Z roku na rok powstaje coraz więcej państwowych baz danych, w ramach których przetwarzane są duże ilości informacji, w tym oczywiście dane osobowe. Część z nich, takich jak KRS czy elektroniczne księgi wieczyste, jest już od dawna zadomowionych w naszej rzeczywistości. Inne są dopiero projektowane (np. system rejestrowania umów o pracę). Wraz z tworzeniem nowych baz i rejestrów, państwo stale rozszerza zakres informacji gromadzonych o obywatelach. Trend ten może wzbudzać pewien niepokój, między innymi dlatego, że nawet najbardziej tradycyjne państwowe rejestry czasem stwarzają problemy z punktu widzenia danych osobowych.
Cyfryzacja i bazy danych
Od kilkunastu lat, jedną z głównych koncepcji na usprawnienie administracji, jest jej postępująca cyfryzacja. Idea ta – choć ma swoje oczywiste zalety i wydaje się być nieunikniona – stwarza również zagrożenia. Jednym z nich, jest konieczność konstruowania cyfrowych, często połączonych ze sobą, baz danych służących do obsługiwania rozmaitych operacji administracyjnych. Tego typu agregacje informacji oczywiście bardzo usprawniają pracę urzędników, ale wiążą się też z szeregiem zagrożeń dla prywatności obywateli.
Bazy danych powiązanych z działalnością gospodarczą
Dużą część publicznych baz stanowią rejestry związane z prowadzeniem działalności gospodarczej, takie jak KRS, REGON, czy CEIDG. Rejestry te są tak mocno zakorzenione w naszym systemie, że łatwo pominąć zagrożenia jakie mogą one stwarzać. Warto przypomnieć na przykład, że w sierpniu tego roku Prezes UODO wskazał, że funkcjonowanie CEIDG w obecnym kształcie może rodzić pewne ryzyka z punktu widzenia przepisów RODO. Rejestr ten zawiera bowiem informacje o miejscu wykonywania działalności – co w przypadku wielu osób prowadzących JDG może pokrywać się z ich adresem zamieszkania. Zdaniem organu nadzorczego, taka sytuacja może naruszać prawo do prywatności osób wpisanych do rejestru. Z drugiej strony, nie sposób nie wspomnieć również o KRS, w którym każda osoba może pozyskać dane osób wpisanych do rejestru, w tym np. ich numery PESEL.
W najbliższym czasie mają powstać kolejne systemy informatyczne przetwarzające dane przedsiębiorców. W ciągu najbliższych lat stopniowo ma być wprowadzany obowiązek korzystania z Krajowego Systemu eFaktur – KSeF. Wdrożenie tego systemu oznaczać będzie stworzenie potężnej bazy danych, zawierającej informacje o lwiej części transakcji profesjonalnych w Polsce.
Inne bazy
W ciągu ostatnich lat, głośnym problemem była kwestia relacji między przepisami RODO, a zasadą jawności elektronicznych ksiąg wieczystych. Problem ten eskaluje zarówno na gruncie teorii jak i praktyki. Z jednej strony, NSA przesądził, że numer księgi wieczystej jest daną osobową, ze wszystkimi konsekwencjami, które z tego wynikają. Z drugiej strony, często zwraca się uwagę, że wciąż powstają coraz bardziej rozbudowane systemy scrapingowe, pozwalające na pozyskiwanie ogromnej ilości danych osobowych z publicznie dostępnych baz ksiąg wieczystych. Problem ten być może wymaga interwencji legislacyjnej, gdyż nie wydaje się, aby dało się go rozwiązać bez zmiany przepisów.
Warto również wspomnieć o trwających pracach nad rządowym systemem do rejestrowania umów o pracę. W założeniu system będzie przewidywać integrację z bazami danych ZUSu. Będzie on zatem najprawdopodobniej zaciągać ogromne ilości danych, w tym danych szczególnych kategorii (o zdrowiu). Wątpliwości z punktu widzenia zgodności z RODO może również rodzić RPWDL (Rejestr Podmiotów Wykonujących Działalność Leczniczą). W ocenie Prezesa UODO, model pełnej jawności danych osób objętych obowiązkiem wpisu do tego rejestru, narusza ich prawa w sposób nieproporcjonalny do celu prowadzenia rejestru.
Ważna równowaga
Do kwestii państwowych baz danych należy podchodzić z rozwagą i umiarem. Z jednej strony, zbyt szybka i nieprzemyślana cyfryzacja może generować liczne problemy organizacyjne i prawne, z drugiej jednak, trudno wyobrazić sobie nowoczesną administrację publiczną bez sprawnie działających, cyfrowych rejestrów. Choć wydaje się, że wiele z tych systemów wymaga usprawnień pod kątem ochrony danych osobowych, większość problemów ma głównie charakter techniczny. Możliwe jest zatem ich stopniowe dostosowanie do wymogów RODO, bez potrzeby całkowitej przebudowy systemu. Ostatecznie kluczowe jest bowiem znalezienie równowagi między efektywnością administracji a bezpieczeństwem danych obywateli.