Wojciech Klicki: Państwo powinno podejmować decyzje oparte na faktach

Należę do osób, które mają bardzo ograniczone zaufanie do aktualnej władzy. I właśnie dlatego uważam, że przyjęcie ustawy o Zintegrowanej Platformie Analitycznej jest korzystne. Dzięki niej „złapanie kogoś za rękę” będzie prostsze. Sprzyja temu przewidziana w projekcie transparentność – mówi Wojciech Klicki z Fundacji Panoptykon.

Publikacja: 14.08.2023 02:00

Wojciech Klicki, prawnik fundacji Panoptykon

Foto: rp.pl

Szymon Cydzik

Były już minister zdrowia Adam Niedzielski krytykowany za upublicznienie informacji, jakie leki przepisał sobie jeden z poznańskich lekarzy, tłumaczył się, że „nikt nie ingerował w konto” lekarza, ale jako minister ma on informację o tym kto, komu i jaki lek przypisuje. Czy to znaczy, że MZ może sprawdzić, jakie leki przyjmuje każdy Polak i kto mu je wystawia?

Minister zdrowia ma dostęp do różnych informacji w celu weryfikacji prawidłowości działania systemu. Ale – zgodnie z prawem– nie może sprawdzać, jakie leki przypisał pacjentom konkretny lekarz. Tym bardziej nie miał prawa opublikować tej informacji w mediach społecznościowych – bo nie ma to nic wspólnego z celem, dla którego dostał dostęp do tych danych. Jeśli funkcjonariusz przekracza swoje uprawnienia, to popełnia przestępstwo. Jednak ostatnia sytuacja udowodniła, że minister w praktyce taki dostęp ma i korzysta z niego w celach niezgodnych z prawem. Widzimy więc, że – brutalnie mówiąc – prawo sobie, rzeczywistość sobie. Politykom brakuje szacunku do prawa. Pokazuje to też, że wewnątrz takich instytucji jak MZ nie działają organizacyjne „hamulce”, które spowodowałyby, że nawet jeśli minister chciałby te dane pozyskać w celu „obrony dobrego imienia MZ”, to urzędnik lub urzędniczka mający do nich dostęp, powinni odmówić przekazania ich w takim celu. Jest to z pewnością powód do niepokoju, bo wykorzystywanie danych o obywatelach i obywatelkach do bieżącej walki politycznej, staje się coraz „modniejsze” wśród polityków obozu rządzącego. Dlatego tak ważne jest, by Urząd Ochrony Danych Osobowych reagował na takie przypadki.

W takim kontekście trwają właśnie prace nad stworzeniem Zintegrowanej Platformy Analitycznej. Ma ona zbierać w jednym miejscu dane z wielu resortów i urzędów. Czy to nie poszerza pola do tego typu nadużyć, inwigilacji i ujawniania danych obywateli?

ZPA sama w sobie takiego zagrożenia nie stwarza. Nie będzie służyła do pozyskiwania nowych danych. Nie będą w niej też przetwarzane dane konkretnych osób, tylko zanonimizowane. Minister czy prokurator nie będą mogli w niej sprawdzić informacji o danym obywatelu – będą musieli to zrobić w rejestrze źródłowym, do którego już i tak mają dostęp. Podkreślam – ZPA nie służy do zbierania nowych danych, ale do wykorzystywania tych, które państwo już ma w 26 wymienionych w projekcie rejestrach. Przykładowo: już dziś w ZUS są informacje o naszych oszczędnościach emerytalnych. ZPA ma posłużyć do tego, by te informacje wykorzystać nie tylko w celu wypłaty świadczenia, ale także badania zjawisk w skali makro, np. optymalizacji prowadzenia polityki emerytalnej państwa.

Czym więc ma być Zintegrowana Platforma Analityczna i do czego służyć?

Ma to być narzędzie do przeprowadzenia analiz, które posłużą tworzeniu polityk publicznych państwa. Chodzi o to, żeby za pomocą ZPA administracja, np. ministerstwa, mogła analizować dostępne w rejestrach publicznych dane po to, żeby weryfikować skuteczność prowadzonych przez siebie działań. Przykład? Ministerstwo Rodziny, Pracy i Polityki Społecznej prowadzi wsparcie dla osób bezrobotnych i dzięki ZPA mogłoby analizować, korzystając z danych z ZUS-u, jakie są losy osób np. pięć lat po otrzymaniu wsparcia od urzędów pracy. Innym przykładem jest skuteczność prowadzenia polityki demograficznej w kontekście 500 czy 800+.

ZPA ma działać w ten sposób, że na potrzeby prowadzonej analizy, do tej platformy, będą trafiać dane z różnych rejestrów, np. właśnie z ZUS-u, z urzędów pracy, z różnych ministerialnych baz, KAS itd. To są często bardzo wrażliwe informacje, nie tylko imię, nazwisko, status zatrudnienia, ale w niektórych sytuacjach, np. w kontekście polityki społecznej, państwo ma informacje na temat tego, czy jesteśmy w związku małżeńskim albo czy pozostajemy we wspólnym pożyciu. Bo to może mieć znaczenie w kontekście pomocy społecznej. Więc tego typu informacje mają trafiać do ZPA – która będzie działała w ramach PIE (Polski Instytut Ekonomiczny) – w formie pseudonimowanej i tam będą analizowane.

Czytaj więcej

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

Dane osobowe

Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO – mówi Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych.

Czy po ostatnich przypadkach ujawniania danych przez funkcjonariuszy publicznych ktoś uwierzy że ta anonimizacja jest skuteczna? Mieliśmy też przypadek, gdy ministerstwa Zdrowia i Edukacji połączyły swoje bazy danych, tworząc listę zaszczepionych nauczycieli i wykładowców. Czy do tego właśnie – łączenia danych różnych resortów – ma służyć ZPA?

Faktycznie, był w tej sprawie czynnik analityczny. Widać, że ministerstwa chcą prowadzić takie analizy, ale robią to nieprawidłowo. Właśnie dlatego przyjęcie przepisów o ZPA będzie korzystne. Nada temu procesowi szczegółowe ramy prawne. Będziemy widzieli, co jest, a co nie jest dopuszczalne. Projekt przepisów przewiduje dużą dozę transparentności. Badania prowadzone za pomocą platformy będą opiniowane, zgodę na nie będzie musiała wyrazić Rada Polityk Publicznych. A informacje na podstawie samych analiz będą dostępne publicznie – wyjdą więc one z szarej strefy, w której obecnie się znajdują, przez co urzędy nie wiedzą, co mogą, a czego nie mogą robić.

Czym ma być wspomniana Rada Polityk Publicznych i kto wejdzie w jej skład?

To nowe ciało, które ma powstać i mieć funkcję kontrolną nad ZPA. Jeżeli Rada da zielone światło i uzna, że rzeczywiście analiza może przynieść poszukiwaną odpowiedź, a jednocześnie ministerstwo nie będzie analizowało zbyt wielu danych, to może się zacząć badanie w ZPA. I powstanie na ten temat raport, który trafi do ministerstwa zamawiającego badanie. W skład Rady wejdzie pięciu przedstawicieli administracji, trzech ze świata akademickiego i dwie osoby z organizacji społecznych. Obecność wszystkich tych grup ma swoje uzasadnienie. Urzędników dlatego, że to dla ich potrzeby będą prowadzone te analizy. Akademików dlatego, że to ich rękami ostatecznie będą te analizy przeprowadzane. No i przedstawicieli organizacji społecznych, bo to oni przede wszystkim będą pełnić funkcję kontrolną. Mam jedynie wątpliwość co do tych proporcji, czy tutaj nie powinien być zwiększony udział NGO. Ponadto przepisy nie gwarantują członkom Rady wynagrodzenia za pracę w niej. Jeżeli oczekujemy, że osoby te będą poświęcać swój czas, to powinniśmy za niego zapłacić. Po wprowadzeniu tych zmian proporcji w składzie i wynagrodzeniu RPP będzie ważnym bezpiecznikiem. W jej posiedzeniach będzie mógł brać udział przedstawiciel UODO. To głos istotny, bo eksperci Urzędu mają największe doświadczenie związane z oceną legalności przetwarzania danych osobowych. Mam nadzieję, że Urząd będzie korzystał z tej możliwości.

Jakie dane trafią do ZPA?

Projekt wymienia niemal 100 różnych kategorii danych, jakie mogą trafić do ZPA, często są to dane szczególnie wrażliwe. Dlatego – mimo że ZPA nie służy do analizowania sytuacji konkretnych osób, a do analiz w skali makro – niezbędne są silne gwarancje, aby nie dochodziło do nadużyć. W pierwszej wersji projektu, która ujrzała światło dzienne w kwietniu 2022 r., tych gwarancji zdecydowanie zabrakło. W ocenie Fundacji Panoptykon, ale też wielu ekspertów, tamta wersja projektu była niezgodna z konstytucją oraz RODO. Jednak minęło prawie półtora roku, przetoczyła się publiczna dyskusja o tym, w jaki sposób ZPA ma działać, a projektowane przepisy bardzo mocno ewoluowały. Wciąż nie jest idealnie, ale wprowadzono kilka ważnych bezpieczników, które powodują, że ZPA już takiego dużego potencjału nadużyć nie ma.

A jakie są inne bezpieczniki poza RPP?

Przejrzystość funkcjonowania ZPA. Uchwała o przeprowadzeniu jakiegoś badania, wraz z jego opisem (np. tym, jakie dane będą do niego wykorzystywane), będzie publicznie dostępna. Jeśli np. przedstawiciel organizacji społecznej będzie przeciwko jakiemuś badaniu, ale zostanie przegłosowany, będzie mógł napisać do tej uchwały głos odrębny i to wszystko zostanie upublicznione. Dostęp opinii publicznej do takich informacji to istotna gwarancja. Tak samo jak to, że Rada będzie mogła na bieżąco weryfikować, w jaki sposób prowadzone jest badanie – patrzeć na ręce analitykom. To moim zdaniem minimalizuje ryzyka. Potrzebujemy takich mechanizmów jak ZPA, bo państwo musi podejmować decyzje oparte na faktach. Jeśli ich nie zna, to jesteśmy zdani na intuicję, na kierowanie się wyłącznie np. interesem czysto partyjnym. ZPA pozwala przełamać tę tendencję, a jednocześnie – jeśli przywołane mechanizmy gwarancyjne zostaną jeszcze poprawione, będziemy mogli mieć nadzieję, że w przyszłości będzie trochę lepiej.

Zatem czy obawy, że ZPA służyć będzie do masowej inwigilacji, są uzasadnione?

Należę do osób, które mają bardzo ograniczone zaufanie do aktualnej władzy i właśnie dlatego uważam, że przyjęcie przepisów o ZPA jest korzystne. Dzięki nim „złapanie kogoś za rękę” będzie prostsze, sprzyjać temu będzie przewidziana w przepisach transparentność. Dotychczas analizowanie zanonimizowanych danych z publicznych rejestrów było szarą strefą. I tu dodam jeszcze dwa zastrzeżenia: jeśli ktoś zakłada, że władza działa nielegalnie, to żadne przepisy nic nie zmienią. A po drugie, wciąż borykamy się w Polsce z problemem braku kontroli nad służbami specjalnymi: mają one swobodny dostęp do wszystkich baz danych bez względu na to, czy ZPA istnieje czy nie.

Czytaj więcej

Dane osobowe

Rząd szykuje nową bazę danych o obywatelach

Metodą doklejki ustawowej i bez konsultacji społecznych rząd chce stworzyć kolejną wielką platformę przetwarzania informacji o obywatelach.

Czy w takim razie ZPA rodzi jakieś inne zagrożenia, czy w ogóle nie ma się czego bać?

Takie, że ZPA może być użyte w celach stricte partyjnych, a nie politycznych. Partyjnych, tzn. analizy mogłyby być prowadzone w celu zbadania, na co wyborcy danej partii (rządzącej) będą lepiej reagować albo jaki mają status majątkowy, po to, żeby lepiej dopracowywać do nich przekaz. Natomiast jeśli na etapie parlamentarnym zadbamy o wzmocnienie RPP i zmniejszymy ryzyko, że będzie ona listkiem figowym, groźba ta będzie już nierealistyczna. Drugi rodzaj zagrożenia jest bardziej długofalowy i niezwiązany bezpośrednio z ZPA. Jest taka tendencja na Zachodzie, żeby tworzyć cyfrowe państwo opiekuńcze i opierać jak najwięcej decyzji organów w indywidualnych sprawach na analizie danych.

Przez algorytmy i sztuczną inteligencję?

Tak, chodzi mi o zautomatyzowane decyzje w indywidualnych sprawach. Dziś ZPA nie jest narzędziem, które mogłoby służyć do podejmowania decyzji na temat tego, czy ktoś dostanie zasiłek czy nie. Ale jeśli zmierzamy w kierunku, by państwo analizowało dane zawarte w publicznych rejestrach, to musimy pamiętać o tym, by dotyczyło to tylko danych po anonimizacji i nie służyło analizie sytuacji konkretnych osób. Bo takie automatyczne decyzje w indywidualnych sprawach potrafią być naprawdę krzywdzące. Kolejna rzecz, na którą zwracano uwagę podczas dyskusji na temat ZPA, to konieczność ciągłej troski o to, żeby mechanizmy ochrony danych osobowych funkcjonujące w ramach platformy były nieustannie rozwijane. Bo zwraca się uwagę na to, że dane, które dzisiaj wydają się anonimowe, za chwilę mogą stracić ten anonimowy charakter i dzięki nowym technologiom, dzięki sztucznej inteligencji, możliwe będzie ustalenie tożsamości osób, których one dotyczą. Więc proces ochrony danych w ZPA będzie musiał być prowadzo-ny i rozwijany w sposób ciągły, tak, żeby zapobiegać nowym ryzykom.

Wracając do sprawy Adama Niedzielskiego – wielu komentatorów zwracało uwagę, że skutkiem będzie przede wszystkim podkopanie zaufania do państwa i cyfryzacji sektora publicznego. Jak można temu przeciwdziałać?

Dlatego tak ważne jest nie to, co były minis- ter napisał, bo nawet w najbardziej praworządnym państwie znajdzie się „czarna owca”, ale w jaki sposób zareagują instytucje państwa. Bo to podkopanie zaufania dotyczy właśnie instytucji – i im dłużej milczy UODO oraz prokuratura, tym gorzej. Bo dopiero to pokazuje, że nie możemy ufać państwu, które po pierwsze, dopuszcza do takich sytuacji, a po drugie – nie reaguje na nie. Mimo wszystko uważam, że cała ta sytuacja mocno podważy zaufanie do państwa i cyfryzacji. A dyskusja na temat Zintegrowanej Platformy Analitycznej przybierze bardzo populistyczny charakter, oderwany od autentycznych gwarancji przewidzianych w projekcie. Inwigilacja przez państwo jest nośnym hasłem w debacie publicznej i może uderzyć nawet w oparte na dobrych intencjach i słusznych założeniach pomysły.

Czy w ogóle możliwe jest niedopuszczanie do nich? Tzn. wprowadzenie takich środków organizacyjnych, żeby urzędnik odmówił ministrowi dostępu do danych. Bo o ile jeszcze inspektorzy ochrony danych wewnątrz instytucji mają jakieś gwarancje niezależności, to przecież dane z rejestrów przetwarzają osoby, które takich gwarancji nie mają. I małe są szanse, że odmówią przekazania ich swojemu zwierzchnikowi, od którego zależy, czy zachowają pracę, awansują itp…

To już szerszy problem, związany nie tyle z ochroną danych osobowych, co ze służbą cywilną, która jest od dawna osłabiona. Dyplomowani urzędnicy nie mają tak silnych gwarancji jak kiedyś, są bardziej zależni od „czynnika politycznego”. Po raz kolejny też wychodzi brak silnych przepisów chroniących sygnalistów – które dawno powinniśmy już przyjąć. Chciałbym, żeby dyrektor departamentu, który dostaje zapytanie o takie dane, mógł powiedzieć zwierzchnikowi, że tego nie zrobi. A jeśli już takie dane zostaną przekazane, to osoba, która tę nieprawidłowość ujawni, powinna mieć zapewnioną ochronę.

W ogóle rozmawiamy teraz o działaniu Adama Niedzielskiego, bo był na tyle bezczelny, że ujawnił te dane na popularnym portalu. Ale pomiędzy uzyskaniem dostępu do danych niezgodnie z celem ich przetwarzania a ich upublicznieniem „w celu ochrony dobrego imienia resortu” jest jeszcze mnóstwo etapów, o których opinia publiczna może nie wiedzieć. Dlatego musimy mieć pewność, że wewnątrz instytucji są osoby, które patrzą na ten proces przetwarzania danych.

Obecnie jest procedowana ustawa o e-administracji. Tam dodano przepisy dotyczące audytu i ma być stworzona centralna baza tych danych z audytów (co nagłośniła „Rzeczpospolita”). Samorządy prawnicze wskazują, że istnienie takiej bazy jest niebezpieczne, bo w razie cyberataku grozi to poważnymi konsekwencjami. Czy przy tej platformie jest podobne zagrożenie, że zcentralizowanie danych będzie ułatwiało ich wykradzenie?

Nie, ponieważ będą one zanonimizowane. Jeśli byłbym cyberprzestępcą interesującym się z jakiś względów np. danymi o polskich uczniach, szukałbym ich w rejestrze prowadzonym przez MEiN, a nie w ZPA, w którym dane będą zanonimizowane. Propozycje dotyczące rewidentów są szalenie niebezpieczne, także z perspektywy organizacji społecznych i z innych względów. Dla przykładu: mamy zaplanowany na przyszły rok audyt finansowy i jeżeli te przepisy wejdą w życie, to wszystkie informacje, które zbierze audytor: dotyczące naszych planów, wewnętrznych analiz, sytuacji finansowej czy kadrowej trafią do Polskiej Agencji Nadzoru Audytowego, czyli instytucji zależnej od rządu. Centralizacja takich danych, które dotyczyć będą przecież nie tylko Fundacji Panoptykon, ale przede wszystkim spółek energetycznych, zbrojeniowych itd. stanowi ogromne wyzwanie zarówno z perspektywy cyberbezpieczeństwa, jak i pokusy uzyskania przez państwo w ten sposób wiedzy np. o spółkach konkurujących ze spółkami Skarbu Państwa.

Dane Osobowe

Nieruchomości

Sąd Najwyższy wydał ważny wyrok dla tysięcy właścicieli gruntów ze słupami

Samo wejście na cudzy grunt, a nawet budowa instalacji przesyłowej, nie oznacza oczywistego korzystania, uruchamiającego bieg zasiedzenia służebności.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Konsumenci

To koniec "ekogroszku". Prawnicy dla Ziemi: przełom w walce z ekościemą

Jedno z większych przedsiębiorstw sprzedających węgiel do ogrzewania gospodarstw domowych w Polsce wycofuje nazwę "ekogroszek” i rezygnuje z opakowań sugerujących ekologiczność produktu - poinformowała Fundacja ClientEarth Prawnicy dla Ziemi.

Edukacja i wychowanie

Nie zdał egzaminu, wygrał w sądzie. Wykładowcy muszą przestrzegać zasad

Sąd uznał, że Uniwersytet Rolniczy w Krakowie nie mógł skreślić z listy studenta, który nie zdał egzaminu przeprowadzonego niezgodnie z pierwotnymi zasadami. Eksperci są zdania, że to przestroga dla wykładowców luźno podchodzących do wymagań, które sami ustalają.

Sądy i trybunały

Pomysł Szymona Hołowni nie uratuje wyborów prezydenckich

Propozycja Szymona Hołowni, aby ważność wyborów prezydenckich stwierdzał cały Sąd Najwyższy, nie rozwiązuje kryzysu wokół PKW i nie odpowiada na wątpliwości dotyczące neosędziów.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Edukacja i wychowanie

Uczelnia ojca Rydzyka przegrywa w sądzie. Poszło o "zaświadczenie od proboszcza"

Wojewódzki Sąd Administracyjny w Warszawie nie uwzględnił skargi Akademii Kultury Społecznej i Medialnej w Toruniu na decyzję o zwrocie dofinansowania na utworzenie kierunku "Informatyka medialna".

Materiał Promocyjny

Nest Lease wkracza na rynek leasingowy i celuje w TOP10

Nest Lease, to nowy gracz na polskim rynku leasingowym, będący częścią grupy Nest Bank. Firma powstała w odpowiedzi na rosnące zapotrzebowanie mikro i małych przedsiębiorców na elastyczne i nowoczesne rozwiązania finansowe. Dzięki zaawansowanej technologii i indywidualnemu podejściu, Nest Lease planuje w ciągu dwóch lat wejść do grona dziesięciu największych firm leasingowych w Polsce. W rozmowie z Lechem Stabiszewskim, pełniącym funkcję p.o. prezesa zarządu Nest Leasing S.A., przyglądamy się strategii i ofercie Spółki oraz trendom w branży leasingowej.

Dane osobowe

Wyciek danych studentów i absolwentów SGH. Jest decyzja sądu

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Szkoły Głównej Handlowej w Warszawie na decyzję Prezesa UODO w sprawie kary za zignorowanie obowiązków administratora danych osobowych studentów i absolwentów.

Biznes

Administrator czy procesor danych, czyli RODO komplikacji ciąg dalszy

Przepisy RODO, w tym te dotyczące tak podstawowych kwestii, jak właściwe rozumienie kim jest administrator danych osobowych, a kim podmiot przetwarzający te dane na zlecenie administratora, nadal budzą wątpliwości.

Adam Niedzielski, minister zdrowia w rządzie PiS w latach 2020-2023.

Prawo karne

Adam Niedzielski z wyrokiem. Były minister zdrowia przekroczył uprawnienia

W związku ze sprawą ujawnienia danych pacjenta, były minister zdrowia w rządzie Prawa i Sprawiedliwości Adam Niedzielski stanął przed warszawskim sądem.

Opinie Prawne

Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka

Konieczne jest aktualizowanie uprawnień organów ochrony danych osobowych, zwłaszcza w odniesieniu do nowych technologii.

Samorząd i administracja

Dowiemy się, jakie są zarobki w państwowych spółkach, ale bez nazwisk

Obywatele poznają zasady wynagradzania na danym stanowisku w spółce z udziałem Skarbu Państwa. Dane konkretnych osób nie będą jednak ujawniane. Tak wynika z poprawki przyjętej przez sejmową podkomisję.

Dane osobowe

Kradzież danych osobowych ze szpitala. Co mogą zrobić pacjenci?

Po tym, gdy we włocławskim szpitalu doszło do włamania do skrzynki mailowej sekretariatu, pytamy ekspertów, co mogą teraz zrobić pacjenci i jak ochronić się przed takimi zdarzeniami w przyszłości. Pierwszym krokiem może być zastrzeżenie numeru PESEL.

Biznes

Bezpieczeństwo środków finansowych klientów – jak je zrealizować

Skala strat finansowych związanych z kradzieżą tożsamości, wyłudzeniami lub nieuprawnionym dostępem do środków finansowych powoduje, że klienci, podmioty z sektora e-commerce i instytucje finansowe powinny wdrożyć nowoczesne rozwiązania ICT.

Dane osobowe

Stołeczni harcerze zapłacą 24,5 tys. zł kary za zgubienie laptopa

Prezes UODO nałożył karę 24 tys. 555 zł na Chorągiew Stołeczną ZHP za to, że nie zastosowała środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na przenośnych komputerach.