Nie każdy skorzysta z bazy ZUS

Zapowiedziano, że lekarze uzyskają dostęp do bazy danych ZUS ze względu na konieczność weryfikowania, czy osoby zgłaszające się do publicznej służby zdrowia mają opłacone ubezpieczenie zdrowotne. Czy nie dojdzie w takiej sytuacji do naruszenia prawa do ochrony danych osobowych?

Dostęp do danych o opłacaniu ubezpieczenia zdrowotnego znajduje się w gestii Narodowego Funduszu Zdrowia (NFZ). Chociaż bazy danych administrowane przez NFZ są dość ściśle powiązane z bazami danych Zakładu Ubezpieczeń Społecznych (ZUS), to same w sobie wystarczą do identyfikacji osób aktualnie ubezpieczonych i w związku z tym uprawnionych do świadczeń publicznej służby zdrowia. Natomiast bazy ZUS odzwierciedlają dodatkowo całą historię zatrudnienia i odprowadzania składek na ubezpieczenia społeczne. Z tego powodu wyróżniają się spośród innych baz prowadzonych przez instytucje państwowe i powinny podlegać szczególnej ochronie, choćby ze względu na obowiązującą tajemnicę ubezpieczeń społecznych. Wynika z niej, że tylko wskazane instytucje i tylko w ściśle określonych sytuacjach mogą uzyskać dostęp do informacji zbieranych przez ZUS. Natomiast problemy dotyczące zapewnienia właściwej ochrony bazy ZUS są bardzo podobne do tych związanych z funkcjonowaniem bazy danych NFZ. Są spowodowane tym, że istnieje dość duża grupa podmiotów, zarówno państwowych, samorządowych, jak i komercyjnych, które chciałyby uzyskać dostęp do tych źródeł informacji i zgromadzone w nich dane wykorzystywać do własnych celów. Inną sprawą, która również powinna zostać uregulowana, jest umożliwianie każdemu obywatelowi dostępu do dotyczących jego samego danych gromadzonych przez ZUS i NFZ.

Ale nie tylko lekarze chcieliby mieć dostęp do tych baz, taką chęć zgłasza wiele innych podmiotów, czy mają taką możliwość?

GIODO jest zaniepokojony rosnącym zainteresowaniem instytucji publicznych, które chcą uzyskać dostęp do baz danych ZUS. Przykładem jest Główny Urząd Statystyczny, który do prowadzenia swoich badań chce wykorzystywać dane z ZUS odzwierciedlające m.in. bieżącą sytuację na rynku pracy. Nie mniej niepokojące są podobne dążenia ze strony podmiotów komercyjnych, np. agencji pośrednictwa pracy czy agencji doradztwa personalnego. Chęć otrzymania prawa dostępu do baz ZUS zgłaszają też m.in. urzędy pracy czy ośrodki pomocy społecznej.

Przykładem, który obrazuje, jak różne podmioty na potrzeby realizacji swoich celów chciałyby uzyskać dostęp do baz ZUS, jest sytuacja, do której doszło jesienią 2011 roku po wejściu w życie nowelizacji ustawy z 27 lipca 2005 r. o szkolnictwie wyższym (Dz.U. z 2005 nr 164, poz. 1365, z późn. zm.). Art. 14 tej ustawy przewiduje, że uczelnie powinny monitorować losy zawodowe absolwentów i tworzyć okresowe raporty w tym zakresie. Wprawdzie Ministerstwo Nauki i Szkolnictwa Wyższego zawsze podkreślało, że wprowadzając tego rodzaju wymagania, miało na myśli zbieranie przez uczelnie informacji dobrowolnie im przekazywanych przez absolwentów, to jednak szybko pojawiły się placówki, które uznały, że najlepszym sposobem na wypełnienie ustawowego wymogu wobec uczelni byłoby uzyskanie dostępu do bazy danych ZUS i pozyskiwanie potrzebnych na ten cel informacji bezpośrednio z tego źródła. Jednak zarówno ZUS, jak i GIODO wyraźnie stwierdzali, że nie ma możliwości prawnych, by realizować tego rodzaju zamierzenia, a ustawa o szkolnictwie wyższym nie stanowi podstawy do zbierania wymaganych informacji w ten sposób. Prof. Barbara Kudrycka, minister nauki i szkolnictwa wyższego, wyjaśniała, że intencją nigdy nie było zbieranie informacji o studentach za pomocą dostępu do baz danych ZUS.

Na jakich więc zasadach i komu ZUS może udostępniać dane o osobach ubezpieczonych?

Ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz.U. 1998 nr 137, poz. 887) wprost wskazuje, kto i na jakich zasadach może uzyskać dostęp do baz prowadzonych przez ZUS. Art. 50 tej ustawy stanowi, że dane zgromadzone na koncie ubezpieczonego i na koncie płatnika składek mogą być udostępniane bezpłatnie sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie oraz Komisji Nadzoru Finansowego, a także w zakresie niezbędnym do realizacji świadczeń rodzinnych wójtowi, burmistrzowi lub prezydentowi miasta. Odpłatnie zaś dane te może uzyskać komornik sądowy w zakresie niezbędnym do prowadzenia egzekucji. Należy jednak traktować ten dostęp jako wyjątek od ogólnej zasady, że dane w bazach ZUS podlegają tajemnicy ubezpieczeń społecznych. Ponadto pamiętać należy, że zgodnie z powołanym art. 50., udostępnianie danych przez ZUS powinno się odbywać również z uwzględnieniem przepisów dotyczących ochrony danych osobowych.

ZUS prowadzi bazę i korzysta z niej w celu wypełniania swoich zadań. W jaki sposób inne instytucje mają uzasadnić chęć dostępu do zgromadzonych tam danych?

Instytucje wnioskujące o taki dostęp często powołują się na potrzebę zweryfikowania informacji. GIODO obawia się, iż pozyskane w ten sposób dane zaczęłyby być wykorzystywane do innych celów. Powodem zainteresowania informacjami jest choćby to, że pozwalają one dość dobrze odzwierciedlić profil osobowy poszczególnych ubezpieczonych. Odnoszą się przecież do całej ich historii zawodowej, zawierają informacje o różnego rodzaju świadczeniach wypłacanych poszczególnym osobom, w tym z tytułu korzystania z opieki zdrowotnej. W grę wchodzi tu więc dostęp do wrażliwych danych o osobie fizycznej. Zatem pojawia się ryzyko naruszenia konstytucyjnie gwarantowanego prawa do ochrony życia prywatnego i prywatności. Nic dziwnego, że GIODO bije na alarm.

Jakie konkretnie cele wymieniają urzędy, które chciałyby posługiwać się danymi z ZUS?

Na przykład GUS w wyniku analizy danych chciałby uzyskać pełniejszy obraz polskiego rynku pracy. Dąży więc nie tylko do tego, by z większą częstotliwością analizować te informacje, ale nawet uzyskać kopie danych ZUS i przechowywać je u siebie, co zapisał w przedstawionym do zaopiniowania GIODO planie działań statystyki publicznej na 2013 r. Moim zdaniem obecnie nie ma podstaw prawnych do wdrożenia takich praktyk. Natomiast rozstrzygnięcie rozbieżności prawdopodobnie będzie wymagało decyzji Rady Ministrów. Istnieje bowiem potrzeba oceny, w jaki sposób instytucje publiczne o podobnych uprawnieniach mogą sobie udostępniać swoje bazy danych.

Czy umożliwienie tego rodzaju dostępu wymaga delegacji ustawowej i czy są w tym zakresie ograniczenia konstytucyjne?

Prawo dostępu do bazy danych ZUS powinno wynikać wprost z ustawy, zaś rozporządzenie może określać jedynie techniczne aspekty tego. Trzeba przy tym pamiętać, że jednak i sam dostęp wynikający z ustawy musi mieć ograniczony zasięg. Art. 31 Konstytucji RP wprost stanowi, że ingerencja w prawa i wolności obywatelskie może nastąpić tylko wtedy, gdy jest to niezbędne w demokratycznym państwie prawnym i musi wynikać wprost z ustawy. W przypadku dostępu do bazy ZUS mamy do czynienia z ingerencją w prawo do ochrony prywatności. Ewentualne przekazanie dostępu do tych danych musi więc mieć oparcie w ustawie i przejść ów test niezbędności. Chodzi o wykazanie, że nie ma możliwości poradzenia sobie ze wskazywanym przez podmioty chcące uzyskać taki dostęp problemem w inny sposób niż poprzez dostęp do konkretnej bazy. Jeśli rzeczywiście nie ma innej metody, to wówczas faktycznie możemy mówić, że ten dostęp jest niezbędny. Jeśli natomiast chodzi jedynie o łatwiejsze albo bardziej efektywne realizowanie zadań poszczególnych instytucji, wówczas nie możemy uznać, że test niezbędności daje odpowiedź pozytywną i pozwala na ingerencję w prawo do prywatności.

Czasem zamiast wypracowywać własne rozwiązania, warto skorzystać z rozwiązań dobrze funkcjonujących w innych krajach. Czy są takie, które powinny stać się dla nas wzorem?

To kwestia, którą warto przedyskutować, tym bardziej że w niektórych krajach europejskich (np. skandynawskich) możemy znaleźć przykłady dość liberalnego podejścia do kwestii ochrony danych osobowych znajdujących się w publicznych rejestrach. Duża część danych dotyczących ubezpieczeń społecznych i płacenia podatków jest tam publicznie dostępna. Jednak takie rozwiązania nie przystają społecznie, kulturowo i prawnie do warunków polskich. W innych krajach UE (np. Niemcy) obowiązuje zakaz łączenia danych o ubezpieczeniach społecznych z danymi z innych rejestrów publicznych. Podobna konstrukcja obowiązuje w Czechach. W krajach tych profilowanie obywatela na podstawie danych pochodzących z różnych baz publicznych jest niemal niemożliwe. Przyznam, że kwestia pozyskiwania i łączenia danych pochodzących z różnych rejestrów publicznych jest dla mnie jako organu do spraw ochrony danych osobowych szczególnie istotna.

@RY1@i02/2012/133/i02.2012.133.08800030d.802.jpg@RY2@

WOJCIECH GÓRSKI

Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Rozmawiał Krzysztof Polak