Organy ścigania winny pamiętać o prywatności

Europejski Inspektor Ochrony Danych Osobowych wydał komunikat, w którym stwierdził, iż wszelkie systemy informatyczne stworzone do walki z terroryzmem i przestępczości winny spełniać wymogi ochrony danych osobowych...

Peter Hustinx, który pełni funkcję Europejskiego Inspektora (European Data Protection Supervisor - EDPS) pochylił się nad komunikatem Komisji z 24 listopada 2005 roku (Communication on improved effectiveness, enhanced interoperability and synergies among European databases in the area of Justice and Home Affairs - PDF) i opublikował właśnie własną opinię w tej sprawie: Comments on the Communication of the Commission
on interoperability of European databases (PDF) (dokument datowany na 10 marca 2006).

Inspektor nie zgodził się ze stanowiskiem Komisji, że interoperacyjność systemów wymiaru sprawiedliwości to koncept jedynie techniczny i nie niesie ze sobą implikacji w sferze prawnej lub politycznej. Ujednolicenie systemów może powodować, że potencjalnie zmniejszy się ochrona przesyłanych lub udostępnianych danych osobowych. To, że systemy będą interoperacyjne nie może oznaczać zmniejszenia ochrony danych, a także poluzowania wymogów, zgodnie z którymi jedynie uprawnione podmioty mają mieć dostęp do konkretnych informacji. Inspektor zauważył, że różne systemy wymagają różnej ochrony. W przypadku systemów, które potrafią się komunikować ze sobą na zasadach interoperacyjnych (chyba warto mówić w tym przypadku o standaryzacji platform gromadzenia i przesyłania danych, ale sam Inspektor zauważył, że pojęcie interoperacyjności używane w komunikacie Komisji ma wiele znaczeń, a różnie rozumiana interoperacyjność wymaga różnie rozumianych zabezpieczeń) konieczne są zasady bezpieczeństwa i dostępu do takich danych, a zatem na tym chociażby polega nietechniczny aspekt interoperacści tych systemów. Inspektor zauważył też, że zgodnie z nową linią działań wytyczoną przez Komisję powstaną nowe sposoby przesyłania i udostępniania danych, które jednak będą przechowywane w starych bazach i systemach. Powoduje to dodatkowe zagrożenia, których wcześniej nie było. Stąd trzeba ostrożnie podchodzić do ujednolicania systemów IT organów ścigania i wymiaru sprawiedliwości.

W Komunikacie Komisji promuje się pomysł na wykorzystanie w charakterze danych referencyjnych (primary key) danych biometrycznych, takich jak zdygitalizowane odciski palców a nawet DNA. Zdaniem Inspektora tego typu praktyka może naruszyć delikatną równowagę pomiędzy ochroną prywatności a skutecznością wymiaru sprawiedliwości. Zbyt łatwo da się połączyć ze sobą różne bazy, nawet w czasie zbliżonym do rzeczywistego, a na tej podstawie łączyć ze sobą różne dane. Warto jednak zauważyć, że tego typu dane biometryczne opierają się na prawdopodobieństwie i statystyce (w ten sposób "identyfikują" konkretne osoby). Może się zatem okazać, że połączone ze sobą bazy uwikłają w jeden potencjalny węzeł zależności (zdarzeń i faktów) różne niezwiązane ze sobą osoby tak, jakby chodziło o tylko jedną osobę. Dodatkowo rozproszone systemy (zbliżone raczej do peer-2-peer niż do zasobów zamkniętych) wykorzystujące w jako dane referencyjne dane biometryczne mogą działać tak, że zapytanie złożone takiemu systemowi da poszukującym informacji również dane, do których dostępu mieć nie powinny (połączenie ze sobą dwóch baz może doprowadzić do powstania powiązania danych tego typu, że ich gromadzenie i udostępnianie stoi w sprzeczności z zasadami, na jakich zbudowana jest Unia Europejska).

Europejski Inspektor zauważył, że w dotychczasowych analizach związanych z interoperacyjnością systemów służących zwalczaniu terroryzmu i poważnych przestępstw (ważne, że mowa jest wciąż o przestępstwach poważnych, chociaż w pracach nad retencją danych starano się rozciągnąć nowe regulacje na coraz szersze spektrum zjawisk wartych inwigilacji) za mało miejsca poświęcono problematyce ochrony danych osobowych i prywatności.

Inspektor zgodził się z Komisją, że zanim tworzyć się będzie nowe bazy danych i nowe funkcjonalności nowych systemów należy w pierwszej kolejności wykorzystać potencjał istniejących źródeł danych.

Pozostaje problem przenikania się systemów. Wyższe wymagania formalne winny być spełnione wówczas, gdy organy odpowiedzialne za bezpieczeństwo wewnętrzne będą przeszukiwać systemy, w których gromadzone są dane niewinnych osób (nie notowanych, ehh... przecież w dzisiejszych czasach już wszyscy gdzieś są "notowani" elektronicznie, może warto zatem mówić: nie notowanych w charakterze osób zamieszanych w jakieś przestępstwa) niż w przypadku kryminalnych baz danych. Chodzi o położenie nacisku na to, by organy ścigania nie mogły sobie tak bez żadnych barier przeszukiwać dowolnie systemów informatycznych UE.

EDPS zwraca jeszcze uwagę na inne sprawy, i dlatego warto przejrzeć ten sześciostronicowy dokument...

Jak wyglądać będzie sieć europejska w której buszować będą mogli przedstawiciele organów ścigania? W pierwszej kolejności wymienia się VIS czyli the Visa Information System (system wizowy, który planuje się dopiero), potem mowa jest o SIS czyli The Schengen Information System, wreszcie chodzi też o EURODAC - czyli system w którym przechowywane są odciski palców wszystkich osób powyżej 14 roku życia, które ubiegają się o azyl w Unii Europejskiej.

Na stronie GIODO w aktualnościach (kiedy się jakieś daty dodania newsów pojawią, bo nie wiadomo kiedy co było dodane?) czytam: "Polski organ ochrony danych osobowych przechodzi misję oceniającą poziom wdrożenia dorobku prawnego Schengen. Misje oceniające organizowane są co pięć lat. Obejmują one zarówno państwa uczestniczące we współpracy Schengen, jak i państwa zamierzające nawiązać taką współpracę. Szczególne znaczenie mają misje oceniające tę drugą grupę państw, gdyż pozytywne przejście ewaluacji jest warunkiem przyłączenia tych państw do Systemu Informatycznego Schengen i zniesienia kontroli na granicach wewnętrznych". Nie mam tam niestety informacji o stanowisku Europejskiego Inspektora w sprawie systemów inwigilacji obywateli. Jeśli chodzi o stronę rządową to pełnomocnikiem rządu ds. systemu schengen oraz systemu wymiany informacji wizowej wewnątrz UE jest Podsekretarz stanu w MSWiA Grzegorz Bliźniuk.

W listopadzie 2005 roku mieliśmy jeszcze jako kraj (a ściślej - administracja publiczna) opóźnienie związane z funkcjonowaniem w ramach systemu Schengen. Na początku zaś tego roku dowiedzieliśmy się, że Polska wejdzie do obszaru Schengen najprawdopodobniej 28 października 2007 roku. Obszar Schengen to terytorium obejmujące większość „starych“ państw UE (bez Irlandii i Wielkiej Brytanii) wraz z Norwegią i Islandią, po którym można podróżować bez kontroli osobowych na granicach wewnętrznych.

Dla chcących poszerzyć swoją widzę w zakresie tego systemu proponuję lekturę Masterplanu Systemu Informacyjnego Schengen w RP (PDF - dokument z października 2004 roku, 89 stron)