Jak poinformował portal prawo.pl w ZUS doszło do ogromnego wycieku danych osobowych osób chorych i ubezpieczonych. CzasFinansow.pl informował w swoich reportażach jak wrocławscy pracownicy ZUS naruszają RODO w zakresie przetwarzania danych osobowych i wysyłania pism na fałszywe adresy. Teraz okazuje się, że afera, którą wykryła nasza redakcja ma charakter ogólnopolski i jest już pod kontrolą Urzędu Ochrony Danych Osobowych!

Sprawdź, czy przypadkiem Twoich danych osobowych, PESELU oraz adresu, Zakład Ubezpieczeń Społecznych nie wysłał na fałszywy adres. Chodzi o wysyłkę PIT11-A, który ZUS wystawia i wysyła wszystkim, których w minionym roku wypłacał jakiekolwiek świadczenie L4. ZUS nie dba o bezpieczeństwo wysyłanych danych więc wysyła je listem zwykłym, a więc każdy kto ma dostęp do skrzynki na listy może poznać dane osobowe. Jeśli trafią one w ręce nieuczciwej osoby to możliwe jest zagrożenie, że z winy ZUS zaciągnięte zostaną chwilówki i inne zobowiązania.

Jeśli chorowałeś w 2020 roku i ZUS wypłacił ci jakąkolwiek kwotę to redakcja radzi, abyś sprawdził czy ZUS wysłał ci PIT11-A z danymi osobowymi na prawidłowy adres i listem poleconym. Jeśli Zakład wysłał Twoje dane osobowe na dobry adres, ale listem zwykłym, to rekomendujemy, byś rozważył złożenie skargi do Urzędu Ochrony Danych Osobowych na możliwość naruszenia RODO na Twoją szkodę ze względu na nienależycie bezpieczne przetwarzanie Twoich danych osobowych przez dany oddział ZUS.

ZUS od lat łamie RODO wysyłając dane osobowe i pisma na fałszywe adresy, w dodatku listem niepoleconym

W naszym artykule opisaliśmy historię naszego czytelnika, któremu Naczelnik Marcin Madaliński z wrocławskiego ZUS oraz kilku pracowników niższego szczebla tego oddziału Zakładu wysyłało pisma z danymi osobowymi na fałszywe adresy.

W podejrzeniu naszego czytelnika chodziło o to, że ZUS miał intrygę, aby wysłać pismo z terminem zawitym na adres co do którego miał przekonanie, że chory tam nie mieszka. Po dwóch awizach biegłby termin na wniesienie sprzeciwu, a po jego przekroczeniu decyzja stałaby się prawomocna i ubezpieczonemu nie przysługiwałoby już odwołanie się od nieuczciwej i niesprawiedliwej w jego ocenie decyzji do Sądu Okręgowego Wydziału Pracy i Ubezpieczeń Społecznych. Na szczęście czytelnik został poinformowany przez osoby tam mieszkające, że jest do niego awizo.

Skąd Naczelnik Marcin Madaliński z wrocławskiego ZUS wziął adres? Zlekceważył wnioski osoby fizycznej o zmianę i aktualizację jej danych osobowych, w tym danych adresowych złożonych na formularzach do wrocławskiego ZUS oraz zlekceważył, że ubezpieczony zaktualizował kilka tygodni przed wysłaniem przez ZUS mu pisma swoje dane osobowe w ZUS PUE.

Poszedł za to do innego wydziału, gdzie jego znajomy – inny Naczelnik – udostępnił mu teczkę ze zwolnieniami lekarskimi jakie nasz czytelnik dostarczał w trakcie swojej choroby wiele miesięcy wcześniej. Następnie wybrał sobie jeden z adresów, który widniał na L4 i tam wysłał pismo z decyzją administracyjną.

Czytelnik nie ufał pracownikom ZUS i podejrzewał, że mogą próbować go oszukać. Dlatego uprzedził mieszkańców wszystkich miejsc, w których w przeszłości mieszkał, aby dali mu znać jakby jakiś pracownik Zakładu znów próbował go oszukać. Gdy dostał informację o awizo to zdążył wysłać odwołanie i teraz Sąd rozstrzygnie czy decyzja ZUS była słuszna, czy wynikiem złamania prawa, a być może nawet przestępstwa. Nie mniej jednak powiadomił Urząd Ochrony Danych Osobowych o złamaniu RODO oraz prokuraturę o możliwości popełnienia na jego szkodę przestępstwa z art 107 RODO. Sprawy są w toku.

Więcej na temat tej historii pisaliśmy w poniższym artykule:

Media ujawniają wyciek danych z ZUS na ogromną skalę!

Portal prawo.pl donosi, że odkryli wielką aferę związaną ze złamaniem RODO przez Zakład Ubezpieczeń Społecznych. Okazuje się, że historia, którą zgłosił nam czytelnik to nie incydent, a praktyka ze strony pracowników ZUS i tej instytucji. Portal ujawnił, że ZUS w przynajmniej 291 przypadkach wysłał pisma z danymi osobowymi na fałszywe adresy przez co dostęp do tych danych osobowych mają osoby trzecie. Chodzi o PIT-11A, który ZUS wystawia wszystkim chorym, którym w minionym roku wypłacał świadczenie L4.

Zaistniało zatem 291 przypadków, w którym doszło do udostępnienia danych osobowych, w tym wrażliwych bo dane związane z chorobami są danymi wrażliwymi, osobom trzecim.

Dlaczego do tego doszło?

Może dlatego, że być może Zakład Ubezpieczeń Społecznych podchodzi bardzo frywolnie do Rozporządzenia RODO więc wysyła te dane osobowe listami zwykłymi, a nie poleconymi. To sprawia, że pismo ne trafia do rąk adresata tylko do skrzynki na listy. W ten sposób dostęp do danych osobowych, a w tym piśmie jest między innymi PESEL, mają osoby trzecie.

Prywatnej firmie za takie złamanie RODO grozi nie tylko prokurator, ale i kara finansowa ze strony Urzędu Ochrony Danych Osobowych do 5 milionów euro. Organom administracji publicznej grozi kara tylko do 100 tysięcy złotych.

ZUS zarejestrował 291 przypadków podejrzeń naruszeń ochrony danych związanych z wysyłką formularzy PIT-11A (co stanowi zaledwie 0,02 proc. wysłanych formularzy tego typu). – W każdym z tych przypadków konieczne jest przeprowadzenie szczegółowego postępowania wyjaśniającego, aby móc jednoznacznie potwierdzić, czy doszło do naruszenia ochrony danych osobowych i ustalić przyczynę oraz okoliczności, w jakich doszło do incydentu – poinformował Zakład – poinformował portal prawo.pl ZUS

Dziennikarze Prawo.pl zapytali ZUS kto odpowiada za to, że w systemie informatycznym ZUS nieaktualne były dane świadczeniobiorców.

W odpowiedzi poinformowano redakcję, że za aktualizację danych adresowych odpowiada klient. – Dane adresowe, zapisane w systemie Zakładu, pochodzą z dokumentów przekazywanych przez klientów – twierdzi ZUS.

Redakcja poddaje w wątpliwość prawdziwości tych twierdzeń. Być może są one medialną odpowiedzią, która ma rozmyć ewentualną odpowiedzialność ZUS za złamania RODO. Historie, do których dotarła nasza redakcja dają przynajmniej uzasadnione podstawy by wątpić w szczerość tego wyjaśnienia.

Sytuacja z wrocławskim ZUS, który zamiast korzystać z bazy danych ZUS PUE oraz z własnym baz danych decydują się by lekceważyć dane adresowe podane przez płatników składek lub samych ubezpieczonych, a następnie sami wybierają inne adresy by tam wysyłać dane osobowe lub decyzje administracyjne dowodzą, że bardziej prawdopodobnym jest złamanie RODO przez ZUS niż wina zrzucana na osoby, których dane dotyczą.

Tym bardziej, że przecież Urząd Ochrony Danych Osobowych oraz prokuratury prowadzą właśnie w tych zakresach, ale również i innych, postępowania administracyjne i śledztwa.

Jednocześnie Zakład zapewnił, że traktuje ochronę danych osobowych priorytetowo i dopełnia niezwłocznie wszelkich obowiązków wynikających z przepisów RODO. – Według stanu na dzień 8 marca zgłosiliśmy do Urzędu Ochrony Danych Osobowych 22 przypadki naruszeń dotyczących skierowania formularzy PIT-11A z tytułu wypłacanych w roku 2020 zasiłków na nieaktualne adresy zamieszkania świadczeniobiorców. Podkreślamy, że każde podejrzenie naruszenia ochrony danych osobowych wymaga oddzielnego postępowania wyjaśniającego. Dopiero po jego przeprowadzeniu i faktycznym stwierdzeniu naruszenia, następuje zgłoszenie do Prezesa UODO – czytamy w przekazanej Prawo.pl odpowiedzi.

Czym innym są skargi składane na administratorów danych, a czym innym naruszenia ochrony danych, o których mowa w art. 33 RODO – przypomina Adam Sanocki, rzecznik prasowy UODO portalowi prawo.pl. Jak dalej wyjaśnia, skargę do UODO, która inicjuje postępowanie administracyjne, może złożyć każdy, kto ma wątpliwości czy administrator właściwie postępuje z jego danymi osobowymi, w tym przestrzega jego praw. Szczegółowe informacje na temat składania skarg znajdują się na stronie internetowej UODO. Z kolei naruszenie ochrony danych osobowych to sytuacja, w której doszło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, a więc np. ich wycieki. I zgodnie z art. 33 RODO w przypadku części takich incydentów administrator danych osobowych ma obowiązek powiadomić o tym organ nadzorczy.

Urząd Ochrony Danych Osobowych już wcześniej miał skargi na wysyłanie przez ZUS pism na fałszywe adresy

Rzecznik Prasowy UODO dla potrzeb innego naszego artykułu przysłał nam zbiorczą informację w 2020 roku na temat postępowań prowadzonych wobec ZUS lub pracowników ZUS. Poniżej przypominamy tę odpowiedź w całości, gdyż dowodzi ona, że Zakład stosuje praktykę naruszania RODO i nikogo nie powinno dziwić, że do doszło do wycieku, który ujawnił portal prawo.pl

Zapytaliśmy Rzecznika UODO w jakich konkretnie oddziałach ZUS doszło do tych wycieków danych osobowych. Gdy tylko dostaniemy odpowiedź to ją opublikujemy w tym artykule.

Więcej na temat działań Urzędu Ochrony Danych Osobowych wobec Zakładu Ubezpieczeń Społecznych możecie przeczytać w naszym artykule, który znajduje się poniżej:

Podejrzewasz, że ZUS naruszył RODO, albo źle przetwarza Twoje dane osobowe? Złóż skargę do UODO!

Jeżeli uważasz, że ZUS pod który podlegasz źle przetwarza Twoje dane osobowe, albo po przeczytaniu tego artykułu zauważasz w wyżej wskazanych zarzutach wobec ZUS podobieństwo do Twojej sytuacji to nie zwlekał i złóż za pośrednictwem poczty polskiej skargę do Urzędu Ochrony Danych Osobowych. To nic nie kosztuje.

Zbierz wszystkie dowody. Są nimi wszystkie pisma jakie od ZUS otrzymałeś, ale także pisma jakie Ty do ZUS wysyłałeś. Opisz swoje zarzuty i wskaż oddział ZUS, który zawinił oraz wskaż z imienia i nazwiska pracowników tego oddziału, którzy Twoje dane przetwarzali i podpisali się na pismach. Urząd przeanalizuje Twoje zgłoszenie i jeśli uzna, że opisana sytuacja rzeczywiście może świadczyć o nieprawidłowościach to zobowiąże ZUS do złożenia wyjaśnień. Po zakończeniu swojej pracy Urząd na piśmie powiadomi Cię o swoich ustaleniach i podjętej decyzji. W razie wykrycia naruszeń RODO Urząd może nałożyć karę nawet do 100 tysięcy złotych na ZUS.

Adres Urzędu Ochrony Danych Osobowych: ul. Stawki 2, 00-193 Warszawa

Inne artykuły o ZUS znajdziesz poniżej.