Zwykłym rozporządzeniem planuje się w Polsce utworzenie gigantycznej bazy danych, łączącej informacje z prawie wszystkich możliwych rejestrów. Państwo będzie wiedzieć o obywatelach wszystko.
Ile zarabiamy, na co chorujemy, jakiego jesteśmy wyznania, jakie mamy wykształcenie, czy leczyliśmy się psychiatrycznie - każdą z tych informacji można wydobyć z publicznego rejestru. Nie są one połączone. To jednak ma się zmienić za sprawą zintegrowanej platformy analitycznej, której utworzenie planuje rząd. Będzie w niej można agregować informacje z prawie wszystkich publicznych baz danych (patrz: grafika). Ma na to pozwolić zwykłe rozporządzenie wykonawcze, którego projekt przygotował minister cyfryzacji. Projekt, którego nie udostępniono nawet na stronach Rządowego Centrum Legislacji, a podwieszono jedynie w serwisie MC. Zgodnie z nim informacje dostępne dzisiaj w GUS, ZUS czy NFZ będzie można łączyć z danymi z bazy PESEL czy Krajowej Ewidencji Podatników.
- Przy tak dużym, przynajmniej potencjalnie, zakresie danych dostrzegam kolosalny potencjał do nadużyć. Nie mam żadnych gwarancji, że baza ta nie zostanie wykorzystana do realizacji celów stricte politycznych, wręcz do inżynierii politycznej. Niestety mamy już tego przykłady, jak choćby aferę związaną z Pegasusem czy wykorzystanie danych obywateli do nielegalnych wyborów kopertowych - alarmuje Wojciech Klicki, prawnik Fundacji Panoptykon.
Równie krytyczny jest prof. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
- Ten projekt to cofnięcie się w ochronie danych osobowych o 50 lat, czyli do początków jakiejkolwiek prawnej regulacji w tym zakresie. Przecież to omnipotencja państwa w gromadzeniu informacji o swoich obywatelach w połączeniu z rozwojem nowych technologii przetwarzania i komunikacji były jedną z głównych przyczyn pierwszych przepisów o ochronie danych osobowych. Teraz proponuje się ułomną podstawę prawną do przetwarzania i łączenia w jednym miejscu danych osobowych z głównych zasobów publicznych w bardzo generalnie sformułowanym celu, pod który można podciągnąć prawie każde działanie władzy - ocenia.
Szczytny cel
Rozporządzenie będzie aktem wykonawczym do ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2021 r. poz. 2070 ze zm.). W sierpniu 2021 r. wprowadzono do niej art. 20p i 20q, które przewidują utworzenie zintegrowanej platformy analitycznej. Cel? Jak najbardziej szczytny - przeprowadzanie analiz w celu tworzenia kluczowych polityk publicznych. Pandemia czy wojna w Ukrainie to tylko pierwsze z brzegu przykłady wykorzystania takich analiz. Ot choćby, żeby zorientować się, w jakich rejonach kraju potrzebne jest wsparcie dla uchodźców.
Założenie jest takie, że dany podmiot publiczny zgłasza potrzebę przeprowadzenia konkretnych analiz. Minister cyfryzacji występuje do administratorów odpowiednich rejestrów, a ci przekazują mu dane po pseudonimizacji. W teorii po przeprowadzeniu analiz mają być one wykasowane. W praktyce jednak nie ma żadnej gwarancji, że zintegrowana platforma nie zacznie się rozrastać, agregując wszystkie możliwe informacje. W zasadzie nie ma też żadnych ograniczeń co do celu ich przetwarzania. Na to ostatnie zagrożenie zwraca m.in. uwagę Urząd Ochrony Danych Osobowych w stanowisku, do którego dotarł DGP. Stanowisku nadzwyczaj krytycznym.
„Osoba fizyczna zobowiązana na podstawie przepisu prawa do udostępnienia w konkretnym (pierwotnym) celu dotyczących jej informacji, np. o stanie zdrowia czy sytuacji rodzinnej, nie może być stawiana w sytuacji, w której informacje te będą przetwarzane bez ograniczeń co do (kolejnego/kolejnych) celu (celów), zmienianego (zmienianych) dowolnie z powołaniem się na bliżej nieokreślone «potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej»” - można przeczytać w tej opinii.
W niezgodzie z RODO
Zdaniem UODO projekt jest sprzeczny z podstawowymi zasadami RODO. Akt ten sprzeciwia się nadmiarowemu pozyskiwaniu danych i tworzeniu tzw. megazbiorów, zwłaszcza gdy wykraczają one poza cele w stosunku do tych, dla których zebrano informacje. W sposób rażący narusza to zasady przetwarzania danych objętych tajemnicą np. statystyczną (GUS) czy lekarską (dane z rejestrów medycznych).
- Już sam fakt zmiany celu przetwarzania danych dyskwalifikuje ten projekt. Dane na nasz temat, które oddajemy państwu, będą wykorzystywane do czegoś zupełnie innego, o czym nawet nie będziemy wiedzieć. Jeśli w ramach spisu powszechnego przekazałem dane GUS, wierząc, że są chronione tajemnicą statystyczną, to nie powinny one być dalej przekazywane. Tymczasem zgodnie z tym projektem GUS będzie do tego zobowiązany. Na dodatek nie wiem, jak wyglądać ma pseudonimizacja danych, która jest przecież procesem odwracalnym. Jeśli dane mają służyć do celów analitycznych, to oczywiste jest dla mnie, że powinny przechodzić proces pełnej anonimizacji - komentuje Wojciech Klicki.
W teorii klucz do odwrócenia procesu pseudonimizacji nie będzie dostępny dla administratora nowej megabazy. W praktyce nie wiadomo, jak ten proces ma wyglądać. Przede wszystkim jednak w uzasadnieniach projektów ustawy i rozporządzenia nie ma ani słowa, dlaczego rząd chce psuedonimizować dane, a nie chce przeprowadzać pełnej ich anonimizacji. Jest to kompletnie niezrozumiałe przy jednoczesnym zapewnieniu, że dane te nie będą służyły do profilowania konkretnych ludzi.
- Od początku pracy nad koncepcją zintegrowanej platformy analitycznej zgłaszane były wątpliwości co do jej zgodności z RODO zwłaszcza w kontekście motywu 31 i wynikającego z niego kierunkowego stanowiska o woli ograniczenia traktowania organów publicznych jako odbiorców danych. Z tego motywu wynika także, że żądanie ujawnienia danych osobowych, z którym występują takie organy, powinno zawsze mieć formę pisemną, być uzasadnione, mieć charakter wyjątkowy, nie powinno dotyczyć całego zbioru danych ani prowadzić do połączenia zbiorów danych - zaznacza dr Dominik Lubasz, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy.
W ogólnym interesie
Prawnicy, których poprosiliśmy o ocenę projektu, nie pozostawiają na nim suchej nitki.
- Przy tak generalnie sformułowanym celu łączenie w jednym miejscu danych osobowych z tak wielu zasobów publicznych, funkcjonujących w tak zróżnicowanych celach zdecydowanie narusza zasadę niezbędności w demokratycznym państwie prawnym wyrażoną w art. 51 ust. 2 konstytucji, ale także warunek z art. 6 ust. 3 i art. 23 ust. 1 RODO, aby prawo państwa członkowskiego respektowało proporcjonalność w przetwarzaniu danych osobowych - zauważa prof. Grzegorz Sibiga.
Zarzutów jest dużo więcej. Jak choćby tak elementarne, że regulacje ograniczające prywatność muszą mieć rangę ustawy, a tu w znacznej mierze wynikać będą z rozporządzenia.
- Przepisy te należy oceniać przez pryzmat art. 6 ust. 3 RODO oraz systemu źródeł prawa, w kontekście art. 31 ust. 3 i art. 51 ust. 5 konstytucji RP, zgodnie z którymi ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie, oraz stanowiących, że zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. W niniejszej sprawie wymogi te nie są spełnione już przez błędną delegację ustawową. Ponadto brak w nich jest oceny proporcjonalności, tak z perspektywy celu, zakresu danych, podmiotów zobowiązanych i wpływu na prawa i wolności podmiotów danych - wskazuje dr Dominik Lubasz.
Minister cyfryzacji, do którego przesłaliśmy pytania, pozostawił je bez odpowiedzi. Z lakonicznego uzasadnienia projektu wynika jedynie, że wybór rejestrów, z których będą pobierane dane, został skorelowany z obecnymi analitycznymi potrzebami resortów oraz powstał w porozumieniu z Centrum Analiz Strategicznych KPRM. Choć w uzasadnieniu zauważono, że cel, w jakim przetwarzane mają być dane, ma być odmienny od tego, dla którego zostały one zebrane, to zdaniem autorów jest to jednak zgodne z RODO, bo leży „w ogólnym interesie publicznym państwa członkowskiego”.
Etap legislacyjny
Projekt w trakcie konsultacji publicznych i uzgodnień