RPO interweniuje u premiera w sprawie zintegrowanej platformy analitycznej, którą DGP opisało w ubiegłym tygodniu. Podobnie jak cytowani przez nas eksperci uważa, że rozporządzenie, którego projekt przygotował rząd, będzie niekonstytucyjne.
Przypomnijmy – zintegrowana platforma analityczna (ZPA) ma pozwolić na łączenie i analizę danych zebranych z większości państwowych baz. Wskazano je w projekcie rozporządzenia przygotowanego przez ministra cyfryzacji – chodzi m.in. o bazy: ZUS, NFZ, PESEL czy Krajową Ewidencję Podatników. Pierwotnie miały to być również dane GUS, ale usunięto je z projektu. Niemniej zestawienie pozostałych informacji i tak wystarczyłoby, żeby wiedzieć o człowieku prawie wszystko. Zakres udostępnianych danych obejmuje ponad 70 pozycji.
„Przetwarzanie przez organy państwa nakładanych na siebie olbrzymich zestawów danych może przywoływać skojarzenia z systemem kontroli społecznej, który obecnie jest domeną Chińskiej Republiki Ludowej” – napisał w piśmie do premiera i zarazem ministra cyfryzacji Marcin Wiącek, rzecznik praw obywatelskich.
RPO zwraca uwagę na niekonstytucyjność projektowanych przepisów. Tego rodzaju materii, jego zdaniem, nie można określać rozporządzeniem. Chodzi bowiem o wskazanie szerokiego zakresu danych, co można uczynić wyłącznie w ustawie. Ten sam argument wskazał wcześniej w swej opinii zarówno prezes Urzędu Ochrony Danych Osobowych, jak i zapytani przez DGP eksperci.
Autorzy projektu nie zgadzają się z tym zarzutem. Zwracają uwagę, że ZPA jest tworzone na podstawie przepisów rozdziału 3b ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2021 r. poz. 2070 ze zm.).
„Nie jest więc prawdą, że na potrzeby ZPA dane będą przetwarzane na podstawie aktów wykonawczych. Dodatkowo – dane przetwarzane w ZPA nie będą stricte danymi osobowymi, a jedynie pojedynczymi informacjami, na podstawie których nie da się określić konkretnych osób. Zastosowanie pseudonimizacji jeszcze przed przekazaniem danych do ZPA nie pozwala na ich dopasowanie do konkretnych osób” – przekonują autorzy projektu w odpowiedziach na pytania DGP.
Problem w tym, że pseudonimizacja z natury rzeczy jest procesem odwracalnym, jeśli posiada się klucz. Autorzy zapewniają, że MC nie będzie go miało – klucze pozostaną przy administratorach poszczególnych baz, z których będą pobierane do ZPA. Dlaczego jednak w takim razie nie przeprowadzić pełnej anonimizacji?
„Z punktu widzenia realizacji celu jest możliwa dopiero po połączeniu zbiorów spseudonimizowanych. O ile od razu dokonamy pełnej anonimizacji dwóch zbiorów, nie będzie możliwe ich połączenie. Dlatego też proces ten został zaplanowany dwuetapowo, a jego dokładane wykonanie będzie wymogiem koniecznym do opisania w podpisywanych porozumieniach. Jego nadrzędnym celem jest to, aby podmioty dokonujące pseudonimizacji nie miały wzajemnie dostępu do pseudonimizowanych rejestrów i nie brały udziału w procesie łączenia. Proces łączenia będzie odbywać się na platformie na odseparowanych środowiskach, po czym dopiero wynik łączenia wraz z usuniętym kluczem zostanie w dalszej drodze udostępniony do analiz” – przekonują w przesłanym nam stanowisku.
Zdaniem RPO przewidywany sposób udostępnia danych oraz przetwarzania ich na platformie nie jest przejrzysty. W projekcie brakuje również szczegółowych i technicznych regulacji związanych z przetwarzaniem danych osobowych. Te mają zostać uregulowane w porozumieniach zawieranych między MC a administratorami poszczególnych baz, a zdaniem RPO powinny być określone właśnie w rozporządzeniu (w przeciwieństwie do zakresu danych). Z kolei zarówno prezes UODO, jak i cytowani przez DGP eksperci zwracali uwagę, że nie sformułowano konkretnych celów wykorzystania danych, co uniemożliwia ocenę, czy są one zgodne z pierwotnymi celami, dla których je zebrano. Jak projektodawcy ustosunkowują się do tych uwag?
Twierdzą, że określenie konkretnych celów w tej chwili byłoby niemożliwe. Zadaniem ministra właściwego do spraw informatyzacji jest stworzenie narzędzia, które pozwoli na przeprowadzanie analiz niezbędnych do określenia kluczowych polityk państwa.
„Dlatego też istniejące zapisy są niedookreślone bez wskazanego konkretnie celu, bo na ich dookreślenie mają wpływać przepisy poszczególnych resortów zgłaszających konieczność wytworzenia analiz” – tłumaczą w przesłanym nam stanowisku.
Największe obawy zarówno RPO, jak i innych ekspertów budzi jednak możliwość wykorzystywania połączonych danych do profilowania obywateli. Zwłaszcza że chodzi też o dane wrażliwe, choćby na temat zdrowia. Zdaniem sceptyków przyjęte założenia nie chronią wystarczająco przed takim ryzykiem.
„Dzięki algorytmom sztucznej inteligencji wykorzystywanym do analizy udostępnianych do platformy danych będzie istniała możliwość generowania przydatnych władzy publicznej informacji na temat obywateli w dowolnych konfiguracjach uzależnionych od bieżących potrzeb władzy” – czytamy na stronie RPO.
Autorzy projektu przekonują z kolei, że jest inaczej. Zgodnie z art. 20s ustawy o informatyzacji minister cyfryzacji zapewnia, aby dane były przetwarzane w sposób ograniczony co do celu przetwarzania, co ma oznaczać minimalizację danych. Po ich wykorzystaniu jest zaś zobowiązany do usunięcia danych.