Zasady korzystania ze zintegrowanej platformy analitycznej mają jednak zostać doprecyzowane na poziomie ustawy – zapowiedział Janusz Cieszyński, sekretarz stanu ds. cyberbezpieczeństwa.
Zorganizowane wczoraj w Kancelarii Prezesa Rady Ministrów spotkanie to pokłosie artykułu DGP. Przedstawiliśmy w nim obawy ekspertów związane z projektem rozporządzenia, które miało regulować zakres informacji wykorzystywanych przez zintegrowaną platformę analityczną (ZPA). To narzędzie ma pozwolić rządowi na przeprowadzanie analiz niezbędnych do kształtowania kluczowych polityk państwa. Mają być do tego wykorzystywane informacje zebrane w większości państwowych baz, m.in: ZUS, NFZ, PESEL czy Krajowej Ewidencji Podatników. Cytowani przez DGP eksperci, a także rzecznik praw obywatelskich zwracali uwagę na niekonstytucyjność tych przepisów i obawy związane z możliwymi nadużyciami, w tym wykorzystywaniem przetwarzanych danych choćby do profilowania obywateli. Minister Janusz Cieszyński starał się wczoraj rozwiać te wątpliwości.
– Proszę uwierzyć, że nie interesuje nas konkretna osoba, tylko korelacja i ustalenie, co jest przyczyną pewnych zjawisk, a co skutkiem – przekonywał. Spotkanie zorganizował, by porozmawiać o niezbędnych gwarancjach pozwalających uznać ZPA za narzędzie bezpieczne.
Pierwszy z planowanych bezpieczników zapowiedział sam. Będzie nim dwustopniowy proces akceptacji każdej analizy, o jaką wystąpi uprawniony podmiot (np. ministerstwo). Wstępną opinię ma przedstawiać Centrum Kompetencji (którym zostanie któryś z instytutów badawczych), wiążącą rekomendację zaś Rada Analityczna składająca się z pięciu przedstawicieli rządowych, trzech akademickich i dwóch reprezentantów organizacji pozarządowych.
Ta dodatkowa procedura będzie wymagać nowelizacji ustawy, to zaś oznacza przejście pełnego procesu legislacyjnego. Wszyscy występujący na wczorajszym spotkaniu prawnicy podkreślili, że do ustawy z projektu rozporządzenia powinien zostać przeniesiony także zakres danych, jakie będą przetwarzane w ZPA, oraz cele tego przetwarzania. Wymagają tego zarówno konstytucja, jak i RODO.
Co do tego Janusz Cieszyński nie był przekonany. Jego zdaniem mogłoby to osłabić działalność ZPA, gdyby okazało się, że zakres danych lub cele powinny być inne. Oznaczałoby to bowiem każdorazowo konieczność zmiany ustawy.
– Kiedyś w jednej z debat pojawił się zarzut, że przepisy sypią piach w koła maszyny, i wówczas nieżyjąca już prof. Teresa Górzyńska odpowiedziała: „Tak, sypią piasek po to, by ta maszyna nie przemieliła człowieka” – odpowiedział mu prof. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
Minister Cieszyński zgodził się natomiast z innym często powtarzanym postulatem, by podczas prac nad nowymi przepisami przeprowadzić ocenę skutków dla ochrony danych. Naukowcy współtworzący projekt ZPA jednoznacznie stwierdzili, że pełna anonimizacja danych wejściowych uniemożliwiłaby przeprowadzanie bardziej dogłębnych analiz. Dlatego mają one podlegać jedynie procesowi pseudonimizacji. Doktor Marlena Sakowska-Baryła z kancelarii Sakowska-Baryła, Czaplińska zasugerowała, by w tej sytuacji zastanowić się, jakie dane mogą być w pełni anonimizowane, a jakie nie.
Do końca następnego tygodnia zainteresowani mogą składać konkretne propozycje. W kolejnych minister cyfryzacji ma przedstawić projekt, który zostanie skierowany do formalnych negocjacji.