług informatycznych w Ministerstwie Finansów i resorcie finansów, na poziomie uzgodnionym z Ministerstwem Finansów oraz zapewnienie bezpieczeństwa systemów informatycznych oraz bezpieczeństwa cyberprzestrzeni w MF i resorcie finansów we współpracy z kierownikami jednostek organizacyjnych resortu finansów oraz komórką organizacją MF właściwą w sprawach bezpieczeństwa i ochrony informacji.
Sprawdź w LEX: Odpowiedzi na pytania ze szkolenia pt. "Nowoczesne formy monitoringu pracowników a RODO" >>>
MF twierdzi, że wszyscy pracownicy i funkcjonariusze resortu finansów są poinformowani o następujących obowiązujących zasadach dotyczących poczty elektronicznej:
Jak podkreśla ministerstwo, CIRF realizuje zadania techniczne związane z zapewnieniem bezpieczeństwa usługi oraz spełnienia wymagań wynikających z pełnienia roli usługodawcy (operator lokalnej poczty elektronicznej). Tzw. monitorowanie poczty elektronicznej jest realizowane poprzez automatyczne zapisywanie tzw. logów, czyli informacji o nawiązywanych połączeniach z sieci resortu finansów z innym urządzeniami (w tym w Internecie). Logi mogą zostać wykorzystane jedynie w przypadku wykrycia zagrożenia bezpieczeństwa informacji - służą wówczas jako dane analityczne tylko i wyłącznie w celu obsłużenia incydentu bezpieczeństwa.
Odnosząc się do kwestii potencjalnego dostępu pracowników CIRF do danych objętych tajemnicą skarbową MF wyjaśnia, że w resorcie finansów stosowany jest Katalog Klasyfikacji Informacji. - Dla każdej grupy informacji określono wymagania dla oznaczania i przetwarzania informacji zgodnie z przyjętą klasyfikacją. Przekazywanie informacji prawnie chronionych powinno odbywać się wyłącznie osobom uprawnionym, zgodnie wymaganiami określonymi w przepisach prawa i zasadami obiegu informacji kreślonymi w Instrukcji kancelaryjnej i innych przepisach wewnętrznych; w szczególności w przypadku przekazywania drogą elektroniczną - w postaci zabezpieczonej hasłem lub zaszyfrowanej – przekazało ministerstwo.
Według MF, dane objęte tajemnicą skarbową podlegają udostępnieniu na zasadach określonych w dziale VII Ordynacji podatkowej. Powołując się zaś na art. 294 par. 4 tej ustawy wskazało, że osobami współpracującymi z organami, z których wiedzy specjalnej i umiejętności organy podatkowe korzystają w celu wykonania swoich ustawowych zadań, są również pracownicy CIRF, którego zadanie polega na zapewnieniu usług informatycznych na rzecz Ministerstwa Finansów oraz jednostek organizacyjnych podległych Ministrowi Finansów lub przez niego nadzorowanych.
Sprawdź PROCEDURĘ: Kontrola przestrzegania przepisów o ochronie danych osobowych sprawowana przez Prezesa Urzędu Ochrony Danych Osobowych >>>
Biuro Prasowe UODO przekazało nam już po publikacji artykułu, że w ostatnim okresie Prezes Urzędu Ochrony Danych Osobowych nie kontrolował przetwarzania danych osobowych w związku ze stosowaniem monitoring poczty elektronicznej w administracji publicznej. - 27 września br., wpłynęło do UODO pismo związku zawodowego sygnalizujące stosowanie ww. monitoringu w izbach administracji skarbowej i zawierające wniosek o podjęcie czynności kontrolnych w izbach skarbowych oraz w Centrum Informatyki Resortu Finansów. Prezes UODO nie jest w takiej sytuacji zobligowany do przeprowadzenia kontroli, o której mowa w art. 78 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), jednakże zawsze rozważa możliwość podjęcia z urzędu stosownych działań. Obecnie jeszcze taka decyzja nie zapadła, gdyż przedmiotowa informacja jest analizowana – przekazał urząd.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
