Liczba wyświetleń: 597
Nie czujemy się dobrze z myślą, że państwo tworzy tzw. megabazy z ogromem informacji na nasz temat. O co trzeba zadbać, aby te megabazy nie stały się furtką do zwykłej inwigilacji? O tym w rozmowie z “Dziennikiem Internautów” mówi dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.
DZIENNIK INTERNAUTÓW: W kontekście konferencji „Internet – granice jawności” szczególnie zainteresował nas temat zbierania danych przez administrację publiczną, który – jeśli się zastanowić – jest trochę rzadziej omawiany w mediach niż tematyka przetwarzania danych przez firmy, takie jak np. Facebook.
WOJCIECH WIEWIÓRKOWSKI (GIODO): Tak, chociaż kwestia pozyskiwania danych jest podnoszona zawsze, gdy administracja publiczna albo zwiększa liczbę prowadzonych baz, albo wprowadza nowe możliwości wymiany informacji pomiędzy tymi bazami. Ten temat wraca, lecz częściej jest ujmowany kontekstowo. Rzadziej rozważamy go jako generalny problem granic dostępu przez administrację do danych o obywatelu. Tak więc temat jest znany, a całość tego zagadnienia staramy się popularyzować, uważając, że kwestie gromadzenia danych przez instytucje publiczne w ramach procesu informatyzacji należą do najważniejszych zagadnień, które w tej chwili są rozstrzygane.
– W tym temacie pojęciem szczególnie wzbudzającym emocje są megabazy. Ostatnio mówiło się o systemie informacji oświatowej i o zbieraniu danych pacjentów. Jaka jest właściwie rola GIODO w kształtowaniu tych zagadnień?
– Z zasady, przy większości zasobów informacyjnych, które są gromadzone przez instytucje publiczne w Polsce, rola GIODO jest dokładnie taka sama, jak w odniesieniu do zasobów informacyjnych instytucji prywatnych. Jedyne wyłączenia, które się tutaj pojawiają, dotyczą baz zawierających informację niejawną i są gromadzone przez instytucje, które popularnie nazywamy służbami specjalnymi bądź organami ścigania. Tu rzeczywiście uprawnienia kontrolne GIODO są w pewnym stopniu ograniczone.
Warto jednak podkreślić bardzo istotną rolę, jaką GIODO odgrywa w procesie opiniowania aktów prawnych, które określają zasady przetwarzania danych osobowych przez administracje publiczną. Jest ona o tyle istotna, że – w odróżnieniu od biznesu, który kieruje się zasadą, że dozwolone jest wszystko to, co nie jest zakazane – podmioty z sektora administracji publicznej mogą działać jedynie w granicach prawa i jedynie na jego podstawie. Oznacza to m.in., że mogą zbierać tylko te informacje, na które wyraźnie zezwalają przepisy prawa.
Pamiętajmy, że art. 51 Konstytucji RP wprost stanowi, że władza publiczna nie może gromadzić innych informacji niż niezbędne w demokratycznym państwie prawnym. Nie ma zatem prawa zbierać informacji które mogą być jej „przydatne”, „potrzebne”, „logiczne” czy „ekonomicznie opłacalne”. Może pozyskiwać tylko te, które są „niezbędne”. Owa „niezbędność” będzie wyznacznikiem zarówno zakresu pozyskiwanych danych, jak i kręgu osób uprawnionych do dostępu do nich. Jeśli zaś chodzi o tworzenie tzw. megabaz, to sądzę, że myślenie o nich jako o pojedynczych bazach danych jest pozostałością z poprzednich epok.
Obecnie ta „megabazowość” polega na tym, że administracja publiczna drogą elektroniczną uzyskuje dostęp do wielu różnego rodzaju zasobów, które są umieszczone w różnych miejscach. Ma więc możliwość łączenia informacji pochodzącej z różnych zasobów. Chodzi więc raczej o interoperacyjność systemów teleinformatycznych obsługujących zasoby instytucji publicznych niż o tworzenie nowych rozbudowanych silosów informacyjnych.
Informatyzacja zasobów administracji i jej usług prowadzi do konfliktu dwóch zasad, które jednocześnie próbujemy wprowadzić w Polsce. Pierwsza to zbudowanie sprawnej e-administracji, która samodzielnie przekazuje informacje między organami administracji publicznej tak, aby obywatel nie musiał wielokrotnie przekazywać administracji tych samych danych. Druga odnosi się do przysługującego każdemu z nas prawa do dysponowania własnymi danymi. Każdy obywatel chciałby bowiem – realizując zasadę autonomii informacyjnej – czuwać nad tym, w jaki sposób informacje o nim, którymi dysponuje administracja publiczna, są wykorzystywane.
W tym kontekście chciałbym zwrócić uwagę na art. 220 kodeksu postępowania administracyjnego, który stanowi, że tam, gdzie istnieje taka możliwość prawna i techniczna, informacje potwierdzające fakty lub stan prawny powinny być przekazywane między organami bez angażowania do tego obywatela. Przepis ten nie stanowi jednak samoistnej podstawy prawnej do tego, by administracja publiczna wymieniała się wszystkimi informacjami, jakie posiada na temat danego obywatela, bez pytania go o zgodę na takie działanie lub bez istnienia przepisu, który by ją do tego uprawniał. Na podstawie art. 220 kpa żaden organ nie może korzystać ze wszystkich danych zdobytych przez inne podmioty sektora publicznego.
– Wspomniał Pan o tym, że administracja publiczna musi udowodnić, że gromadzenie danych jest jej na coś potrzebne…
– Nie że “jest jej potrzebne”, ale “że jest niezbędne”. Zatem nie wystarczy, że administracja wykaże, że te dane byłyby potrzebne, przydatne, że dzięki ich posiadaniu można by było sprawniej realizować określone działania. Trzeba udowodnić, że one są niezbędne, że bez nich państwo demokratyczne nie może funkcjonować.
– No tak, ale ja jako obserwator-laik czasami mam wrażenie, że politycy beztrosko decydują o rozpoczęciu zbierania jakichś danych. Przychodzi mi na myśl system informacji oświatowej.
– Prawdą jest, że politycy, o których Pan wspomniał, ale również niestety niektórzy urzędnicy, wykazują się dużą kreatywnością, jeżeli chodzi o to, co – ich zdaniem – jest im potrzebne do realizowania jakiegoś zdania, czego najnowszym przykładem są przypadki zbierania przez gminy bardzo wielu danych na potrzeby realizacji tzw. ustawy śmieciowej. Stąd tak ważna jest rola Generalnego Inspektora Ochrony Danych Osobowych w procesie opiniowania aktów prawnych. Dowodzą tego prace nad ustawą o systemie informacji oświatowej.
Pierwotne propozycje MEN dotyczące m.in. zakresu pozyskiwanych danych i czasu ich przechowywania były bardzo kontrowersyjne. Niemniej niektóre z nich, na potrzeby zarządzania finansami, zostały przez ustawodawcę uznane za niezbędne. Ważną rolą GIODO było więc ustanowienie pewnego rodzaju limitów, tzn. doprecyzowanie i ograniczenie kręgu osób, które mają dostęp do tego typu zasobu, oraz ograniczanie czasu, w jakim konkretne dane mają być przetwarzane.
Jako przykład podam spór o pozyskiwanie na potrzeby funkcjonowania systemu informacji oświatowej informacji o orzeczeniach o niepełnosprawności uczniów. Rząd udowodnił, że dane te są niezbędne dla rozliczania subwencji oświatowej i monitorowania, czy trafia ona rzeczywiście tam, gdzie powinna. Generalnemu Inspektorowi udało się jednak zminimalizować ewentualne negatywne konsekwencje zbierania takich danych poprzez wprowadzenie krótkiego okresu ich retencji.
O ile generalnie dane w systemie informacji oświatowej dane będą pozostawały dość długo, o tyle te dotyczące orzeczeń o niepełnosprawności będą usuwane po roku od rozliczenia subwencji oświatowej. Cel, jakim jest rozliczenie subwencji zostanie więc osiągnięty, a jednocześnie nie będzie dochodziło przez lata do stygmatyzacji ucznia. Takich przykładów związanych z uchwalaniem ustawy o systemie informacji oświatowej można by podać więcej. Generalnie wprowadzone przez senatorów poprawki, uwzględniające m.in. sugestie GIODO, spowodowały, iż w tej chwili przepisy zapewniają znacznie większą ochronę prywatności niż początkowo proponował MEN. Co do zasady bowiem Generalny Inspektor stara się zapobiegać sytuacjom, w którym nasze dane gromadzone są ponad miarę lub na zapas.
– Spytam Pana teraz o pomysł, o którym donosiła prasa. RMF sugerował, że ministerstwo transportu chciało by zrobić serwis, w którym można by było sobie sprawdzić swoje zdjęcia z fotoradaru.
– To jest informacja typu „Radio Erewań podaje” tzn. coś jest na rzeczy, ale chyba nie do końca takie rozwiązanie proponowało Ministerstwo Transportu. O ile wiem, intencją tego resortu jest umożliwienie nam dostępu on line do zdjęcia z fotoradaru w związku z konkretną sprawą, która się przeciwko nam toczy. Chodzi zatem o inne zarządzanie tą informacją, którą do tej pory dostawaliśmy w kopercie do skrzynki. Propozycja ministerstwa jest taka, że o ile informacja, że zdjęcie zostało zrobione, będzie nam dostarczona listownie, o tyle samo zdjęcie będziemy mogli zobaczyć jedynie on line.
– Pan dostrzega jakieś szczególne problemy związane z takim pomysłem?
– Tak, lecz tak naprawdę dotyczą one jedynie szczegółów. Między innymi tego, w jaki sposób przekazywana będzie informacja do konkretnego adresata, by zapewnić, że tą osobą, która otrzyma informacje o zdjęciu, będzie akurat ta, której sprawa dotyczy, czy przynajmniej ta, która jest właścicielem samochodu, a także tego, jakie będą jej uprawnienia związane z ewentualnym udostępnianiem tej informacji dalej.
Natomiast rozwiązania polegającego na umieszczaniu zdjęć z fotoradarów w bazie internetowej, nie postrzegam jako bardziej ingerującego w prywatność niż stosowane dotąd przesyłanie informacji przez straże miejskie za pośrednictwem Poczty Polskiej, choć oczywiście rodzi ono pewne zagrożenia związane z bezpieczeństwem, jak choćby możliwość ataku ze strony hakerów.
– Oprócz zbierania danych przez firmy i przez instytucje, jest jeszcze coś takiego jak zbieranie danych przez firmy jakby na zlecenie władz, czyli np. zatrzymywanie danych o połączeniach telekomunikacyjnych. Ostatnio w Parlamencie Europejskim wróciła kwestia przekazywania danych pasażerów linii lotniczych. Czy Pan spodziewa się nasilenia takich zjawisk w przyszłości?
– Z pewnością tak. W tej chwili jest to jeden z najtrudniejszych i z najważniejszych problemów, które są rozważane przez unijnych rzeczników ochrony danych osobowych. Ująłbym go jednak nieco inaczej niż Pan. Pan wspomniał bowiem o pozyskiwaniu danych „na zlecenie” służb państwowych, a tak naprawdę problemem jest to, przez jaki okres podmioty prywatne będą zobowiązane do przetrzymywania danych, które same gromadzą dla własnych potrzeb oraz w jakim zakresie będą musiały je udostępniać uprawnionym organom.
Pan podał przykład danych telekomunikacyjnych – przecież te dane są przechowywane przez operatorów dla ich własnych celów, choćby związanych z reklamacjami. Podobnie jest z danymi dotyczącymi pasażerów linii lotniczych. Problemem, który odnosi się do wszystkich sektorów gospodarki i służb specjalnych wszystkich państw, jest natomiast to, jak szeroki będzie dostęp służb specjalnych czy policji do danych, które posiadają firmy i w jakich celach będą one mogły być wykorzystywane. Mamy bowiem do czynienia ze stałą tendencją do przyznawania organom państwa prawa dostępu do danych, które gromadzą podmioty rynkowe.
Natomiast GIODO jako organ ochrony danych osobowych twardo stoi na stanowisku, że tego typu dostęp jest możliwy w konkretnych sprawach, wtedy, kiedy toczy się konkretne postępowanie. Natomiast przekazywanie administracji publicznej wszystkich danych, którymi dysponuje konkretny przedsiębiorca, jest absolutnie niedopuszczalne.
– W chwili obecnej w Parlamencie Europejskim trwają prace nad unijnymi przepisami w zakresie ochrony danych. Jak ich zmiana może wpłynąć na pracę administracji publicznej czy przetwarzanie danych w administracji publicznej?
– Przede wszystkim warto powiedzieć, że unijne rozporządzenie dotyczące ochrony danych osobowych w takim samym stopniu ma się odnosić i do przedsiębiorców, i do administracji publicznej.
Przez pewien czas istniało niebezpieczeństwo, że kilka krajów europejskich będzie dążyło do tego, by spod jego działania wyłączyć instytucje publiczne. Natomiast na szczęście tak się nie stało. Jedyne wyłączenia, które się pojawiają, będą dotyczyły organów ścigania oraz policji, czyli podmiotów, które zajmują się zapobieganiem i zwalczaniem przestępstw oraz wykonywaniem kar w postępowaniach karnych. Ich działalność będzie regulował inny akt prawny, jakim jest dyrektywa, która ma być przyjęta wspólnie z rozporządzeniem.
Nie jestem optymistą co do tego, czy rzeczywiście tak się stanie. W związku z czym wciąż mogą istnieć różnice jeżeli chodzi o gromadzenie danych na potrzeby postępowań karnych i sądzenia oraz wykonywania kar w postępowaniu karnym. Aczkolwiek traktowałbym to jako swoisty wyjątek, który zresztą zawsze istniał w prawie europejskim, w polskim także.
Natomiast jeżeli chodzi o instytucje administracji publicznej, to generalnie podlegają one takim samym zasadom, jak wszystkie inne podmioty, które rozporządzenie obejmuje. A jeżeli pojawiają się odstępstwa, to na rzecz większej ochrony danych osobowych. Jak np. obowiązek powoływania w instytucjach publicznych inspektorów zajmujących się ochroną danych osobowych, takich jak obecnie w polskim prawie administratorzy bezpieczeństwa informacji.
Rozmawiał: Marcin Maj
Źródło: Dziennik Internautów
Poznaj plan rządu!
