Informacyjny matrix z przebiciami
Państwo i biznes zbiera o obywatelach coraz większą ilość danych, agregacja taka jednak pozwala innym na wykorzystanie danych niezgodnie z ich pierwotnym przeznaczeniem. Generalną zasadą demokratycznego państwa prawa jest to, że państwo nie zbiera o obywatelach więcej danych niż musi (niż to jest niezbędne, uzasadnione konkretnym, nie zaś abstrakcyjnym celem). Obywatel musi mieć też możliwość sprawdzenia, jakie informacje na jego temat znajdują się w bazach danych. W społeczeństwie informacyjnym prywatność może stać się dobrem rzadkim.
Poniżej zestawie ze sobą dwa doniesienia:
Tygodnik Wprost: "Dziennikarze "Wprost" dowiedzieli się, że MSWiA - mimo iż nie ma po temu żadnych podstaw prawnych - przygotowuje swoisty centralny rejestr obywateli (formalnie ma to być nowa wersja systemu PESEL). Każdy z nas będzie tam skatalogowany: znany będzie nasz adres i data urodzenia, ale także przebyte choroby, wypisywane recepty, zagraniczne wyjazdy, zarobki, wysokość wpłat na konto w ZUS czy posiadane przez nas nieruchomości i samochody. Gdyby dane z centralnego rejestru dostały się w niepowołane ręce, co w Polsce łatwo sobie wyobrazić, będziemy wystawieni na szantaż, nieuczciwą konkurencję, utratę dobrego imienia, zawiść, możemy być dyskryminowani, poniżani bądź pozbawieni prywatności. Dla firm oferujących na przykład ubezpieczenia zdrowotne i na życie historia chorób ubezpieczanego i jego rodziny jest warta miliony. Jeśli w rodzinie powtarzają się choroby układu krążenia czy nowotworowe, zwiększa się ryzyko szybkiej wypłaty odszkodowania. Dla takiej firmy dostęp do superbazy danych MSWiA będzie bezcenny..."
Gazeta Wyborcza w artykule: Dorabiają kserując tajemnicę bankową Citibanku: "Szczegółowe dane klientów Citibanku Handlowego krążą po rynku. Sprzedają je innym bankom i firmom ubezpieczeniowym pracownicy spółki DSA, która zajmuje się sprzedażą kart kredytowych Citibanku Do "Gazety" w Łodzi zgłosiło się kilku byłych i obecnych pracowników spółki DSA, agencji sprzedaży podległej Citibankowi. Z ich opowieści wynika, że dane klientów banku nie są należycie chronione, a co więcej - są przedmiotem handlu. Na dowód przynieśli kilkadziesiąt skserowanych formularzy ze szczegółowymi informacjami o klientach: danymi osobowymi, adresem, posiadanym samochodem, zarobkami, telefonem, stażem pracy, rachunkiem w banku itp... "
Czyli wyciekają dane z pilnie strzeżonej instytucji bankowej, dlaczego zatem nie miałyby wyciec z administracji publicznej? Na rynku pojawiały się już dyski twarde (dwanaście) z MSZ, media donosiły o wyciekach danych z ZUS, dlaczego zatem nie dane z PESEL2? Ale czy oznacza to, że nie należy integrować systemu, że lepiej nic nie robić, zostawić tak jak jest? Jeśli to jest konieczne, to - w moim odczuciu - należy podejmować działania, by nareszcie system był sprawny, ale również aby bardzo dokładnie określono jakie ma spełniać funkcję. Bacznie też należy przestrzegać zasady, że państwo nie powinno zbierać o obywatelach więcej informacji niż to jest naprawdę niezbędne dla potrzeb realizacji uzasadnionych celów. Tu powstaje problem kto wyznaczać ma cele i jak je uzasadniać. Przykładowo - retencja danych. Zwiększanie okresu zbierania danych o obywatelach uzasadnia się niewydolnością procesu ścigania poważnych przestępstw, zamiast. Rozwiązanie - przedłużyć czas zbierania danych, by niewydolny system miał więcej czasu na sięgnięcie do gromadzonych informacji. Mnie zaś się wydaje, że należałoby się koncentrować na poprawie wydolności działania systemu, nie zaś rozszczelniać system dając mu nieproporcjonalne narzędzia do walki z przestępczością.
Można zaobserwować coraz więcej przykładów oporu przeciwko nieograniczonemu zbieraniu danych o obywatelach. Przykłady opisane przeze mnie w ostatnim tygodniu to np. sprawa EFF vs. AT&T w USA (wraz z wyrokiem niemieckiego Trybunału Konstytucyjnego w sprawie data mining). A dane przecież wyciekają: z organizacji charytatywnych, z hoteli, ciekawe jak się skończyła kontrola Agencji Bezpieczeństwa Wewnętrznego w PTC, z której to spółki ponoć wyciekały dane o abonentach (zresztą również dane z TPSA były dostępne online)?
Doradcy DSA (to agencja sprzedaży podległa Citibankowi) wożą kopie wniosków w bagażnikach, by nie wpaść podczas kontroli. Wiedzą, że to działanie naruszające zasady. W USA pracownik Departamentu ds. Weteranów (The Department of Veterans Affairs) w Maryland wyniósł bazę danych do domu w efekcie czego wyciekły dane osobowe ponad 26 milionów amerykańskich żołnierzy (a to przecież informacja z czerwca tego roku). Handluje się danymi bilingowymi, handluje się danymi ubezpieczonych i danymi bankowymi. A Polskę czeka jeszcze wyzwanie wtórnego wykorzystania informacji pochodzących z sektora publicznego. Jak to może wyglądać - pokazuje opisany przeze mnie przykład z Wielkiej Brytanii
Na PESEL2 ma być ogłoszonych kilka przetargów, by znów nie powtórzyła się sytuacja z informatyzacją ZUS. Więcej wykonawców to bardziej kompatybilny system, bo żaden nie będzie mógł dążyć do wprowadzenia rozwiązania niezgodnego ze standardem. Ma działać nie tylko na platformie jednego z graczy rynkowych. Więcej wykonawców to również potencjalne źródło większej ilości wycieków danych. Generalnie pomysł z wielością wykonawców mi się podoba, ale warto też pomyśleć o konkretnych ramach odpowiedzialności za ewentualne wycieki, nieprawidłowości, opóźnienia. Odpowiedzialność nie może się rozmywać.
Europejski Inspektor Ochrony Danych Osobowych zwracał już uwagę opinii publicznej na to, że organy ścigania winny pamiętać o prywatności. To samo można powiedzieć o każdym innym przejawie aktywności administracji publicznej (nie tylko w zakresie ścigania przestępstw, ale również w zakresie prowadzenia rejestrów publicznych). Kolejnym frontem walki o prywatność i ochronę danych osobowych są dane biometryczne w paszportach, tagi RFID
Do tego dochodzą jeszcze takie zjawiska jak "robak jawności", działalność bliżej nieokreślonych służb, które potrafiły inwigilować premiera Grecji. Na razie umorzono śledztwo w sprawie wycieku listy z IPN, jednak wcześniej polski Trybunał Konstytucyjny zdążył się jeszcze odnieść do prawa obywatela do kontroli informacji, jakimi dysponuje na jego temat państwo. To wszystko warto mieć na uwadze, gdy tworzy się kolejny rejestr publiczny, z którego - potencjalnie - wyciekać będą informacje o obywatelach. A problem istnieje i nawet Komisja Europejska wyartykułowała stanowisko, że poszczególne agendy rządowe krajów członkowskich nie potrafią chronić danych, którymi dysponują.
Tygodnik Wprost relacjonuje: "Według MSWiA, nowa superbaza ma usprawnić funkcjonowanie administracji. Uzyskanie zaświadczenia w dowolnej sprawie nie będzie wymagało wizyt w wielu urzędach, lecz w jednym, a w przyszłości wystarczy wypełnienie formularza online. System ma być "interoperacyjny", czyli współpracować będą z sobą bazy danych ZUS, NIP, NFZ, paszportowa czy KRUS. Teoretycznie dostęp do systemu będzie ograniczony. Uprawnienia do przeglądania danych będą ściśle określone i nieupoważnione osoby nie będą miały w nie wglądu..."
Im więcej danych gromadzonych przez państwo - tym więcej wycieków. Im więcej wycieków - tym mniej prywatności. Zanosi się na to, że w społeczeństwie informacyjnym prywatność będzie dobrem rzadkim. Tajemnica powszechnie znana - przestaje być tajemnicą (nawet wówczas, gdy przepis prawa nadal chroni jej poufność).
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Integracja?
Integracja nie musi oznaczać skupiania systemów w jednym miejscu. Równie dobrze każda z baz mogła by być prowadzona przez osobny podmiot a systemy połączone ze sobą z wykorzystaniem odpowiedniego API (jakby specyfikacja była dostępna publicznie to już byłby cud, bo przecież będzie możliwość niezależnego audytu wtedy). W chwili naruszenia bezpieczeństwa jednego z systemów, byłyby dostępne dane tylko w nim zawarte + numer PESEL jako unikalny identyfikator, co dość skutecznie ograniczyłoby zniszczenia - oczywiście jeśli zostaną naruszone również dane potrzebne do autoryzacji do innych zasobów to zaczynają się poważne kłopoty. W tej chwili niestety jest tak, że każda instytucja prowadzi własną bazę danych i często powoduje to problemy (nieraz trafiliśmy na przypadek gdy klient wyprowadził się i nie zgłosił tego "drobnego" faktu przychodząc pół roku później z pytaniem "gdzie są moje pieniądze"), wsplny dostęp do części danych by znakomicie poprawił sytuację...