Biuletyn Informacji Publicznej RPO

• ZUS miałby szerokie uprawnienia przy ustalaniu prawa do zasiłku - bez określenia granic ingerencji w prawo do prywatności i ochrony danych osobowych obywateli
• Zastrzeżenia RPO budzi projekt nowelizacji ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa
• Przewiduje się m.in. możliwość pozyskiwania danych wrażliwych dotyczących konkretnej osoby ubiegającej się o zasiłek
• Rzecznik Praw Obywatelskich podjął sprawę z urzędu i zwrócił się o wyjaśnienia do Marleny Maląg, ministry rodziny i polityki społecznej

Proponowany przepis głosi: „Zakład Ubezpieczeń Społecznych może pozyskiwać dane i informacje, o których mowa w ust. 1, od ubezpieczonych, płatników składek, organizacji społecznych oraz innych podmiotów i osób, które są w posiadaniu tych danych i informacji, a wymienione osoby i podmioty są obowiązane je udostępnić na wniosek ZUS”.

Z uzasadnienia projektu wynika, że „zmiana ta nie będzie oznaczać zwiększenia obecnych obowiązków płatników składek, a korzyścią dla wszystkich, przede wszystkim dla ubezpieczonych będzie  usprawnienie procesu ustalenia prawa i wypłaty zasiłków. Obecnie, brak wypłaty świadczeń z ubezpieczenia chorobowego lub ich znacznie opóźniona wypłata wynika z braku pełnej i rzetelnej dokumentacji przekazywanej przez płatników składek”.

Propozycja przewiduje możliwość pozyskiwania danych i informacji, o których mowa w ust. 1, tj. niezbędnych do ustalenia prawa do zasiłków, ich wysokości, podstawy wymiaru oraz do ich wypłat - bez określenia zakresu ich żądania. Ponadto przyznaje możliwość pozyskiwania tych informacji od nieokreślonego kręgu podmiotów. Wskazuje bowiem bardzo ogólnie na organizacje społeczne, podmioty i osoby, które mają te dane i informacje.

Jak sygnalizują media, proponowany przepis mógłby  dotyczyć np. pozyskiwania informacji od sąsiadów, czy właścicieli mediów społecznościowych, a także adwokatów stanowiąc zagrożenie dla ochrony tajemnicy zawodowej. Możliwa jest też taka interpretacja, zgodnie z którą można byłoby gromadzić dane wrażliwe.

Tak szerokie uprawnienia do żądania udostępnienia danych osobowych przyznane są jedynie policji czy służbom. Ale ich działalność nie podlega regulacjom rozporządzenia RODO. Zgodnie z RODO przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Prawodawca powinien więc wskazać zakres danych, jakie mogą być przetwarzane, a także ograniczyć zakres zbierania danych jedynie do tych, które są niezbędne.

Jak wynika z uzasadnienia projektu, celem przetwarzania danych wydaje się usprawnienie procesu ustalenia prawa i wypłaty zasiłków. Wątpliwości budzi jednak, czy nie wystarczają do tego aktualne uprawnienia ZUS względem pracodawcy i ubezpieczonego.

Standard konstytucyjny ochrony prawa do prywatności i ochrony danych osobowych wynikający z orzecznictwa Trybunału Konstytucyjnego wskazuje, że zbieranie przez władze publiczne wyłącznie niezbędnych/koniecznych – a nie „wygodnych”  – informacji o osobie, gwarantuje ochronę prywatności. Art. 51 Konstytucji kładzie nacisk przede wszystkim na ochronę jednostki wobec władz publicznych. W świetle art. 47 Konstytucji nie ulega  wątpliwości, że ustawodawca ma konstytucyjny obowiązek zapewnić jednostce odpowiednią ochronę sfery prywatności - nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych.

Nowelizacja przewiduje możliwość pozyskiwania danych wrażliwych dotyczących konkretnej osoby ubiegającej się o zasiłek. Z punktu widzenia RODO istotne jest  zapewnienie odpowiedniego zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. W projekcie nie ma jednak regulacji wskazujących na szczególne zabezpieczenia danych wrażliwych, jak np. określenie zakresu urzędników uzyskujących do nich dostęp, czy dotyczących bezpieczeństwem danych.

Proponowany przepis wprowadza też obowiązek udostępnienia żądanych przez ZUS informacji. Brak jest jednak gwarancji proceduralnych umożliwiających odwołanie się od takiej decyzji ZUS. W sytuacji zaś przekazania nieprawdziwych danych przez podmiot, mających wpływ na prawo do świadczeń lub na ich wysokość, co spowoduje wypłacenie nienależnych świadczeń, podmiot ten jest zobowiązany do zwrotu tych świadczeń z odsetkami za okres, za który je wypłacono.

Ponadto RPO zwraca uwagę, że projekt nie został przekazany do konsultacji Prezesowi Urzędu Ochrony Danych Osobowych – mimo takiego  obowiązku.

VII.501.35.2021