Grzegorz Leśniewski: Powiązanie wynagrodzeń z PESEL to potencjalne nadużycie
Tworzymy potężną bazę danych o konkretnych osobach, która będzie mogła być przetwarzana w zbyt szerokim i niejasnym zakresie – mówi Grzegorz Leśniewski, adwokat specjalizujący się w ochronie danych i prywatności, partner zarządzający w kancelarii Leśniewski Borkiewicz Kostka & Partners, wieloletni Inspektor Ochrony Danych w organizacjach o skali międzynarodowej, w rozmowie z Lidią Sulikowską.
Przyjęta przez Sejm, a następnie bez poprawek przez Senat, nowelizacja ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz ustawy o działalności leczniczej zwiększa uprawnienia Agencji Oceny Technologii Medycznych i Taryfikacji dotyczące gromadzenia i przetwarzania danych o wynagrodzeniach osób pracujących w podmiotach medycznych. AOTMiT zyskuje możliwość powiązania informacji o wysokości zarobków z numerem PESEL/PWZ, dzięki czemu można je będzie przypisać do konkretnych osób. Czy to rozwiązanie nie narusza przepisów RODO?
Rzeczywiście, w nowych przepisach widzimy skupienie na konkretnych osobach fizycznych. Zgodnie ze zmianami w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych AOTMiT będzie mógł powiązać po numerze PESEL/dokumencie tożsamości lub PWZ, ile i w jakich placówkach dana osoba, np. lekarz, zarobiła pieniędzy w publicznym systemie ochrony zdrowia, niezależnie od rodzaju umowy (UoP, kontrakt). Te dane będą też powiązane m. in. z nazwą stanowiska pracy oraz wymiarem czasu pracy. Informacje, przekazywane Agencji przez podmioty lecznicze, nie będą już anonimizowane.
Niezależnie od tych zmian nowelizacja wprowadza też modyfikacje w ustawie o działalności leczniczej. Zgodnie z nimi podmiot prowadzący działalność leczniczą będzie zobowiązany do gromadzenia i przekazywania na wniosek ministra właściwego do spraw zdrowia szerokiego katalogu danych dotyczących osób zatrudnionych, w tym m. in.: PESEL, PWZ, informacje o wysokości wynagrodzenia (zasadniczego, stawek godzinowych oraz dodatków), wymiar czasu pracy, tytuły zawodowe, zajmowane stanowisko, forma zatrudnienia, posiadane specjalizacje, wymagane na zajmowanym stanowisku wykształcenie. Minister może wskazać jako odbiorcę tych danych także m.in. NFZ albo AOTMiT.
Moim zdaniem są istotne wątpliwości co do zgodności tych regulacji z RODO, przede wszystkim z uwagi na ogólną zasadę konieczności zbierania danych i przetwarzania ich proporcjonalnie do celów i minimalizacji danych gromadzonych dla realizacji danego celu. To jest szczególnie ważne z perspektywy tych procesów, w których administratorami są organy publiczne. Dotychczas właściwe organy działały głównie w oparciu o dane statystyczne, zagregowane. Omawiana nowelizacja zmienia to o 360 stopni.
Jednocześnie była tworzona na szybko, według mojej wiedzy bez konsultacji społecznych, co powoduje, że nie było kontroli nad tym procesem. Wszystkie tego typu regulacje powinny być konsultowane publicznie, w szczególności z Urzędem Ochrony Danych Osobowych, który nadzoruje w Polsce stosowanie regulacji dotyczących ochrony danych osobowych, bo tylko tak można zrozumieć ich przewidywane, realne skutki, wychwycić luki, błędy i wyjaśnić wątpliwości.
Co konkretnie budzi Pana wątpliwości?
Przede wszystkim cele przetwarzania danych nie są jasne, a podziały ról właściwych organów nie są precyzyjnie opisane. W dokumencie DPIA, czyli ocenie skutków dla ochrony danych, który jest elementem procesu legislacyjnego tej nowelizacji jako załącznik do całościowej Oceny Skutków Regulacji, jest sporo nieścisłości merytorycznych, w tym takich, które w mojej ocenie mogą sugerować, że nie jest to regulacja przemyślana z perspektywy ochrony danych, ryzyk i skutków dla osób fizycznych.
Przykładowo, dokument ten wprost wskazuje jako zakres danych osobowych objętych procesem tylko numer PESEL i numer PWZ, podczas gdy należałoby uwzględnić cały wolumen danych, a tych w nowym brzmieniu art. 27a ustawy o działalności leczniczej jest znacznie więcej. Skoro nie wynika to z DPIA, to trudno zaufać zawartemu tam wnioskowi, że całe przetwarzanie jest niezbędne i proporcjonalne dla właściwych celów, a także że rozważono i poprawnie zaadresowano wszystkie ryzyka dla praw i wolności osób fizycznych.
Moim zdaniem dzięki tym zmianom tworzymy potężną bazę danych, o konkretnych osobach, która będzie mogła być przetwarzana w zbyt szerokim, niejasnym zakresie. Zanim podejmie się takie decyzje, należy wszechstronnie rozważyć, czy założonych celów nie da się jednak osiągnąć bez tworzenia takich baz. Wydaje się, że organy państwa powinny jednak być w stanie udzielać rekomendacji systemowych na podstawie danych statystycznych powiązanych z odpowiednimi stanowiskami pracy, a nie przypisując je do poszczególnych osób fizycznych.
Szybkie tempo prac nad ustawą i zaproponowane rozwiązania wiążą się ze skandalem, do jakiego doszło w warszawskim Szpitalu Południowym.
Musimy jednak pamiętać, że ochrona danych osobowych jest ściśle powiązana z tematyką praw człowieka. Stanowi realizację prawa do prywatności oraz ludzkiej godności. Jest to szalenie ważne, biorąc pod uwagę, że żyjemy w erze cyfrowej. Dlatego na poziomie Unii Europejskiej mamy takie regulacje jak ogólne rozporządzenie o ochronie danych (RODO). Dopiero w ściśle określonych sytuacjach państwo może wkraczać w ten obszar, gromadząc i przetwarzając dane na nasz temat. Nie możemy uciekać w pułapkę poszerzania zakresów informacji, jakie kolejne organy publiczne przetwarzają na nasz temat, uzasadniając to ogólną intencją ochrony społeczeństwa przed patologiami.
W pierwszej kolejności należy zawsze szczegółowo rozważyć, czy dany cel może być osiągnięty w inny sposób, a jeśli nie, to czy oby na pewno zakres danych jest proporcjonalny i niezbędny. Rozbudowany monitoring wynagrodzeń całych grup zawodowych na poziomie konkretnych osób fizycznych, wprowadzony naprędce, bez dyskusji, bez refleksji, jest w mojej ocenie potencjalnym nadużyciem, pójściem na skróty. To przyzwyczajanie nas do obniżania standardów ochrony naszej prywatności, co w przyszłości może prowadzić do patologii większych niż te, którymi teraz uzasadnia się przedmiotową nowelizację.
