Weryfikacja choroby na podstawie informacji publicznych z portali społecznościowych może być kontynuowana. Ale za niewłaściwe wykorzystanie tych danych urząd może być zmuszony zapłacić karę i odszkodowanie.
W ostatnim czasie w mediach podano informację, że
urzędnicy ZUS w związku z nadchodzącym dniem rozpoczęcia stosowania unijnego rozporządzenia o ochronie danych osobowych (RODO) będą musieli zaprzestać sprawdzania, czy płatnik, który przedstawił zwolnienie lekarskie, rzeczywiście jest chory, czy też np. nie wyleguje się na jednej z rajskich wysp. O sprawę postanowiliśmy zapytać przedstawicieli generalnego inspektora ochrony danych osobowych (GIODO, od 25 maja br. UODO – Urząd Ochrony Danych Osobowych). I okazuje się, że organ nadzorczy nie potwierdza tych doniesień (patrz rozmowa obok). Podobnego zdania są pytani przez nas eksperci.
Inwigilacja nie wchodzi w grę
– Weryfikacja tego, czy ubezpieczony korzysta ze
zwolnienia lekarskiego zgodnie z jego celem, może odbywać się różnymi metodami. Możliwe jest przeprowadzenie kontroli w miejscu zamieszkania pracownika. Niewykluczone jest także przeglądanie przez ZUS informacji umieszczonych na otwartych publicznie profilach w portalach społecznościowych, ponieważ jest to zgodne z prawnie uzasadnionymi celami – mówi Grzegorz Larek, prawnik w kancelarii Raczkowski Paruch. Przytacza wyrok z 17 kwietnia 2018 r. (sygn. akt IV KK 296/17), w którym Sądu Najwyższy orzekł, że internet jest przestrzenią publiczną. Zdaniem eksperta nie ma więc przeciwskazań co do wykorzystywania informacji dostępnych dla każdego użytkownika internetu lub portalu społecznościowego. Podstawą przetwarzania danych osobowych przez ZUS będzie zaś niezbędność dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Mowa tu chociażby o art. 68 ustawy z 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (t.j. Dz.U. z 2017 r. poz. 1368 ze zm.).
Można byłoby się zastanawiać, czy ZUS będzie mógł na gruncie
RODO przetwarzać dane osobowe dotyczące stanu zdrowia (lub innych danych szczególnych), jeżeli płatnik udostępni je w internecie. Zdaniem radcy prawnego Andrzeja Lewińskiego, zastępcy GIODO w latach 2006–2016, obecnie przewodniczącego Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej, jak najbardziej. – Artykuł 9 ust. 2 lit. e RODO stanowi bowiem, że nie jest zabronione przetwarzanie danych osobowych szczególnych, jeżeli są one w sposób oczywisty upublicznione przez osobę, której te dane dotyczą – wskazuje Lewiński.
Nie oznacza to jednak, że pracownicy ZUS mogą prowadzić inwigilację płatników. Grzegorz Larek, prawnik w kancelarii Raczkowski Paruch, wskazuje, że korzystanie przez ZUS z danych opublikowanych na portalach społecznościowych powinno się odbywać z zachowaniem podstawowych reguł z RODO, m.in. zasady minimalizacji i prawidłowości przetwarzanych danych oraz ograniczonego celu przetwarzania. – Czynności ZUS mogą generować ryzyko naruszenia tych zasad, jeśli np. będzie on przechowywać dane pozyskane na portalu społecznościowym przez długi okres po zakończeniu kontroli albo zgromadzi dane nieadekwatne do celu. Podobnie przetwarzanie danych nieprawidłowych (np. dotyczących innej osoby) może być ocenione jako naruszenie przepisów
RODO. W konsekwencji może to skutkować odpowiedzialnością odszkodowawczą – tłumaczy Grzegorz Larek.
Odszkodowanie za naruszenia
Mowa tu o nowym rodzaju roszczeń, z jakimi może wystąpić każda osoba fizyczna w momencie, gdy uważa, że jej dane osobowe były przetwarzane z naruszeniem postanowień RODO. Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners, tłumaczy, że odszkodowanie z RODO nie przysługuje za błędną decyzję ZUS. Przysługiwałoby ono wówczas, gdyby
ZUS nadużył danych osobowych pracownika, np. przetwarzał je bezpodstawnie.
– Dopuszczalne jest jednak wykorzystanie przez ZUS zdjęcia z wojaży jako dowodu tego, że wyjechaliśmy. Przecież dzielimy się tym zdjęciem właśnie po to, żeby pochwalić się wyjazdem. Nie dochodzi tu do naruszenia przepisów RODO – komentuje mec. Maciej Gawroński. Wtóruje mu mec. Andrzej Lewiński.
Zawsze sprawę może rozstrzygnąć sąd
Monika Krasińska, dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych
Czy ZUS może przeglądać wpisy na Facebooku osób dostarczających zwolnienie lekarskie w celu weryfikacji, czy ten dokument jest zgodny ze stanem faktycznym?
ZUS jako organ administracji publicznej jest nie tylko upoważniony, ale wręcz zobowiązany do rzetelnego przeprowadzenia postępowania administracyjnego. Musi się ono opierać na dowodach. Nie widzę przeszkód, by ZUS w uzasadnionych przypadkach korzystał z informacji upublicznianych np. na portalu społecznościowym przez samego użytkownika. Internauci, umieszczając pewne dane osobowe w sieci, robią to przecież na określonych zasadach, dokonując odpowiednich ustawień prywatności postów w serwisie, a tym samym decydują, kto ma dostęp do informacji przez nich zamieszczanych. To rodzi określone konsekwencje, których muszą być świadomi, zwłaszcza gdy przekazywane w sieci treści mogą być dowodem na naruszenie prawa.
Osoba narażająca swoim postępowaniem Skarb Państwa na straty finansowe powinna się liczyć z określonymi skutkami, m.in. w sferze odpowiedzialności administracyjnej czy nawet karnej. ZUS ma uprawnienia i możliwości wykorzystywania informacji, zwłaszcza tych podanych publicznie, jak i tych, do których dostęp jest możliwy po spełnieniu określonych warunków, o których mowa w przepisach odrębnych (np. przy dostępie do danych zawartych w rejestrach publicznych). W przypadku pozyskania informacji o nieprawidłowościach ZUS jest zobowiązany rozpatrzyć sprawę z urzędu i wyjaśnić wszystkie okoliczności, które mogą wskazywać na potencjalne naruszenie prawa.
Czyli kto nie ma ustawionego prywatnego profilu, ten może być inwigilowany przez urzędy?
Nie można postawić tezy, z której wynika prawo do bezwarunkowego i niczym nieuzasadnionego wykorzystywania wszelkich danych zawartych w sieci publicznej przez aparat państwowy. Władze publiczne mogą w niezbędnym zakresie ingerować w sferę autonomii informacyjnej osoby prywatnej w takiej skali, na jaką pozwalają obowiązujące przepisy prawa, co gwarantuje zarówno Konstytucja RP, jak i ogólne rozporządzenie o ochronie danych, czyli RODO (zasada legalizmu, proporcjonalności i minimalizacji). RODO zresztą mocno ogranicza stosowanie niektórych przesłanek legalizujących proces przetwarzania przez organy publiczne przy realizacji ich zadań, wyłączając m.in. zgodę czy też prawnie uzasadniony interes administratora danych.
Czy informacje z Facebooka mogą być jedynym dowodem w postępowaniu ZUS?
To może być tylko jeden z dowodów, ale niejedyny. Bo to, że użytkownik zamieszcza zdjęcie z plaży na Facebooku, nie oznacza, że faktycznie tego dnia jest na plaży.
I tak jak zwrócił uwagę w niedawnym wywiadzie zastępca GIODO, minister Mirosław Sanek, jeżeli okaże się, że dane osobowe pozyskane z sieci są niewłaściwie ocenione i przez tę ocenę dochodzi do pewnej dyskryminacji osoby i nałożenia na nią w sposób nieuzasadniony obciążeń finansowych, to po 25 maja 2018 r. taka osoba będzie mogła złożyć wniosek o odszkodowanie za naruszenie danych osobowych.
Czy zatem można uznać przeglądanie czyjegoś Facebooka za naruszenie ochrony danych osobowych?
O ile osoba, której dane dotyczą, złoży stosowny wniosek do sądu, to sąd może ocenić, czy dane osobowe pozyskane, a następnie wykorzystane przez ZUS, były przetwarzane zgodnie z RODO. To także duże wyzwanie dla sądu, który dopuszczając określone dowody w sprawie, będzie je musiał ocenić pod kątem zgodności z RODO. Niezależnie od tego osoba, której dotyczy sprawa, zachowuje dotychczasowe prawo do dochodzenia innych roszczeń na gruncie prawa cywilnego.
Czyli strona postępowania prowadzonego przez ZUS może jednocześnie wystąpić do sądu cywilnego w sprawie nielegalnego pozyskania danych osobowych dla potrzeb postępowania i dochodzić roszczeń odszkodowawczych z RODO?
W mojej ocenie tak. Tryb administracyjny oraz tryb cywilny są bowiem kompletnie alternatywnymi trybami i jeden nie wyklucza drugiego.
Ale skoro ZUS może pozyskiwać dane osobowe np. z Facebooka, to czy szanse na uzyskanie odszkodowania za naruszenie postanowień RODO są nikłe?
Kwestia pozyskiwania danych osobowych z sieci publicznej, jaką jest internet, była i jest przedmiotem rozstrzygnięć sądów unijnych, a wkrótce na pewno w tej sprawie będzie miała okazję wypowiedzieć się Europejska Rada Ochrony Danych. Ocena naruszenia RODO niewątpliwie zależeć będzie od analizy całokształtu okoliczności sprawy. Jeżeli się okaże, iż pracownik ZUS wykorzystał swój prywatny profil w celu dotarcia do informacji, czyli działał jako osoba prywatna, a nie funkcjonariusz publiczny, a następnie bez utrwalenia tej okoliczności w aktach sprawy taki dowód został oceniony przez organ jako przesądzający o naruszeniu, to osoba, której stawiane są zarzuty, mogłaby uznać takie działanie za przejaw niestaranności i nierzetelności w gromadzeniu materiału dowodowego i nawet dążyć do uznania za nieważną decyzji opartej na takim materiale.
Czy ZUS musi spełnić obowiązek informacyjny względem osoby, której dane pozyskał z Facebooka?
Prawo nakazuje, aby ZUS umieszczał zebrane informacje w aktach postępowania. I strony mają dostęp do tych akt na podstawie przepisów k.p.a. Mogą odnosić się do informacji w nich zebranych oraz dostarczać nowe dowody. Co do spełnienia obowiązku informacyjnego z RODO, to urząd nie zawsze musi to robić w sytuacji, gdy pozyskuje dane w sposób inny niż od osoby, której dane dotyczą. Zgodnie z art. 14 ust. 5 lit. c RODO nie trzeba spełnić obowiązku informacyjnego, gdy pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem UE lub państwa członkowskiego. Nie ma więc konieczności informowania strony o każdej nowej informacji, jaką ZUS zbierze na jej temat. Pod warunkiem, że umożliwi stronie czynny udział w postępowaniu na każdym jego etapie i zapoznanie się z całością zgromadzonych na jej temat informacji w aktach sprawy. Organ jest także zobowiązany informować na bieżąco o tych prawach.