Biuletyn Informacji Publicznej RPO

W sanepidzie profil zaufany do celów służbowych. Postępowanie PUODO po jednej interwencji RPO, po drugiej - nie

Data:
  • Pracownicy sanepidu zostali zobowiązani do korzystania ze służbowego systemu informatycznego poprzez profil zaufany, który w ich ocenie ma charakter prywatny
  • Obawiają się oni o bezpieczeństwo swych danych osobowych, bo posługiwanie się profilem zaufanym w celach służbowych wiąże się m.in. z ujawnieniem nr PESEL
  • RPO uznaje te obawy za zasadne pod kątem prawa do prywatności i ochrony danych osobowych
  • Ponadto nie ma przepisu, na którego podstawie pracodawca może żądać założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych
  • AKTUALIZACJA:  Prezes Urzędu Ochrony Danych Osobowych stwierdził brak podstaw prawnych do żądania przez pracodawcę, aby pracownik sanepidu uwierzytelniał się w systemie wykorzystywanym do realizacji zadań pracodawcy przy użyciu profilu zaufanego. Wszczął też postępowanie w tej sprawie.
  • AKTUALIZACJA: Po kolejnym piśmie RPO w podobnej sprawie Prezes UODO uznał, że jej stan faktyczny nie wskazywał na istnienie podstaw do wszczęcia postępowania administracyjnego

Do Rzecznika Praw Obywatelskich wpływają skargi pracowników inspekcji sanitarnej dotyczące funkcjonowania Systemu Ewidencji Państwowej Inspekcji Sanitarnej (SEPIS) pod kątem bezpieczeństwa ich danych osobowych. Jak wynika ze skarg, pracownicy zostali zobowiązani do korzystania z systemu SEPIS przez profil zaufany, który w ich ocenie ma charakter prywatny. Wątpliwości skarżących co do bezpieczeństwa danych osobowych  wydają się uzasadnione, wiążą się bowiem m.in. z ujawnieniem nr PESEL.

Rzecznik wcześniej wystąpił w tej sprawie do Głównego Inspektora Sanitarnego. Z jego odpowiedzi wynika, że „profil zaufany pozwala użytkownikowi na potwierdzenie tożsamości w systemach teleinformatycznych administracji publicznej bez względu na to, czy posiadacz wykorzystuje go w celach prywatnych, czy też wykorzystuje go w celu wykonywania obowiązków pracowniczych (podobnie jak ma to miejsce w przypadku dokumentów stwierdzających tożsamość, tj. dowodu osobistego lub paszportu w stosunkach tradycyjnych)”.

GIS wskazał też, że „w sytuacji gdy w podmiocie publicznym wdrożony jest system teleinformatyczny, za pośrednictwem którego pracownicy danego podmiotu będą wykonywać swoje obowiązki służbowe, a do zalogowania się w tym systemie konieczne jest dysponowanie profilem zaufanym, stosowny obowiązek po stronie pracowników można wywodzić z art. 20a ust. 1 pkt 1 ustawy o informatyzacji”.

Wyjaśnienia te nie rozwiały wątpliwości Rzecznika. Zauważył, że jak wskazał GIS "pracownicy PIS wykorzystują system SEPIS m.in.: do przyjmowania zgłoszeń od obywateli, nakładania kwarantann i izolacji czy też edycji danych związanych z ogniskami epidemii”. W konsekwencji należy uznać, że profil zaufany może służyć zarówno do zalogowania się do systemu SEPIS (w celu zidentyfikowania pracownika), jak i do podpisywania dokumentów np. przy wydawaniu decyzji. Wiąże się to zatem z ujawnieniem danych osobowych pracownika, w tym nr PESEL w sytuacji podpisu profilem zaufanym.

Wątpliwości Rzecznika budzi również sposób autoryzacji podczas logowania do profilu zaufanego, który polega albo na odebraniu smsów z hasłem, wysłanych na prywatny telefon, albo w przypadku powiązania profilu z bankiem – na weryfikacji zgodnej z polityką banku, tj. podanie smsa albo przesłanie hasła, np. kodu jednorazowego. Taki sposób autoryzacji, powiązany ze sferą prywatną pracownika, powoduje, że dane osobowe przetwarzane w ramach systemu SEPIS nie są wystarczająco chronione.

Do konta czy telefonu prywatnego pracownika mogą bowiem mieć dostęp inne osoby (np. bliskie) – taką możliwość stwarza chociażby praca zdalna. Może to narażać prywatność danych dotyczących zdrowia przetwarzanych przez pracowników.

Jak słusznie wskazują skarżący, pracodawca nie może wymagać założenia profilu zaufanego przez pracownika. Nie można tym samym zgodzić się z przyjętą przez Państwowego Powiatowego Inspektora Sanitarnego w m. st. Warszawa interpretacją Kodeksu pracy, zgodnie z którą „podstawą prawną uprawniającą pracodawcę do nałożenia na pracowników Powiatowej Stacji Sanitarno-Epidemiologicznej w m.st. Warszawie wymogu założenia profilu zaufanego w związku z koniecznością zastosowania tego rozwiązania do logowania do SEPIS jest art. 22 § 1 w zw. z art. 100 § 1 Kp”).

Brak jest bowiem konkretnego przepisu mogącego być podstawą żądania przez pracodawcę założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych. Tym samym wykonywanie takiego polecenia pracodawcy powinno być dobrowolne, za zgodą pracownika. Brak zgody, lub jej wycofanie, nie może zaś być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (221a § 2 Kodeksu pracy).

Niezrozumiałe są również wyjaśnienia GIS co do kwestii nieudostępnienia procedur dotyczących bezpieczeństwa danych systemu SEPIS, które jak wskazuje GIS „mają charakter niejawny i są w posiadaniu Kancelarii Prezesa Rady Ministrów”.

W ocenie Rzecznika wszystko to budzi wątpliwości z punktu widzenia prawa do prywatności i ochrony danych osobowych wyrażonych w 47 i art. 51 ust. 2 Konstytucji. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Ponadto przetwarzanie danych osobowych powinno odbywać się z poszanowaniem zasad zawartych w art. 5 ust. 1 rozporządzenia RODO - zwłasczza zasady minimalizacji danych.

Zastępca RPO Stanisław Trociuk zwrócił się do prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka o zbadanie sprawy w kontekście stanowiska GIS, a także przedstawionych wątpliwości.

Odpowiedź Jana Nowaka, prezesa UODO

W odpowiedzi na pismo Pana Rzecznika z dnia 15 lutego 2023 r. (znak: VII.520.6.2020.MK) w sprawie wykorzystywania danych osobowych pracowników inspekcji sanitarnej dotyczących profilu zaufanego do uwierzytelniania w systemie SEPIS uprzejmie informuję, że Prezes Urzędu Ochrony Danych Osobowych w trakcie kontroli przeprowadzonej u Generalnego Inspektora Sanitarnego stwierdził, że brak jest podstaw prawnych do żądania przez pracodawcę, aby pracownik uwierzytelniał się w systemie wykorzystywanym do realizacji zadań pracodawcy, przy użyciu profilu zaufanego. W ocenie organu do spraw ochrony danych osobowych jest to naruszenie art. 5 ust. 1 lit. a oraz lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

W związku z powyższym 21 marca 2023 r. Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne w niniejszej sprawie.

Kolejna odpowiedź prezesa UODO

W odpowiedzi na pismo Pana Rzecznika z dnia 15 maja 2023 r. (znak:VII.520.6.2020.MK) w sprawie wyjaśnienia przyczyn rozbieżności w ocenie przez Prezesa UODO dwóch spraw dotyczących przetwarzania danych osobowych w systemie SEPIS - jednej dotyczącej wykorzystywania profilu zaufanego w celach zawodowych przez pracowników inspekcji sanitarnej do uwierzytelnienia w systemie SEPIS (DOL.023.363.2021.MB), a drugiej w kwestii ujawnienia informacji o zaszczepieniu bądź niezaszczepieniu osób publicznych oraz przetwarzania danych osobowych w ww. systemie (nr DKN.428719.2022; VII.501.15.2022) proszę przyjąć poniższe wyjaśnienia.

W pierwszej sprawie dotyczącej wykorzystywania profilu zaufanego w celach zawodowych przez pracowników inspekcji sanitarnej do uwierzytelnienia w systemie SEPIS Prezes Urzędu Ochrony Danych Osobowych przeprowadził czynności kontrolne. Na ich podstawie, po analizie zgormadzonego materiału, organ ochrony danych wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przez Głównego Inspektora Sanitarnego przepisów o ochronie danych osobowych, polegającego na braku podstaw prawnych do żądania, aby pracownik uwierzytelniał się w systemie wykorzystywanym przez pracodawcę do realizacji jego zadań, przy użyciu profilu zaufanego tj. naruszenie art. 5 ust. 1 lit. a, lit. c ogólnego rozporządzenia o ochronie danych osobowych.

Natomiast w związku z możliwymi nieprawidłowościami związanymi z przetwarzaniem przez Państwową Inspekcję Sanitarną danych osobowych w systemie teleinformatycznym SEPIS, polegającymi na udostępnieniu danych osobowych przetwarzanych (informacji o zaszczepieniu bądź niezaszczepieniu osób publicznych) w ww. systemie osobom do tego nieuprawnionym, Prezes Urzędu Ochrony Danych Osobowych działając na podstawie art. 58 ust. 1 lit. a i lit. e ogólnego rozporządzenia o ochronie danych osobowych, zwrócił się o wyjaśnienia do Głównego Inspektora Sanitarnego. Na tej podstawie ustalony został stan faktyczny w sprawie, który nie wskazywał na istnienie podstaw do wszczęcia postępowania administracyjnego, o którym mowa w art. 60 ustawy o ochronie danych osobowych, a tym samym do zastosowania środków wskazanych w art. 58 ogólnego rozporządzenia o ochronie danych osobowych.

Sposób uwierzytelniania się przez pracowników inspekcji sanitarnej w systemie teleinformatycznym SEPIS z wykorzystaniem ich profilu zaufanego nie miał jednak związku z możliwymi nieprawidłowościami związanymi z przetwarzaniem przez Państwową Inspekcję Sanitarną z siedzibą w Warszawie danych osobowych w systemie teleinformatycznym SEPIS, polegającymi na udostępnieniu danych osobowych przetwarzanych w ww. systemie osobom do tego nieuprawnionym.

W związku z powyższym uprzejmie informuję, że przywołane przez Pana Rzecznika sprawy nie są analogiczne, ponieważ pomimo, że dotyczyły tego samego systemu teleinformatycznego użytkowanego przez Głównego Inspektora Sanitarnego (SEPIS), to obejmowały zupełnie inne zagadnienia.

Wyrażam nadzieję, że powyższe informacje okażą się wystarczające dla wyjaśnienia przedstawionych przez Pana Rzecznika wątpliwości.

VII.520.6.2020

Załączniki:

Autor informacji: Łukasz Starzewski
Data publikacji:
Osoba udostępniająca: Łukasz Starzewski
Data:
Opis: Dochodzi kolejna odpowiedź PUODO
Operator: Łukasz Starzewski
Data:
Opis: Dochodzi odpowiedź prezesa UODO
Operator: Łukasz Starzewski
Data:
Operator: Łukasz Starzewski