Jakie są główne zagrożenia związane z ogromną liczbą danych osobowych, które przetwarza ZUS?

Wynikają one z niespójności systemu ochrony i nie zależą od ilości danych, które gromadzi zakład. Po pierwsze chodzi o chęć pozyskiwania informacji przez instytucje i osoby fizyczne, które nie zostały wskazane w art. 50 ust. 3 ustawy o systemie ubezpieczeń społecznych, czyli np. organy gmin. Takim podmiotom nie przysługuje dostęp do danych zgromadzonych na kontach ubezpieczonych i kontach płatników składek. Powołując się jednak na przepisy ustawy o ochronie danych osobowych i przepisy szczególne, mogą żądać danych z innych baz ZUS, np. Centralnego Rejestru Ubezpieczonych. Drugim problemem jest zbyt szeroki dostęp dla legitymowanych podmiotów.

W jaki sposób dostęp do danych uzyskiwały nieuprawnione podmioty albo był on zbytnio rozszerzany?

Naczelny Sąd Administracyjny dokonywał w przeszłości rozszerzającej interpretacji art. 50 ust. 3 ustawy systemowej, zezwalając na dostęp do danych podmiotom, które nie są tam wymienione, np. wszystkim organom prowadzącym egzekucję administracyjną. Innym przykładem są ABW i AW. Ich funkcjonariusze mogą żądać danych, w tym wrażliwych, bez uzasadnienia. Wreszcie przepisy zezwalają ZUS gromadzić informacje o wszelkich faktach pozaubezpieczeniowych, które mają wpływ na prawo do świadczeń. To jest worek bez dna!

Jak można naprawić tę sytuację?

Uszczelnienie systemu ochrony może dokonać się tylko aktem rangi ustawowej. W przypadku podmiotów uprawnionych z ustawy systemowej wystarczy ich katalog poprzedzić słowem „wyłącznie”. W zakresie służb specjalnych dobrym przykładem jest regulacja dotycząca CBA. Udostępnianie danych odbywa się na wniosek, który ZUS rozpatruje m.in. według zasad adekwatności. Jeśli uzna, że żądany zakres jest zbyt szeroki lub nieuzasadniony, odmówi dostępu tej służbie. Jednocześnie trzeba pamiętać, że zakres stosowanej ochrony nie może utrudniać instytucjom publicznym wykonywania ustawowych zadań.

Czy dobrym pomysłem byłoby wprowadzenie tajemnicy ubezpieczenia społecznego na zasadach podobnych np. do tajemnicy bankowej?

Tak. Sam jej wydźwięk uświadomi ZUS i wszystkim korzystającym z jego zasobów, że dane te otoczone są szczególną opieką prawną, konsekwencją której jest reglamentacja ich dostępności. Na specjalną ochronę zasługują dane o naszym zdrowiu, które zakład musi pozyskiwać na potrzeby rent, zasiłków chorobowych itp. W dodatku ZUS gromadzi o wiele więcej danych osobowych niż np. banki, których informacje korzystają z tajemnicy.

A jak pani ocenia projekt e-zwolnień, który ma ukrócić lewe zaświadczenia lekarskie? Chodzi o to, że ZUS będzie przekazywał drogą elektroniczną lekarzom i płatnikom dane o ubezpieczonych.

Rozumiem zasadność wprowadzenia tego typu mechanizmu z punktu widzenia skali nadużyć. Przemawiają za tym względy finansowe ZUS, płatników i wszystkich ubezpieczonych. Jednak zastanawiam się, kto w danym momencie będzie administratorem danych, a więc na kim będzie ciążyła odpowiedzialność prawna za ewentualny wyciek informacji. Przypominam, jakie były problemy, gdy ZUS wprowadzał inne systemy teleinformatyczne.

Co pani myśli o porozumieniu między ZUS a PIP, na podstawie którego zakład do celów kontrolnych przekazuje inspekcji dane płatników?

Porozumienie ma podstawę ustawową. ZUS dysponuje informacjami, np. czy pracodawca zatrudnia cudzoziemców spoza UE, wobec których PIP ma specjalne uprawnienia kontrolne. Nie sposób sprawdzić legalności działania firm bez dostępu do tych danych.

A pomysł Ministerstwa Nauki i Szkolnictwa Wyższego, by monitorować kariery absolwentów uczelni na podstawie informacji z baz ZUS?

Trudno wskazać inny podmiot, który zbiera wszystkie przydatne do tego informacje. Takie rozwiązanie nie godzi w żadne formalne gwarancje w zakresie ochrony danych osobowych. Tym bardziej że informacje o miejscu pracy nie są danymi wrażliwymi. Zwracam uwagę, że dla ministerstwa najbardziej przydatne będą dane imiennie wskazanych osób. Dlatego ważne jest, by regulacja określała ściśle, co ma być przekazywane.

Jakimi środkami ochrony przed nieuzasadnionym wykorzystaniem danych dysponuje ubezpieczony?

To szeroki zakres uprawnień. Należą do nich przede wszystkim środki administracyjne z ustawy o ochronie danych osobowych. Chodzi o uprawnienia informacyjne i kontrolne. Rozwiązaniem cywilnoprawnym jest ochrona prawa do prywatności jako dobra osobistego. Pozostają jeszcze środki karne, np. grzywna albo kara pozbawienia wolności. Ten sposób jest jednak mało efektywny, gdyż większość spraw jest umarzana i rzadko która trafia do sądu.