Poradnik Przedsiębiorcy

Przetwarzanie danych osobowych przez ZUS

Od maja 2019 r. wszystkie podmioty przetwarzające dane osobowe osób fizycznych podlegają przepisom RODO dotyczących zasad przetwarzania danych oraz ich bezpieczeństwa. Zakład Ubezpieczeń Społecznych nie jest wyjątkiem – ZUS jest administratorem danych osobowych i ciążą na nim takie same obowiązki jak na wszystkich innych administratorach danych. Jak wygląda przetwarzanie danych osobowych przez ZUS?

ZUS przetwarza dane osobowe tak samo, jak każdy przedsiębiorca

Zgodnie z przepisem art. 34 ustawy o systemie ubezpieczeń społecznych, ZUS ma obowiązek zapewnienia rzetelności i kompletności informacji gromadzonych na kontach ubezpieczonych i na kontach płatników składek. ZUS, jako administrator danych osobowych, ma obowiązek zapewnienia przetwarzanym przez siebie informacjom bezpieczeństwa przed nieuprawnionym dostępem i ich wykorzystaniem. Obowiązki te są niezwykle istotne, albowiem ZUS dysponuje bardzo szerokim katalogiem danych dotyczących płatników składek i osób ubezpieczonych.

Danymi osobowymi w rozumieniu przepisów RODO są wszystkie dane, które umożliwiają bezpośrednią lub nawet pośrednią identyfikację osoby fizycznej.
ZUS dysponuje szerokim katalogiem danych osobowych osób fizycznych, zarówno dotyczących osób podlegających ubezpieczeniu, jak i członków ich rodzin.
Wśród danych przetwarzanych przez ZUS znajdują się nie tylko informacje umożliwiające ich identyfikację (np. imię i nazwisko, adres zamieszkania, numer PESEL, numer dowodu osobistego, numer paszportu, dane rachunku bankowego itp.), lecz również dane bardzo wrażliwe – między innymi informacje o schorzeniach osób ubezpieczonych, sposobie leczenia, hospitalizacji, pobytach w sanatoriach itp.

ZUS musi przetwarzać dane osobowe między innymi w związku z:

  • przyznawaniem uprawnień do świadczeń z ubezpieczeń społecznych (np. zasiłków, rent, emerytur);

  • wypłacaniem świadczeń na rzecz osób ubezpieczonych i członków ich rodzin;

  • postępowaniami prowadzonymi przez lekarzy orzeczników ZUS oraz komisje lekarskie ZUS;

  • rozpatrywaniem zgłoszeń do ubezpieczenia społecznego;

  • wykonywaniem zadań prewencyjnych (np. z zakresu prewencji rentowej).

Osoba fizyczna może sprawdzić, jakie dane przetwarza ZUS

Jednym z podstawowych praw przysługujących każdej osobie fizycznej, której dane są przetwarzane, jest prawo dostępu do danych (o prawach w kontekście przetwarzania danych szczegółowo poniżej).

Każda osoba, której dane są przetwarzane przez ZUS może zwrócić się do ZUS, jako do administratora danych z żądaniem wskazania, jakimi dokładnie danymi ten podmiot dysponuje.

Można to uczynić:

  • w formie listownej, na adres ZUS;

  • w formie e-mailowej (odd@zus.pl);

  • za pośrednictwem Platformy Usług Elektronicznych ZUS.

Aby uzyskać dostęp do danych poprzez PUE, konieczne jest zarejestrowanie konta na stronie internetowej ZUS, a następnie potwierdzenie tożsamości w jeden z trzech dostępnych sposobów: z wykorzystaniem profilu zaufanego ePUAP, z wykorzystaniem podpisu elektronicznego albo poprzez osobistą wizytę w placówce ZUS.

Jakie prawa przysługują w związku z RODO?

Zakład Ubezpieczeń Społecznych w kontekście przepisów RODO podlega takim samym zasadom jak przedsiębiorcy przetwarzający dane osobowe swoich klientów. Oznacza to, że wszystkim osobom, których dane są przetwarzane przez ZUS, przysługują określone prawa. Należy do nich przede wszystkim zaliczyć:

  • prawo dostępu do danych osobowych, które są przetwarzane przez ZUS;

  • prawo do uzyskania kopii przetwarzanych danych;

  • prawo do żądania sprostowania, jeżeli dane, którymi dysponuje ZUS, są nieprawidłowe;

  • prawo do żądania usunięcia danych;

  • prawo do żądania ograniczenia zakresu przetwarzania;

  • w przypadku danych przekazanych dobrowolnie (np. adresu e-mail) – prawo do wycofania udzielonej uprzednio zgody;

  • prawo do wniesienia sprzeciwu.

Osoba fizyczna ma prawo do żądania usunięcia danych przetwarzanych przez ZUS, jednakże w niektórych sytuacjach administrator danych może odmówić spełnienia tego żądania.
Zgodnie z ogólną zasadą, administrator powinien niezwłocznie usunąć przetwarzane dane, jeżeli domaga się tego osoba, której dane dotyczą. Wyjątkowo, administrator ma prawo do odmowy usunięcia, jeżeli przetwarzanie danych jest niezbędne do wykonania obowiązku wynikającego z przepisów prawa lub w ramach sprawowania powierzonej władzy publicznej. Można zatem założyć, że ZUS usunie dane, które nie są niezbędne do wykonywania jego obowiązków (np. adres mailowy lub numer telefonu), ale odmówi danych koniecznych do spełnienia zadań względem płatników i osób ubezpieczonych (np. danych niezbędnych do wypłaty świadczenia). 

Przetwarzanie danych osobowych przez ZUS a inspektor ochrony danych

ZUS ma obowiązek wyznaczenia inspektora danych osobowych. Zadaniem inspektora jest między innymi monitorowanie przestrzegania przepisów RODO przez administratora danych, podejmowanie współpracy z Prezesem Urzędu Ochrony Danych Osobowych oraz – co najważniejsze z punktu widzenia osób, których dane są przetwarzanie – pełnienie funkcji punktu kontaktowego we wszystkich sprawach związanych z przetwarzaniem danych. Każda osoba, która ma pytania lub wątpliwości związane z przetwarzaniem danych przez ZUS, może skontaktować się bezpośrednio z inspektorem ochrony danych. 

Należy pamiętać, że choć inspektor ochrony danych odpowiada za kontakty pomiędzy administratorem danych a osobą fizyczną, której dane dotyczą, to decyzje dotyczące przetwarzania danych osobowych (np. sprostowanie danych) należą wyłącznie do administratora – do ZUS.

Na działania ZUS można złożyć skargę

Jeżeli osoba, której dane osobowe są przetwarzane przez ZUS, jest niezadowolona ze sposobu tego przetwarzania i uważa, że ZUS narusza przysługujące jej prawa, może ona złożyć skargę do Prezesa Urzędu Danych Osobowych. Złożenie skargi powinno być poprzedzone złożeniem skargi bezpośrednio w ZUS. ZUS, jak każdy inny administrator danych, ma obowiązek przesłania odpowiedzi w możliwie jak najszybszym terminie, nie później niż w terminie jednego miesiąca. Termin ten może zostać wydłużony o maksymalnie dwa miesiące. W przypadku, w którym ZUS nie odpowie na żądanie, albo odpowiedź nie czyni zadość temu roszczeniu, osoba fizyczna ma prawo wniesienia skargi do UODO.

Jeżeli skarga dotyczy danych innej osoby (na przykład małżonka pracownika), wówczas konieczne jest uzyskanie pełnomocnictwa od osoby, której dane są przetwarzane.

Skarga do UODO może zostać złożona:
- w formie elektronicznej, za pośrednictwem portalu ePUAP2;
- ustnie do protokołu w siedzibie UODO;
- w formie papierowej, w biurze podawczym Urzędu albo za pośrednictwem przesyłki listowej.
W skardze należy wskazać:

  • dane osoby zgłaszającej skargę;

  • dane ZUS jako administratora danych;

  • dokładny opis naruszenia, którego w ocenie zgłaszającego dopuścił się ZUS jako administrator;

  • żądanie tj. jakiego działania zgłaszający oczekuje od UODO.

Skarga musi zawierać własnoręczny podpis zgłaszającego. Skarga powinna zostać rozpoznana przez Prezesa UODO w terminie miesiąca. UODO może nakazać ZUS np. poinformowanie osoby fizycznej o danych, które przetwarza, sprostowanie danych albo usunięcie danych z bazy prowadzonej przez ZUS.

Pracodawca a obowiązki ZUS w kontekście RODO

ZUS wykonuje swoje obowiązki w zakresie przetwarzania danych na podstawie umocowania wynikającego z przepisów ustawy o systemie ubezpieczeń społecznych. W związku z tym pracodawca, który przekazuje do ZUS dane swoich pracowników, nie musi uzyskiwać od nich odrębnej zgody na przetwarzanie danych przez ZUS.