02 cze

Dostępy do PUE ZUS, czyli jak IOD otwiera puszkę Pandory

Zaczęło się od PUE ZUS. A właściwie od kary dla Banku Santander związanego z dostępem byłego pracownika do PUE ZUS. Jednak okazało się, że ustalanie użytkowników tego systemu, jest otwarciem puszki Pandory. Czytaj do końca, bo ten wpis jest bardzo pouczający i zapewne dowiesz się z niego, jak zrobić najbliższy audyt uprawnień do systemów informatycznych. I zdziwisz się, że wcześniej pewne rzeczy „nie przyszły Ci do głowy”.

Danie pracownikom dostępu do PUE ZUS, to tykająca bomba?

Niedawno zadzwonił do mnie kolega i poinformował o niezwykłym odkryciu. Okazało się, że w PUE ZUS nie ma możliwości sprawdzenia kto z naszej firmy ma aktywne lub nieaktywne konto użytkownika. Niby nic, ale jest to dość istotne, bo w praktyce jako IOD / administrator nie mamy możliwości zweryfikowania, czy dostępy użytkowników zostały odebrane skutecznie. Zweryfikowałam u moich klientów i faktycznie, w ich systemach także nie ma opcji sprawdzenia, kto aktualnie ma dostęp do systemu. W praktyce okazuje się, że dostępami zarządza administrator systemu, czyli ZUS. Ma to sens, gdy spojrzymy na obowiązki ZUS wynikające z ustawy o systemie ubezpieczeń społecznych, w zakresie zapewnienia bezpieczeństwa danych przetwarzanych w ramach systemu. Tak, to ZUS jest administratorem tych danych, a nie Płatnik (czyli firma, w której jesteś IOD).

Uprawnienia do PUE ZUS nadaje się i odbiera poprzez przekazanie do ZUS pełnomocnictwa (elektronicznie, listem lub osobiście). Jednakże samo przekazanie pełnomocnictwa nie stanowi potwierdzenia, że uprawnienia zostały odebrane. Przepisy, czy regulamin platformy nie określają też czasu, po jakim uprawnienia powinny być odebrane. Zapytałam się u źródła, jak to wygląda w praktyce. Otrzymałam (niezwykle szybko) odpowiedź:

Zasady, zakres i warunki korzystania przez Usługobiorców z portalu PUE ZUS określa Regulamin, o którym mowa w art. 8 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Zgodnie § 4 ust. 2 Regulaminu, dostęp do danych płatnika będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, może uzyskać osoba fizyczna, która ma zarejestrowany profil w portalu PUE ZUS i posiada stosowne pełnomocnictwo udzielone przez płatnika. Odwołanie tego pełnomocnictwa odbywa się w trybie natychmiastowym przez złożenie formularza PEL-O (odwołanie pełnomocnictwa).

Zapewne wewnętrzne procedury wymagają natychmiastowego działania po stronie ZUS, jednak wiem, że najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek, który może mieć dużo innych obowiązków, który może tego dnia nie być obecny w pracy lub po prostu pomylić się. W praktyce pewnie większość administratorów (płatników) odwołuje pełnomocnictwo ostatniego dnia pracy pracownika. Można zatem założyć, że podpisany wniosek trafia do ZUS popołudniu. Czy faktycznie w urzędzie ktoś go natychmiast odbierze i zrealizuje? Co jeśli wniosek będzie wysłany w piątek popołudniu – czy zostanie zrealizowany w weekend? A jeśli zostanie przekazany osobiście lub tradycyjną pocztą, też zakładam, że minie kilka lub kilkanaście dni, zanim zostanie zrealizowany. I nie wynika to ze złej woli, ale z niewłaściwych procedur.

Dla mnie, jako IOD istotne jest to, że nie jestem w stanie stwierdzić, czy dostęp został już odebrany i nie mam na to żadnego wpływu. A także to, jak skutecznie udowodnić, że odwołało się pełnomocnictwo w ZUS? Jeżeli było to zrealizowane elektronicznie, należy pamiętać, że wniosek mógł już ulec archiwizacji w systemie i pozostaje jedynie UPO, które bez dokumentu źródłowego nic nie znaczy.

List wysłany za potwierdzeniem odbioru? A czy możemy wykazać, że w środku było odwołanie pełnomocnictwa (a może go nie było, bo ktoś zapomniał włożyć)?

Wydaje się, że najskuteczniejsze byłoby osobiste złożenie dokumentu w jednostce ZUS, aby dostać potwierdzenie przekazania dokumentu na kopii odwołania pełnomocnictwa.

Dostęp poprzez prywatne konto

Nie powiedziałam najważniejszego – użytkownik loguje się do PUE ZUS z wykorzystaniem swojego prywatnego uwierzytelnienia w postaci, np. Prywatnego Profilu Zaufanego. Sam temat logowania poprzez prywatne konto i zgodności tego rozwiązania z przepisami RODO zamierzam omówić szerzej w innym wpisie, bo dotyczy nie tylko PUE ZUS, jednak chciałabym zwrócić uwagę, że pojawia się rozdźwięk między służbowym, a prywatnym użytkiem. Pracownik logując się do PUE ZUS może załatwiać nie tylko sprawy płatnika-pracodawcy, ale przede wszystkim swoje (sprawdzić składki, rozliczenia, pobrać raporty). Za każdym razem, gdy loguje się, aby załatwić prywatne sprawy, możliwe jest uzyskanie dostępu do danych płatnika, u którego jest zatrudniony. Jeżeli pracownik w trakcie zatrudnienia jednocześnie prowadzi działalność gospodarczą, to takich logowań może być dużo. Nie można też wykluczyć, że w jego imieniu zaloguje się ktoś z najbliższej rodziny, np. małżonek, który będzie mu pomagał załatwić sprawy przed ZUS. Pracodawca-płatnik nie ma żadnych możliwości, aby takie zdarzenia wykryć lub im przeciwdziałać, bo użytkownik korzysta tak naprawdę ze swojego konta w PUE ZUS, przy okazji mając dostęp do konta służbowego. To tak jakby pracownik korzystał z prywatnej poczty e-mail do realizowania pracy. Czy zatem samo nadanie pełnomocnictwa do PUE ZUS nie jest już naruszeniem ochrony danych, skoro umożliwia użytkownikowi nieuprawniony dostęp za każdym razem, gdy załatawia prywatne sprawy wobec ZUS?

Inne światło na karę dla Santander Banku

Przeprowadzenie audytu użytkowników PUE ZUS u moich klientów wymagało przekazania przez nich pism do ZUS z wnioskiem o udostępnienie listy aktualnych użytkowników. W tym momencie jest to jedyna znana mi forma uzyskania tej informacji. Przypuszczam, że są płatnicy, którzy nie robili tego nigdy. Wiem, też że sama procedura odbierania dostępu do PUE ZUS wiąże się z dużym ryzykiem, że płatnik o tym zapomni. Szczególnie jeśli osobą, która odchodzi z pracy i musi mieć odebrany dostęp jest kierownik kadr lub dyrektor. Szczególnie w małych podmiotach publicznych (np. bibliotekach, domach kultury) jest ryzyko, że dyrektor odchodząc ze stanowiska nie dopełnił formalności związanych z odebraniem dostępu do systemu, a nowy dyrektor o tym nie pomyślał. Jak wspomniałam, cała procedura jest też obarczona błędem ludzkim zarówno po stronie płatnika, jak i ZUS. Wracając do przykładu banku Santander, z decyzji Prezesa UODO (DKN.5131.33.2021), nakładającej karę pieniężną nie wynika, czy były pracownik miał dostęp do systemu, ponieważ nie zostało mu odebrane pełnomocnictwo przez płatnika, czy nie zostały odebrane uprawnienia przez ZUS. Jednakże widzę tutaj jedynie 3 możliwości:

  1. pełnomocnictwo w ogóle nie zostało odebrane;
  2. pełnomocnictwo zostało odebrane, ale nie zostało przekazane skutecznie do ZUS;
  3. pełnomocnictwo zostało odebrane i przekazane do ZUS, ale ZUS nie odebrał dostępu.

Jeżeli zachodzi pierwszy przypadek, to mimo zakończenia współpracy z bankiem pracownik w dalszym ciągu był osobą uprawnioną do przetwarzania danych osobowych. Nawet jeżeli nie łączył go stosunek pracy z byłym pracodawcą, miał ważne uprawnienie do przetwarzania tych danych (pełnomocnictwo).

Jeżeli zachodził trzeci przypadek (którego najbardziej się obawiam), to naruszenie związane z nieuprawnionym dostępem dotyczy ZUS, jako administratora danych zawartych w PUE ZUS. Płatnik wywiązał się z obowiązku wynikającego z regulaminu, zatem ewentualny nieuprawniony dostęp powinien zostać zgłoszony przez ZUS do Prezesa UODO. I w tym wypadku to do ZUS, a nie płatnik powinien zawiadomić osoby, których dane dotyczą o nieuprawnionym dostępie.

To jest bardzo ciekawe, że użytkownik działa na podstawie pełnomocnictwa płatnika, ale loguje się do systemu z wykorzystaniem swoich prywatnych danych. Kto w takim wypadku odpowiada za takie nieuprawnione zalogowanie? Czy płatnik, który nie odwołał mu pełnomocnictwa, czy ZUS który jeszcze nie odebrał dostępu?

Najciekawszy i raczej najmniej prawdopodobny, jest drugi przypadek, gdzie mogło dojść do błędu po stronie płatnika (np. ktoś zapomniał wysłać odwołanie pełnomocnictwa), podczas przesyłania (np. zagubienie przesyłki) lub po stronie ZUS (zagubienie, błąd ludzki). W tym wypadku dopiero ustalenie stanu faktycznego, pozwoliłoby określić, kto ponosi odpowiedzialność. I tutaj może odbić się czkawką wspomniany przeze mnie problem z udowodnieniem, że odwołanie pełnomocnictwa zostało skutecznie przekazane do ZUS.

Opierając się na wyjaśnieniach banku udostępnionych w decyzji Prezesa UODO, można wnioskować, że bank nie dopełnił formalności w zakresie odebrania pełnomocnictwa byłemu pracownikowi.

Co ciekawe bank posiadał procedurę kwartalnej weryfikacji dostępów do PUE ZUS, jednak nie była realizowana. Moim zdaniem problemem w tym wypadku jest sposób realizacji procedury, czyli konieczność wysyłania wniosku o udostępnienie listy użytkowników do ZUS. Bardzo możliwe, że osoby które tworzyły tę procedurę nie zdawały sobie sprawy z tego, że weryfikacja odbywa się właśnie w ten sposób, sądziły że można zweryfikować aktualnych użytkowników w systemie PUE ZUS. Gdyby nie mój kolega, ja dokładnie tak bym sądziła. Co więcej, jestem przekonana, że dotychczas podczas weryfikacji dostępów do PUE ZUS, otrzymywałam od kadr odpowiedź na podstawie aktualnej listy uprawnionych użytkowników prowadzonej przez kadry, a nie faktycznej weryfikacji.

Weryfikacja użytkowników PUE ZUS wymaga otrzymania aktualnej listy użytkowników z ZUS

Jako IOD nie możesz opierać się na wyjaśnieniach otrzymanych z kadr. Co ciekawe, wiele osób po karze nałożonej na Santander pisało o konieczności weryfikacji dostępu do PUE ZUS, ale nigdzie nie mówili o tym, jak to faktycznie się robi (przypuszczam, że tak jak ja, nie mieli o tym wcześniej pojęcia). Uważam, że problematyka odbierania dostępów do PUE ZUS, wymaga okresowego, faktycznego sprawdzania użytkowników systemu, poprzez otrzymanie informacji bezpośrednio od administratora tego systemu – ZUS. Być może duża liczba zapytań o użytkowników, skłoni ZUS do wprowadzenia nowych funkcji, umożliwiających sprawdzenie tego bezpośrednio w systemie oraz dezaktywację użytkowników przez Płatnika.

PUE ZUS nie dla dużych firm

Odrębnym problemem związanym z korzystaniem z ZUS jest nadawanie właściwych uprawnień użytkownikom. W pełnomocnictwie przekazywanym do ZUS należy wybrać zakres uprawnień użytkownika oraz jego rola. Dostępne role to: płatnik, ubezpieczony, świadczeniobiorca, komornik. A zakresy uprawnień: pełne, do korespondencji, do zwolnień lekarskich. Możliwe jest ograniczenie pełnomocnictwa do korespondencji. Jednakże w praktyce zakres uprawnień, jaki można nadać w systemie niekoniecznie odpowiada zakresowi upoważnienia do przetwarzania danych osobowych, jaki powinien mieć użytkownik.

Otwarcie puszki Pandory

Szczególnie widoczne jest to w podmiotach publicznych, w których ośrodek pomocy społecznej nie jest samodzielną jednostką, a działają wewnątrz urzędu. W ramach jednej jednostki są użytkownicy działu kadr (obsługujący pracowników) oraz użytkownicy zajmujący się kwestiami pomocy społecznej (tzn. spraw świadczeniobiorców, zgłaszanych kodem 1422XX). Jedni i drudzy po zalogowaniu się do PUE ZUS widzą wszystko (pracowników oraz świadczeniobiorców), mimo że nie są do tego upoważnieni. Mogą jedynie ograniczyć widok poprzez filtry, jednak nie zmienia to faktu, że nadal mogą mieć dostęp do wszystkich danych. Zresztą analogiczny problem jest w samych ośrodkach pomocy społecznej, gdzie pracownicy merytoryczni realizując zadania OPS mają dostęp do danych kadrowych pracowników OPS. Czy w takim wypadku mamy już do czynienia z naruszeniem?


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 4 czerwca 2022