GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Rząd pracuje nad super bazą danych. RPO i UODO mają jednak zastrzeżenia

tabele baz danych na metalicznym tle

Database table

Od dłuższego czasu rządzący pracują nad utworzeniem i uruchomieniem tzw. Zintegrowanej Platformy Analitycznej (ZPA), czyli – w założeniu ustawodawcy – rozwiązania teleinformatycznego służącego do prowadzenia analiz wspomagających tworzenie kluczowych polityk publicznych z wykorzystaniem wybranych danych, gromadzonych w rejestrach publicznych.

Trzeba przyznać, że opis jest dość zagmatwany. W praktyce wskazuje się, że ZPA usprawnić ma codzienną pracę instytucji publicznych, które nieustannie korzystają z rożnych baz danych. Przepisy umożliwiające utworzenie takiego narzędzia weszły w życie w grudniu 2021 r., a aktualnie rząd pracuje nad rozporządzeniem faktycznie wdrażającym ZPA. Opublikowany projekt przepisów budzi jednak zastrzeżenia wielu podmiotów, a w tym Rzecznika Praw Obywatelskich (RPO) i Urzędu Ochrony Danych Osobowych (UODO). Entuzjastami nie są także osoby zajmujące się ochroną danych.

Udostępnienie ogromnej ilości danych

Projekt rozporządzenia przewiduje, że ZPA zostanie zasilona danymi osobowymi z 20 publicznych rejestrów, w tym m.in. z rejestru PESEL, rejestru dowodów osobistych, rejestru stanu cywilnego, czy też nawet centralnego rejestru ubezpieczonych ZUS. Administratorzy tych rejestrów zobowiązani będą udostępnić dane osobowe – łącznie – w niespotykanym dotychczas zakresie. Obejmować on będzie przeszło 70 kategorii danych osobowych, a w tym np. imię, nazwisko, numer PESEL, informacje o potomstwie, informacje o uzyskiwanych dochodach, zasiłkach lub innych świadczeniach, czy też informacje o stanie zdrowia i świadczeniach uzyskanych z systemu opieki zdrowotnej. Mowa tutaj więc nie tylko o tzw. zwykłych danych osobowych, ale również o szczególnych kategoriach danych osobowych. A wszystko w ogromnych ilościach.

Dane będą pseudonimizowane

Zgodnie z przepisami ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, dane osobowe udostępniane do ZPA podlegają pseudonimizacji. Pomysłodawcy utworzenia tej platformy podkreślają, że na potrzeby przeprowadzenia każdej z analiz tworzone będzie odrębne środowisko analityczne, co uniemożliwi ewentualne wykorzystanie danych, które nie zostały przeznaczone do konkretnego badania. Zauważają oni, że dostęp do ZPA będzie ograniczony jedynie dla określonych podmiotów, co w połączeniu z zastosowaniem pseudonimizacji danych, powoduje, że nie ma możliwości – przynajmniej z technicznego punktu widzenia – połączenia danych pozyskanych na potrzeby różnych analiz. W ich ocenie, ZPA korzysta z zaawansowanych mechanizmów bezpieczeństwa i ochrony prywatności.
Na tę chwilę ciężko jednak jakkolwiek zweryfikować tę kwestię.

Wątpliwości z różnych stron

Utworzenie ZPA budzi zastrzeżenia wielu podmiotów. Fundacja Panoptykon słusznie wskazuje, że nie ma uzasadnienia dla zastosowania w ramach tej platformy mechanizmu pseudonimizacji, zaś dużo bardziej wskazane byłoby anonimizowanie danych osobowych pozyskanych z innych publicznych rejestrów. RPO wskazuje natomiast, że kwestie określenia źródeł danych osobowych oraz ich katalogu powinna być uregulowana ustawą. Zarzuca on projektodawcy brak przejrzystości, w tym brak szczegółowych i technicznych regulacji związanych z przetwarzaniem danych osobowych w ramach ZPA. W ocenie RPO, uruchomienie narzędzia umożliwiającego organom publicznym przetwarzanie danych osobowych obywateli na tak dużą skalę może kojarzyć się z – funkcjonującym w Chińskiej Republice Ludowej – mechanizmem o nazwie System Zaufania Publicznego.

Chiny z nowymi przepisami, ale i z problemami

Swoje zastrzeżenia co do utworzenia ZPA wyraził również organ nadzorczy (UODO). Wskazał on, że wskazana platforma – w obecnym kształcie – nie gwarantuje ochrony danych osobowych i poszanowania zasad ich przetwarzania, które wynikają z RODO. Regulator z jednej strony zwrócił uwagę na dużą skalę przetwarzania danych osobowych, ich zakres, kategorie, krąg osób, których dane dotyczą, czy też ilość podmiotów, które będą zaangażowane
w przetwarzanie danych osobowych w ramach ZPA. Z drugiej strony zauważył on, że przepisy prawa, które mają regulować kwestię przetwarzania danych osobowych zgromadzonychw ZPA – mówiąc oględnie – nie są doskonałe.

Organ nadzorczy bada gigantyczny wyciek danych osobowych użytkowników Facebook’a

Można założyć, że ryzyko wycieku z tak potężnej bazy danych jest dużo większe niż z innych nie mówiąc już o skutkach, które są nieprzewidywalne. Zdroworozsądkowy  ustawodawca w czasach wojny jaka się toczy za naszymi granicami, także cybernetycznej wojny, nie planuje zebrania tego typu danych w jednym miejscu. Liczymy na refleksję.

Treść projektu rozporządzenia:

https://legislacja.rcl.gov.pl/projekt/12356952/katalog/12857410#12857410

Źródła:

https://www.gov.pl/web/cyfryzacja/zintegrowana-platforma-analityczna

https://www.prawo.pl/samorzad/zintegrowana-platforma-analityczna-kontrowersje,514592.html