Czy opinia publiczna ma prawo wiedzieć, jak kontrolowani są pracownicy organu rentowego? Fundacja Panoptykon twierdzi, że tak. I walczy o dostęp do tych informacji w sądzie. W 2015 r. rozesłała do wielu instytucji ankiety z prośbą o wskazanie, czy wykorzystują one narzędzia służące automatycznemu zbieraniu informacji o aktywności swoich pracowników. Przykładowo: czy urząd monitoruje wejścia i wyjścia z budynku, czy komputery pracowników są na podglądzie itd.
Część urzędów odpowiedziało, ZUS odmówił.
– Odmawiając udzielenia informacji publicznej Fundacji Panoptykon, powołaliśmy się na ograniczenie jej udostępniania wynikające z przepisów o ochronie innych tajemnic ustawowo chronionych – informuje Radosław Milczarski z biura prasowego zakładu. Wskazuje, że z ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) wynika, iż należy chronić informacje dotyczące sposobów zabezpieczenia danych osobowych.
– Uznano, że sposoby zabezpieczenia danych osobowych mają być nieujawniane przez osoby upoważnione do ich przetwarzania – argumentuje Milczarski. Mówiąc prościej: argumentacja przemawiająca za odmową udostępnienia informacji opiera się na tym, że groziłoby to wyciekiem. Na nim zaś straciliby i pracownicy ZUS, i być może nawet ubezpieczeni, których dane ZUS przechowuje.
Rację organowi przyznał Wojewódzki Sąd Administracyjny w Warszawie (wyrok z 21 grudnia 2015 r., sygn. akt II SA/Wa 1261/15). Eksperci z zakresu ochrony danych osobowych twierdzą jednak, że zarówno organ rentowy, jak i sąd wykazały się niezrozumieniem przepisów.
Fundacja Panoptykon złożyła skargę do NSA. Zarzuca w niej, że sąd pierwszej instancji niesłusznie przyjął, iż art. 36 ust. 1 i art. 39 ust. 2 ustawy o ochronie danych osobowych, na które powołał się ZUS, mogą być podstawą do odmowy udostępnienia informacji publicznej.
– Przepisy te stanowią jedynie o tym, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy zarówno samych danych, jak i sposobów ich zabezpieczania. Regulacje te są więc tajemnicą pracowniczą, zakazującą udostępniania danych osobom nieupoważnionym – wskazuje Wojciech Klicki z Panoptykonu. Zwraca on uwagę także na to, że sąd bezpodstawnie przyjął, iż urządzenia i programy służące do kontroli pracowników są środkami zabezpieczania danych osobowych. – Pytania dotyczyły sposobu kontroli pracowników przez pracodawcę, a nie sposobów zapobiegania zagrożeniom dla bezpieczeństwa danych osobowych pochodzącym z zewnątrz – wskazuje Klicki.
Opinię tę podziela mec. Adrianna Gumowska z kancelarii Lach Janas Paśko Biernat. Jej zdaniem z analizy wyroku WSA wynika, że zarówno ZUS, jak i sąd nie do końca zrozumiały pytania fundacji.
– Nie można bowiem zaliczyć do jednej kategorii informacji dotyczących urządzeń lub programów służących kontroli pracowników oraz urządzeń lub systemów do automatycznej weryfikacji tożsamości osób wchodzących do budynków ZUS – wskazuje Gumowska.
Wyjaśnia, że w odniesieniu do urządzeń lub programów służących kontroli pracowników fundacji zależało na uzyskaniu informacji dotyczących zbierania przez ZUS danych w zakresie aktywności pracowników, m.in. w zakresie odwiedzanych przez nich w godzinach pracy stron internetowych. – Trudno więc zgodzić się z poglądem, że informacja o kontroli w takim zakresie związana jest w jakikolwiek sposób z systemami ochrony przetwarzania danych zgromadzonych w bazach ZUS. Już z tych względów krytycznie należy ocenić wyrok WSA – wskazuje prawniczka.
ZUS swoją argumentację podtrzymuje. Z przesłanej nam odpowiedzi wynika, że w jego ocenie należy system ochrony danych postrzegać jako całość. Składa się on z wzajemnie współzależnych elementów. Zaliczają się do nich m.in. zabezpieczenia budynków, urządzeń technicznych i programów komputerowych. Ale także zasady dostępu do tych baz. Gdyby więc ujawnione zostały choćby pojedyncze informacje, mogłoby się okazać, że cały system zostałby narażony na szwank.