Zintegrowana Platforma Analityczna tworzona jest od kilku lat, przy wsparciu funduszy unijnych. Jej koszt to blisko 42 mln zł. Ma być centralnym systemem analizy danych gromadzonych i tworzonych przez administrację publiczną oraz danych dostępnych z innych źródeł.

Jak wskazuje ministerstwo cyfryzacji, potrzeba stworzenia takiego systemu wynika z rozdrobnienia obecnych rozwiązań raportowych i analitycznych, którymi posługują się różne instytucje państwa. ZPA ma podnieść „skuteczność działań administracji publicznej w wybranych obszarach problemów społecznych i gospodarczych, przez wsparcie procesów decyzyjnych za pomocą wysokiej jakości informacji analitycznej”. Ma być narzędziem służącym wsparciu procesu odpowiedzialnego zarządzania państwem i pozwolić na podstawie bieżących oraz historycznych danych prognozować ich następstwa

Dane z 20 różnych baz, rejestrów i systemów

Ministerstwo cyfryzacji uzasadnia, że celem projektowanego rozporządzenia Rady Ministrów w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej, jest doszczegółowienie ram prawnych dla funkcjonowania ZPA.

Z przepisów wynika, że źródłem udostępnianych do platformy danych jest 20 różnych baz danych, rejestrów i systemów. Zakres udostępnianych danych obejmuje ponad 70 pozycji tak szczegółowych jak np.: dane osobowe łącznie z numerem PESEL; liczbę i daty urodzin dzieci; liczbę, rodzaj i wysokość wypłaconych zasiłków lub świadczeń; dochody, na podstawie których ustalone zostało prawo do tych zasiłków lub świadczeń; wyniki egzaminów centralnych; numer REGON płatnika składek; informacje o przychodach, informacje o stanie zdrowia i świadczeniach uzyskanych z systemu opieki zdrowotnej np. informacje dotyczące podejrzenia lub rozpoznania zakażeń lub choroby zakaźnej wywołanej wirusem SARS-Cov2.

- Dane mają być wyłącznie pseudonimizowane, co jest sposobem zabezpieczenia danych, ale nie powoduje, że dane stają się anonimowe. A nawet gdyby były anonimowe, to i tak ZPA dałaby niespotykane dotąd narzędzie do analiz: demograficznych, społecznych, politycznych, finansowych i innych. A co państwo może zrobić z takimi informacjami? Cóż, przypadek Cambridge Analytica niech posłuży za ostrzeżenie - wskazuje dr Paweł Litwiński, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych.

Cambridge Analytica to firma specjalizująca się w „propagandzie z cienia”, której zarzuca się, że wykorzystując dane analityczne z mediów społecznościowych wpłynęła na wyniki wyborów prezydenckich w USA.

Ochrona danych osobowych a dostęp do informacji publicznej i ponowne wykorzystywanie informacji sektora publicznego. Próba zdefiniowania relacji w pol

Marlena Sakowska-Baryła

Sprawdź  

Panoptykon: projekt zawiera wiele ryzyk

Projekt krytykuje Panoptykon, organizacja działająca na rzecz prawa obywateli do prywatności. Fundacja na podstawie opinii, którą przygotował dr Paweł Litwiński wytyka, że w projekcie rozporządzenia mowa jest o tym, że nowa platforma ma pozwolić na tworzenie polityk publicznych, ale nie określono celów, jakim te polityki mają służyć. A nawet gdyby to zrobiono – to powinno się to znaleźć w ustawie, a nie w rozporządzeniu. Ponadto ustawa, ani projekt rozporządzenia nie zawiera niezbędnych gwarancji dla bezpieczeństwa i poufności danych.

Fundację niepokoi też, że w myśl projektu rozporządzenia, minister właściwy ds. informatyzacji będzie mógł samodzielnie decydować o zmianie celów przetwarzania danych gromadzonych w różnych rejestrach publicznych, np. prowadzonych przez resort edukacji, sprawiedliwości, zdrowia. Opinia publiczna nie będzie zaś miała żadnej kontroli nad tym, do czego dane będą wykorzystywane, bo rozporządzenie nie przewiduje upubliczniania, jakie podmioty ani w jakim celu będą po nie sięgać.

Panoptykon zwraca też uwagę, że przetwarzane w ramach ZPA dane mają być pseudonimizowane. Ale po pierwsze jest to proces odwracalny, a po drugie nie wiadomo, na czym ta pseudonimizacja ma polegać (bo o tym będą decydować dopiero porozumienia), ani dlaczego dane nie będą po prostu anonimizowane.

Zdaniem UODO projekt rozmija się z RODO

Zastrzeżenia do projektu ma Jan Nowak, prezes Urzędu Ochrony Danych Osobowych. W obszernych uwagach wskazuje, że projekt rozporządzenia próbuje kształtować zasady przekazywania do ZPA pełnych danych osobowych, z pominięciem przepisów ustaw, na podstawie których dane te są zbieranie, i z pominięciem szeregu gwarancji zawartych w tych ustawach m.in. w odniesieniu do konieczności przestrzegania bezwzględnej tajemnicy statystycznej.

Przypomina, że już na każdym etapie procedowania przepisów dotyczących zintegrowanej platformy analitycznej zawartych w rozdziale 3b ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne wskazywał, że projektowana skala przetwarzania danych osobowych – w tym ich zakres, kategorie, krąg osób, których dane dotyczą, ilość zaangażowanych w przetwarzanie podmiotów oraz planowane operacje na danych osobowych – i jednoczesna niedoskonałość przyjmowanych przepisów prawa, na podstawie których mają być przetwarzane dane osobowe, budzą poważne zastrzeżenia, gdyż nie gwarantują ochrony danych osobowych i poszanowania zasad ich przetwarzania przewidzianych przepisami RODO.

RPO projekt porównuje do chińskich rozwiązań

Zaniepokojony rozwiązaniami projektu jest też Marcin Wiącek, rzecznik praw obywatelskich. Ma wątpliwości zarówno natury legislacyjnej, jak i konstytucyjnej, dotyczące nie tylko przedmiotu rozporządzenia, ale i jego zakresu.  Zwraca uwagę, że ze względu na szeroki zakres danych, wykaz rejestrów publicznych, zbiorów danych oraz systemów teleinformatycznych, z których udostępniane są te dane, materia ta nie powinna być normowana rozporządzeniem, czyli aktem wykonawczym, ale ustawą.  RPO zastanawia się, czy ta regulacja oraz sposób tworzenia zintegrowanej platformy analitycznej są konieczne, uzasadnione i niezbędne w demokratycznym państwie.

RPO wskazuje też, że projekt jest niezgodny z rozporządzeniem RODO, które nakłada szereg zasad związany ze zbieraniem, przechowywaniem i przetwarzaniem danych. Są to: zasada zgodności z prawem, rzetelności i przejrzystości; zasada ograniczenia celu; zasada minimalizacji danych; zasada prawidłowości; zasada ograniczenia przechowywania; zasada integralności i poufności.

Rzecznik wytyka nieprzejrzystość projektowanych rozwiązań i zauważa, że nie czyni także zadość zasadzie ograniczenia celu. Przepisy zakładają bowiem zmianę pierwotnego celu przetwarzania danych, która nie ma uzasadnienia i podstaw faktycznych.

Rzecznik zauważa, że w projekcie brakuje również szczegółowych i technicznych regulacji związanych z przetwarzaniem danych osobowych, które mają być uregulowane w odrębnych porozumieniach, a powinny być określone właśnie w rozporządzeniu. Pozostawienie spraw ważnych dla ochrony praw i wolności obywateli do uregulowania w porozumieniach obejmujących polityki bezpieczeństwa, przetwarzania danych osobowych oraz możliwości techniczno-organizacyjnych stron tych porozumień, w ocenie Rzecznika Praw Obywatelskich, stanowi poważne naruszenie gwarancji tych praw i wolności.

Zdaniem RPO, przetwarzanie przez organy państwa olbrzymich zestawów danych może kojarzyć się z tworzonym przez Chińską Republikę Ludową mechanizmem o nazwie System Zaufania Społecznego. Jak wskazuje, przedsięwzięciem nieporównywalnym z jakimkolwiek projektem socjotechnicznym w historii ludzkości.

Zgodnie z projektem, dzięki algorytmom sztucznej inteligencji wykorzystywanym do analizy udostępnianych do platformy danych, będzie istniała możliwość generowania przydatnych władzy publicznej informacji na temat obywateli w dowolnych konfiguracjach uzależnionych od bieżących potrzeb władzy. Taka możliwość budzi poważne wątpliwości Rzecznika Praw Obywatelskich w zakresie zarówno jej zgodności z Konstytucją RP, jak również ze standardami międzynarodowymi i europejskimi.

Rząd podkreśla, że podstawy prawne już są

Kancelaria Prezesa Rady Ministrów broni zarówno zasadność powstania ZPA jak i projektu rozporządzenia. Wskazuje, że ochrona danych osobowych zgodna z RODO została wprost zapisana w ustawie o informatyzacji (zgodnie z art. 20s. minister cyfryzacji zapewnia aby dane były przetwarzane w sposób ograniczony co do celu przetwarzania). Oznacza to, że wprost z podstawy ustawowej wynika konieczność zastosowania zasady minimalizacji danych. Podstawa prawna przetwarzania danych na potrzeby platformy analitycznej wynika z rozdziału 3b ustawy o informatyzacji i obowiązuje w przestrzeni prawnej od grudnia zeszłego roku. Zgodnie z delegacją zawartą w art. 20q ust. 7 Rada Ministrów określa rejestry i zakres danych przetwarzanych na potrzeby ZPA.

KPRM wskazuje, że nie ma możliwości, aby w ramach platformy były „agregowane wszystkie możliwe informacje”, gdyż minister jest wprost zobowiązany do m.in. usuwania danych, po czasie ich wykorzystania zgodnie z art. 20s ustawy o informatyzacji.

KPRM podkreśla ponadto, że platforma analityczna nie jest i nie będzie bazą danych, bo nie gromadzi danych sama z siebie. Na potrzeby przeprowadzenia każdej analizy jest tworzone odrębne środowisko analityczne. To uniemożliwia wykorzystanie danych, które nie zostały zaplanowane w ramach danego badania. Tym bardziej nie będzie możliwe połączenie danych, które pochodzą z różnych analiz. Według rządu. przygotowany mechanizm pseudonimizacji nie pozwala na podejmowanie takich działań. - Platforma analityczna to rozwiązanie organizacyjno-techniczne, które umożliwia prowadzenie analiz przez określone osoby (dostęp jest ograniczony), z wykorzystaniem danych po wcześniejszej pseudonimizacji na wydzielonym środowisku przygotowanym pod konkretną analizę. Nie będą łączone dane przygotowane na potrzeby różnych analiz, gdyż nie będzie to możliwe z technicznego punktu widzenia - czytamy w rządowym uzasadnieniu.

Pseudonimizacja danych zapewni bezpieczeństwo

KPRM informuje, że żadna z osób, które biorą udział w analizach nie będzie miała dostępu do pełnych, niespeudonimizowanych danych. Dane osobowe przetwarzane na platformie analitycznej będą podlegać pseudonimizacji, co oznacza, że zostaną przetworzone w taki sposób, by nie można ich było już przypisać konkretnej osobie. Dane będą pseudonimizowane przed ich łączeniem, dzięki czemu osoby prowadzące analizy nie będą miały pola do nadużyć.

Autorzy ZPA wskazują, że związku z tym iż obecnie różne jednostki administracji publicznej posiadają różne uwarunkowania techniczno-organizacyjne, określenie trybu udostępniania danych, które byłoby uniwersalne dla wszystkich jest niemożliwe. Dlatego też zapisano, że strony „uzgadniają metodę pseudonimizacji udostępnianych danych”. Wszystkie udostępnione wyniki będą zanonimizowane. Oznacza to, że nie będzie możliwości określenia osoby na podstawie danych udostępnionych administracji publicznej.