• Rząd chce stworzyć dwie bazy danych – jedną z informacjami o obywatelach, a drugą z tajemnicami firm i organizacji
• Rząd chce w jednym miejscu gromadzić szczegóły dotyczące np. zdrowia i pożycia Polaków
• Eksperci wskazują na zagrożenia, jakie wynikają z przepisów przygotowanych przez rząd

Jedna baza z danymi Polaków. Cyfryzacja czy inwigilacja?

"Celem władzy jest władza" – pisał w "1984" George Orwell. Najnowszy projekt ustawy, który ma posłużyć do rozwoju e–administracji, dowodzi, że przykłady rodem ze słynnej antyutopii mamy także w Polsce. Rząd PiS chce mieć jeszcze władzę nad danymi obywateli i firm.

– Tego typu przepisy wymagają dyskusji i wspólnego wypracowywania rozwiązań tak, aby "cyfryzacja" nie była postrzegana jak "inwigilacja" – przekazuje nam dr hab. Dominika Wojtowicz, ekonomistka z Akademii Leona Koźmińskiego.

W PRL–u mieliśmy gospodarkę centralnie planowaną, a w XXI wieku rząd PiS chce mieć dane centralnie przetwarzane w Zintegrowanej Platformie Analitycznej (ZPA). Projekt ustawy zakłada, że znajdą się w niej informacje, które obecnie przechowuje kilkanaście instytucji.

– Nie jestem zwolennikiem centralnych rozwiązań integrujących tak szerokie zasoby wiedzy o obywatelach. Martwią mnie również przyświecające projektowi założenia. Kwestie bezpieczeństwa – techniczne, organizacyjne czy proceduralne – można poprawić czy rozwiązać, ale z maksymalistycznych rozwiązań nie da się korzystać w duchu minimalizacji danych – przyznaje w rozmowie z INNPoland.pl Marcin Maciejak, adwokat i ekspert ds. ochrony danych.

W jednym miejscu zgromadzonych będzie ponad 100 kategorii danych m.in. numery PESEL, przyczyny ustania małżeństwa, zaległości podatkowe przedsiębiorców, wyniki egzaminów ósmoklasisty i maturalnych, a nawet informacja o pozostawaniu we wspólnym pożyciu czy ubieganiu się o przyznanie statusu osoby niepełnosprawnej.

– ZPA ma umożliwić użytek danych o obywatelach w celach wykraczających poza te, dla których te informacje pierwotnie zebrano. Dopiero wgląd w konkretny zakres tych danych prezentuje skalę zaawansowania systemu. Platforma ma łączyć dziesiątki rodzajów informacji: m.in. o liczbie dzieci, stopniach pokrewieństwa, pracodawcach, podstawach wymiaru składek, urlopach macierzyńskich, zasiłkach, a także stanie zdrowia i diagnozach, uzyskanych świadczeniach zdrowotnych i ich koszcie, punktach karnych, nieruchomościach czy formie opodatkowania – wymienia adwokat.

W projekcie czytamy, że dane źródłowe wykorzystywane do analiz będą podlegały "pseudonimizacji". I taki zabieg może być faktycznie przydatny do przygotowania analiz.

– W zbiorze, z którego zostały zaczerpnięte, powinny zostać czytelne, a dla analityka mają być anonimowe. Być może to się uda. Swoją wartość zachowają jednak nawet po takim zabiegu. Przez to pozwolą nakreślić dokładny obraz nie tylko statystycznego Kowalskiego, jego życia i pracy, ale dowolnej grupy wybranej w oparciu o zadane kryteria – tłumaczy ekspert.

"Musimy być świadomi potencjalnych nadużyć"

Jednak adwokat zwraca uwagę także na potencjalne zagrożenia, jakie może stworzyć taka jedna, ogromna platforma. – Projektowi przyświecają potencjalne korzyści. Twórcy widzą ZPA jako instrument poprawy jakości polityk publicznych. Analityczne zaplecze rządu ma głęboko sięgnąć po twarde, realne dane. Problemem jest jednak ryzyko – podkreśla adwokat.

Wątpliwości budzi także zapewnienie bezpieczeństwa danych. W ostatnim czasie doszło do kilku ataków hakerskich. W czerwcu ofiarą cyberprzestępców padła platforma ePUAP. Pod koniec lutego atak wycelowano w stronę podatki.gov.pl.

– Musimy być również świadomi potencjalnych nadużyć. Nie ma zabezpieczeń idealnych, przez co dane udostępniane w ramach ZPA mogą trafić w niepowołane ręce. Pod tym względem z zespołem izolowanych baz z racji rzeczy wiążą się dużo mniejsze zagrożenia niż ze spinającą je platformą – ocenia.

A co z przepisami o ochronie danych osobowych? Adwokat podkreśla, że zapewnienie podstawy prawnej to absolutne minimum. – Taką podstawę projektowane przepisy mogą formalnie stworzyć, jeśli finalnie zostaną uchwalone. Nie jest to jednak jedyny warunek, ponieważ przyjęte mechanizmy muszą być proporcjonalne i odpowiednie do wagi problemu. Czy szerzej: niezbędne w demokratycznym państwie prawnym – wyjaśnia Maciejak.

– To o tyle istotne, że ZPA przenosi na niwę państwową mechanizmy piętnowane w podmiotach prywatnych. Z baz i algorytmów łączących źródła informacji o każdym z nas korzystają przecież międzynarodowe koncerny. Są one jednak zobowiązane do uzyskiwania zgód czy spełniania wyczerpujących obowiązków informacyjnych. Podlegają także nadzorowi oraz coraz częściej nakładanym milionowym karom. Stąd na przykład kłopoty koncernu Meta z łączeniem danych z różnych źródeł: Facebooka, WhatsAppa czy Instagrama – zaznacza nasz rozmówca.

Platformą ma zarządzać rządowy think-tank Polski Instytut Ekonomiczny (PIE). Celem tej bazy danych ma być tworzenie analiz społeczno–ekonomicznych dla rządu. Wątpliwości jednak budzi fakt, że PIE to państwowa osoba prawna, którą nadzoruje wyłącznie premier. Poza tym obawy o bezpieczeństwo są o tyle uzasadnione, że afera z Pegasusem już zdążyła podburzyć zaufanie do działań rządzących.

– W mojej ocenie wskazane jest wyważenie interesów, szerszy dialog z interesariuszami i partnerami społecznymi oraz wypracowanie konsensusu – kwituje adwokat.

Rząd chce poznać tajemnice 40 tys. podmiotów

ZPA to nie wszystko, co planuje rząd. W tym samym projekcie ustawy jest także mowa o wprowadzeniu bazy informacji o sytuacji ekonomicznej dużych firm i organizacji społecznych. Po przeprowadzeniu audytu spółki giełdowej biegli rewidenci będą musieli przekazać wszystkie raporty z badania do Polskiej Agencji Nadzoru Audytowego (instytucja rządowa).

W bazie znajdą się wyniki badań z ostatnich ośmiu lat. Jak już informowaliśmy w INNPoland.pl, w ten sposób rząd może zyskać wgląd w tajemnice nawet 40 tys. podmiotów.

– Zgromadzenie ogromnej ilości danych w jednym repozytorium niesie ze sobą ryzyko ataków hakerskich, a nawet najlepsze systemy zabezpieczeń nie gwarantują stuprocentowej ochrony przed wyciekiem cyfrowych danych. Tego typu rozwiązania mogą odstraszać duże zagraniczne koncerny przed inwestycjami w Polsce – ocenia dr hab. Wojtowicz.

Jej zdaniem ogromne wątpliwości budzi także brak konsultacji ze środowiskiem rewidentów i przedsiębiorstw. – Sposób przygotowania ustawy i brak klarownego, wyczerpującego uzasadnienia konieczności wprowadzenia rozwiązania po raz kolejny podważa zaufanie firm do rządu jako organu działającego w sposób przejrzysty, na rzecz i dla ich dobra – przekonuje ekonomistka.

Co więcej, to firmy audytorskie będą musiały dźwigać obciążenia finansowe wynikające z wprowadzenia tych przepisów. Jednak rząd jest głuchy na apele branży.

– Zakładając dobrą wolę rządu i przyjmując argumenty, że cyfryzacja jest wyznacznikiem sprawnej administracji, a baza stworzy możliwość analizy danych oraz ograniczy ilość papierowej dokumentacji, niezrozumiałe jest ignorowanie obaw przedsiębiorstw poddanych obowiązkowi audytu (bezpieczeństwo danych) oraz firm audytorskich (dodatkowe koszty związane z digitalizacją) – kwituje ekspertka.

Służby będą przeglądać nasze maile?

To niejedyny pomysł na ingerowanie w życie prywatne i zawodowe obywateli, na jaki wpadł w ostatnim czasie rząd. Jak już informowaliśmy w INNPoland.pl, na początku stycznia pojawił się projekt nowelizacji prawa komunikacji elektronicznej. Cel? Uzbrojenie służb specjalnych w nowe kompetencje.

W myśl proponowanych przepisów dostawcy poczty elektronicznej będą mieli obowiązek przechowywać przez 12 miesięcy informacje o swoich użytkownikach po to, żeby służby mogły w każdym momencie przyjść i zażądać informacji np. kiedy obywatel X logował się na swoją skrzynkę mailową, kiedy się wylogowywał, czy jakiego adresu IP używał.

– Obowiązek gromadzenia i udostępniania danych służbom jest tak skonstruowany, jakbyśmy wszyscy byli potencjalnymi przestępcami – ocenił w rozmowie z INNPoland.pl Wojciech Klicki z Fundacji Panoptykon, który opiniował projekt ustawy w tej sprawie. Ostatecznie dokument został wycofany w kwietniu 2023 r. Rząd planował przyjąć jego nową wersję w II kwartale 2023 r., ale sprawa jest w toku i nie wiadomo, czy uda się zmienić prawo przed wyborami parlamentarnymi.