Biuletyn Informacji Publicznej RPO

• Mający powstać system teleinformatyczny dla takich osób będzie oparty na ich profilowaniu 
• To szczególny rodzaj przetwarzania danych osobowych, z którym mogą wiązać się zagrożenia dla praw i wolności osób temu poddawanych 
• Rzecznik Praw Obywatelskich wskazuje na wysokie ryzyko  naruszenia praw użytkowników projektowanego systemu, który w przyszłości ma objąć także polskich obywateli  

Ustawa z 12 maja 2022 r. o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa rozpatrywana była przez Sejm w trybie pilnym. Rzecznik nie miał zatem możliwości przedstawienia opinii w trakcie prac parlamentarnych. Teraz zatem RPO Marcin Wiącek przedstawia uwagi pełnomocnikowi rządu ds. cyberbezpieczeństwa Januszowi  Cieszyńskiemu.

Rzecznik uzasadnia to wysokim ryzykiem, jakie wiąże się z naruszeniem praw użytkowników projektowanego systemu, a także  pilotażowym charakterem ustawy, która ma objąć w przyszłości również obywateli polskich. 

Ustawa przewiduje przygotowanie systemu teleinformatycznego (usługi online oraz mobilnej aplikacji) dla bezrobotnych obywateli Ukrainy, do którego dostęp mieliby pracodawcy. Opiera się na profilowaniu osób bezrobotnych. Chodzi o stworzenie profilu pracownika poprzez udostępnienie pracodawcom przedstawiającym oferty pracy jego danych osobowych - wieku, płci, wykształcenia, kwalifikacji zawodowych i przebiegu zatrudnienia, a także (po wyrażeniu dodatkowej zgody), imienia, nazwiska, daty urodzenia, adresu poczty elektronicznej, nr telefonu.  

Sama idea pomocy obywatelom Ukrainy w znalezieniu pracy zasługuje na aprobatę i uznanie. Istotne jest jednak, aby prace nad systemem odbywały się z należytym uwzględnieniem konstytucyjnego standardu ochrony prywatności i autonomii informacyjnej jednostki, a także by były zgodne z wymogami rozporządzenia RODO.

Kluczowym narzędziem wykazania, że wdrożono środki w celu wyeliminowania ryzyka związanego z przetwarzaniem danych - w tym związanego z zautomatyzowanym podejmowaniem decyzji, profilowaniem i zgodnością z  RODO - jest przeprowadzenie oceny skutków dla ochrony danych.

Tymczasem w uzasadnieniu ustawy brakuje informacji o ocenie jej skutków dla ochrony danych osobowych - do czego zobowiązuje RODO. Wyniki oceny mogą zaś implikować konieczność przeprowadzenia uprzednich konsultacji z organem nadzorczym, zgodnie z art. 36 ust. 1 RODO. 

RPO wielokrotnie wskazywał, że kluczowa jest ścisła współpraca Urzędu Ochrony Danych Osobowych m.in. z Ministerstwem Cyfryzacji w zakresie oceny skutków dla ochrony danych. Zwracał uwagę zarówno na zagrożenia wdrażania nowych technologii, jak i - mając na względzie różny poziom kompetencji cyfrowych obywateli - konieczność starań, by prawa i obowiązki związane z korzystaniem z aplikacji były przystępnie wyjaśnione, a stosowne komunikaty dotarły do zainteresowanych.

Brak oceny skutków dla ochrony danych osobowych i konsultacji z UODO przy wprowadzeniu w trybie pilnym tak istotnych rozwiązań z punktu widzenia praw jednostki może podważać zaufanie do organów państwa, m.in. w zakresie mechanizmów zapobiegającym naruszeniom prywatności.

Ustawodawca określił zasady uaktualniania, usuwania i czasu przetwarzania danych, przewidział też możliwość korzystania z systemu na zasadzie dobrowolności. Nie sprecyzował jednak tych regulacji. Nie określił też kształtu, czy procedury profilowania. 

Wątpliwości budzi np. zakres żądanych danych. Trudno bowiem ustalić, jakie konkretne dane będą przez użytkowników udostępniane, choćby dla wykazania kwalifikacji zawodowych (np. znajomości języka obcego). Może się okazać, że bezrobotny uzyska konkretne informacje o zakresie oczekiwanych od niego informacji dopiero w trakcie przeprowadzania wobec użytkownika czynności profilowania -  źródłem tych informacji nie będą wówczas akty powszechnie obowiązującego prawa.

Trybunał Konstytucyjny w wyroku z 6 czerwca 2018 r. (sygn. akt K 53/16), wydanym na wniosek RPO wskazywał, że profilowanie osób bezrobotnych „niewątpliwie oznacza „gromadzenie informacji" o jednostkach w rozumieniu art. 51 ust. 1 i 5 Konstytucji. ”W sferze tej powinna więc obowiązywać zasada wyłączności ustawowej w ustalonym wyżej rozumieniu - bezwzględnie w ustawie powinny znaleźć się kompletne regulacje dotyczące „zasad" i „trybu" przeprowadzenia profilowania (por. art. 51 ust. 5 Konstytucji), a pozostałe aspekty tej czynności mogą być dzielone między ustawę i rozporządzenie na zasadach wynikających z art. 31 ust. 3 i art. 92 ust. 1 Konstytucji".

Ponadto pojawiają się wątpliwości, czy analizowane regulacje dotyczą automatycznego przetwarzania danych, o którym mowa w art. 22 ust. 1 RODO. Wówczas na administratorze danych osobowych, w tym na prawodawcy, ciążą dodatkowe obowiązki związane z wdrożeniem właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, czy też zagwarantowanie prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji.

O ile w ustawie przewidziano obowiązek informacyjny wobec użytkowników, to jednak brak jest jakichkolwiek regulacji odnoszących się do zapewnienia odpowiednich zabezpieczeń w przypadku, gdy podstawę przetwarzania stanowią art. 22 ust. 2 lit. a) lub c) RODO (zob. art. 22 ust. 3 RODO).

Mimo że korzystanie z systemu jest dobrowolne, to jednak w przypadku profilowania istotny jest sposób realizacji obowiązku informacyjnego, tj. zapewnienie stosownych informacji na temat planowanego wykorzystania danych oraz konsekwencji związanych z ich przetwarzaniem - tak, aby wyrażona zgoda wynikała ze świadomej decyzji.

Ponadto system przyznaje dostęp do danych szerokiemu kręgowi podmiotów - tj. pracodawcom, podmiotom świadczącym usługi związane z udostępnieniem ofert pracy, a także podmiotom świadczącym usługi pośrednictwa między pracodawcami a osobami poszukującymi pracy. Rodzi to dodatkowe zagrożenie dla prywatności związane z wyciekiem danych, a także dalszym przetwarzaniem/udostępnianiem danych w innym celu niż pierwotny.

W świetle art. 47 Konstytucji ustawodawca ma obowiązek zapewnić jednostce odpowiednią ochronę sfery prywatności nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych. 

W ustawie nie ma zaś gwarancji zabezpieczenia gromadzonych danych (np., że dostęp mają wyłącznie osoby zajmujące się kwestiami kadrowymi, czy rekrutacyjnymi). Rodzi to dodatkowe zaniepokojenie RPO z punktu widzenia poszanowania zasady integralności i poufności danych osobowych.

Przewidywany system ma służyć osobom mającym nr PESEL, potrzebnym do logowania i identyfikacji użytkownika. Zgodnie z ustawą z o pomocy obywatelom Ukrainy, przy rejestracji w Urzędzie Pracy nr PESEL podaje bezrobotny obywatel Ukrainy - o ile go posiada. Nie ma więc obowiązku jego posiadania przy podejmowaniu legalnej pracy w Polsce przez obywateli przybywających z Ukrainy w związku z wojną.

Wątpliwości budzi zatem, czy takie rozwiązanie nie jest  ograniczeniem dla innych bezrobotnych obywateli Ukrainy, nieposiadających nr PESEL - w sytuacji gdy ustawa jest adresowana właśnie do uchodźców wojennych  z Ukrainy. Powstaje przy tym obawa, czy system, który ma służyć rekrutacji pracowników (także przez organy państwowe) nie doprowadzi pewnej grupy użytkowników do pozbawienia szans na znalezienie pracy czy dyskryminacji 

Rzecznik dostrzega również zagrożenie w posługiwaniu się nr PESEL. Wykorzystywanie coraz częściej przez prawodawcę nr PESEL w celach identyfikacji osób fizycznych - a nie jedynie w celach ewidencyjnych, do jakich został on stworzony - rodzi ryzyko kradzieży tożsamości. RPO zwracał już wielokrotnie na to uwagę w korespondencji z PUODO.

Ustawa została uchwalona w trybie pilnym, bez koniecznych konsultacji, a w wielu kwestiach budzi wątpliwości. Wchodzi ona  w życie po ogłoszeniu, jednak w praktyce dopiero z chwilą ogłoszenia komunikatu o uruchomieniu usługi – co nie zostało ustawowo określone. 

RPO prosi zatem o wyjaśnienia oraz o wzięcie pod uwagę tego stanowiska również podczas projektowania przepisów wykonawczych do ustawy, czy projektowania samego systemu.

VII.501.78.2022