Biuletyn Informacji Publicznej RPO

• Pracownicy sanepidu zostali zobowiązani do korzystania ze służbowego systemu informatycznego poprzez profil zaufany, który w ich ocenie ma charakter prywatny
• Obawiają się oni o bezpieczeństwo swych danych osobowych, bo posługiwanie się profilem zaufanym w celach służbowych wiąże się m.in. z ujawnieniem nr PESEL
• RPO uznaje te obawy za zasadne pod kątem prawa do prywatności i ochrony danych osobowych
• Ponadto nie ma przepisu, na którego podstawie pracodawca może żądać założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych

Do Rzecznika Praw Obywatelskich wpływają skargi pracowników inspekcji sanitarnej dotyczące funkcjonowania Systemu Ewidencji Państwowej Inspekcji Sanitarnej (SEPIS) pod kątem bezpieczeństwa ich danych osobowych. Jak wynika ze skarg, pracownicy zostali zobowiązani do korzystania z systemu SEPIS przez profil zaufany, który w ich ocenie ma charakter prywatny. Wątpliwości skarżących co do bezpieczeństwa danych osobowych  wydają się uzasadnione, wiążą się bowiem m.in. z ujawnieniem nr PESEL.

Rzecznik wcześniej wystąpił w tej sprawie do Głównego Inspektora Sanitarnego. Z jego odpowiedzi wynika, że „profil zaufany pozwala użytkownikowi na potwierdzenie tożsamości w systemach teleinformatycznych administracji publicznej bez względu na to, czy posiadacz wykorzystuje go w celach prywatnych, czy też wykorzystuje go w celu wykonywania obowiązków pracowniczych (podobnie jak ma to miejsce w przypadku dokumentów stwierdzających tożsamość, tj. dowodu osobistego lub paszportu w stosunkach tradycyjnych)”.

GIS wskazał też, że „w sytuacji gdy w podmiocie publicznym wdrożony jest system teleinformatyczny, za pośrednictwem którego pracownicy danego podmiotu będą wykonywać swoje obowiązki służbowe, a do zalogowania się w tym systemie konieczne jest dysponowanie profilem zaufanym, stosowny obowiązek po stronie pracowników można wywodzić z art. 20a ust. 1 pkt 1 ustawy o informatyzacji”.

Wyjaśnienia te nie rozwiały wątpliwości Rzecznika. Zauważył, że jak wskazał GIS "pracownicy PIS wykorzystują system SEPIS m.in.: do przyjmowania zgłoszeń od obywateli, nakładania kwarantann i izolacji czy też edycji danych związanych z ogniskami epidemii”. W konsekwencji należy uznać, że profil zaufany może służyć zarówno do zalogowania się do systemu SEPIS (w celu zidentyfikowania pracownika), jak i do podpisywania dokumentów np. przy wydawaniu decyzji. Wiąże się to zatem z ujawnieniem danych osobowych pracownika, w tym nr PESEL w sytuacji podpisu profilem zaufanym.

Wątpliwości Rzecznika budzi również sposób autoryzacji podczas logowania do profilu zaufanego, który polega albo na odebraniu smsów z hasłem, wysłanych na prywatny telefon, albo w przypadku powiązania profilu z bankiem – na weryfikacji zgodnej z polityką banku, tj. podanie smsa albo przesłanie hasła, np. kodu jednorazowego. Taki sposób autoryzacji, powiązany ze sferą prywatną pracownika, powoduje, że dane osobowe przetwarzane w ramach systemu SEPIS nie są wystarczająco chronione.

Do konta czy telefonu prywatnego pracownika mogą bowiem mieć dostęp inne osoby (np. bliskie) – taką możliwość stwarza chociażby praca zdalna. Może to narażać prywatność danych dotyczących zdrowia przetwarzanych przez pracowników.

Jak słusznie wskazują skarżący, pracodawca nie może wymagać założenia profilu zaufanego przez pracownika. Nie można tym samym zgodzić się z przyjętą przez Państwowego Powiatowego Inspektora Sanitarnego w m. st. Warszawa interpretacją Kodeksu pracy, zgodnie z którą „podstawą prawną uprawniającą pracodawcę do nałożenia na pracowników Powiatowej Stacji Sanitarno-Epidemiologicznej w m.st. Warszawie wymogu założenia profilu zaufanego w związku z koniecznością zastosowania tego rozwiązania do logowania do SEPIS jest art. 22 § 1 w zw. z art. 100 § 1 Kp”).

Brak jest bowiem konkretnego przepisu mogącego być podstawą żądania przez pracodawcę założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych. Tym samym wykonywanie takiego polecenia pracodawcy powinno być dobrowolne, za zgodą pracownika. Brak zgody, lub jej wycofanie, nie może zaś być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (221a § 2 Kodeksu pracy).

Niezrozumiałe są również wyjaśnienia GIS co do kwestii nieudostępnienia procedur dotyczących bezpieczeństwa danych systemu SEPIS, które jak wskazuje GIS „mają charakter niejawny i są w posiadaniu Kancelarii Prezesa Rady Ministrów”.

W ocenie Rzecznika wszystko to budzi wątpliwości z punktu widzenia prawa do prywatności i ochrony danych osobowych wyrażonych w 47 i art. 51 ust. 2 Konstytucji. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Ponadto przetwarzanie danych osobowych powinno odbywać się z poszanowaniem zasad zawartych w art. 5 ust. 1 rozporządzenia RODO - zwłasczza zasady minimalizacji danych.

Zastępca RPO Stanisław Trociuk zwrócił się do prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka o zbadanie sprawy w kontekście stanowiska GIS, a także przedstawionych wątpliwości.

VII.520.6.2020