Do Związku Powiatów Polskich napływają prośby zaniepokojonych urzędników, którzy boja się, że ich PESEL trafi w ręce klientów urzędu podczas gdy będą korzystali z e-Doręczeń. Podobne wątpliwości zgłaszają dyrektorzy jednostek organizacyjnych i kierownicy urzędów – czy w sytuacji gdy kierownik lub dyrektor wiedzą, że może dojść do naruszenia danych osobowych pracowników to czy mogą zrezygnować z korzystania z e-Doręczeń? Odpowiedź na te pytania znajdą Państwo w poniższej opinii.

Pytanie:

Czy dyrektor jednostki organizacyjnej w sytuacji potencjalnej możliwości wycieku numerów PESEL przez e-Doręczenia może podjąć jakieś działania wiedząc, że ujawnienie numeru PESEL pracownika w sytuacji stosowania profilu zaufanego jest niezgodne z zasadami wyrażanymi w art. 5 i art. 87 RODO oraz art. 22 Kodeksu Pracy i opinią Urzędu Ochrony Danych Osobowych?

Odpowiedź:

Dyrektor jednostki organizacyjnej nie jest administratorem danych osobowych swoich pracowników w sytuacji wysyłania korespondencji za pośrednictwem publicznej usługi rejestrowanego doręczenia elektronicznego (PURDE) i publicznej usługi hybrydowej (PUH). Administratorem danych osobowych, w przypadku korzystania z tych usług jest operator wyznaczony, co wynika z art. 38 ust. 1 i art. 45 ust. 1 ustawy o doręczeniach elektronicznych. W Regulaminie świadczenia publicznej usługi rejestrowanego doręczenia elektronicznego i publicznej usługi hybrydowej, obowiązującym od 1 sierpnia 2024 r., wskazano w § 31 ust.1, że administratorem danych osobowych osób fizycznych korzystających z usług przewidzianych w Regulaminie (PURDE i PUH) jest Poczta Polska S.A. z siedzibą w Warszawie przy ul. Rodziny Hiszpańskich 8, 00-940 Warszawa. Ponadto, w § 31 ust.1 wyjaśniono, że dane osobowe, o których mowa w ust. 1, są przetwarzane na podstawie art. 6 ust. 1 lit. b i lit. c RODO – w celu realizacji usług, o których mowa w Regulaminie, na podstawie ustawy o doręczeniach elektronicznych prowadzenia postępowań reklamacyjnych oraz art. 6 ust. 1 lit. f RODO w celu ustalenia, dochodzenia lub obrony przed roszczeniami.

Korzystanie z usług doręczeń elektronicznych oznacza akceptację Regulaminu - każdy pracownik musiał zaakceptować Regulamin, w momencie zakładania konta w aplikacji e-Doręczeń i przed rozpoczęciem korzystania z doręczeń elektronicznych.

Dyrektor jednostki organizacyjnej lub kierownik urzędu, jak już wskazano nie są administratorami danych osobowych, w przypadku korzystania z usługi e-Doręczeń, ponadto nie są też właścicielami danych osobowych swoich pracowników, gdyż są to ich osobiste dane. Jeżeli pracownicy uważają, że doszło do naruszenia ich danych osobowych, mogą zwrócić się do Inspektora Ochrony Danych Osobowych, zgodnie z § 31 ust. 2 Regulaminu świadczenia usług PURDE i PUH.

Faktycznie, zdarzały się sytuacje, w których w dowodzie E1 widoczny był numer PESEL pracownika, który podpisał dokument wysyłany w ramach doręczeń elektronicznych. Błąd ten wynika z budowy węzła krajowego i wskazania, że certyfikat podpisu profilu zaufanego oparty jest na numerze PESEL – rozwiązaniem tego problemu jest podpisywanie dokumentów przez pracownika kwalifikowanym podpisem elektronicznym a nie profilem zaufanym.

Pytanie:

Czy właściwe będzie podjęcie zarządzenia o wstrzymaniu wysyłki z wykorzystaniem usługi e-doręczenia na mocy art. 6 ust. 1 pkt 2 lit. e ustawy o doręczeniach elektronicznych?

Odpowiedź:

Wydanie zarządzenia na mocy art. 6 ust. 1 pkt 2 lit. e ustawy o doręczeniach elektronicznych, o wstrzymaniu wysyłki ze względu na potencjalne naruszenie danych osobowych, będzie naruszeniem przepisów ustawy o doręczeniach elektronicznych. Art. 6 ust. 1 pkt 2 lit. e, odnosi się do pojedynczych przesyłek wysyłanych w ramach publicznej usługi rejestrowanego doręczenia elektronicznego i publicznej usługi hybrydowej, gdzie ze względu na przyczyny mające charakter techniczny np. za duży plik, zbyt duża liczba stron, niemożność przekształcenia dokumentu do postaci elektronicznej; a nie do wyłączenia systemu generalnie. Oznacza to, że w przypadku przeszkody o charakterze technicznym, osoba odpowiedzialna za wysyłkę dokumentu, jeżeli zauważy, że dokumentu nie można przesłać za pośrednictwem e-Doręczeń, podejmuje decyzję, którą właściwie uzasadnia i wysyła dokument w formie papierowej na podstawie art. art. 6 ust. 1 pkt 2 lit. e ustawy o doręczeniach elektronicznych. W przeciwnym razie, jeżeli decyzja o rezygnacji z wysyłki za pomocą doręczeń elektronicznych nie zostanie właściwe uzasadniona dla każdego przypadku, będzie zachodziła nieskuteczność doręczenia, o której mówi Kodeks Postępowania Administracyjnego, który zresztą w art. 39 § 1-3 wskazuje sposoby doręczeń, ustanawiając doręczenie elektroniczne doręczeniem domyślnym.

Ponadto, potencjalna możliwość naruszenia danych osobowych (nie przesądzając czy w tej sytuacji naruszenie następuje), nie stanowi przesłanki technicznej. Zatem dyrektor jednostki organizacyjnej nie może wydać zarządzenia o nie korzystaniu z e-Doręczeń na tej podstawie prawnej; ani żadnej innej wskazanej w ustawie o doręczeniach elektronicznych.

Pobocznie wskazuję, że numer PESEL nie jest szczególnie wrażliwą daną osobową. Numer ten jest widoczny w wielu rejestrach publicznych i nie stanowi większego problemu ustalenia tego numeru dla dowolnego obywatela w kraju. PESEL dostępny jest chociażby w Krajowym Rejestrze Sądowym, Rejestrze Beneficjentów Rzeczywistych czy Księgach Wieczystych.

Ponadto, ogólnodostępna w aplikacji mObywatel jest usługa „zastrzeż PESEL”, z której powinien korzystać każdy rozsądny obywatel. W sytuacji zastrzeżenia PESEL, wykonanie jakiejkolwiek operacji z wykorzystaniem tego numeru jest po prostu nie możliwe, jak chociażby uzyskanie pożyczki czy zakup na raty.

Pytanie:

Czy można mówić o jakiejkolwiek odpowiedzialności dyrektora, jeżeli przyczyny są zewnętrzne, na które instytucja nie ma żadnego wpływu?

Odpowiedź:

Dyrektor jednostki organizacyjnej nie ponosi odpowiedzialności za naruszenia danych osobowych, w sytuacji gdy administratorem danych osobowych osób korzystających z e-Doręczeń jest operator wyznaczony.