Rzecznik praw obywatelskich Marcin Wiącek przedstawił Januszowi Cieszyńskiemu, pełnomocnikowi rządu ds. cyberbezpieczeństwa, stanowisko w sprawie projektu ustawy o Centralnej Informacji Emerytalnej, umieszczonego na stronie Rządowego Centrum Legislacji. Celem projektu jest zapewnienie obywatelom pełnego dostępu do informacji o środkach zgromadzonych na wszystkich dostępnych produktach emerytalnych. Chodzi o ZUS, KRUS, IKE, IKZE, PPE, PPK i OFE. Na platformie każdy ubezpieczony będzie mógł sprawdzić stan konta i dokonać symulacji przyszłego świadczenia.

Czytaj również: Po co rządowi Centralna Informacja Emerytalna? Bo obywatelom się nie przyda>>

Uwagi Rzecznika 

Rzecznik z zadowoleniem przyjął informacje, zgodnie z którymi należy sądzić, że zakres danych gromadzonych w CIE zostanie ponownie poddany analizie, a także docelowo zmniejszony. Tworzenie bowiem baz czy rejestrów, w których gromadzone są nadmiarowe dane osobowe, jest niezgodne z zasadą minimalizacji danych. Mowa o niej w art. 5 ust. 1 lit. c rozporządzenia RODO. Kwestia ta wielokrotnie była podkreślana przy okazji innych projektów, wobec których Rzecznik wyrażał opinie. A ten projekt budzi istotne zastrzeżenia przede wszystkim właśnie pod względem zakresu przetwarzanych danych.

RPO wskazywał wielokrotnie - m.in. przy okazji prowadzonych przez ministra cyfryzacji prac nad zintegrowaną platformą analityczną - że kompilowanie danych osobowych i innych danych, pochodzących z różnych źródeł, umożliwia tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania.

Projekt zawiera upoważnienie dla ministra ds. informatyzacji do wydania aktu wykonawczego, w którym określone zostaną warunki, sposób i tryb przekazywania niezbędnych danych i informacji. 

Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. RPO zwraca zatem uwagę, że zakres spraw przekazanych do uregulowania w akcie rangi podustawowej wymaga ponownej analizy i weryfikacji.

Dane gromadzone w CIE muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 

A zdarzały się wszak incydenty związane z brakiem odpowiednich zabezpieczeń bądź dostępem do danych nieuprawnionych osób, co w kontekście projektu może stanowić olbrzymią nieuprawnioną wiedzę o obywatelu. Rzecznik sygnalizuje zatem potrzebę ponownej szczególnie wnikliwej analizy co do konieczności wprowadzenia odpowiednich zabezpieczeń.

W projekcie zaledwie jeden przepis dotyczy profilowania. A przeprowadzenie oceny skutków dla ochrony danych winno być tu kluczowe i to na wstępnym etapie prac, a nie dopiero po konsultacjach. 

Warto także odnieść się do innych krytycznych uwag ekspertów, a dotyczących m.in. i sposobu prezentacji danych o środkach zgromadzonych na cele emerytalne. Nie tylko może on wprowadzać w błąd, ale  może mieć skutek odwrotny od zakładanego, zwłaszcza w okresie dekoniunktury, co projektodawca winien wziąć pod uwagę.

Według RPO, celowe wydaje się też uaktualnienie zarówno uzasadnienia, jak również Oceny Skutków Regulacji projektu w zakresie sytuacji ekonomicznej i gospodarczej kraju, a co za tym idzie – także gospodarstw domowych, które nie dysponują obecnie takimi możliwościami oszczędzania, jak w projekcie ustawy z roku 2020.

 


Będą daleko idące zmiany w projekcie

Jak poinformował w przekazanej odpowiedzi Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa, nadal trwają prace nad projektem, by uwzględnić  uwagi zgłoszone w wyniku konsultacji publicznych i uzgodnieniach.

Po pierwsze, jak podał, projekt ustawy o Centralnej Informacji Emerytalnej (CIE) ma oddać w ręce wszystkich zainteresowanych użyteczny i łatwy w obsłudze instrument, który ma pozwolić na „podniesienie świadomości, wagi i potrzeby zadbania o środki do życia po zakończeniu aktywności zawodowej”. W trakcie  uzgodnień i konsultacji publicznych zgłoszonych zostało wiele uwag. - W wyniku ich analizy projekt podlega daleko idącym zmianom, które zmierzają w pierwszym rzędzie do poprawy Centralnej Informacji Emerytalnej i wychodzą naprzeciw zgłoszonym obawom. Ważne zmiany służą upodmiotowieniu i wzmocnieniu ochrony praw zainteresowanych. Wszystkie prawa zagwarantowane polskim i unijnym prawem ochrony danych osobowych będą poszanowane. Prawo do prywatności i ochrona danych osobowych zostaną, w stosunku do projektu przekazanego do konsultacji, znacząco wzmocnione dzięki przyjęciu nowego modelu zarządzania danymi – zapewnia KPRM.

 


Nowy model zbierania danych i ograniczony ich zakres

Jak twierdzi Cieszyński, najważniejszą zmianą w projekcie jest przyjęcie nowego modelu zbierania i przetwarzania danych. W nowym modelu dane zostały wyraźniej podzielone na dwie grupy. Pierwsza grupa to bardzo ograniczone dane identyfikujące posiadaczy produktów emerytalnych (imię i nazwisko, numer PESEL i numery dokumentów tożsamości). Administrator CIE (tj. Polski Fundusz Rozwoju) nawet tych danych nie będzie przechowywał w oryginalnej postaci, ale jako zakodowane identyfikatory posiadaczy produktów emerytalnych. - Powstanie zbioru takich identyfikatorów jest niezbędne, aby żądanie przekazania danych dotyczących indywidualnych oszczędności emerytalnych kierować tylko do tych podmiotów, które przechowują i zarządzają produktami emerytalnymi konkretnych osób, a nie do wszystkich podmiotów na rynku, które zarządzają produktami emerytalnymi. Powstanie zbioru identyfikatorów w istocie zatem służy ograniczeniu przepływu danych dotyczących oszczędności emerytalnych – tłumaczy pełnomocnik rządu ds. cyberbezpieczeństwa.  Według niego, oznacza to, że tymczasowe pozyskanie podstawowych danych identyfikujących w celu utworzenia zakodowanych identyfikatorów pozostaje w zgodzie z zasadami przydatności, niezbędności i proporcjonalności przetwarzania danych osobowych. Identyfikatory przechowywane w systemie CIE mają mieć postać zakodowaną (tzw. funkcję skrótu – hash). 

Drugą grupą danych będą informacje emerytalne, czyli dane o oszczędnościach emerytalnych. - Zgodnie z założeniem przyświecającym idei budowy systemu CIE, zainteresowany ma uzyskać możliwie kompletną informację o zgromadzonych przez siebie środkach emerytalnych, tj. środkach z publicznego systemu emerytalnego (ZUS i KRUS) oraz z form zarządzanych przez instytucje rynku kapitałowego. Realizacja tego założenia będzie możliwa wyłącznie, gdy do systemu CIE trafią informacje oddające w możliwie pełnym stopniu obraz stanu oszczędności emerytalnych. Stąd nie można podzielić zastrzeżeń do zakresu informacji, które mają być przekazywane do systemu CIE. Ograniczenie zakresu tych danych w stosunku do zakresu określonego w projekcie pozbawiłoby system CIE jego podstawowej funkcji – podkreśla w piśmie KPRM. I zapewnia, że w systemie CIE nie będą przetwarzane żadne dane wrażliwe w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: rozporządzenie 2016/679).

 


Założenie profilu w systemie CIE będzie dobrowolne

Jak twierdzi KPRM, w systemie CIE nie będą przetwarzane dane o oszczędnościach emerytalnych wszystkich ubezpieczonych w ZUS lub KRUS i posiadaczy produktów emerytalnych. Przekazanie tych danych ma bowiem następować wyłącznie po założeniu profilu w systemie CIE. - Projekt ustawy expressis verbis potwierdza, że założenie profilu w systemie CIE będzie zawsze dobrowolne. Zainteresowani będą mogli także w każdej chwili zamknąć profil, co będzie skutkowało usunięciem z systemu CIE danych o oszczędnościach emerytalnych. Jedynie ze względów technicznych, przez okres 6 lat (podstawowych okres przedawnienia roszczeń) pozostaną tylko wpisy w rejestrze operacji i identyfikatory, które są niezbędne do zapewnienia rozliczalności obsługujących system i zachowania spójności zbiorów danych. Takie rozwiązania są powszechnie stosowane w bazach danych. Podobnie rzecz się przedstawia z innymi zbiorami, w których zachowywane są poszczególne pozycje, nawet po ich dezaktywacji (np. numery rachunków bankowych muszą być niepowtarzalne) – wyjaśnia Janusz Cieszyński. Według niego, informacje dotyczące wszystkich ubezpieczonych i posiadaczy produktów emerytalnych będą przekazywane tylko w minimalnym zakresie, właśnie w celu zapewnienia wzmocnionej ochrony danych zawierających szczególnie ważne osobiste informacje, czyli informacje o wysokości i charakterze oszczędności emerytalnych. Dane identyfikujące, do czasu założenia profilu w systemie CIE, nie będą przechowywane w systemie CIE. - Projekt ustawy od początku prac był zatem pomyślany w taki sposób, aby nie dopuścić do zbierania nadmiarowych danych osobowych. Natomiast dzięki wnikliwiej analizie i wsłuchaniu się w głosy płynące od strony społecznej, opracowany został nowy model przetwarzania danych, który zapewni jeszcze dalej idącą ochronę danych osobowych - dodaje.

KPRM twierdzi, że projektowana ustawa przewidywać będzie rozbudowane przepisy o obowiązku zachowania w tajemnicy informacji uzyskanych w toku obsługi systemu CIE. Z kolei udostępnianie informacji z systemu CIE organom władzy publicznej odbywać się będzie w nawet węższym zakresie podmiotowym i przedmiotowym, niż to wynika z innych obowiązujących przepisów, np. ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi lub ustawy – Prawo bankowe.

Projektowana ustawa nie będzie przewidywała profilowania posiadaczy produktów emerytalnych w rozumieniu rozporządzenia 2016/679.

Pełnomocnik rządu ds. cyberbezpieczeństwa zapewnia, że projekt ustawy kładzie silny nacisk na ochronę bezpieczeństwa danych osobowych. Po pierwsze - dostęp do systemu CIE będzie zapewniony wyłącznie przez krajowy węzeł identyfikacji elektronicznej, który jest już wykorzystywany do dostępu do procedur administracyjnych, np. podatkowych i niektórych usług, np. dotyczących zdrowia. Unormowania projektu ustawy dotyczące bezpieczeństwa danych przetwarzanych w systemie CIE zapewniają poziom wymagany rozporządzeniem 2016/679 i z pewnością stawiają wymagania nie niższe niż przewidziane w innych ustawach. - Mając na uwadze, że rozporządzenie 2016/679 jest aktem bezpośrednio obowiązującym, wszystkie jego wymagania, w tym ocena ryzyk, będą stosowane przez PFR i inne zaangażowane podmioty – pisze Cieszyński.

Ponadto, jak informuje, system CIE będzie złożonym systemem teleinformatycznym. W związku z tym, szczegółowe warunki techniczne nie będą regulowane w ustawie, ale w akcie wykonawczym. Dlatego w projekcie przewidziana jest delegacja dla ministra właściwego do spraw informatyzacji do wydania rozporządzenia, w którym zostaną uregulowane techniczne aspekty zabezpieczenia i przekazywania danych. Natomiast wszystkie istotne aspekty funkcjonowania systemu CIE, zwłaszcza dotyczące praw konstytucyjnych, będą uregulowane w ustawie.

Według KPRM, wszystkie rozwiązania projektu ustawy zostały zaprojektowane w poszanowaniu prawa do prywatności i ochrony danych osobowych, w szczególności zgodnie z rozporządzeniem 2016/679.
Dodajmy, że zgodnie z oceną skutków regulacji dołączona do projektu ustawy o Centralnej Informacji Emerytalnejcałkowity koszt budowy systemu po stronie PFR wyniesie 35 mln złotych. Budowa systemu będzie finansowana z dotacji celowej (20 mln zł) oraz środków własnych PFR (15 mln zł).