Biuletyn Informacji Publicznej RPO

• Obywatele mają wątpliwości wobec obowiązku korzystania z prywatnych kont (profil zaufany, aplikacja mObywatel, bankowość elektroniczna) dla realizacji zadań służbowych za pośrednictwem systemu e-doręczeń
• Rzecznik Praw Obywatelskich występuje w tej sprawie do wicepremiera, ministra cyfryzacji Krzysztofa Gawkowskiego
• AKTUALIZACJA 10.07.2025:  W obowiązującym stanie prawnym nie funkcjonuje podział na "prywatne" i "służbowe" środki identyfikacji elektronicznej - odpowiada MC. Zarazem informuje, że prowadzone są prace w zakresie wyeliminowania w każdym przypadku konieczności używania tzw. "prywatnych" środków identyfikacji. 

Do Biura RPO wpłynęły skargi od obywateli w sprawie potencjalnego naruszenia prawa do prywatności (art. 47 Konstytucji RP) oraz prawa do ochrony danych osobowych (art. 51 Konstytucji RP) - w związku z wykorzystywaniem prywatnych narzędzi elektronicznych do celów służbowych.

Wątpliwości wnioskodawców budzi przede wszystkim obowiązek korzystania z prywatnych kont, takich jak profil zaufany, aplikacja mObywatel czy bankowość elektroniczna, w celu realizacji zadań służbowych wykonywanych za pośrednictwem systemu e-doręczeń, na podstawie przepisów ustawy o doręczeniach elektronicznych, które weszły w życie 1 stycznia 2025 r.

W podobnej sprawie z 2021 r. - podjętej w związku ze skargami pracowników inspekcji sanitarnej dotyczącymi funkcjonowania systemu SEPIS - Rzecznik wskazał na brak konkretnego przepisu prawa mogącego być podstawą żądania przez pracodawcę założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych . Tym samym wykonywanie takiego polecenia pracodawcy powinno być dobrowolne, za zgodą pracownika. 

Brak zgody lub jej wycofanie, nie może być natomiast podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika. Nie może też powodować jakichkolwiek negatywnych konsekwencji. Nie może zwłaszcza być przyczyną odmowy zatrudnienia, wypowiedzenia umowy o pracę lub jej rozwiązania bez wypowiedzenia przez pracodawcę.

Tamto stanowisko RPO zachowuje aktualność. W dobie postępującej cyfryzacji powstają jednakże nowe problemy i zagrożenia, które niosą za sobą przyjęte rozwiązania, zarówno  w sferze prawnej, jak i związanej z bezpieczeństwem w obrocie danymi.

Wątpliwości wnioskodawców obejmują szerokie grono pracowników z różnych sektorów, w tym pracowników samorządowych, służby cywilnej, pracowników socjalnych czy pracowników służby zdrowia. 

Wskazują oni na takie problemy i zagrożenia, jak brak wyraźnej podstawy prawnej do żądania od pracowników wykorzystywania prywatnych narzędzi elektronicznych do celów służbowych, ryzyko niekontrolowanego wycieku danych, w tym danych osobowych, z prywatnych kont i urządzeń, naruszenie zasady rozdziału sfery prywatnej i służbowej, brak odpowiedniego zabezpieczenia danych na prywatnych urządzeniach, czy brak możliwości odmowy wykorzystania prywatnych narzędzi do celów służbowych bez obawy o negatywne konsekwencje ze strony pracodawcy.

Na te kwestie uwagę zwracał również Prezes Urzędu Ochrony Danych Osobowych. W odpowiedzi na swe wystąpienie został poinformowany przez MC, że w 2025 r. planowana jest obszerna nowelizacja ustawy o doręczeniach elektronicznych, której celem będzie usprawnienie tego systemu, z uwzględnieniem uwag podmiotów korzystających z doręczeń elektronicznych.

RPO Marcin Wiącek zwraca się do min. Krzysztofa Gawkowskiego o stanowisko w sprawie wykorzystywania prywatnych narzędzi elektronicznych do celów służbowych oraz poinformowanie o aktualnym stanie prac legislacyjnych, które zapewnią ochronę prawa do prywatności i ochrony danych osobowych pracowników.

Do czasu przyjęcia stosownych rozwiązań legislacyjnych, RPO   poddaje pod rozwagę zasadność podjęcia prac nad rekomendacjami w zakresie korzystania z prywatnych narzędzi elektronicznych do celów służbowych. 

Może się to się przyczynić do zwiększenia pewności prawa poprzez rozwianie zasygnalizowanych wątpliwości pracowników licznych sektorów oraz ograniczenia negatywnych praktyk pracodawców, a więc pośrednio także do ochrony praw pracowniczych w kontekście korzystania z prywatnych kont w celu realizacji zadań służbowych wykonywanych za pośrednictwem systemu e-doręczeń. 

Umiejętnie wprowadzone rekomendacje mogłyby przyczynić się do zwiększenia efektywności przyszłych rozwiązań legislacyjnych.

Odpowiedź Dariusza Standerskiego, sekretarza stanu w MC 

Należy podkreślić, że jednym z celów wprowadzenia e-Doręczeń jest zapewnienie wiarygodności korespondencji, w szczególności jej integralności i rozliczalności, na co składa się również konieczność identyfikacji konkretnych osób wykonujących działania związane z przygotowaniem korespondencji i realizacją wysyłki oraz odebraniem przesyłki przez adresata.

Obowiązek uwierzytelniania przez podmioty publiczne, jak również niepubliczne w przypadku wykonywania czynności w ramach „doręczeń elektronicznych” wynika wprost z przepisów ustawy z dnia 18 listopada 2020 r. o doręczeniach elektronicznych , zwanej dalej „UoDE”.

Zgodnie bowiem z:

1. art. 18 ust. 3 UoDE - aktualizacja, o której mowa w ust. 2 (zmiana niektórych danych), wymaga uwierzytelnienia w sposób określony w art. 20a ust. 1 pkt 1 lub 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne z wykorzystaniem środka identyfikacji elektronicznej zapewniającego co najmniej średni poziom bezpieczeństwa, o którym mowa w art. 8 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE, zwanego dalej „rozporządzeniem 910/2014”;
    
2. art. 19 ust. 4 UoDE - aktywacja adresu do doręczeń elektronicznych powiązanego z publiczną usługą rejestrowanego doręczenia elektronicznego następuje po uwierzytelnieniu osoby uprawnionej do dokonania tej czynności w sposób określony w art. 20a ust. 1 pkt 1 lub 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
    
3. art. 60 ust. 4 UoDE - dostęp do usług, o których mowa w ust. 1 pkt 2 (a więc usług wyszukiwania adresu do doręczeń elektronicznych lub adresu do korespondencji podmiotu niepublicznego będącego osobą fizyczną), wymaga uwierzytelnienia osoby fizycznej uprawnionej przez podmiot publiczny w sposób określony w art. 20a ust. 1 pkt 1 lub 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne z wykorzystaniem środka identyfikacji elektronicznej zapewniającego co najmniej średni poziom bezpieczeństwa, o którym mowa w art. 8 ust. 2 lit. b rozporządzenia 910/2014, albo uwierzytelnienia systemu teleinformatycznego używanego do obsługi skrzynki doręczeń z wykorzystaniem kwalifikowanej pieczęci elektronicznej lub pieczęci elektronicznej wydanej przez ministra właściwego do spraw informatyzacji.

Przepisy te odsyłają zatem do art. 20a ust. 1 pkt 1 i 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, który stanowi, że uwierzytelnienie użytkownika systemu teleinformatycznego podmiotu publicznego, w którym udostępniane są usługi online, wymaga użycia:

1. środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 2 lit. a ustawy o usługach zaufania oraz identyfikacji elektronicznej , lub
2. środka identyfikacji elektronicznej wydanego w notyfikowanym systemie identyfikacji elektronicznej.

Środkami identyfikacji elektronicznej, w rozumieniu ww. przepisów, wydawanymi w ramach systemów identyfikacji elektronicznej przyłączonych do węzła krajowego identyfikacji elektronicznej, które mogą zostać wykorzystane w celu uwierzytelnienia użytkownika, są zatem:

1. profil zaufany, profil osobisty oraz profil mObywatel – wydawane w ramach publicznego systemu identyfikacji elektronicznej, o którym mowa w art. 20aa pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
2. środki identyfikacji elektronicznej, wydawane w ramach systemów identyfikacji elektronicznej przyłączonych do węzła krajowego identyfikacji elektronicznej na podstawie decyzji Ministra Cyfryzacji wydanej zgodnie z art. 21b ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (stosowane m.in. w ramach bankowości elektronicznej).

Ustawodawca zatem nałożył obowiązek uwierzytelniania osób fizycznych uprawnionych do wykonywania określonych czynności w systemie e-Doręczeń (w przypadku podmiotów publicznych, ale również niepublicznych) przy użyciu środka identyfikacji elektronicznej zapewniającego co najmniej średni poziom bezpieczeństwa, przyłączonego do węzła krajowego identyfikacji elektronicznej (login.gov.pl). Może to zatem być m.in.: profil zaufany, profil osobisty (wykorzystywany przez posiadaczy tzw. e-dowodu), profil mObywatel albo środki identyfikacji elektronicznej wykorzystywane w ramach usług bankowości elektronicznej.

Ponadto, zgodnie z art. 58 ust. 2 pkt 3 UoDE minister właściwy do spraw informatyzacji oraz minister właściwy do spraw gospodarki zapewniają funkcjonowanie systemów teleinformatycznych, za pośrednictwem których przekazywane są do systemu operatora wyznaczonego dane o uwierzytelnieniu osoby fizycznej w sposób określony w art. 20a ust. 1 pkt 1 lub 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne z wykorzystaniem środka identyfikacji elektronicznej zapewniającego co najmniej średni poziom bezpieczeństwa, o którym mowa w art. 8 ust. 2 lit. b rozporządzenia 910/2014.

W tym miejscu należy zauważyć, że w obowiązującym stanie prawnym nie funkcjonuje podział na „prywatne” i „służbowe” środki identyfikacji elektronicznej – takiego podziału nie wprowadzają przepisy rozporządzenia nr 910/2014, jak również przepisy ustawy o informatyzacji działalności podmiotów realizujących zadania  publiczne czy też ustawy o usługach zaufania oraz identyfikacji elektronicznej.

Każdy środek identyfikacji elektronicznej, wydawany w ramach systemu identyfikacji elektronicznej przyłączonego do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej, może być użyty w celu uwierzytelnienia w systemie teleinformatycznym podmiotu publicznego – a ustawa nie wprowadza podziału na środki identyfikacji elektronicznej „aktywowane” do użycia w celu „prywatnym” czy też „służbowym”.

Co istotne, profil zaufany jest bezpłatnym środkiem identyfikacji elektronicznej, wydawanym w ramach usługi online zapewnianej przez Ministra Cyfryzacji lub za pośrednictwem instytucji, które pełnią funkcję punktu potwierdzającego profil zaufany (np. urzędy skarbowe, urzędy wojewódzkie). Jego wykorzystanie w systemach teleinformatycznych administracji publicznej jest zgodne z jego dedykowanym przeznaczeniem, tj. identyfikacją użytkownika takich systemów.

Ministerstwo Cyfryzacji stoi na stanowisku, że w obowiązującym stanie prawnym w sytuacji, gdy pracownik dobrowolnie zdecyduje się na użycie środka identyfikacji elektronicznej – np. profilu zaufanego – podmiot publiczny może, w oparciu o przepisy ustawy o doręczeniach elektronicznych oraz przepisów ustawy o usługach zaufania oraz identyfikacji elektronicznej, przetwarzać dane osobowe tej osoby w zakresie niezbędnym do realizacji procesu uwierzytelnienia. Zakres ten obejmuje m.in. imię, nazwisko, numer
PESEL lub identyfikator środka identyfikacji (UUID), przekazywane zgodnie z art. 21a ust. 6 ustawy o usługach zaufania oraz identyfikacji elektronicznej.

Niektóre z tych danych (takie jak: imię, nazwisko, data urodzenia i nr PESEL) mogą być przekazywane do systemu docelowego – np. systemu operatora wyznaczonego świadczącego publiczną usługę rejestrowanego doręczenia elektronicznego oraz wspierających e-Doręczenia systemów Ministra Cyfryzacji (właściwego do spraw informatyzacji) i/lub Ministra Rozwoju i Technologii (właściwego do spraw gospodarki).

Pragnę podkreślić, że zgodnie z UoDE uwierzytelnienie osoby fizycznej (urzędnika), z wykorzystaniem np. jego profilu zaufanego, nie jest wymagane, jeżeli podmiot publiczny posiada system teleinformatyczny służący do obsługi skrzynki doręczeń (np. system klasy EZD) i system ten jest uwierzytelniany za pomocą kwalifikowanej pieczęci elektronicznej lub pieczęci wydanej przez Ministra Cyfryzacji (vide art. 58 ust. 2 pkt 3 i ust. 4 pkt 2 oraz 60 ust. 4 UoDE).

W takim modelu to system reprezentuje urząd jako nadawcę, a dane osobowe urzędnika mogą w ogóle nie być przetwarzane przy samej operacji doręczenia. Jest to model szczególnie rekomendowany przy dużych instytucjach administracji publicznej.

Ponadto, Ministerstwo Cyfryzacji informuje, że prowadzone są prace w zakresie wyeliminowania w każdym przypadku konieczności używania tzw. „prywatnych” środków identyfikacji, o których mowa w piśmie Pana Rzecznika. 

VII.563.3.2025