-Błędem w cyfryzacji było proste przeniesienie jawnych rejestrów do sieci, w tym rejestrów jawnych wewnętrznie dla uczestników postępowań, bez dokonania analizy konsekwencji tego w zakresie ingerencji w prywatność osób, których dane dotyczą. – tłumaczy z kolei prof. Grzegorz Sibiga z INP PAN -Nie zauważono, że w sieci znikają „naturalne bariery” ochrony danych, które istniały dotychczas. Wykazy czy rejestry były wcześniej dostępne tylko w określonym miejscu i czasie, co w praktyce znacząco ograniczało faktyczny dostęp do nich osób trzecich. – podsumowuje.
-Mamy machinalne przenoszenie rzeczywistości analogowej do świata cyfrowego. A tymczasem rozwiązania cyfrowe trzeba zaprojektować z myślą o ochronie prywatności, z uwzględnieniem nowych ryzyk, jak np. tego, że ktoś ma dostęp do 30 tys. rekordów w jednym miejscu. – podsumowuje Paweł Litwiński.
Dlatego też każde przeniesienie jawnego rejestru (wykazu) do sieci powinno być poprzedzone szczegółową analizą, której szczególnych celem jest minimalizowanie ryzyk dla praw osób, których dane dotyczą. Dopiero po niej należy wdrażać konkretne rozwiązania, które pozwolą na ochronę tych praw. Jednym z głównych problemów prawnych w tworzeniu jawnych rejestrów online jest potrzeba wyważenia prawa do ochrony danych osobowych oraz celów ustanawiania jawności, takich jak pewność obrotu gospodarczego, czy realizacja praw innych osób. Eksperci są zgodni, że jest to zadanie niezwykle trudne i nie można zrobić tego abstrakcyjnie.
- W kontekście KRZ większość ekspertów wskazywała, że węższy zakres danych powinien być dostępny elektronicznie. Problem polegał na tym, że system z automatu każdemu nadawał status strony bez weryfikacji, więc można było złożyć wniosek tylko po to, aby uzyskać dostęp do danych. – zauważa Paweł Litwiński - Ale jak mówią informatycy, to nie jest błąd systemu – on po prostu ma tak działać z założenia. Inaczej wygląda to w sprawach sądowych – tam mamy sprzeczne interesy i konieczny jest dostęp do danych drugiej strony, by tych interesów bronić. W przypadku upadłości – wszyscy wierzyciele właściwie są po tej samej stronie i sprzeczności interesów nie ma – dodaje.
Opinia dla "Rzeczpospolitej"
Wojciech Klicki, prawnik z Fundacji Panoptykon
To sytuacja o tyle nietypowa, że nie mamy do czynienia z dostępem do danych przez polityka lub urzędnika, ale ze swego rodzaju „wzajemną inwigilacją”. Tu mamy do czynienia z błędnym zaprojektowaniem systemu, który na taką inwigilację pozwala. Cyfryzacja państwa nie może być prostą digitalizacją akt, bo ona sama w sobie potęguje pewne zagrożenia i zmienia istotę rzeczy.
Podobny problem dotyczył też dostępu do danych o wystawionych receptach, gdyż każdy lekarz, których mamy niemal 190 tys., miał dostęp do danych każdego pacjenta. Wystarczyło, że znał jego PESEL. Jest pewna możliwość śledzenia, kto ten dostęp uzyskał, ale jednak bardzo ograniczona. W takich systemach powinno się zapewniać osobom, których dane dotyczą, informacje o tym kto miał do nich dostęp. I to nie na wniosek, bo nie każdy ma kompetencje by go złożyć, ale z urzędu, w sposób automatyczny. Ponadto obywatel powinien mieć możliwość zgłoszenia nieprawidłowości w łatwy sposób (tak jest np. w Estonii). Po to, by ktoś (policja, UODO), mógł się nimi zająć.
