Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Dostęp ZUS do danych obywateli

Dostęp ZUS do danych obywateli

Dostęp ZUS do danych obywateli w kształcie proponowanym w projekcie ustawy z dnia 22 stycznia 2021 r. „o zmianie ustawy o systemie ubezpieczeń społecznych oraz niektórych innych ustaw” przygotowany przez MRiPS stał się podstawą dla wystąpienia Rzecznika Praw Obywatelskich. Z treści Komunikatu zawartego na stronie RPO wynika, iż Rzecznik powziął informacje o projekcie nowelizacji ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2020 r. poz. 870), który budzi zastrzeżenia z punktu widzenia ochrony prawa do prywatności i ochrony danych osobowych. Z tego względu Rzecznik postanowił podjąć sprawę z urzędu i zwrócić się do Pani Minister o wyjaśnienia w przedstawionej sprawie.

Nowelizacja przepisu, w czym tkwi problem

Projekt ustawy z dnia 22 stycznia 2021 r. „o zmianie ustawy o systemie ubezpieczeń społecznych oraz niektórych innych ustaw” przygotowany przez MRiPS, który przewiduje w art. 4 pkt 11 zmianę przepisu art. 61a. Zgodnie z tym przepisem: w art. 61a dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

„2. Zakład Ubezpieczeń Społecznych może pozyskiwać dane i informacje, o których mowa w ust. 1, od ubezpieczonych, płatników składek, organizacji społecznych oraz innych podmiotów i osób, które są w posiadaniu tych danych i informacji a wymienione osoby i podmioty są obowiązane je udostępnić na wniosek Zakładu Ubezpieczeń Społecznych.”

Uprawnienia tak szerokie posiada policja i służby

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)Mając powyższe na uwadze należy w pierwszej kolejności wskazać, że przepis przewiduje możliwość pozyskiwania danych i informacji, o których mowa w ust. 1, tj. niezbędnych do ustalenia prawa do zasiłków, ich wysokości, podstawy wymiaru oraz do ich wypłat, jednakże, bez określenia zakresu żądania tych informacji. Ponadto przyznaje możliwość pozyskiwania tych informacji od nieokreślonego kręgu podmiotów, wskazuje bowiem bardzo ogólnie, na organizacje społeczne, podmioty i osoby, które są w posiadaniu tych danych i informacji. Pozyskiwanie informacji może więc nastąpić zarówno od organy władzy publicznej, jak i osób prawnych, czy osób fizycznych. Tak szerokie uprawnienia do żądania udostępnienia danych osobowych przyznane są jedynie policji czy służbom, co jednak istotne, działalność tych organów nie podlega regulacjom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L. 119.1 ze sprost., dalej jako: RODO).(…)”.

Minimalizacja danych z RODO

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)Należy natomiast wskazać, że zgodnie z zasadą adekwatności i minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Prawodawca powinien więc dokonać oceny adekwatności, wskazując w treści przepisu zakres danych jakie mogą być przetwarzane dla realizacji określonego przepisami celu przetwarzania, a także ograniczyć zakres zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu. Jak wynika natomiast z uzasadnienia projektu, celem przetwarzania danych wydaje się być usprawnienie procesu ustalenia prawa i wypłaty zasiłków. Wątpliwości budzi więc to, czy do osiągnięcia wskazanego celu nie są wystarczające aktualne uprawnienia ZUS względem pracodawcy i ubezpieczonego. Proponowany w obecnym kształcie przepis, jak sygnalizują media, mógłby dotyczyć np. pozyskiwania informacji od sąsiadów, czy właścicieli mediów społecznościowych, a także adwokatów stanowiąc zagrożenie dla ochrony tajemnicy zawodowej. Jednocześnie należy zauważyć, że możliwa jest aktualnie taka interpretacja przepisu, zgodnie z którą przepis ten uprawnia do gromadzenia danych wrażliwych przez te podmioty.(…)”.

Trybunał Konstytucyjny

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)standard konstytucyjny ochrony prawa do prywatności i ochrony danych osobowych wynikający z orzecznictwa Trybunału Konstytucyjnego wskazuje, że zbieranie przez władze publiczne wyłącznie niezbędnych/koniecznych – a nie „wygodnych” – informacji o osobie, gwarantuje ochronę prywatności. Ponadto, jak wskazywał, Trybunał Konstytucyjny w wyroku z dnia 19 lutego 2020 r., sygn. akt U 3/01, prawodawca konstytucyjny w art. 51 ustawy zasadniczej kładzie nacisk przede wszystkim na ochronę jednostki wobec władz publicznych. W ustępie 2 jako podmiot zobowiązany do realizacji prawa, w którym mowa w tym przepisie, wskazane zostały władze publiczne. Art. 51 ust. 1 Konstytucji RP nie określa w sposób jednoznaczny podmiotu zobowiązanego do realizacji prawa zagwarantowanego w tym przepisie. Oznacza to, że wymieniony przepis konstytucyjny dotyczy wszelkich przypadków, w których jednostka zobowiązana zostaje do ujawniania informacji o sobie innym podmiotom, a więc także podmiotom prywatnym. Podobnie art. 51 ust. 5 Konstytucji RP, który zalicza do zakresu wyłączności ustawy “zasady i tryb gromadzenia oraz udostępniania informacji”, nie określa expressis verbis, czy chodzi tutaj wyłącznie o zbieranie i udostępnienia informacji przez podmioty publiczne, czy też również przez podmioty prywatne. W świetle art. 47 Konstytucji RP nie ulega jednak wątpliwości, że ustawodawca ma konstytucyjny obowiązek zapewnić jednostce odpowiednią ochronę sfery prywatności nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych”. Podkreślić również należy, że na podstawie norm zawartych w art. 47 i 51 Konstytucji RP można zrekonstruować po stronie jednostki publiczne prawo podmiotowe, do którego najważniejszych aspektów należy zaliczyć uzasadnione konstytucyjnie oczekiwanie jednostki w kwestii zgodnej z konstytucyjnym standardem regulacji przetwarzania informacji dotyczących jednostki przez państwo, pozwalającej jej na domaganie się ochrony w razie naruszenia jej sfery prywatnej, jak i bezpośredniej realizacji przez organy władzy publicznej prawa dostępu i korekty zgromadzonych przez nie danych. Publiczne prawo podmiotowe ma również skutek horyzontalny, ponieważ w ramach jego realizacji powstają normy kształtujące relacje między jednostkami w dziedzinie przetwarzania danych osobowych. Oznacza to, że z prawem tym sprzężone jest prywatne prawo podmiotowe, związane z oczekiwaniami dotyczącymi ochrony prywatności informacyjnej w stosunkach prywatnoprawnych.(…)”.

Dane szczególnej kategorii z RODO

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)Mając powyższe na uwadze, należy dodatkowo wskazać, że nowelizacja art. 61a ustawy o świadczeniach pieniężnych przewiduje możliwość pozyskiwania danych
wrażliwych dotyczących konkretnej osoby ubiegającej się o zasiłek. Z punktu widzenia art. 9 ust. 2 RODO określającego wymogi przetwarzania danych wrażliwych, szczególnie
chronionych, istotne jest zatem zapewnienie odpowiedniego zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. b RODO) czy
zapewnienie odpowiednich i konkretnych środków ochrony praw podstawowych (art. 9 ust. 2 lit. g) RODO). Brak jest jednak w projektowanej ustawie regulacji wskazujących na
szczególne zabezpieczenia danych wrażliwych osoby ubiegającej się o zasiłek, takich jak np. określenie zakresu urzędników uzyskujących dostęp do tych danych, czy dotyczących
kwestii techniczno-organizacyjnych związanych z bezpieczeństwem tych danych.(…)”.

Zwrot z kieszeni informującego

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)Trzeba również zauważyć, że proponowany przepis wprowadza obowiązek udostępnienia żądanych przez ZUS informacji. Brak jest jednak gwarancji proceduralnych
umożliwiających odwołanie się od takiej decyzji ZUS, w przypadku uchylenia się od tego obowiązku. W sytuacji zaś przekazania nieprawdziwych danych przez podmiot, mających
wpływ na prawo do świadczeń lub na ich wysokość, co spowoduje wypłacenie nienależnych świadczeń, podmiot ten jest zobowiązany do zwrotu tych świadczeń wraz z odsetkami, za cały okres, za który nienależne świadczenia zostały wypłacone (art. 1 pkt 26 lit. e projektu ustawy nowelizujący art. 84 ust. 6 ustawy z dnia 13 października 1998 r.o systemie ubezpieczeń społecznych).(…)”.

Brak konsultacji z PUODO

W treści wystąpienia ponadto czytamy, iż:

cyt.: „(…)Zgodnie zaś z art. 57 ust. 1c RODO organ nadzorczy doradza, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem, tak aby zapewnić zgodność. zamierzonego przetwarzania z RODO, a w szczególności zminimalizować ewentualne ryzyko dla osoby, której dane dotyczą. Obowiązek przedstawiania założeń i projektów aktów prawnych dotyczących danych osobowych Prezesowi Urzędu wynika również z art. 51 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).(…)”.

Prośba o odniesienie się się do tematu ...

Wystąpienie RPO: [VII.501.35.2021.MKS] Link aktywny 25.03.20201 godzina 8:23

Prawa i wolności na gruncie RODO