Domyślnie włączone i niełatwe do usunięcia komunikaty, niejasne cele nadawania wiadomości oraz przyznanie ministrowi nadmiernych uprawnień – takie uwagi ma Urząd Ochrony Danych Osobowych do projektu umożliwiającego wysyłkę alertów przez instytucje publiczne.
Pojawiają się pierwsze opinie w ramach konsultacji na temat projektu nowelizacji ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz ustawy - Prawo telekomunikacyjne (nr UD471). To ten, który ma m.in. wprowadzić możliwość nieodpłatnego wysyłania SMS-ów przez organy administracji rządowej, sądy, prokuraturę, samorządy, NFZ, ZUS i KRUS. Przewiduje on też nowy sposób uwierzytelniania użytkowników korzystających z profilu zaufanego (Mobile Connect).
Jacek Oko, prezes Urzędu Komunikacji Elektronicznej (UKE), w swoim stanowisku zwraca uwagę na niektóre aspekty techniczne przygotowywanej regulacji. Skarży się też, że jego urząd ma otrzymać kolejne obowiązki, na których realizację nie przewidziano dodatkowych pieniędzy. Znacznie poważniejsze uwagi ma Jan Nowak, prezes Urzędu Ochrony Danych Osobowych (UODO). Krytykuje on przede wszystkim możliwe uchybienie obowiązkom z RODO oraz wykluczenie możliwości dochodzenia swoich praw przez niektóre osoby.
Domyślna zgoda
Przypomnijmy: w zależności od potrzeb SMS-y od instytucji publicznych mają trafiać do wszystkich obywateli albo tylko do tych znajdujących się na określonym obszarze (czyli jak alerty Rządowego Centrum Bezpieczeństwa). W sprawach indywidualnych usługa będzie dostępna dla tych, którzy przekażą dane do Rejestru Danych Kontaktowych. Każdy będzie mógł zrezygnować z otrzymywania wiadomości. Kłopot w tym, że tylko przez internet i po uwierzytelnieniu się profilem zaufanym.
Prezes UODO ma zastrzeżenia do takiej konstrukcji. „Wyjaśnienia wymaga, dlaczego projektodawca przyjął instytucje następczego sprzeciwu i rezygnacji z otrzymywania komunikatów, nie zaś uprzedniej zgody na ich otrzymywanie” - pisze Jan Nowak.
Projekt to odwrócenie podstaw prawa ochrony danych osobowych w UE, na czele z zasadą domyślnej ich ochrony
Zauważa, że skoro obywatele będą mogli zrezygnować z otrzymywania komunikatów, oznacza to, że wysyłka SMS-ów nie jest niezbędna do realizacji zadań publicznych przez poszczególne podmioty. A zatem numery osób fizycznych powinny być pozyskiwane na potrzeby wysyłania wiadomości dopiero po wyrażeniu zgody przez te osoby. Nowak dostrzega również wykluczenie obywateli niekorzystających z profilu zaufanego. Projektowana regulacja nie przewiduje bowiem możliwości złożenia sprzeciwu od otrzymywania komunikatów w formie papierowej.
- Projekt przyjmuje rozwiązanie będące w istocie domyślną zgodą na otrzymywanie przez wszystkich komunikatów informacyjnych. Prezes UODO słusznie zwraca uwagę, że to powinno być dokładnie odwrotnie, czyli powinniśmy się godzić na otrzymywanie takich komunikatów, a nie musieć się temu sprzeciwić - komentuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Podkreśla, że proponowana regulacja stanowi zupełne odwrócenie podstaw prawa ochrony danych osobowych w Unii Europejskiej, na czele z zasadą domyślnej ochrony danych (ang. privacy by default).
- Zamiast z definicji prywatność chronić, my jej z definicji nie chronimy. A jak ktoś ma z tym problem, to powinien się zgłosić. I nie może tego zrobić na piśmie, musi drogą elektroniczną, co pozbawi znaczną część społeczeństwa możliwości wyrażenia takiego sprzeciwu - podkreśla dr Litwiński.
Niejasne cele
Prezes UODO ma też wątpliwości dotyczące celów uzasadniających wysyłanie komunikatów przez instytucje publiczne. Na łamach DGP prawnicy wskazywali, że katalog spraw, których mają dotyczyć SMS-y, jest bardzo szeroki i pozostawia pole do interpretacji. Urząd wskazuje zaś, że realizacja wskazanych w katalogu projektu celów nie jest jednoznacznie przypisana poszczególnym podmiotom publicznym, co jest konieczne z punktu widzenia zasad RODO. Nie określono również, jak miałaby wyglądać treść komunikatów.
Poważne zastrzeżenia organu nadzorczego dotyczą też pomysłu wprowadzenia możliwości wysyłania komunikatów w sprawach indywidualnych dotyczących konkretnych osób (po przekazaniu przez abonenta informacji do Rejestru Danych Kontaktowych). W założeniu ma być to forma kontaktowa związana „z usługami i zadaniami publicznymi realizowanymi na rzecz tych osób”.
Tyle że, zdaniem prezesa UODO, projektowane przepisy nie dają możliwości przetwarzania w treści komunikatów informacji dotyczących postępowań administracyjnych ani innych działań wobec możliwych do zidentyfikowania osób, np. zindywidualizowanych danych osobowych lub rozstrzygnięć w indywidualnych sprawach administracyjnych. Jan Nowak wskazuje, że jeśli projektodawca chce wprowadzić takie rozwiązanie, powinno to wprost wynikać z projektowanych przepisów.
Potwierdza to dr Litwiński. Wskazuje, że projektodawca nie wyjaśnia, czego miałyby dotyczyć komunikaty dla konkretnych osób. Czy miałyby być używane do przesyłania wiadomości w toku postępowań administracyjnych lub wezwań w rozumieniu kodeksu postępowania administracyjnego? - Uzasadnienie milczy na ten temat, powtarzając jedynie treść przepisu - zauważa adwokat.
Dla szefa UODO jest to o tyle ważna kwestia, że jeden z przepisów projektu ma dać ministrowi ds. cyfryzacji możliwość weryfikacji zasadności zgłoszenia żądania przekazania komunikatu przez instytucję publiczną. Powstaje więc obawa, czy minister nie będzie miał wglądu np. do tego, jakiego rodzaju usługa i zadanie publiczne są realizowane na rzecz konkretnych osób. Zdaniem Jana Nowaka taki dostęp byłby nieuprawniony.
Mobile co?
Szef UODO zwraca również uwagę, że projektodawca stosuje określenie „Mobile Connect” określające usługę opartą na standardzie telefonii komórkowej, polegającą na przesyłaniu abonentowi komunikatów wymagających wprowadzenia poufnego, znanego wyłącznie temu abonentowi kodu PIN. Tyle że ani nowelizowana ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2023 r. poz. 57), ani inne przepisy prawa nie zawierają definicji „usługi Mobile Connect”.
Nowak uczula, że jeśli za pomocą tej usługi ma być przeprowadzany proces uwierzytelniania użytkowników profilu zaufanego, tj. narzędzia służącego do podejmowania działań rodzących daleko idące skutki prawne dla jego użytkowników, to regulacja powinna szerzej wskazywać, czym konkretnie jest „usługa Mobile Connect”.©℗
