Fatalna wpadka ZUS-u. Normalnie za naruszenie RODO grożą drakońskie kary…

Jak to dobrze, że ZUS jest pod specjalną ochroną, bo być może musiałby wysupłać nawet do 20 mln euro. Wszystko dlatego, że wysłał PIT-y osobom którym wypłacał w 2020 r. zasiłki chorobowe pod niewłaściwe adresy. Dostał je nie wiadomo kto, a w środku przecież nie tylko nazwiska, ale i numery PESEL, adresy i kwoty.

Jak donosi serwis prawo.pl, Zakład Ubezpieczeń Społecznych przez pomyłkę użył starej, nieaktualnej już bazy danych przy wysyłce PIT-11A, przez co rozliczenia podatkowe dotyczące wypłaty zasiłków chorobowych wypłacanych w 2020 r. trafiły w niepowołane ręce.

W dodatku nie wiadomo, jak duży jest to problem, bo PIT-y nie były wysyłane listem poleconym, a listem zwykłym, więc trafiały do skrzynek. Nie tych co trzeba.

ZUS w 2020 r. wypłacił zasiłki z tytułu ubezpieczeń społecznych 1,4 mln osób. Jak wielu z nich dotyczy wpadka Zakładu? Tego do końca nie wiadomo, bo w liczbie 1,4 mln są również zasiłki macierzyńskie, opiekuńcze i pogrzebowe, a liczby wypłaconych zasiłków chorobowych ZUS nie podaje osobno.

Jak wynika z nieoficjalnych informacji prawo.pl, ZUS sam nie do końca wie, jaka jest skala problemu, oficjalnie natomiast przyznaje, że analizuje 291 przypadków, a do UODO zgłosił na razie jedynie kilka takich incydentów, w których PIT-y trafiły pod błędne adresy.

To nie ZUS jest winny, tylko klienci

Zakład sugeruje, że to wina klientów, bo to oni przecież są odpowiedzialni za podawanie aktualnych adresów w składanych do urzędu dokumentach. I pewnie miałby rację, gdyby nie to, że informator z ZUS, który o sprawie poinformował dziennikarzy, twierdzi, że doszło do pomyłki i PIT-y wysłano, używając nie tej bazy danych co trzeba, bo aplikacja zaciągająca dane popełniła błąd.

I niestety dla ZUS, ta wersja zdarzeń wydaje się bardziej prawdopodobna. W ubiegłym roku i w poprzednich latach takich problemów nie było, prawda? Trudno więc zakładać, że w przeszłości klienci ZUS zawsze grzecznie podawali prawidłowe adresy i tylko w tym roku nagle jakoś przestali aktualizować dane – a właściwie podawać w dokumentach prawidłowe.

A więc to nie wina klientów, jak sugeruje ZUS, a błędu po stronie Zakładu. To poważne naruszenie  ochrony danych osobowych.

Czy ZUS-owi grozi kara za naruszenie RODO?

Wyciek, do którego doszło jest o tyle poważny, że w PIT znajdują się nie tylko imię, nazwisko, adres (tu akurat błędny), ale też nr PESEL. To rodzi ryzyko kradzieży tożsamości osoby, której wyciek dotyczy. Nie mówiąc już o kwotach wypłaconego zasiłku.

W sytuacji naruszenia danych osobowych RODO przewiduje kary w wysokości do 10 mln euro, a w przypadku naruszenia podstawowych zasad przetwarzania danych osobowych nawet do 20 mln euro. Jak dobrze, że ZUS-u to nie dotyczy.

Oszem Zakład jest zobowiązany przestrzegać RODO, ale jest wyjęty spod zapisów dotyczących kar finansowych, podobnie jak inne podmioty z sektora finansów publicznych.

To ma sens. Kto ucieszyłby się z tego, że ZUS zapłaciłby wielomilionową karę? Przecież Zakład nie ma żadnych własnych pieniędzy, tylko nasze albo pochodzące z dotacji budżetowych – czyli też nasze.

Ale to nie tak, że kary finansowe ZUS-owi nie grożą. Reguluje je ustawa o ochronie danych osobowych, a ta mówi, że kara może wynieść do 100 tys. zł, a więc znacznie mniej niż w przypadku kłopotów komercyjnych.

Co teraz? Kluczowe, żeby ZUS jak najszybciej doszedł do tego, czyje dane wyciekły i poinformował o tym zainteresowanych. Zapobiec kradzieży tożsamości się nie da, nie można bowiem zmienić raz nadanego numeru PESEL, ale można być wyczulonym i bardziej ostrożnym. A jeśli jednak dojdzie do kradzieży tożsamości i wyłudzenia kredytu na nielegalnie zdobyte dane osobowe, ZUS będzie musiał pokryć ewentualne szkody.