Rząd przygotowuje Zintegrowaną Platformę Analityczną. Ma to być supersystem przetwarzania danych. Jednak zastrzeżenia wobec niej ma Prezes UODO, RPO czy Panoptykon. Wątpliwości budzi jej zgodność z konstytucją i innymi aktami prawnymi w tym przepisami RODO.
Zintegrowana Platforma Analityczna przygotowywana jest od kilku lat. Ma to być centralny system analizy danych gromadzonych i tworzonych przez administrację publiczną oraz danych dostępnych z innych źródeł. Całość ma kosztować prawie 42 mln zł.
Ministerstwo cyfryzacji uznaje, że system musi powstać z uwagi na rozdrobnienie obecnych rozwiązań raportowych i analitycznych. Ma wspierać procesy zarządzania państwem poprzez wysokiej jakości analizy.
Źródłem udostępnianych na platformie danych ma być aż 20 różnych baz danych, rejestrów i systemów. Będą to dane o bardzo szerokim zakresie obejmujące dane osobowe wraz z numerem Pesel, liczbę i daty urodzin dzieci, liczbę, rodzaj i wysokość wypłaconych zasiłków lub świadczeń, wyniki egzaminów centralnych, numer REGON płatnika składek, informacje o stanie zdrowia i świadczeniach uzyskanych z systemu opieki zdrowotnej i inne. W sumie na liście jest ponad 70 różnych pozycji.
Z uwagi na zakres zbierania w systemie danych, jego powstanie budzi wątpliwości. Na przykład Panoptykonu, organizacji działającej na rzecz prawa obywateli do prywatności. Fundacja powołuje się na opinie przygotowane przez Pawła Litwińskiego, partnera w kancelarii Barta Litwiński Kancelaria Radców Prawnych.
– Dane mają być wyłącznie pseudonimizowane, co jest sposobem zabezpieczenia danych, ale nie powoduje, że dane stają się anonimowe. A nawet gdyby były anonimowe, to i tak ZPA dałaby niespotykane dotąd narzędzie do analiz: demograficznych, społecznych, politycznych, finansowych i innych. A co państwo może zrobić z takimi informacjami? – pyta dr Paweł Litwiński, partnera w kancelarii Barta Litwiński Kancelaria Radców Prawnych.
Wskazuje on także, że ani w ustawie ani w projekcie rozporządzenia nie znalazły się gwarancje dla bezpieczeństwa i poufności danych.
Panoptykon zauważa też, że zgodnie z projektem rozporządzenia minister właściwy ds. informatyzacji będzie mógł samodzielnie decydować o zmianie celów przetwarzania danych. Nie będzie tego kontrolowała opinia publiczna.
Zastrzeżenia wobec powstania ZPA ma także Jan Nowak, prezes Urzędu Ochrony Danych Osobowych. Zwraca on uwagę na zawarte w projekcie zasady przekazywania pełnych danych osobowych pomijające przepisy ustaw, na podstawie których dane te są zbieranie.
RPO, Marcin Wiącek ma wątpliwości do kwestii legislacyjnych i konstytucyjnych w związku z projektem. Zwraca uwagę na szeroki zakres danych tworzących ZPA i uznaje, że jej funkcjonowanie powinno być uregulowane ustawą, a nie rozporządzeniem. Przy okazji zauważa niezgodność projektu z RODO.
Kancelaria Prezesa Rady Ministrów odpiera zarzuty. Powołuje się na zapisanie przepisów RODO w ustawie o informatyzacji i uznaje, ze to wystarczy do zapewnienia konieczności zastosowania zasady minimalizacji danych w przypadku ZPA. Przypomina też o konieczności usuwania danych po czasie ich wykorzystania z bazy.
Kwestią wątpliwą pozostaje pseudonimizacja udostępnianych danych czy anonimizacja danych. Nie ma jasnych reguł na jakich miałoby się to odbywać i nie wiadomo, czy nie byłyby to procesy odwracalne.
Źródło: prawo.pl
