O co chodzi w sprawie zdalnego dostępu CBA do danych ZUS?

CBA i ZUSPoukładałem wszystko, co wczoraj uruchomiła Wyborcza. Dziś, po "sfokusowaniu uwagi czytelników na sobie" napisała, że "od czerwca ZUS pracuje nad tym, by wyprowadzić ze swojej sieci komputerowej specjalne łącze prosto do CBA", że "jako jedyna ze służb specjalnych! - zdobędzie stały i bezpośredni dostęp do bazy Zakładu". Mowa też o aplikacji PI3 (Punkt Informacyjny 3). Główny problem w tej sprawie: chodzi o to, kto kontrolować będzie operacje CBA. W niniejszym tekście przywołuje art. 22 ustawy o CBA, treść rozporządzenia Prezesa Rady Ministrów z dnia 27 września 2006 r. w sprawie zakresu, warunków i trybu przekazywania Centralnemu Biuru Antykorupcyjnemu informacji przez organy, służby i instytucje państwowe oraz stanowiska ZUS oraz CBA. Sprawie przygląda się też Generalny Inspektor Ochrony Danych Osobowych. Przedstawiciel CBA twierdzi, że system w pełni "rozlicza" kto ma dostęp do danych o obywatelach. Zatem jestem spokojny.

Generalny Inspektor Ochrony Danych Osobowych, Michał Serzycki, dziś na antenie TVN24 powiedział, że "ma związane ręce". Rozporządzenie jest zgodne z delegacją ustawową. Sam Generalny Inspektor nie ma możliwości zwracania się do Trybunału Konstytucyjnego, nie ma inicjatywy ustawodawczej, w tej chwili sprawdzany jest proces ustawodawczy w tej sprawie. Powiedział też, że nie zostało złamane prawo dotyczące ochrony danych osobowych, gdyż ustawa o CBA wyłącza stosowanie ustawy o ochronie danych osobowych. To co GIODO może zrobić, to skontrolować sposób przetwarzania danych osobowych w ZUS, gdyż ma takie możliwości. Ale nie ma wpływu na przepisy, które pozwalają CBA na stały dostęp do zasobów ZUS.

W tej sprawie wyjaśnia się też o dwóch rodzajach postępowań, w których CBA może mieć dostęp do danych ZUS. Jedno, w wynikające z art. 22 ust. 5 ustawy ("Administrator zbioru danych jest obowiązany udostępnić określone w upoważnieniu dane osobowe, o których mowa w ust. 4, na podstawie imiennego upoważnienia wydanego przez Szefa CBA okazanego przez funkcjonariusza wraz z legitymacją służbową"), drugie zaś wynikające z ust. 2 i 3 tego przepisu, a tam mowa o przekazywaniu danych "na nośniku optycznym, magnetycznym lub w drodze teletransmisji". I właśnie to ostatnie budzi kontrowersje.

Ale przywołajmy po kolei wspominane wyżej materiały:

Wiadomo, że chodzi o rozporządzenie: Rozporządzenie Prezesa Rady Ministrów z dnia 27 września 2006 r. w sprawie zakresu, warunków i trybu przekazywania Centralnemu Biuru Antykorupcyjnemu informacji przez organy, służby i instytucje państwowe (Dz.U. 2006 nr 177 poz. 1310). Rozporządzenie zostało wydane na podstawie art. 22 ust. 9 ustawy o CBA (por. poniżej).

Główny problem w tej sprawie: chodzi o to, kto kontrolować będzie operacje CBA. Wyborcza pisze w tekście Polacy w sieci CBA:

Według informatora "Gazety" ZUS nie będzie miał kontroli nad tym, po jakie dane sięga CBA. Ma o tym świadczyć pismo dyr. Seweryniaka z 25 września. Dyrektor chce, by dane, które ściągają z ZUS funkcjonariusze, nie podlegały automatycznej kontroli obejmującej całą sieć informatyczną ZUS. Jak zatem ZUS sprawdzi, co z jego danymi robi CBA? Co miesiąc dyr. Seweryniak będzie dostawał dwie płyty CD z zapisem operacji CBA na danych ZUS.

Wyborcza napisała, że ZUS od miesiąca ma zawarte porozumienie z CBA (co potwierdził Prezes ZUS Paweł Wypych).

Proponowany schemat połączenia instytucji zewnętrznej (CBA) z siecią ZUS

Proponowany schemat połączenia instytucji zewnętrznej (CBA) z siecią ZUS

Wyborcza publikuje również następujące skany:

Jeszcze przywołajmy ustawę z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz.U. 2006 Nr 104, poz. 708), a konkretnie art. 22.:

1. W zakresie swojej właściwości CBA może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać i przetwarzać.

2. CBA w celu zapobieżenia lub wykrycia przestępstw, określonych w art. 2 ust. 1 pkt 1, oraz identyfikacji osób może przetwarzać informacje, w tym również dane osobowe ze zbiorów prowadzonych na podstawie odrębnych przepisów przez organy władzy publicznej i państwowe jednostki organizacyjne, a w szczególności z Ewidencji Działalności Gospodarczej, Krajowej Ewidencji Podatników, Krajowego Rejestru Karnego, Krajowego Rejestru Sądowego, Powszechnego Elektronicznego Systemu Ewidencji Ludności, Rejestru Podmiotów Gospodarki Narodowej, Centralnego Rejestru Ubezpieczonych i Centralnego Rejestru Płatników Składek, Centralnej Ewidencji Pojazdów i Kierowców, Krajowego Centrum Informacji Kryminalnych. Administratorzy danych gromadzonych w tych rejestrach są obowiązani do nieodpłatnego ich udostępniania.

3. Dane ze zbiorów, o których mowa w ust. 2, przekazuje się w szczególności na nośniku optycznym, magnetycznym lub w drodze teletransmisji.

4. W zakresie swojej właściwości CBA może zbierać także wszelkie niezbędne dane osobowe, w tym również, jeżeli jest to uzasadnione charakterem realizowanych zadań, dane wskazane w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285), a także korzystać z danych osobowych i innych informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez uprawnione do tego organy, służby i instytucje państwowe oraz przetwarzać je, w rozumieniu ustawy o ochronie danych osobowych, bez wiedzy i zgody osoby, której te dane dotyczą.

5. Administrator zbioru danych jest obowiązany udostępnić określone w upoważnieniu dane osobowe, o których mowa w ust. 4, na podstawie imiennego upoważnienia wydanego przez Szefa CBA okazanego przez funkcjonariusza wraz z legitymacją służbową.

6. Dane osobowe zebrane w celu wykrycia przestępstwa przechowuje się przez okres, w którym są one niezbędne dla realizacji ustawowych zadań wykonywanych przez CBA. Funkcjonariusze CBA dokonują weryfikacji tych danych nie rzadziej niż co 10 lat od dnia uzyskania informacji, usuwając dane zbędne.

7. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, nałogach lub życiu seksualnym osób podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, które nie zostały skazane za te przestępstwa, podlegają komisyjnemu i protokolarnemu zniszczeniu niezwłocznie po uprawomocnieniu się stosownego orzeczenia.

8. Prezes Rady Ministrów określi, w drodze rozporządzenia, wzór upoważnienia, o którym mowa w ust. 5, zakres i tryb jego wydawania oraz zakres przedmiotowy upoważnienia mając na uwadze zapewnienie prawidłowego wykonania czynności przez funkcjonariusza CBA.

9. Prezes Rady Ministrów określi, w drodze rozporządzenia, zakres, warunki i tryb przekazywania CBA informacji przez organy, służby i instytucje państwowe, o których mowa w ust. 2 i 4, z uwzględnieniem sposobu dokumentowania tych informacji oraz podmiotów upoważnionych do ich przekazywania.

10. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposoby przetwarzania danych osobowych, o których mowa w ust. 2 i 4, w zbiorach danych, rodzaje jednostek organizacyjnych CBA uprawnionych do korzystania z tych zbiorów oraz wzory dokumentów obowiązujących przy przetwarzaniu danych, uwzględniając potrzebę ochrony danych przed nieuprawnionym dostępem.

Wyborcza odnosi się do tego art. 22 ustawy następującymi słowami:

Ustawa (art. 22) każe, by funkcjonariusz CBA każdorazowo zwracał się o konkretne dane, okazując imienne upoważnienie swego szefa. A rozporządzenie premiera dopuszcza zawieranie między CBA a instytucjami państwowymi (takimi jak ZUS) umów, wedle których CBA może dostać bezpośredni dostęp do informacji - bez każdorazowego wniosku.

Przywołajmy to wspomniane rozporządzenie w całości:

Rozporządzenie Prezesa Rady Ministrów z dnia 27 września 2006 r. w sprawie zakresu, warunków i trybu przekazywania Centralnemu Biuru Antykorupcyjnemu informacji przez organy, służby i instytucje państwowe (Dz. U. z dnia 29 września 2006 r.)

Na podstawie art. 22 ust. 9 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. Nr 104, poz. 708 i Nr 158, poz. 1122) zarządza się, co następuje:

§ 1. 1. Podmioty, o których mowa w art. 22 ust. 2 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym, zwanej dalej "ustawą", przekazują Centralnemu Biuru Antykorupcyjnemu, zwanemu dalej "CBA", wszelkie gromadzone i przetwarzane przez siebie, na podstawie przepisów odrębnych, informacje w celu umożliwienia CBA identyfikacji osób oraz realizacji zadań określonych w art. 2 ust. 1 pkt 1 ustawy.

2. Podmioty, o których mowa w art. 22 ust. 4 ustawy, przekazują CBA wszelkie uzasadnione charakterem jego działań informacje uzyskane w trakcie wykonywania czynności operacyjno-rozpoznawczych, niezwłocznie, na wniosek CBA lub z urzędu, jeżeli ich treść jednoznacznie wskazuje, że dotyczą one właściwości CBA.

§ 2. Zakres przekazywanych informacji obejmuje w szczególności:

1) dane o osobie, w tym dane personalne i adresowe, oraz inne dane indentyfikacyjne pozwalające na określenie tożsamości osoby, a w szczególności zdjęcia i opisy wizerunku, cechy i znaki szczególne, pseudonimy, a także dane określające stosunki rodzinne i majątkowe, wykształcenie, zawód i źródła dochodu;

2) datę, miejsce i rodzaj zdarzenia, w związku z którym nastąpiła rejestracja danych o osobie.

§ 3. Podmioty, o których mowa w art. 22 ust. 2 ustawy, udostępniają za pomocą systemu teleinformatycznego zbiory, dane lub informacje jednostkom organizacyjnym CBA uprawnionym do wykonywania czynności operacyjno-rozpoznawczych lub ewidencyjnych lub archiwalnych w sposób określony w zawartych z CBA odrębnych porozumieniach.

§ 4. 1. Kierownik jednostki organizacyjnej CBA uprawnionej do wykonywania czynności operacyjno-rozpoznawczych lub ewidencyjnych lub archiwalnych albo osoba przez niego upoważniona występuje do kierownika właściwej jednostki lub komórki organizacyjnej podmiotów, o których mowa w art. 22 ust. 4 ustawy, o przekazanie danych, z wnioskiem pisemnym lub przesyłanym przez urządzenia i systemy informatyczne.

2. Dane przekazuje CBA kierownik jednostki lub komórki organizacyjnej podmiotu albo osoba przez niego upoważniona na podstawie imiennego upoważnienia, o którym mowa w art. 22 ust. 5 ustawy.

§ 5. We wniosku o przekazanie informacji zamieszcza się dane o osobach, zdarzeniach lub zagadnieniach, umożliwiające wyszukanie informacji w aktach spraw operacyjno-rozpoznawczych, zbiorach ewidencyjnych lub archiwalnych, a także określa się zakres potrzebnych informacji.

§ 6. 1. Podmioty, o których mowa w art. 22 ust. 2 ustawy, mogą, w drodze decyzji lub na mocy odrębnych porozumień, wyrazić zgodę na udostępnianie jednostkom organizacyjnym CBA zgromadzonych zbiorów, danych lub informacji za pomocą urządzeń i systemów informatycznych, bez konieczności każdorazowego składania pisemnych wniosków.

2. Przekazanie CBA zbioru, danych lub informacji dokonuje się w sposób właściwy dla podmiotu obowiązanego, o którym mowa w § 1 ust. 1, zgodnie z obowiązującymi go w tym zakresie zasadami i trybem postępowania.
3. Do przekazywania informacji, o których mowa w ust. 1, stosuje się przepisy o ochronie informacji niejawnych oraz przepisy o ochronie danych osobowych.

§ 7. Podmioty, o których mowa w art. 22 ust. 4 ustawy, mogą odmówić przekazania CBA informacji lub ograniczyć ich zakres, jeżeli mogłoby to uniemożliwić wykonywanie ich ustawowych zadań lub spowodować ujawnienie danych o osobie udzielającej tym podmiotom pomocy.

§ 8. Przekazanie informacji dokumentuje się:

1) w aktach spraw - notatką służbową zawierającą w szczególności dane dotyczące:
a) daty i miejsca wystąpienia o udzielenie informacji,
b) osoby występującej o udzielenie informacji,
c) czasu i miejsca przekazania informacji,
d) udzielonych informacji,
e) sposobu przekazania informacji,
f) w przypadku odmowy przekazania informacji lub ograniczenia zakresu przekazywanych informacji - powodów odmowy lub ograniczenia,
g) osób odpowiedzialnych za przekazanie, odmowę lub ograniczenie zakresu przekazywanych informacji;

2) w zbiorach ewidencyjnych i archiwalnych:
a) w teczkach materiałów archiwalnych - notatką służbową zawierającą dane, o których mowa w pkt 1,
b) w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych - dostosowaną do metodycznych wymagań tych zbiorów adnotacją zawierającą dane, o których mowa w pkt 1.

§ 9. Rozporządzenie wchodzi w życie z dniem ogłoszenia.

Na stronie Zakładu Ubezpieczeń Społecznych opublikowano Oświadczenie rzecznika prasowego Zakładu Ubezpieczeń Społecznych (wytłuszczenie moje - VaGla):

Dostęp CBA do danych zawartych w Centralnym Rejestrze Ubezpieczonych i Centralnym Rejestrze Płatników reguluje ustawa o CBA z 23 czerwca 2006 roku. Taki dostęp mają też między innymi sądy, Policja, Agencja Bezpieczeństwa Wewnętrznego, Naczelna Izba Kontroli, ale też na przykład powiatowe centra pomocy rodzinie oraz komornicy, dla których zresztą przygotowujemy specjalną aplikację.

Różnica w dostępie, jaki będzie mieć CBA nie jest jakościowa, ale polega wyłącznie na skróceniu czasu dostępu. Podkreślam: jedynie co się zmieni w stosunku do możliwości, jakie ma na przykład Policja i inne służby, to czas dostępu do danych zawartych w Centralnym Rejestrze Ubezpieczonych i Centralnym Rejestrze Płatników, który, dzięki zastosowaniu systemu informatycznego, po prostu ulegnie skróceniu.

Kategorycznie muszę stwierdzić, iż dane, które będą udostępniane CBA będą podlegać pełnej kontroli Zakładu i to na bieżąco, a nie, tak jak pisze Gazeta Wyborcza, raz w miesiącu. W państwie prawa takiego systemu informatycznego nie da się po prostu zbudować, a potem wyłączyć go całkowicie lub częściowo spod bieżącej kontroli Zakładu.

Pragnę także podkreślić, że CBA nie będzie miało dostępu do danych wrażliwych, np. o stanie zdrowia Polaków.

Jacek Dziekan
Rzecznik Prasowy
Zakład Ubezpieczeń Społecznych

I do tego odnosi się Wyborcza w tekście ZUS: Dane udostępniane CBA będą podlegać kontroli.

Na stronie Centralnego Biura Antykorupcyjnego opublikowano dziś notatkę Skuteczniejsza kontrola, gdzie czytamy:

Kilkaset tysięcy oświadczeń majątkowych. To wyzwanie, przed którym stoi CBA. Zgodnie z ustawą o powołaniu Biura, CBA jest zobligowane do ich kontroli. Od niedawna CBA dysponuje nowymi możliwościami, które w istotny sposób pomogą w realizacji ustawowych zadań Biura.

Zgodnie z art. 22 ustawy o CBA, Biuro przetwarza informacje ze zbiorów prowadzonych przez organy władzy publicznej i państwowe jednostki organizacyjne, w tym z Ewidencji Działalności Gospodarczej, Krajowej Ewidencji Podatników, Krajowego Rejestru Karnego, Krajowego Rejestru Sądowego, Powszechnego Elektronicznego Systemu Ewidencji Ludności, Rejestru Podmiotów Gospodarki Narodowej, Centralnego Rejestru Ubezpieczonych i Centralnego Rejestru Płatników Składek, Centralnej Ewidencji Pojazdów i Kierowców, Krajowego Centrum Informacji Kryminalnych. Administratorzy danych gromadzonych w tych rejestrach są obowiązani do nieodpłatnego ich udostępniania.

Realizacji ustawowych uprawnień służą porozumienia, które CBA zawiera z dysponentami poszczególnych baz a także inne delegacje ustawowe. Po organach ścigania przyszedł czas na porozumienie z ZUS. Do tej pory do Zakładu zapytania CBA kierować musiało głównie z użyciem klasycznych form, na papierze. Już wkrótce możliwe będzie to drogą teletransmisji. Nowoczesne narzędzia istotnie zwiększą skuteczność Biura.

Wszystkie systemy informatyczne CBA i zawarte w nich informacje otoczone są szczególną ochroną, wynikającą z przepisów o ochronie danych osobowych oraz przepisów o ochronie informacji niejawnych. Służy temu m.in. system zapewniający pełną rozliczalność wszelkich operacji. Rejestr użytkowników, rejestr zapytań, różne formy ochrony technicznej i fizycznej to istotna część zabezpieczeń. Dostęp do poszczególnych systemów mają nieliczni, wyselekcjonowani funkcjonariusze w wydzielonych bezpiecznych strefach.

Tomasz Frątczak, Dyrektor Gabinetu Szefa CBA

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Cóż, rozporządzenie

Cóż, rozporządzenie Prezesa Rady Ministrów jest jakby niezgodne z ustawą o CBA, ustawą o ochronie danych osobowych, a przede wszystkim - z art. 51 Konstytucji. Obowiązujący w Polsce model dostępu do danych przez służby do tego upoważnione zakłada dostęp do danych następczy po wszczęciu postępowania w sprawie. I co ważne, dostęp na wniosek. Tymczasem opisane rozwiązania zakładają dostęp stały, bez powiązania z jakimkolwiek postępowaniem i bez wniosku. Pozostaje mieć nadzieję, że ktoś zwróci się z odpowiednim wnioskiem do Trybunału...

Czy kabel zacznie działać ?

Znając praktykę legislacyjną obecnej władzy nikt nie będzie czekał z instalacją kabla do złożenia i rozpatrzenia wniosku przez Trybunał Konstytucyjny.

I tutaj pojawia się pytanie - co jeśli kabel zostanie uruchomiony, a CBA w tym samym momencie zacznie kopiować całą bazę ZUS?

Zresztą nieważne ile danych uzyska (mogą to być jednej osoby) - jeśli rozporządzenie zostanie unieważnione przez trybunał dane te będą "nielegalne" i powinny zostać usunięte z systemu informatycznego CBA.

Ciekawe czy istnieją jakiekolwiek procedury które pozwoliły takie działanie prawidłowo wykonać?

Jeżeli "kabel" zostanie

Jeżeli "kabel" zostanie uruchomiony na podstawie rozporządzenia, które w chwili uruchamiania kabla obowiązywało, a następnie straciło ważność, to za okres, w którym kabel działał w czasie obowiązywania rozporządzenia nikomu nic się nie stanie. Dopiero jeżeli dane byłyby nadal udostępniane po ew. utracie mocy obowiązującej rozporządzenia można by mówić o odpowiedzialności.

Czyli innymi słowy

Czyli innymi słowy jeżeli w czasie obowiązywania rozporządzenia CBA skopiuje sobie całą (dostępną z ich poziomu) bazę danych ZUS to dane te będą legalne i będą mogły zostać wykorzystane w późniejszym terminie w ramach systemu informatycznego CBA. Czy dobrze rozumiem?

Wątpię aby tego typu działanie - systematyczne kopiowanie całej bazy - rzeczywiście mogło mieć miejsce, ale sama możliwość jest bardzo niepokojąca.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>