Rzecznik praw obywatelskich Marcin Wiącek przedstawił Januszowi Cieszyńskiemu, pełnomocnikowi rządu ds. cyberbezpieczeństwa, stanowisko w sprawie projektu ustawy o Centralnej Informacji Emerytalnej, umieszczonego na stronie Rządowego Centrum Legislacji. Celem projektu jest zapewnienie obywatelom pełnego dostępu do informacji o środkach zgromadzonych na wszystkich dostępnych produktach emerytalnych. Chodzi o ZUS, KRUS, IKE, IKZE, PPE, PPK i OFE. Na platformie każdy ubezpieczony będzie mógł sprawdzić stan konta i dokonać symulacji przyszłego świadczenia.

Czytaj również: Po co rządowi Centralna Informacja Emerytalna? Bo obywatelom się nie przyda>>

Zakres danych zostanie poddany ponownej analizie

Rzecznik z zadowoleniem przyjął informacje, zgodnie z którymi należy sądzić, że zakres danych gromadzonych w CIE zostanie ponownie poddany analizie, a także docelowo zmniejszony. Tworzenie bowiem baz czy rejestrów, w których gromadzone są nadmiarowe dane osobowe, jest niezgodne z zasadą minimalizacji danych. Mowa o niej w art. 5 ust. 1 lit. c rozporządzenia RODO. Kwestia ta wielokrotnie była podkreślana przy okazji innych projektów, wobec których Rzecznik wyrażał opinie. A ten projekt budzi istotne zastrzeżenia przede wszystkim właśnie pod względem zakresu przetwarzanych danych.

RPO przypomina, że wskazywał wielokrotnie - m.in. przy okazji prowadzonych przez Ministra Cyfryzacji prac nad zintegrowaną platformą analityczną - że kompilowanie danych osobowych i innych danych, pochodzących z różnych źródeł, umożliwia tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania.

Dane muszą być przetwarzane bezpiecznie

Projekt zawiera upoważnienie dla ministra ds. informatyzacji do wydania aktu wykonawczego, w którym określone zostaną warunki, sposób i tryb przekazywania niezbędnych danych i informacji. 

Jak podkreśla RPO, Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. RPO zwraca zatem uwagę, że zakres spraw przekazanych do uregulowania w akcie rangi podustawowej wymaga ponownej analizy i weryfikacji.

Dane gromadzone w CIE muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. A zdarzały się wszak incydenty związane z brakiem odpowiednich zabezpieczeń bądź dostępem do danych nieuprawnionych osób, co w kontekście projektu może stanowić olbrzymią nieuprawnioną wiedzę o obywatelu. Rzecznik sygnalizuje zatem potrzebę ponownej szczególnie wnikliwej analizy co do konieczności wprowadzenia odpowiednich zabezpieczeń. W projekcie zaledwie jeden przepis dotyczy profilowania. A przeprowadzenie oceny skutków dla ochrony danych winno być tu kluczowe i to na wstępnym etapie prac, a nie dopiero po konsultacjach. 

Warto także odnieść się do innych krytycznych uwag ekspertów, a dotyczących m.in. i sposobu prezentacji danych o środkach zgromadzonych na cele emerytalne. Nie tylko może on wprowadzać w błąd, ale  może mieć skutek odwrotny od zakładanego, zwłaszcza w okresie dekoniunktury, co projektodawca winien wziąć pod uwagę.

Według Rzecznika, celowe wydaje się też uaktualnienie zarówno uzasadnienia, jak również Oceny Skutków Regulacji projektu w zakresie sytuacji ekonomicznej i gospodarczej kraju, a co za tym idzie – także gospodarstw domowych, które nie dysponują obecnie takimi możliwościami oszczędzania, jak w projekcie ustawy z roku 2020.