Sprawy generalne Rzecznika Praw Obywatelskich



Wystąpienie do Pełnomocnika Rządu do spraw Cyberbezpieczeństwa w sprawie ustawy o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne z dnia 2022-06-22.

Adresat:
Pełnomocnik Rządu do spraw Cyberbezpieczeństwa
Sygnatura:
VII.501.78.2022
Data sprawy:
2022-06-22
Rodzaj sprawy:
uwagi RPO do przygotowywanych (zmienianych) aktów prawnych (WL)
Nazwa zepołu:
Zespół Prawa Konstytucyjnego, Międzynarodowego i Europejskiego
Wynik sprawy:
częściowo pozytywnie ze względu na częściowe uwzgl. wystąpienia RPO
Opis sprawy:

Wystąpienie do Pełnomocnika Rządu do spraw Cyberbezpieczeństwa w sprawie ustawy o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

Rzecznik Praw Obywatelskich wskazał, iż ustawa przewiduje przygotowanie systemu teleinformatycznego (usługi online oraz mobilnej aplikacji) dla bezrobotnych obywateli Ukrainy, do którego dostęp mieliby pracodawcy. Należy zatem podkreślić, że idea stworzenia systemu, który ma służyć pomocą obywatelom Ukrainy w znalezieniu pracy zasługuje na aprobatę i uznanie, jednakże zdaniem RPO istotne jest, aby prace nad tym systemem odbywały się z jednoczesnym należytym uwzględnieniem konstytucyjnego standardu ochrony prywatności i autonomii informacyjnej jednostki, a także były zgodne z wymogami rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Rzecznik zauważył, że przy wprowadzaniu nowych technologii informatycznych istotna jest rola państwa w tworzeniu skutecznych mechanizmów ochrony danych osobowych. W uzasadnieniu ustawy brakuje informacji o przeprowadzonej ocenie skutków dla ochrony danych osobowych, do czego zobowiązuje wprost art. 35 ust. 3 RODO właśnie w odniesieniu do zautomatyzowanego przetwarzania, w tym profilowania, z którym mamy do czynienia w uchwalonej ustawie.

Rzecznik wielokrotnie wskazywał, że ścisła współpraca Urzędu Ochrony Danych Osobowych m.in. z Ministerstwem Cyfryzacji, w zakresie przeprowadzania oceny skutków dla ochrony danych, jest kluczowa. Koniecznym jest dołożenie starań, by prawa i obowiązki związane z korzystaniem z aplikacji były przystępnie wyjaśnione i żeby stosowne komunikaty dotarły do wszystkich zainteresowanych.

W ustawie oraz w uzasadnieniu ustawy wskazuje się, że system ma na celu stworzenie profilu pracownika, poprzez udostępnienie jego danych osobowych (wieku, płci, wykształcenia, kwalifikacji zawodowych i przebiegu zatrudnienia, a także po wyrażeniu dodatkowej zgody, imienia, nazwiska, daty urodzenia, adresu poczty elektronicznej, nr telefonu) pracodawcom przedstawiającym oferty pracy. Wątpliwości budzi tutaj zakres żądanych danych, trudno bowiem ustalić jakie konkretne dane będą przez użytkowników udostępniane, chociażby w celu wykazania kwalifikacji zawodowych (np. znajomość języka obcego). W praktyce może więc okazać się, że bezrobotny uzyska konkretne informacje o zakresie oczekiwanych od niego informacji dopiero w trakcie przeprowadzania wobec użytkownika czynności profilowania, a źródłem tych informacji nie będą wówczas akty powszechnie obowiązującego prawa. Rzecznik wyraził wątpliwości, czy analizowane regulacje dotyczą automatycznego przetwarzania danych, o którym mowa w art. 22 ust. 1 RODO. Wówczas na administratorze danych osobowych, w tym na prawodawcy, ciążą dodatkowe obowiązki związane z wdrożeniem właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, czy też zagwarantowanie prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji (art. 22 ust. 2 i 3 RODO).

System przyznaje dostęp do danych szerokiemu kręgowi podmiotów - tj. pracodawcom, podmiotom świadczącym usługi związane z udostępnieniem ofert pracy, a także podmiotom świadczącym usługi pośrednictwa między pracodawcami a osobami poszukującymi pracy (art. 22 f ustawy). Rodzi to dodatkowe zagrożenie dla prywatności związane z wyciekiem danych, a także dalszym przetwarzaniem/udostępnianiem danych w innym celu niż pierwotny.

W świetle art. 47 Konstytucji nie ulega wątpliwości, że ustawodawca ma konstytucyjny obowiązek zapewnić jednostce odpowiednią ochronę sfery prywatności nie tylko przed ingerencją ze strony podmiotów publicznych, ale również przed ingerencją ze strony innych jednostek i podmiotów prywatnych. Podkreślić również należy, że na podstawie norm zawartych w art. 47 i 51 Konstytucji można zrekonstruować po stronie jednostki publiczne prawo podmiotowe, do którego najważniejszych aspektów należy zaliczyć uzasadnione konstytucyjnie oczekiwanie jednostki w kwestii zgodnej z konstytucyjnym standardem regulacji przetwarzania informacji dotyczących jednostki przez państwo, pozwalającej jej na domaganie się ochrony w razie naruszenia jej sfery prywatnej, jak i bezpośredniej realizacji przez organy władzy publicznej prawa dostępu i korekty zgromadzonych przez nie danych.

Istotna jest również okoliczność, że brak jest w ustawie regulacji dotyczących gwarancji zabezpieczenia gromadzonych danych osobowych (np. gwarancji, że dostęp do danych mają wyłącznie osoby zajmujące się kwestiami kadrowymi, czy rekrutacyjnymi), co rodzi niepokój Rzecznika z punktu widzenia poszanowania zasady integralności i poufności danych osobowych.

Aby móc skorzystać z usługi/aplikacji niezbędne jest posiadanie nr PESEL, który jest potrzebny do logowania i identyfikacji użytkownika. Tymczasem zgodnie z art. 22 ust. 3 pkt 2 f ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa, przy rejestracji w Urzędzie Pracy, nr PESEL podaje bezrobotny obywatel Ukrainy, o ile go posiada. Rzecznik zwrócił uwagę, że przyjęte rozwiązanie może stanowić ograniczenia dla innych bezrobotnych obywateli Ukrainy, nieposiadających nr PESEL, w sytuacji gdy ustawa jest dedykowana właśnie obywatelom Ukrainy przebywającym na terytorium Polski w związku z konfliktem zbrojnym na ich terytorium kraju. Powstaje przy tym obawa, czy system, który ma służyć rekrutacji pracowników (także przez organy państwowe, w tym przez Urząd Pracy) nie doprowadzi do wykluczenia (pozbawienia szans na znalezienie pracy) czy dyskryminacji pewnej grupy użytkowników.

 
Wystąpienie dołączone do tego dokumentu:


Data odpowiedzi:
2022-07-27
Opis odpowiedzi:
Podsekretarz Stanu w Kancelarii Prezesa Rady Ministrów w piśmie z 27 lipca 2022 r. poinformował, iż w dniu 24 maja 2022 r. weszła w życie zmiana ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa, na podstawie której zgodnie z Komunikatem Ministra Cyfryzacji z dnia 30 maja 2022 r. w sprawie określenia terminu uruchomienia systemu teleinformatycznego, o którym mowa w art. 22a ust. 1 oraz udostępnienia funkcjonalności, o których mowa w art. 22a ust. 2 ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (zwana dalej „ustawą”) termin uruchomienia systemu teleinformatycznego, o którym mowa w art. 22a ust. 1 ustawy oraz udostępnienie funkcjonalności, o których mowa w art. 22a ust. 2 ustawy wyznaczono na dzień 1 czerwca 2022 r. i w tym czasie równolegle prowadzono prace w zakresie oceny skutków dla ochrony danych (dalej: DPIA). Odnosząc się do kwestii konieczności dołożenia starań, by prawa i obowiązki związane z korzystaniem z aplikacji były przystępnie wyjaśnione i żeby stosowane komunikaty dotarły do wszystkich zainteresowanych Podsekretarz Stanu wskazał, że Regulamin aplikacji oraz Polityka prywatności wraz z klauzulą informacyjną zostały przetłumaczone na język ukraiński.