Dokładnie 24 lutego 2021 r. na stronie internetowej Zakładu Ubezpieczeń Społecznych pojawiła się informacja zatytułowana: ZUS zakończył wysyłkę PIT-ów do świadczeniobiorców. Zakład poinformował w niej, że wysłał blisko 10 mln deklaracji podatkowych PIT do osób, którym wypłacał w ubiegłym roku świadczenia. Deklaracje otrzymało ponad 8,5 mln emerytów i rencistów oraz 1,4 mln osób pobierających zasiłki z ubezpieczeń społecznych.

- Osoby, które nie otrzymają PIT-ów do końca lutego lub mają wątpliwości dotyczące otrzymanej deklaracji, powinny skontaktować się z placówką ZUS, która wypłacała im świadczenie. Mogą również zadzwonić do Centrum Obsługi Telefonicznej (COT) ZUS. Również podczas e-wizyty, spotkania on-line z ekspertem ZUS, można wyjaśnić wątpliwości związane z otrzymanym dokumentem PIT – zaznaczył Zakład w swojej informacji.

Zobacz procedurę w LEX: Roczne obliczenie podatku sporządzane przez organy emerytalno-rentowe >

Czy informacja ta ma związek z błędem ZUS jako administratora danych – nie wiadomo. Podobnie jak nie wiadomo, czy pisząc ją, Zakład wiedział już o problemie. Niewiadomą jest też liczba osób, które mogły nie dostać PIT-a. Z naszych nieoficjalnych informacji wynika, że Zakład Ubezpieczeń Społecznych sam tego dokładnie nie wie. Być może dlatego, że informacja o dochodach uzyskanych od organu rentowego za rok podatkowy 2020 (wysyłana na formularzu PIT-40A/11A) była wysłana listem zwykłym, tak więc listonosz nie miał możliwości zweryfikowania poprawności adresata. List po prostu wrzucił do skrzynki.

Czytaj również: ZUS zakończył wysyłkę PIT-ów>>
 

Naruszenia danych – punkt widzenia zależy od… urzędu

Zapytaliśmy ZUS, ile wysłał PIT-11 z tytułu wypłacanych w roku 2020  zasiłków chorobowych na niewłaściwe (nieaktualne) adresy zamieszkania osób, które te zasiłki otrzymywały, a także ile takich przypadków było w skali kraju. Zapytaliśmy też o to, czy i kiedy ZUS zgłosił incydent dotyczący naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych.

W odpowiedzi poinformowano nas, że ZUS zarejestrował 291 przypadków podejrzeń naruszeń ochrony danych związanych z wysyłką formularzy PIT-11A  (co stanowi zaledwie 0,02 proc. wysłanych formularzy tego typu). - W każdym z tych przypadków konieczne jest przeprowadzenie szczegółowego postępowania wyjaśniającego, aby móc jednoznacznie potwierdzić, czy doszło do naruszenia ochrony danych osobowych i ustalić przyczynę oraz okoliczności, w jakich doszło do incydentu – poinformował Zakład.

Czytaj: UODO upomniał administratora danych za przestarzałe oprogramowanie>>

Szkopuł jednak w tym, że nie wiadomo, ile osób spośród podanego 1,4 mln świadczeniobiorców, którym ZUS wypłacał zasiłki z ubezpieczenia społecznego i wystawił PIT-11A to były akurat osoby pobierające zasiłek chorobowy (oprócz niego Zakład wypłacał przecież jeszcze zasiłki macierzyńskie, opiekuńcze czy pogrzebowe). Nie sposób tego nawet zweryfikować, ponieważ w „Informacji o wybranych świadczeniach pieniężnych" z grudnia 2020 r., dostępnej na stronie ZUS Zakład podał jedynie, że w okresie od stycznia do grudnia ubiegłego roku wypłacił zasiłki chorobowe za 154 746,9 tys. dni zasiłkowych, a kwota wypłat wyniosła 14 093 007,8 tys. zł.

O sprawę zapytaliśmy też sam Urząd Ochrony Danych Osobowych. Chcieliśmy wiedzieć, ile osób, do których ZUS  wysłał informacje PIT na błędny, nieaktualny adres zamieszkania, złożyło skargi do Prezesa UODO oraz ile incydentów związanych z naruszeniem danych osobowych zgłosił sam ZUS. Problem polega bowiem nie tylko na samej informacji, która mogła trafić w niepowołane ręce, ale przede wszystkim na danych osobowych, które ta informacja zawiera. ZUS bowiem jako płatnik w PIT-11A podaje nie tylko imię i nazwisko świadczeniobiorcy oraz jego adres zamieszkania, ale także jego PESEL i wysokość wypłaconych świadczeń z tytułu choroby.

Zobacz procedury w LEX:

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Nie ma skarg do UODO

Według Adama Sanockiego, rzecznika prasowego UODO, urząd nie prowadzi tak szczegółowych statystyk. - Jednak jeśli chodzi o skargi, to nie jest obecnie prowadzone postępowanie, które dotyczy wysyłania przez tego administratora danych rocznych zeznań PIT-11 z tytułu wypłacanych w roku 2020 zasiłków chorobowych na niewłaściwy adres zamieszkania. Oznacza to, że do UODO nie wpłynęła skarga na ZUS w takim zakresie – poinformował Adam Sanocki. Jednocześnie podał, że również w przypadku naruszeń ochrony danych, które są zgłaszane do UODO urząd nie prowadzi aż tak dokładnych statystyk. - Jednak pracownicy zajmujący się zgłoszeniami zidentyfikowali kilka przypadków, a  więc sytuacji, w którym ZUS zgłosił nam naruszenie polegające na wysyłce PIT-11 na błędnie podany adres zamieszkania. Dokładne wskazanie, ile ich jest wymaga przejrzenia pod tym kątem wszystkich takich zgłoszeń, co nie jest możliwe z uwagi na dużą ilość incydentów zgłaszanych do UODO - podkreślił.

Czytaj w LEX: Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu >

 


Winnych nie ma, a jeżeli już to… klienci

- Informacje o zasiłkach chorobowych zostały wysłane nie z tej bazy co trzeba – mówi nam osoba z ZUS dobrze zorientowana w sprawie. Jak tłumaczy, chodzi tylko o osoby, którym ZUS wypłacał w ubiegłym roku zasiłki chorobowe, i to im  PIT-y zostały wysłane na stare, niezaktualizowane adresy zamieszkania. – Dane źle zaciągnęła aplikacja AJ. Nie jest to wina świadczeniobiorców – mówi nasz informator.

Zapytaliśmy więc ZUS o to, kto odpowiada za to, że w systemie informatycznym ZUS nieaktualne były dane świadczeniobiorców. W odpowiedzi poinformowano  nas, że za aktualizację danych adresowych odpowiada klient. - Dane adresowe, zapisane w systemie Zakładu, pochodzą z dokumentów przekazywanych przez klientów – twierdzi ZUS.

Jednocześnie Zakład zapewnił, że traktuje ochronę danych osobowych priorytetowo i dopełnia niezwłocznie wszelkich obowiązków wynikających z przepisów RODO.  - Według stanu na dzień 8 marca zgłosiliśmy do Urzędu Ochrony Danych Osobowych 22 przypadki naruszeń dotyczących skierowania formularzy PIT-11A z tytułu wypłacanych w roku 2020 zasiłków na nieaktualne adresy zamieszkania świadczeniobiorców. Podkreślamy, że każde podejrzenie naruszenia ochrony danych osobowych wymaga oddzielnego postępowania wyjaśniającego. Dopiero po jego przeprowadzeniu i faktycznym stwierdzeniu naruszenia, następuje zgłoszenie do Prezesa UODO – czytamy w przekazanej Prawo.pl odpowiedzi.

Jak dalej podkreśla ZUS, przyczyną zgłoszeń w tych 22 przypadkach było wysłanie PIT-11A na niewłaściwy adres. Nie każde podejrzenie naruszenia ochrony danych jest z tym związane. Zdarzają się również przypadki, gdy PIT-y nie docierają do klienta pomimo prawidłowego adresu wysyłki. Wtedy wina jest po stronie operatora pocztowego. -  22 przypadki to stan na 8 marca. Kolejne incydenty są na bieżąco indywidualnie wyjaśnianie – zapewnia Zakład Ubezpieczeń Społecznych.

Jak zapewnia ZUS, generując formularze podatkowe, Zakład korzysta z danych adresowych podanych przez ubezpieczonych, świadczeniobiorców lub płatników składek. Korespondencję wysyłamy na adres wskazany przez klienta do korespondencji, a jeśli klient takiego adresu nam nie podał – na adres zamieszkania. Niejednokrotnie okazuje się, że wskazane przez klientów dane są nieaktualne. Dlatego przypominamy o obowiązku niezwłocznego zgłaszania zmian w danych adresowych. Przed wygenerowaniem PIT-ów pracownicy Zakładu weryfikują poprawność danych adresowych w zakresie zgodności z zapisami w Kompleksowym Systemie Informatycznym ZUS. W razie wątpliwości kontaktują się z ubezpieczonym lub jego pracodawcą. Wprowadzamy też do systemu regularne modyfikacje, by udoskonalać zabezpieczenia i mechanizmy kontrolne.

Na tropie naruszeń

- Czym innym są skargi składane na administratorów danych, a czym innym naruszenia ochrony danych, o których mowa w art. 33 RODO – przypomina Adam Sanocki, rzecznik prasowy UODO. Jak dalej wyjaśnia, skargę do UODO, która inicjuje postępowanie administracyjne, może złożyć każdy, kto ma wątpliwości czy administrator właściwie postępuje z jego danymi osobowymi, w tym przestrzega jego praw. Szczegółowe informacje na temat składania skarg znajdują się na stronie internetowej UODO. Z kolei naruszenie ochrony danych osobowych to sytuacja, w której doszło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, a więc np. ich wycieki. I zgodnie z art. 33 RODO w przypadku części takich incydentów administrator danych osobowych ma obowiązek powiadomić o tym organ nadzorczy.

Czytaj także: WSA: Prezes UODO mógł ukarać niemiecką spółkę za brak współpracy>>

- Naruszenia ochrony danych niemające wpływu na prawa i wolności osób, których dotyczą, powinny trafiać tylko do wewnętrznego rejestru prowadzonego przez administratora, w którym powinien on odnotowywać wszystkie przypadki naruszeń. Do UODO trzeba natomiast zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą – podkreśla Sanocki. I dodaje: Celem zgłaszania naruszeń organowi nadzorczemu w ciągu 72 godzin jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić.

W przypadku tych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko Prezesa UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką  konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami. W sytuacji, gdy administrator uzna, że istnieje ryzyko ich nieuprawnionego wykorzystania, powinien powiadomić osobę, której dane dotyczą o zaistniałym incydencie. Należy wtedy podjąć odpowiednie działania, aby ograniczać ewentualne negatywne konsekwencje.

 


Naruszenie, które może słono kosztować

- Pytanie zasadnicze, na które ZUS i UODO oceniając to zdarzenie muszą sobie odpowiedzieć, to czy można było uniknąć tego wycieku danych. Podejrzewam, że skoro zaciągnęły się dane osób nie z tej bazy, co potrzeba, to jednak zawiodły procedury. Ponieważ są mi znane przypadki złego pocięcia wydruków masowych,  przez co informacje trafiły nie do tych osób, do których trafić powinny a winna firma została za to ukarana. ZUS musi się więc liczyć z karą, którą Prezes UODO może nałożyć na niego w wysokości maksymalnie 100 tys. zł - mówi serwisowi Prawo.pl Maciej Gawroński, radca prawny, partner zarządzający w kancelarii Gawroński & Partners. Jak podkreśla mec. Gawroński, problemem może być zwłaszcza podawany w PIT-11 numer PESEL, ponieważ może on posłużyć do kradzieży tożsamości. – Mankamentem naszego systemu jest to, że raz nadany numer PESEL nie podlega zmianie. Nie ma możliwości jego wymiany – zaznacza mec. Maciej Gawroński. I dodaje: ZUS musi pewnie teraz pisać listy informujące osoby o wycieku ich danych, ale same te osoby też powinny przez co najmniej najbliższy rok wzmóc swoją ostrożność.

Uwagę zwracać trzeba zwłaszcza na jakieś dziwne listy wzywające do zapłaty czy informacje z banku o zaciągniętym a nie spłacanym kredycie czy pożyczce. Bo, jak twierdzi mec. Gawroński, zawsze jesteśmy narażeni na ryzyko kradzieży danych, to w takiej sytuacji szczególnie.

- ZUS powinien przeprowadzić analizę, by ustalić, jaka była skala wycieku danych osobowych. Bo im większa skala wycieku danych, tym większe jest ryzyko, że dane mogły trafić do osoby niepowołanej, która te dane sprzeniewierzy – zaznacza mec. Maciej Gawroński. Według niego, nie ma rozwiązań, które pozwalałyby leczyć skutki takich wycieków. – Jeżeli ktoś padnie ofiarą takiego wycieku i będzie w stanie powiązać ten wyciek danych z ZUS z poniesioną szkodą materialną, to takiej osobie będzie przysługiwało roszczenie odszkodowawcze wobec ZUS w trybie art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – wyjaśnia mec. Gawroński.

Dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy nie ma wątpliwości, że jeżeli informacje PIT zostały ujawnione nie tym osobom, które powinny je otrzymać to doszło do naruszenia poufności danych osobowych, co stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Na podstawie art. 33 RODO naruszenie takie podlega zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia przez ZUS. I choć są sytuacje, w których takie zgłoszenie nie byłoby obowiązkowe, to jednak biorąc pod uwagę zakres danych w PIT-11A, już pobieżna analiza wskazuje, że będzie ono obligatoryjne z uwagi na poziom prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. W tym zgłoszeniu należy podać m.in. okoliczności zdarzenia i jego skalę, opisać możliwe konsekwencje oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu oraz wskazać, czy osoby, których dane wyciekły zostały o tym poinformowane. Ten ostatni element jest bardzo istotny w związku z potencjalnymi negatywnymi skutkami dla osób, których dane wyciekły – mówi dr Lubasz. I dodaje: Jeśli wśród tych danych jest PESEL, to zgodnie z utrwalonym stanowiskiem Prezesa UODO, obowiązkiem Zakładu jest poinformować te osoby, o możliwych konsekwencjach wycieku tych danych. ZUS musi zastanowić się nad każdą indywidualną sprawą, rozważyć wszystkie potencjalne ryzyka i poinformować o nich osoby, których dane zostały ujawnione, z pouczeniem co powinny zrobić by zaradzić powstaniu negatywnych skutków naruszenia. W przypadku numeru PESEL gama takich sytuacji jest całkiem spora, począwszy od wyłudzania pożyczek, poprzez korzystanie z niektórych praw obywatelskich, na dostępie do świadczeń zdrowotnych skończywszy. Kluczowa jest tu szybkość działania, ale i kompleksowość przekazywanych informacji.

Zdaniem dr. Dominika Lubasza, aspekt szybkości działania ZUS będzie musiał być oceniony przez Prezesa Urzędu Ochrony Danych Osobowych, analogicznie jak w zakończonej decyzją sprawie ID Finance Poland. Kluczowa będzie również odpowiedź na pytanie, czy u źródła incydentu, nie leży naruszenie przepisów zobowiązujących administratorów do zapewnienia m.in. bezpieczeństwa przetwarzania danych. – Osoby, których dane wyciekły mogą napisać skargę do Prezesa UODO i dochodzić na podstawie art. 82 RODO odszkodowania za szkodę majątkową i niemajątkową, jeśli u podstaw incydentu legło naruszenie przepisów RODO. Takie rozstrzygnięcia już zapadały, by przytoczyć choćby zeszłoroczny wyrok Sądu Okręgowego w Warszawie w sprawie X C 2596/19, w którym zasądzona została kwota 1500 zł za krzywdę wyrządzoną naruszeniem tych przepisów – podkreśla dr Dominik Lubasz. 

 

Co dalej z PIT-ami wysyłanymi przez ZUS?

Rok 2020 był szczególny. Pracownikom ZUS przybyło więcej pracy, które wiązała się nie tylko z wypłatą dodatkowych świadczeń, jak chociażby dodatkowe zasiłki opiekuńcze czy dodatek solidarnościowy. Doszła też wypłata zasiłków chorobowych za czas kwarantanny i izolacji. Nie zmienia to jednak faktu, że zamieszanie z PIT-ami przełoży się teraz na świadczeniobiorców. I o ile osoby fizyczne fiskus sam rozliczy, o tyle osoby prowadzące działalność gospodarczą powinny się mieć na baczności.   

- Osoby, które chorowały kilka dni w roku mogą nie pamiętać, że  dostały zasiłek chorobowy i że  powinien dotrzeć do nich  PIT od ZUS. W przypadku osób fizycznych jest niewielkie  ryzyko złego rozliczenia zeznania rocznego, bo ZUS jako płatnik przesłał informację o dochodach uzyskanych z organu rentowego do urzędu skarbowego danej osoby. Natomiast gorzej w wypadku  osób fizycznych prowadzących działalność gospodarczą, bo tu istnieje ryzyko, że bez PIT-a z ZUS taka osoba może się źle rozliczyć, co oznacza późniejsze wyjaśnianie niespójności z urzędem skarbowym - mówi radca prawny Magdalena Januszewska, specjalizująca się w prawie pracy, ubezpieczeń i zabezpieczenia społecznego.

W opinii Przemysława Hinca, doradcy podatkowego z kancelarii PJH Doradztwo Gospodarcze, takie informacje nie powinny krążyć po kraju, bo nie ma takiej potrzeby. - Wszystkie informacje pochodzące od organów nie powinny być wysyłane pocztą, lecz dostępne na specjalnym portalu internetowym, na którym każdy organ -  czy to ZUS, urząd skarbowy, czy gmina – miałaby swoją zakładkę, w której publikowałaby dla każdej osoby informacje ją dotyczące. Wówczas wystarczyłoby zalogować się na swoje konto według podanego jednego klucza z możliwością kilkustopniowej weryfikacji, aby sprawdzić i pobrać dokumenty – podkreśla Przemysław Hinc. Według niego, zorganizować można także pomoc w dostępności do portalu z takimi danymi dla osób wykluczonych cyfrowo czy nie korzystających z komputera. – W każdym urzędzie powinna  być oddelegowana osoba do obsługi osób, które same nie potrafią dotrzeć do tych danych i wydrukować je – dodaje.