Informacja o składkach "w formie elektronicznej", ale bez prywatności

W Sejmie znajduje się kilka projektów nowelizacji systemu ubezpieczeń społecznych. Jeden z nich (komisyjny) przewiduje zmianę zasad przekazywania ubezpieczonemu informacji (m.in. zestawienia należnych składek na ubezpieczenie społeczne) w formie elektronicznej. Płatnik składek będzie przekazywał ubezpieczonemu takie informacje na piśmie (tak jest teraz), ale - za zgodą ubezpieczonego będzie mógł również przesłać mu takie informacje "w formie elektronicznej". Projekt jest bardzo krótki.

Poszukując informacji na temat tych prac należy sięgnąć do strony Sejmu, gdzie znajduje się Komisyjny projekt ustawy o zmianie ustawy o systemie ubezpieczeń społecznych. Projekt ma dwa artykuły (drugi mówi, że "ustawa wchodzi w życie z dniem 1 stycznia 2009 r."). Założenie jest takie, że informacje przekazywane "w formie elektronicznej" będą "opatrywane bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym".

Zgoda na otrzymywanie "w formie elektronicznej" to mechanizm podobny do tego, który pojawił się w stosownym rozporządzeniu dotyczącym przesyłania faktur elektronicznych. Nowelizacja nie zakłada żadnych nowych regulacji, które zmierzałyby do większego zapewnienia prywatności ubezpieczonych. Podpis elektroniczny może zapewnić niezaprzeczalność treści i wiarygodność pochodzenia informacji (czyli, że pochodzi od płatnika posługującego się podpisem elektronicznym), ale jeśli takie informacje mają być przesyłane za pośrednictwem publicznej Sieci (internetu), to pojawia się problem zapewnienia poufności przekazywanych i udostępnianych w taki sposób informacji. Tu projektodawca chyba nie przemyślał wszystkiego(?).

Uzasadnienie projektu:

1. Wyjaśnienie celu ustawy.

Proponowane zmiany mają na celu uproszczenie zasad przekazywania ubezpieczonemu informacji dotyczących, m. in. zestawienia należnych składek na ubezpieczenia społeczne w podziale na ubezpieczenie: emerytalne, rentowe, chorobowe i wypadkowe.

2. Stan obecny.

Przepis art. 41 ust. 8 ustawy o systemie ubezpieczeń społecznych zobowiązuje płatnika składek do co miesięcznego przekazywania ubezpieczonemu informacji dotyczących m. in.: płatnika składek, numeru identyfikacyjnego ubezpieczonego, zestawienia należnych składek na ubezpieczenia społeczne w podziale na ubezpieczenie: emerytalne, rentowe, chorobowe i wypadkowe, podstawy wymiaru i kwoty składki na ubezpieczenie zdrowotne, z uwzględnieniem podziału na podmioty, które finansują składki. W świetle powołanego przepisu informacje te muszą być przekazywane w formie pisemnej. Jedynie członkowie służby zagranicznej mogą otrzymywać stosowne informacje drogą elektroniczną. Proponowana zmiana ma na celu rozszerzenie katalogu podmiotowego osób uprawnionych do otrzymywania informacji wynikających z art. 41 ust. 1-6 w formie elektronicznej, a w konsekwencji uproszczenie zasad przekazywania tych informacji.

3. Różnice między dotychczasowym a przewidywanym stanem prawnym.

Zmiana wprowadzi możliwość wyboru sposobu przekazywania informacji, o których mowa w art. 41 ust. 1-6 powołanej ustawy. Dzięki proponowanej nowelizacji przepisu art. 41 ust. 8 płatnik składek będzie miał możliwość przekazywania ubezpieczonym informacji w formie pisemnej lub - za zgodą ubezpieczonego - w formie elektronicznej.

4. Oczekiwane skutki społeczne, gospodarcze, finansowe i prawne.

Wprowadzenie w życie proponowanej zmiany usprawni działanie jednostek odpowiedzialnych w firmie za przekazywanie stosownych dokumentów ubezpieczonym oraz ograniczy kosztowną dystrybucję tych dokumentów (czas pracownika niezbędny do przekazania właściwego druku właściwej osobie, kodowanie dokumentów, koszty druku). Ma to istotne znaczenie przede wszystkim dla dużych firm, gdzie konieczność co miesięcznego wygenerowania określonej liczby dokumentów przekłada się na znaczące koszty.

5. Ocena zgodności z prawem Unii Europejskiej

Przedmiot projektu ustawy nie jest objęty prawem Unii Europejskiej.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Czy to źle?

Zastanawiam się, czy pominięcie przez ustawodawcę kwestii prywatności jest wadą. Ponieważ przesyłanie przez płatnika informacji drogą elektroniczną jest uwarunkowane zgodą ubezpieczonego, to zanim ubezpieczony wyrazi taką zgodę może zapoznać się z mechanizmami przesyłania, w tym z zapewnianym poziomem prywatności.

Ludzie nie odróżniają

Ludzie nie odróżniają internetu od Internet Explorera, przeglądarki od google.com, nie oczekuj więc, że zrozumieją jaki poziom prywatności zapewniają im owe "mechanizmy przesyłania" :\

To nie jest argument

Znam parę osób, które pomimo braku umiejętności odróżniania strony prawej od lewej prowadzą pojazdy mechaniczne.
Są również ludzie grający na giełdzie, którzy sprzedają w dołkach, a kupują na szczytach.

Zadaniem przepisów prawa nie jest uszczęśliwanie maluczkich i wyręczanie ich w podejmowaniu decyzji.

Zadaniem przepisów prawa

Zadaniem przepisów prawa nie jest uszczęśliwanie maluczkich i wyręczanie ich w podejmowaniu decyzji.

Ale też nie powinno być stwarzanie zagrożeń. A tu się pewne - OK, niewielkie - tworzy.

Przynajmniej tyle dobrego, że w oczekiwaniu na lepsze rozwiązanie na razie można zrezygnować.

A poza tym, czemu nie uszczęśliwianie? Jak by się dało tanio i bez naruszania praw innych osób...

Ubierajcie ciepłe gacie (na prywatne dane)

W innym wątku, zakładam że z przekąsem, napisałeś:

Bo obywatel to takie bydle nierozumne, co jak mu Urząd Wysoki nie nakaże i nie zakaże, to nic ino w szkodę lezie i jeszcze sobie krzywdę zrobi.

Do wyboru mamy albo przymusowe ubieranie obywateli w ciepłe gatki przy niekorzystnej pogodzie, albo pozostawienie wyboru właściwej bielizny swobodzie obywateli.

To drugie podejście, o ile tworzy pewne zagrożenia, znakomicie wpływa na edukację obywateli w kwestiach ochrony danych.

Swoją drogą zdaje się, że w przypadku doręczania zestawień w formie analogowej, przepis nie określa w jakiej kopercie raport składkowy ma być dostarczany.

Z przekąsem, ale patrząc

Z przekąsem, ale patrząc na niektórych naszych rodaków... :-) Tym niemniej, mam wrażenie że takie jest podejście polityków i organów władzy.

Na edukację wpłynie, o ile w ogóle, dopiero dobrze nagłośniony przypadek wykorzystania tych danych na szkodę odbiorcy - na przykład namierzanie na ich podstawie osób zamożniejszych, w celu wytypowania kandydatów do napadu lub włamania.

W formie analogowej broni nas tradycja i to, że koperty przezroczyste są droższe od zwykłych (a w ogóle ktoś przezroczyste (nie okienkowe) masowo produkuje?).

Wartość edukacyjna

Wartość edukacyjna pojawia się również (a nawet szczególnie) wtedy gdy sami zostaniemy dotknięci skutkami własnej nieprzemyślanej decyzji.

W szczególności firma zapewne zmieni swoją politykę dystrybucji informacji, gdy administrator firmowego serwera pocztowego zgłosi się po podwyżkę "bo inny administrator zarabia o x więcej".

Co chciałem pokazać, to że forma analogowa ma te same wady. W szczególności zestawienie może być doręczane bez koperty (znałem taką, dość dużą firmę).

A podsumowując. Nie chodzi w naszej dyskusji o odczytywanie intencji organów, ale raczej o zastanowienie się nad optimum.

Chyba zamiast "formy

Chyba zamiast "formy elektronicznej" powinno być "w formie dokumentu elektronicznego", zgodnie z ujednoliconą terminologią, nieprawdaż?

Jeśli te dokumenty będą

Jeśli te dokumenty będą udostępniane np. w sieci wewnętrznej przedsiębiorstwa lub przez stronę zabezpieczoną hasłem to nie ma specjalnego uzasadnienia jakieś dodatkowe szyfrowanie tego. Nie wpadajmy w paranoję.

W gruncie rzeczy również wymóg opatrywania tego kwalifikowanym podpisem elektronicznym jest przesadzony. W szczególności stosowanie akurat kwalifikowanego podpisu nie doprowadzi do postulowanego "usprawnienia działanie jednostek odpowiedzialnych w firmie za przekazywanie stosownych dokumentów ubezpieczonym oraz ograniczy kosztowną dystrybucję tych dokumentów". Ktoś kto mówi o "usprawnieniu" czegokolwiek przy podpisywaniu np. tysiąca dokumentów podpisem kwalifikowanym chyba nigdy z niego nie korzystał.

W rzeczywistości - jeśli dokument taki miałby służyć w przyszłości do jakichś ewentualnych roszczeń - to w zupełności wystarczy gdyby był opatrzony podpisem elektronicznym złożonym przy pomocy standardowego certyfikatu wystawianego przez Verisign, Thawte czy Godaddy na przedsiębiorstwo. Dzięki temu możliwe byłoby używanie go poza kartą kryptograficzną i z standardowym oprogramowaniem.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Używanie poza kartą to nonsens

Różnica między kwalifikowanym czy niekwalifikowanym certyfikatem klucza publicznego nie ma faktycznie większego znaczenia. Ale uważam, że używanie do podpisu klucza znajdującego się poza kartą to nonsens jakiś. Zbyt łatwo obecnie jest mieć w maszynie 'coś' co ułatwi wyciek danych, a używanie kopii klucza na kilku maszynach to proszenie się o kłopoty. Znacznie prościej jest użyć karty kryptograficznej do przechowywania klucza - gwarantuje to, że nikt niepowołany klucza nie odczyta.

Symbol nowoczesnego bezpieczeństwa - karta z chipem

Po co mi klucz, jeżeli za jednym zamachem z dokumentem podpisywanym przez użytkownika mogę podpisać setki dokumentów, których użytkownik podpisać nie chce? Klucz prywatny na karcie to pozorne zwiększenie bezpieczeństwa, gwarantuje tylko to, że nikt nie będzie podpisywać tym kluczem w dwóch miejscach na raz (było dwóch dokumentów naraz).

Do podpisywania dokumentów powinien służyć osobny system operacyjny (najlepiej osobny komputer) bootowany z niezapisywalnego nośnika (np. read only pendrive). Oczywiście nie uchroni to użytkownika przed czymś takim jak ukryte hypervisory umieszczone na karcie graficznej :), czy brakiem rozwagi użytkownika.

Przy okazji chciałbym

Przy okazji chciałbym zauważyć, że w/w Komisja jest kolejną, która cierpi na przypadłość urzędów publikujących projekty aktów prawnych polegającą na zabezpieczaniu PDFa hasłem.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Przy okazji - w

W podlinkowanym projekcie nie ma mowy o elektronicznym przekazywaniu informacji o składkach. Jest ona w tym projekcie.
--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>