Wojciech Klicki: Państwo powinno podejmować decyzje oparte na faktach

Należę do osób, które mają bardzo ograniczone zaufanie do aktualnej władzy. I właśnie dlatego uważam, że przyjęcie ustawy o Zintegrowanej Platformie Analitycznej jest korzystne. Dzięki niej „złapanie kogoś za rękę” będzie prostsze. Sprzyja temu przewidziana w projekcie transparentność – mówi Wojciech Klicki z Fundacji Panoptykon.

Publikacja: 14.08.2023 02:00

Wojciech Klicki, prawnik fundacji Panoptykon

Wojciech Klicki, prawnik fundacji Panoptykon

Foto: rp.pl

Były już minister zdrowia Adam Niedzielski krytykowany za upublicznienie informacji, jakie leki przepisał sobie jeden z poznańskich lekarzy, tłumaczył się, że „nikt nie ingerował w konto” lekarza, ale jako minister ma on informację o tym kto, komu i jaki lek przypisuje. Czy to znaczy, że MZ może sprawdzić, jakie leki przyjmuje każdy Polak i kto mu je wystawia?

Minister zdrowia ma dostęp do różnych informacji w celu weryfikacji prawidłowości działania systemu. Ale – zgodnie z prawem– nie może sprawdzać, jakie leki przypisał pacjentom konkretny lekarz. Tym bardziej nie miał prawa opublikować tej informacji w mediach społecznościowych – bo nie ma to nic wspólnego z celem, dla którego dostał dostęp do tych danych. Jeśli funkcjonariusz przekracza swoje uprawnienia, to popełnia przestępstwo. Jednak ostatnia sytuacja udowodniła, że minister w praktyce taki dostęp ma i korzysta z niego w celach niezgodnych z prawem. Widzimy więc, że – brutalnie mówiąc – prawo sobie, rzeczywistość sobie. Politykom brakuje szacunku do prawa. Pokazuje to też, że wewnątrz takich instytucji jak MZ nie działają organizacyjne „hamulce”, które spowodowałyby, że nawet jeśli minister chciałby te dane pozyskać w celu „obrony dobrego imienia MZ”, to urzędnik lub urzędniczka mający do nich dostęp, powinni odmówić przekazania ich w takim celu. Jest to z pewnością powód do niepokoju, bo wykorzystywanie danych o obywatelach i obywatelkach do bieżącej walki politycznej, staje się coraz „modniejsze” wśród polityków obozu rządzącego. Dlatego tak ważne jest, by Urząd Ochrony Danych Osobowych reagował na takie przypadki.

W takim kontekście trwają właśnie prace nad stworzeniem Zintegrowanej Platformy Analitycznej. Ma ona zbierać w jednym miejscu dane z wielu resortów i urzędów. Czy to nie poszerza pola do tego typu nadużyć, inwigilacji i ujawniania danych obywateli?

ZPA sama w sobie takiego zagrożenia nie stwarza. Nie będzie służyła do pozyskiwania nowych danych. Nie będą w niej też przetwarzane dane konkretnych osób, tylko zanonimizowane. Minister czy prokurator nie będą mogli w niej sprawdzić informacji o danym obywatelu – będą musieli to zrobić w rejestrze źródłowym, do którego już i tak mają dostęp. Podkreślam – ZPA nie służy do zbierania nowych danych, ale do wykorzystywania tych, które państwo już ma w 26 wymienionych w projekcie rejestrach. Przykładowo: już dziś w ZUS są informacje o naszych oszczędnościach emerytalnych. ZPA ma posłużyć do tego, by te informacje wykorzystać nie tylko w celu wypłaty świadczenia, ale także badania zjawisk w skali makro, np. optymalizacji prowadzenia polityki emerytalnej państwa.

Czym więc ma być Zintegrowana Platforma Analityczna i do czego służyć?

Ma to być narzędzie do przeprowadzenia analiz, które posłużą tworzeniu polityk publicznych państwa. Chodzi o to, żeby za pomocą ZPA administracja, np. ministerstwa, mogła analizować dostępne w rejestrach publicznych dane po to, żeby weryfikować skuteczność prowadzonych przez siebie działań. Przykład? Ministerstwo Rodziny, Pracy i Polityki Społecznej prowadzi wsparcie dla osób bezrobotnych i dzięki ZPA mogłoby analizować, korzystając z danych z ZUS-u, jakie są losy osób np. pięć lat po otrzymaniu wsparcia od urzędów pracy. Innym przykładem jest skuteczność prowadzenia polityki demograficznej w kontekście 500 czy 800+.

ZPA ma działać w ten sposób, że na potrzeby prowadzonej analizy, do tej platformy, będą trafiać dane z różnych rejestrów, np. właśnie z ZUS-u, z urzędów pracy, z różnych ministerialnych baz, KAS itd. To są często bardzo wrażliwe informacje, nie tylko imię, nazwisko, status zatrudnienia, ale w niektórych sytuacjach, np. w kontekście polityki społecznej, państwo ma informacje na temat tego, czy jesteśmy w związku małżeńskim albo czy pozostajemy we wspólnym pożyciu. Bo to może mieć znaczenie w kontekście pomocy społecznej. Więc tego typu informacje mają trafiać do ZPA – która będzie działała w ramach PIE (Polski Instytut Ekonomiczny) – w formie pseudonimowanej i tam będą analizowane.

Czytaj więcej

Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Czy po ostatnich przypadkach ujawniania danych przez funkcjonariuszy publicznych ktoś uwierzy że ta anonimizacja jest skuteczna? Mieliśmy też przypadek, gdy ministerstwa Zdrowia i Edukacji połączyły swoje bazy danych, tworząc listę zaszczepionych nauczycieli i wykładowców. Czy do tego właśnie – łączenia danych różnych resortów – ma służyć ZPA?

Faktycznie, był w tej sprawie czynnik analityczny. Widać, że ministerstwa chcą prowadzić takie analizy, ale robią to nieprawidłowo. Właśnie dlatego przyjęcie przepisów o ZPA będzie korzystne. Nada temu procesowi szczegółowe ramy prawne. Będziemy widzieli, co jest, a co nie jest dopuszczalne. Projekt przepisów przewiduje dużą dozę transparentności. Badania prowadzone za pomocą platformy będą opiniowane, zgodę na nie będzie musiała wyrazić Rada Polityk Publicznych. A informacje na podstawie samych analiz będą dostępne publicznie – wyjdą więc one z szarej strefy, w której obecnie się znajdują, przez co urzędy nie wiedzą, co mogą, a czego nie mogą robić.

Czym ma być wspomniana Rada Polityk Publicznych i kto wejdzie w jej skład?

To nowe ciało, które ma powstać i mieć funkcję kontrolną nad ZPA. Jeżeli Rada da zielone światło i uzna, że rzeczywiście analiza może przynieść poszukiwaną odpowiedź, a jednocześnie ministerstwo nie będzie analizowało zbyt wielu danych, to może się zacząć badanie w ZPA. I powstanie na ten temat raport, który trafi do ministerstwa zamawiającego badanie. W skład Rady wejdzie pięciu przedstawicieli administracji, trzech ze świata akademickiego i dwie osoby z organizacji społecznych. Obecność wszystkich tych grup ma swoje uzasadnienie. Urzędników dlatego, że to dla ich potrzeby będą prowadzone te analizy. Akademików dlatego, że to ich rękami ostatecznie będą te analizy przeprowadzane. No i przedstawicieli organizacji społecznych, bo to oni przede wszystkim będą pełnić funkcję kontrolną. Mam jedynie wątpliwość co do tych proporcji, czy tutaj nie powinien być zwiększony udział NGO. Ponadto przepisy nie gwarantują członkom Rady wynagrodzenia za pracę w niej. Jeżeli oczekujemy, że osoby te będą poświęcać swój czas, to powinniśmy za niego zapłacić. Po wprowadzeniu tych zmian proporcji w składzie i wynagrodzeniu RPP będzie ważnym bezpiecznikiem. W jej posiedzeniach będzie mógł brać udział przedstawiciel UODO. To głos istotny, bo eksperci Urzędu mają największe doświadczenie związane z oceną legalności przetwarzania danych osobowych. Mam nadzieję, że Urząd będzie korzystał z tej możliwości.

Jakie dane trafią do ZPA?

Projekt wymienia niemal 100 różnych kategorii danych, jakie mogą trafić do ZPA, często są to dane szczególnie wrażliwe. Dlatego – mimo że ZPA nie służy do analizowania sytuacji konkretnych osób, a do analiz w skali makro – niezbędne są silne gwarancje, aby nie dochodziło do nadużyć. W pierwszej wersji projektu, która ujrzała światło dzienne w kwietniu 2022 r., tych gwarancji zdecydowanie zabrakło. W ocenie Fundacji Panoptykon, ale też wielu ekspertów, tamta wersja projektu była niezgodna z konstytucją oraz RODO. Jednak minęło prawie półtora roku, przetoczyła się publiczna dyskusja o tym, w jaki sposób ZPA ma działać, a projektowane przepisy bardzo mocno ewoluowały. Wciąż nie jest idealnie, ale wprowadzono kilka ważnych bezpieczników, które powodują, że ZPA już takiego dużego potencjału nadużyć nie ma.

A jakie są inne bezpieczniki poza RPP?

Przejrzystość funkcjonowania ZPA. Uchwała o przeprowadzeniu jakiegoś badania, wraz z jego opisem (np. tym, jakie dane będą do niego wykorzystywane), będzie publicznie dostępna. Jeśli np. przedstawiciel organizacji społecznej będzie przeciwko jakiemuś badaniu, ale zostanie przegłosowany, będzie mógł napisać do tej uchwały głos odrębny i to wszystko zostanie upublicznione. Dostęp opinii publicznej do takich informacji to istotna gwarancja. Tak samo jak to, że Rada będzie mogła na bieżąco weryfikować, w jaki sposób prowadzone jest badanie – patrzeć na ręce analitykom. To moim zdaniem minimalizuje ryzyka. Potrzebujemy takich mechanizmów jak ZPA, bo państwo musi podejmować decyzje oparte na faktach. Jeśli ich nie zna, to jesteśmy zdani na intuicję, na kierowanie się wyłącznie np. interesem czysto partyjnym. ZPA pozwala przełamać tę tendencję, a jednocześnie – jeśli przywołane mechanizmy gwarancyjne zostaną jeszcze poprawione, będziemy mogli mieć nadzieję, że w przyszłości będzie trochę lepiej.

Zatem czy obawy, że ZPA służyć będzie do masowej inwigilacji, są uzasadnione?

Należę do osób, które mają bardzo ograniczone zaufanie do aktualnej władzy i właśnie dlatego uważam, że przyjęcie przepisów o ZPA jest korzystne. Dzięki nim „złapanie kogoś za rękę” będzie prostsze, sprzyjać temu będzie przewidziana w przepisach transparentność. Dotychczas analizowanie zanonimizowanych danych z publicznych rejestrów było szarą strefą. I tu dodam jeszcze dwa zastrzeżenia: jeśli ktoś zakłada, że władza działa nielegalnie, to żadne przepisy nic nie zmienią. A po drugie, wciąż borykamy się w Polsce z problemem braku kontroli nad służbami specjalnymi: mają one swobodny dostęp do wszystkich baz danych bez względu na to, czy ZPA istnieje czy nie.

Czytaj więcej

Rząd szykuje nową bazę danych o obywatelach

Czy w takim razie ZPA rodzi jakieś inne zagrożenia, czy w ogóle nie ma się czego bać?

Takie, że ZPA może być użyte w celach stricte partyjnych, a nie politycznych. Partyjnych, tzn. analizy mogłyby być prowadzone w celu zbadania, na co wyborcy danej partii (rządzącej) będą lepiej reagować albo jaki mają status majątkowy, po to, żeby lepiej dopracowywać do nich przekaz. Natomiast jeśli na etapie parlamentarnym zadbamy o wzmocnienie RPP i zmniejszymy ryzyko, że będzie ona listkiem figowym, groźba ta będzie już nierealistyczna. Drugi rodzaj zagrożenia jest bardziej długofalowy i niezwiązany bezpośrednio z ZPA. Jest taka tendencja na Zachodzie, żeby tworzyć cyfrowe państwo opiekuńcze i opierać jak najwięcej decyzji organów w indywidualnych sprawach na analizie danych.

Przez algorytmy i sztuczną inteligencję?

Tak, chodzi mi o zautomatyzowane decyzje w indywidualnych sprawach. Dziś ZPA nie jest narzędziem, które mogłoby służyć do podejmowania decyzji na temat tego, czy ktoś dostanie zasiłek czy nie. Ale jeśli zmierzamy w kierunku, by państwo analizowało dane zawarte w publicznych rejestrach, to musimy pamiętać o tym, by dotyczyło to tylko danych po anonimizacji i nie służyło analizie sytuacji konkretnych osób. Bo takie automatyczne decyzje w indywidualnych sprawach potrafią być naprawdę krzywdzące. Kolejna rzecz, na którą zwracano uwagę podczas dyskusji na temat ZPA, to konieczność ciągłej troski o to, żeby mechanizmy ochrony danych osobowych funkcjonujące w ramach platformy były nieustannie rozwijane. Bo zwraca się uwagę na to, że dane, które dzisiaj wydają się anonimowe, za chwilę mogą stracić ten anonimowy charakter i dzięki nowym technologiom, dzięki sztucznej inteligencji, możliwe będzie ustalenie tożsamości osób, których one dotyczą. Więc proces ochrony danych w ZPA będzie musiał być prowadzo-ny i rozwijany w sposób ciągły, tak, żeby zapobiegać nowym ryzykom.

Wracając do sprawy Adama Niedzielskiego – wielu komentatorów zwracało uwagę, że skutkiem będzie przede wszystkim podkopanie zaufania do państwa i cyfryzacji sektora publicznego. Jak można temu przeciwdziałać?

Dlatego tak ważne jest nie to, co były minis- ter napisał, bo nawet w najbardziej praworządnym państwie znajdzie się „czarna owca”, ale w jaki sposób zareagują instytucje państwa. Bo to podkopanie zaufania dotyczy właśnie instytucji – i im dłużej milczy UODO oraz prokuratura, tym gorzej. Bo dopiero to pokazuje, że nie możemy ufać państwu, które po pierwsze, dopuszcza do takich sytuacji, a po drugie – nie reaguje na nie. Mimo wszystko uważam, że cała ta sytuacja mocno podważy zaufanie do państwa i cyfryzacji. A dyskusja na temat Zintegrowanej Platformy Analitycznej przybierze bardzo populistyczny charakter, oderwany od autentycznych gwarancji przewidzianych w projekcie. Inwigilacja przez państwo jest nośnym hasłem w debacie publicznej i może uderzyć nawet w oparte na dobrych intencjach i słusznych założeniach pomysły.

Czy w ogóle możliwe jest niedopuszczanie do nich? Tzn. wprowadzenie takich środków organizacyjnych, żeby urzędnik odmówił ministrowi dostępu do danych. Bo o ile jeszcze inspektorzy ochrony danych wewnątrz instytucji mają jakieś gwarancje niezależności, to przecież dane z rejestrów przetwarzają osoby, które takich gwarancji nie mają. I małe są szanse, że odmówią przekazania ich swojemu zwierzchnikowi, od którego zależy, czy zachowają pracę, awansują itp…

To już szerszy problem, związany nie tyle z ochroną danych osobowych, co ze służbą cywilną, która jest od dawna osłabiona. Dyplomowani urzędnicy nie mają tak silnych gwarancji jak kiedyś, są bardziej zależni od „czynnika politycznego”. Po raz kolejny też wychodzi brak silnych przepisów chroniących sygnalistów – które dawno powinniśmy już przyjąć. Chciałbym, żeby dyrektor departamentu, który dostaje zapytanie o takie dane, mógł powiedzieć zwierzchnikowi, że tego nie zrobi. A jeśli już takie dane zostaną przekazane, to osoba, która tę nieprawidłowość ujawni, powinna mieć zapewnioną ochronę.

W ogóle rozmawiamy teraz o działaniu Adama Niedzielskiego, bo był na tyle bezczelny, że ujawnił te dane na popularnym portalu. Ale pomiędzy uzyskaniem dostępu do danych niezgodnie z celem ich przetwarzania a ich upublicznieniem „w celu ochrony dobrego imienia resortu” jest jeszcze mnóstwo etapów, o których opinia publiczna może nie wiedzieć. Dlatego musimy mieć pewność, że wewnątrz instytucji są osoby, które patrzą na ten proces przetwarzania danych.

Obecnie jest procedowana ustawa o e-administracji. Tam dodano przepisy dotyczące audytu i ma być stworzona centralna baza tych danych z audytów (co nagłośniła „Rzeczpospolita”). Samorządy prawnicze wskazują, że istnienie takiej bazy jest niebezpieczne, bo w razie cyberataku grozi to poważnymi konsekwencjami. Czy przy tej platformie jest podobne zagrożenie, że zcentralizowanie danych będzie ułatwiało ich wykradzenie?

Nie, ponieważ będą one zanonimizowane. Jeśli byłbym cyberprzestępcą interesującym się z jakiś względów np. danymi o polskich uczniach, szukałbym ich w rejestrze prowadzonym przez MEiN, a nie w ZPA, w którym dane będą zanonimizowane. Propozycje dotyczące rewidentów są szalenie niebezpieczne, także z perspektywy organizacji społecznych i z innych względów. Dla przykładu: mamy zaplanowany na przyszły rok audyt finansowy i jeżeli te przepisy wejdą w życie, to wszystkie informacje, które zbierze audytor: dotyczące naszych planów, wewnętrznych analiz, sytuacji finansowej czy kadrowej trafią do Polskiej Agencji Nadzoru Audytowego, czyli instytucji zależnej od rządu. Centralizacja takich danych, które dotyczyć będą przecież nie tylko Fundacji Panoptykon, ale przede wszystkim spółek energetycznych, zbrojeniowych itd. stanowi ogromne wyzwanie zarówno z perspektywy cyberbezpieczeństwa, jak i pokusy uzyskania przez państwo w ten sposób wiedzy np. o spółkach konkurujących ze spółkami Skarbu Państwa.

Były już minister zdrowia Adam Niedzielski krytykowany za upublicznienie informacji, jakie leki przepisał sobie jeden z poznańskich lekarzy, tłumaczył się, że „nikt nie ingerował w konto” lekarza, ale jako minister ma on informację o tym kto, komu i jaki lek przypisuje. Czy to znaczy, że MZ może sprawdzić, jakie leki przyjmuje każdy Polak i kto mu je wystawia?

Minister zdrowia ma dostęp do różnych informacji w celu weryfikacji prawidłowości działania systemu. Ale – zgodnie z prawem– nie może sprawdzać, jakie leki przypisał pacjentom konkretny lekarz. Tym bardziej nie miał prawa opublikować tej informacji w mediach społecznościowych – bo nie ma to nic wspólnego z celem, dla którego dostał dostęp do tych danych. Jeśli funkcjonariusz przekracza swoje uprawnienia, to popełnia przestępstwo. Jednak ostatnia sytuacja udowodniła, że minister w praktyce taki dostęp ma i korzysta z niego w celach niezgodnych z prawem. Widzimy więc, że – brutalnie mówiąc – prawo sobie, rzeczywistość sobie. Politykom brakuje szacunku do prawa. Pokazuje to też, że wewnątrz takich instytucji jak MZ nie działają organizacyjne „hamulce”, które spowodowałyby, że nawet jeśli minister chciałby te dane pozyskać w celu „obrony dobrego imienia MZ”, to urzędnik lub urzędniczka mający do nich dostęp, powinni odmówić przekazania ich w takim celu. Jest to z pewnością powód do niepokoju, bo wykorzystywanie danych o obywatelach i obywatelkach do bieżącej walki politycznej, staje się coraz „modniejsze” wśród polityków obozu rządzącego. Dlatego tak ważne jest, by Urząd Ochrony Danych Osobowych reagował na takie przypadki.

Pozostało 90% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Płace
Ostatnia taka podwyżka pensji. W przyszłym roku czeka nas rewolucja
Sądy i trybunały
Bezsilność Trybunału rośnie. Uchwała naprawcza Sejmu ponad wyrokiem TK
Konsumenci
Rzecznik generalny TSUE o restrukturyzacji Getin Banku: ocenić musi polski sąd
Podatki
Uparty obdarowany zapłaci podatek, bo nie chciał pokazać wydruku z konta
Akcje Specjalne
Mapa drogowa do neutralności klimatycznej
Sądy i trybunały
Sędzia, który kradł pendrive'y nadal w zawodzie. Zarabia 10 tys. zł miesięcznie
Podatki
Skarbówka będzie łapać już tylko prawdziwych oszustów