Pracownicy sanepidu muszą mieć profil zaufany do celów służbowych. Postępowanie PUODO po interwencji RPO

Do Rzecznika Praw Obywatelskich wpływają skargi pracowników inspekcji sanitarnej dotyczące funkcjonowania Systemu Ewidencji Państwowej Inspekcji Sanitarnej (SEPIS) pod kątem bezpieczeństwa ich danych osobowych. Jak wynika ze skarg, pracownicy zostali zobowiązani do korzystania z systemu SEPIS przez profil zaufany, który w ich ocenie ma charakter prywatny. Wątpliwości skarżących co do bezpieczeństwa danych osobowych  wydają się uzasadnione, wiążą się bowiem m.in. z ujawnieniem nr PESEL.

Rzecznik wcześniej wystąpił w tej sprawie do Głównego Inspektora Sanitarnego. Z jego odpowiedzi wynika, że „profil zaufany pozwala użytkownikowi na potwierdzenie tożsamości w systemach teleinformatycznych administracji publicznej bez względu na to, czy posiadacz wykorzystuje go w celach prywatnych, czy też wykorzystuje go w celu wykonywania obowiązków pracowniczych (podobnie jak ma to miejsce w przypadku dokumentów stwierdzających tożsamość, tj. dowodu osobistego lub paszportu w stosunkach tradycyjnych)”.

GIS wskazał też, że „w sytuacji gdy w podmiocie publicznym wdrożony jest system teleinformatyczny, za pośrednictwem którego pracownicy danego podmiotu będą wykonywać swoje obowiązki służbowe, a do zalogowania się w tym systemie konieczne jest dysponowanie profilem zaufanym, stosowny obowiązek po stronie pracowników można wywodzić z art. 20a ust. 1 pkt 1 ustawy o informatyzacji”.

Wyjaśnienia te nie rozwiały wątpliwości rzecznika. Zauważył, że jak wskazał GIS "pracownicy PIS wykorzystują system SEPIS m.in.: do przyjmowania zgłoszeń od obywateli, nakładania kwarantann i izolacji czy też edycji danych związanych z ogniskami epidemii”. W konsekwencji należy uznać, że profil zaufany może służyć zarówno do zalogowania się do systemu SEPIS (w celu zidentyfikowania pracownika), jak i do podpisywania dokumentów np. przy wydawaniu decyzji. Wiąże się to zatem z ujawnieniem danych osobowych pracownika, w tym nr PESEL w sytuacji podpisu profilem zaufanym.

Wątpliwości rzecznika budzi również sposób autoryzacji podczas logowania do profilu zaufanego, który polega albo na odebraniu smsów z hasłem, wysłanych na prywatny telefon, albo w przypadku powiązania profilu z bankiem – na weryfikacji zgodnej z polityką banku, tj. podanie smsa albo przesłanie hasła, np. kodu jednorazowego. Taki sposób autoryzacji, powiązany ze sferą prywatną pracownika, powoduje, że dane osobowe przetwarzane w ramach systemu SEPIS nie są wystarczająco chronione.

Do konta czy telefonu prywatnego pracownika mogą bowiem mieć dostęp inne osoby (np. bliskie) – taką możliwość stwarza chociażby praca zdalna. Może to narażać prywatność danych dotyczących zdrowia przetwarzanych przez pracowników.

Jak słusznie wskazują skarżący, pracodawca nie może wymagać założenia profilu zaufanego przez pracownika. Nie można tym samym zgodzić się z przyjętą przez Państwowego Powiatowego Inspektora Sanitarnego w m. st. Warszawa interpretacją Kodeksu pracy, zgodnie z którą „podstawą prawną uprawniającą pracodawcę do nałożenia na pracowników Powiatowej Stacji Sanitarno-Epidemiologicznej w m.st. Warszawie wymogu założenia profilu zaufanego w związku z koniecznością zastosowania tego rozwiązania do logowania do SEPIS jest art. 22 § 1 w zw. z art. 100 § 1 Kp”).

Brak jest bowiem konkretnego przepisu mogącego być podstawą żądania przez pracodawcę założenia profilu zaufanego przez pracownika i wykorzystywania go w celach służbowych. Tym samym wykonywanie takiego polecenia pracodawcy powinno być dobrowolne, za zgodą pracownika. Brak zgody, lub jej wycofanie, nie może zaś być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę (221a § 2 Kodeksu pracy).

Niezrozumiałe są również wyjaśnienia GIS co do kwestii nieudostępnienia procedur dotyczących bezpieczeństwa danych systemu SEPIS, które jak wskazuje GIS „mają charakter niejawny i są w posiadaniu Kancelarii Prezesa Rady Ministrów”.

W ocenie Rzecznika wszystko to budzi wątpliwości z punktu widzenia prawa do prywatności i ochrony danych osobowych wyrażonych w 47 i art. 51 ust. 2 Konstytucji. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Ponadto przetwarzanie danych osobowych powinno odbywać się z poszanowaniem zasad zawartych w art. 5 ust. 1 rozporządzenia RODO - zwłaszcza zasady minimalizacji danych.

Zastępca RPO Stanisław Trociuk zwrócił się do prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka o zbadanie sprawy w kontekście stanowiska GIS, a także przedstawionych wątpliwości.

Odpowiedź Jana Nowaka, prezesa UODO

W odpowiedzi na pismo pana rzecznika z dnia 15 lutego 2023 r. (znak: VII.520.6.2020.MK) w sprawie wykorzystywania danych osobowych pracowników inspekcji sanitarnej dotyczących profilu zaufanego do uwierzytelniania w systemie SEPIS uprzejmie informuję, że prezes Urzędu Ochrony Danych Osobowych w trakcie kontroli przeprowadzonej u Generalnego Inspektora Sanitarnego stwierdził, że brak jest podstaw prawnych do żądania przez pracodawcę, aby pracownik uwierzytelniał się w systemie wykorzystywanym do realizacji zadań pracodawcy, przy użyciu profilu zaufanego. W ocenie organu do spraw ochrony danych osobowych jest to naruszenie art. 5 ust. 1 lit. a oraz lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

W związku z powyższym 21 marca 2023 r. prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne w niniejszej sprawie. VII.520.6.2020