Nie obawiam się intencji rządzących, ale nie jestem pewien, czy wiedzą dokładnie, co robią
DGP
Aktywiści zajmujący się kwestiami prywatności biją na alarm, że rząd poszerza nadzór nad obywatelami, wykorzystując do tego strach przed koronawirusem. Mają rację?
Zawsze byłem pierwszy do walki z nadmiernym przetwarzaniem danych obywateli, na długo przed wysypem różnej maści obrońców prawa do prywatności, którzy zaciekawili się tematem, gdy na horyzoncie pojawiło się RODO. Dziś mówię: pas. Z racji wieku i stanu zdrowia – podobnie jak 9 mln innych Polaków – jestem narażony na poważne konsekwencje w przypadku zachorowania na COVID-19. I czuję, że znaleźliśmy się w sytuacji, której żaden z nas jeszcze w życiu nie doświadczył. Sytuacji, w której wprowadzanie rządowych środków zaradczych jest niezbędne i konieczne.
Ale burza jest.
Zapytam przewrotnie: komu ufać, jeśli nie rządowi? Kto ma chronić obywateli przed chorobą, jeśli nie ludzie wybrani w demokratycznej procedurze? Kiedy władza wykonuje swoje uprawnienia zgodnie z literą prawa, to przecież nie powinno być powodów do obaw. Można różnie oceniać działalność rządu, ale komu państwo ma powierzyć walkę o przyszłość obywateli, jeśli nie premierowi? Jeżeli więc on mówi, że potrzebuje nowych uprawnień – dajmy mu je. Ale też rzetelnie i wnikliwie rozliczajmy z potknięć.
Dziennik Gazeta Prawna
Pytanie, czy potknięć nie będzie więcej niż korzyści.
Niestety to możliwe. O ile bowiem nie mam obaw o intencje rządzących, o tyle nie jestem pewien, czy wiedzą dokładnie, co robią. To instancje rządowe powinny dokonać oceny, czy wartość zdrowia i życia nie przewyższa wartości ochrony prywatności lub ochrony danych osobowych. Przykładowo w pośpiechu wdrożono aplikację, z której dane o setkach tysięcy obywateli są składowane poza Polską. Dramat.
Mówi pan o aplikacji Kwarantanna Domowa, obowiązkowej dla setek tysięcy Polaków. W środę Rzecznik Praw Obywatelskich wystąpił do Urzędu Ochrony Danych Osobowych o jej ocenę.
Cel wydaje się słuszny. Aplikacja odciąża funkcjonariuszy policji i ułatwia eliminowanie zagrożenia dla zdrowia publicznego, ale spójrzmy na szczegóły. Dane są wysyłane na serwery amerykańskiej firmy. Tej samej, z której nie tak dawno wypłynęły dane 250 mln użytkowników! Do tego sama aplikacja to przeróbka oprogramowania do przeprowadzania sondaży politycznych. Nie udostępniono też nigdzie publicznie jej kodu źródłowego. Nie świadczy to najlepiej o naszym programistycznym przygotowaniu do walki z koronawirusem.
Eksperci twierdzą, że w kodzie Kwarantanny Domowej są zupełnie zbędne pozostałości z pierwotnej wersji aplikacji, np. wtyczki do Facebooka. A zatem idea słuszna, ale wykonanie to fuszerka?
Niestety tak to wygląda, ale mam przekonanie, iż intencje są dobre. Wiadomo, że aplikacja musiała powstać szybko, więc łatwiej było przerobić istniejące narzędzie niż napisać zupełnie nowe. Być może nie jesteśmy w stanie zbudować własnych systemów cyfrowych. Niemniej pokpiono sprawę bezpieczeństwa. Dane o zdrowiu blisko 200 tys. obywateli przebywających w kwarantannie powinny być składowane na serwerach rządowych, a nie w USA. Odpowiedzialni powinni pamiętać też o konieczności przeprowadzenia oceny skutków dla ochrony danych, czego wymaga RODO (być może taka ocena jest dokonywana, ale w sposób niejawny). Chodzi o to, aby rozpoznać niebezpieczeństwa, które wiążą się z wdrożeniem określonego rozwiązania, i stwierdzić, czy nie można go zastąpić innym. To nie to samo, co przeprowadzenie konsultacji publicznych. Rozumiem, że rząd może nie chcieć dokonywać takiej oceny, ale trudno mi zrozumieć, dlaczego nasz Urząd Ochrony Danych Osobowych ani razu mu tego nie wytknął.
A na horyzoncie mamy ProteGO, kolejną aplikację do walki z koronawirusem. Ma pokazywać, gdzie może być ktoś zakażony. I pomoże znaleźć osoby zagrożone.
Tak jak w przypadku Kwarantanny Domowej doceniam sam zamysł. Dzięki ProteGO będzie możliwe lepsze radzenie sobie z sytuacjami, gdy okaże się, że np. kierowca PKS-u ma koronawirusa. Na razie trzeba szukać ludzi, którzy z nim jechali, przez ogłoszenia na słupach albo w lokalnej gazetce. Przecież to jakieś średniowiecze. Jeśli ktoś zetknie się z osobą zakażoną, to aplikacja ProteGO go o tym poinformuje.
Przy założeniu, że w ogóle ktokolwiek będzie jej używał.
To prawda. Minister cyfryzacji Marek Zagórski wyraźnie wskazuje, że im więcej osób będzie korzystać z ProteGO, tym większa będzie jej skuteczność. Moim zdaniem, jeśli już coś robimy, to róbmy to poważnie. Dlatego najważniejsze osoby w państwie powinny podjąć decyzję: potrzebujemy ProteGO, i jest ona obowiązkowa dla większości Polaków. Proponuje się, iż w ramach tej aplikacji obowiązuje zasada przetwarzania danych za zgodą osoby, której te dane dotyczą. To zła i nieskuteczna droga.
Nakaz stosowania aplikacji raczej nie przysporzyłby jej popularności.
Zapewne. A niektóre grona eksperckie biłyby na alarm przez kilka tygodni, informując o wręcz totalitarnym rozwiązaniu. Tak jest dzisiaj, gdy zagrożenie dla życia nie dociera jeszcze do świadomości wielu, ale co będzie jutro? Trzeba sobie zadawać pytania o nadzór nad obywatelami, należy też ważyć interes ogółu. W RODO nazywa się to testem proporcjonalności. Poza tym, z całym szacunkiem dla wszystkich strażników prywatności, ale w RODO są narzędzia, jak np. te wskazane w art. 9 lit. h, a nawet lit. i, które pozwalają na przetwarzanie danych o zdrowiu w celu leczenia czy zapewnienia opieki zdrowotnej albo walki o życie i zdrowie ludzi. A przecież dokładnie z taką sytuacją mamy obecnie do czynienia. Moim zdaniem rząd powinien, a nawet ma obowiązek, korzystać z tego uprawnienia. Nie możemy liczyć, że obywatele wyrażą zgodę na ProteGO. Ale gdyby to poddać sondażowi, czy wybieram ochronę życia i zdrowia, czy ochronę prywatności, to wynik będzie moim zdaniem jednoznaczny. W przypadku stosowania zgody to ktoś ściągnie, zobaczy, że nie spotkał przez tydzień nikogo zakażonego i usunie aplikację – czyli wycofa zgodę – żeby zrobić miejsce w smartfonie dla jakiegoś medium społecznościowego z USA czy Chin. ProteGO powinno być obowiązkowe z mocy prawa. Bo albo walczymy z pandemią, albo tylko pozorujemy, że to robimy. Tylko wtedy nasze wielotygodniowe przesiadywanie w domu i zezwolenie na powolne zabijanie gospodarki będzie miało sens. Zaznaczam, że nie wszystko mi się w ProteGO podoba.
Na przykład?
Przede wszystkim zapewnienia resortu cyfryzacji, jakoby dane osobowe z tej aplikacji nie trafiały do rządu. Przecież nawet w Singapurze, gdzie funkcjonuje podobna aplikacja, dane są przesyłane do tamtejszego Ministerstwa Zdrowia, gdy ktoś okazuje się zakażony. Twórcy programu nie mówią całej prawdy, zamiast wprost powiedzieć, jak jakieś narzędzie ma działać. Teza, że dane będą tylko na smartfonie, nie jest prawdziwa. Jak się wyjaśni, że to wyłącznie na czas pandemii, to obywatele nie będą się obawiać inwigilacji po jej zakończeniu. Ponadto dostęp do danych powinna mieć wyłącznie grupa wtajemniczonych osób (przy wykorzystaniu pseudonimizacji). Jeśli te warunki zostaną spełnione, to nie powinniśmy się sprzeciwiać odbieraniu nam niektórych praw i wolności. A przynajmniej ja nie będę miał z tym najmniejszego problemu. Bo chcę żyć w zdrowiu i nie chcę narażać innych na niebezpieczeństwo. No i oczywiście na dramatyczne skutki załamania gospodarczego. Jednocześnie nie chciałbym, aby dane z tej aplikacji były składowane na serwerach za Atlantykiem. Liczyłbym też, że będą przetwarzane wyłącznie na czas pandemii i nie zostaną użyte w innych celach.
A nie będzie tak, że jeśli dzięki technologii zwalczymy koronawirusa, to za dwa, trzy lata wyjdzie jakiś polityk i powie: „Zadziałało, to teraz zastosujmy ProteGO do walki z pedofilią”?
Albo pod pretekstem rozwoju sztucznej inteligencji. Proszę mi wierzyć, że przy dzisiejszym rozwoju technologii taki scenariusz może się zdarzyć. Narzędzia już są i w zasadzie każdy rząd na świecie, gdyby chciał, mógłby po nie sięgnąć. I to obywatele jako konsumenci, głosujący przede wszystkim portfelami, zezwalają na rozwój technologii. Jeśli zgadzamy się na nowe możliwości technologiczne dla własnej wygody, to musimy być świadomi, że może z niej zechcieć skorzystać rząd, żeby poszerzyć możliwości nadzoru. Dziś wszystkie znaki na niebie i ziemi wskazują, że największą rewolucją technologiczną będzie sztuczna inteligencja. A ona jest jak smok – musi pożerać. W tym przypadku – pożerać dane. Im więcej, tym lepiej. Kiedyś dziwiłem się, że poprzedni prezydent USA Barack Obama otworzył dostęp do danych publicznych w celach analitycznych. Dziś to samo zrobiły Niemcy, Wielka Brytania i Holandia. Okazuje się bowiem, że aby rozwój sztucznej inteligencji był możliwy, niezbędny jest dostęp do danych. Po to, aby algorytmy się uczyły, analizowały problemy i podsuwały skuteczne rozwiązania. A zatem, chcąc nie chcąc, będziemy czynić kolejne kroki w kierunku systemów oceniania obywateli znane z Chin, gdzie rząd przypina ludziom łatkę, kto jest w porządku, a kto nie. Jednocześnie należy docenić, iż liczne ośrodki rozwoju sztucznej inteligencji już dziś udzielają nam dużego wsparcia w walce z koronawirusem.
Ale ludzie nie chcą, żeby im władza zaglądała do łóżka.
Oczywiście. Ja też tego dla ludzi nie chcę. Jednocześnie widzę hipokryzję w krytykowaniu rządu, że ten chce wykorzystywać technologię do zwalczania pandemii. No, oczywiście, że chce. I zapewne coś z naszej prywatności, poza potrzebą walki z pandemią, dla siebie może wykorzystać. Ale tych samych ludzi już nie razi, że globalne korporacje wykorzystują bardziej zaawansowane metody inwigilacji. Nie przeszkadza im, że jak rozmawiają z kimś na czacie o marce samochodu, to po chwili wyskakują im w internecie reklamy tej marki. Czyli ktoś ich już obserwuje, inwigiluje i czerpie z tego korzyści. Nie przeszkadza im to, bo dostają teoretycznie bezpłatną usługę (płacą w praktyce danymi osobowymi), mają skrzynkę pocztową, czat, mogą oglądać śmieszne filmy czy zamieszczać przerobione zdjęcia, jak to będą wyglądać na starość. A jeszcze niebezpieczniej jest, gdy po takie dane sięgną przestępcy. Rozsądniej jest zezwolić na analizę danych rządowi, przy jasnych formach kontroli, a nie prywatnym globalnym korporacjom.
Kilka lat temu apelował pan, żebyśmy „nie sprzedawali się za puszkę coli”, czyli nie przekazywali swoich danych za drobny rabat lub upominek. Czy przy aplikacjach rządowych nie sprzedajemy swoich praw za bliżej nieokreśloną wizję tego, że ktoś nas poinformuje o możliwym zagrożeniu?
Jest poważna różnica. Nie powinniśmy oddawać swoich danych, np. za malutki rabat na rachunku u dostawcy usług, pluszaki w supermarkecie albo za tę puszkę coli, którą dostaniemy za podanie danych do swojego konta w mediach społecznościowych. Te dane są znacznie cenniejsze! Jednak w przypadku aplikacji do walki z koronawirusem sytuacja wygląda inaczej – nie oddajemy części swoich praw za byle co, tylko za czyjeś życie lub zdrowie. Pewnie panowie stwierdzą, że z wojownika o prywatność zmieniam się w zbyt tolerancyjnego dla władzy, znudzonego i sytego człowieka. Ale dla mnie zawsze życie i zdrowie będą ważniejsze od prywatności. Jeżeli aplikacja może uratować dziesiątki tysięcy, albo nawet jeden tysiąc ludzi, to warto. Nie sprzedajemy się za puszkę coli, tylko za życia ludzkie. Może własne, może naszej rodziny, może rodziny znajomych, może nieznajomych nie tak bardzo odmiennych od nas samych. Również cena załamania gospodarczego może być tragiczna. Proszę mnie dobrze zrozumieć. Jak tylko pandemia się skończy, a wierzę, że tak będzie, to przystąpmy kolektywnie do walki o to, aby narzędzia kryzysowe zostały wyrugowane z obiegu albo przynajmniej podlegały wielu obostrzeniom i gwarancjom.
Są głosy, że śmiertelność na koronawirusa jest porównywalna do zwykłej grypy. I że nie warto z jej powodu niszczyć światowej gospodarki ani oddawać prywatności.
Nie jestem lekarzem, więc trudno mi ocenić. Natomiast nawet jeśli tak jest, to tak wygląda sytuacja teraz. Powszechnie wiadomo, że wirus, który zakażał ludzi w Chinach, nie jest już dokładnie tym samym, który atakuje ludzi we Włoszech czy Polsce. On stale mutuje, bo musi przystosować się do warunków, w jakich bytuje. Wiemy też, że mamy już ponad 2 mln potwierdzonych przypadków zakażonych ludzi na całej kuli ziemskiej. Jeśli więc działać, to teraz. Nie dajmy wirusowi szansy, żeby stał się bardziej zabójczy. Żebyśmy nie obudzili się w realiach kolejnej grypy hiszpanki, która przed stu laty zbierała potężne żniwo nie tylko wśród starszych i schorowanych, ale również wśród młodych, zdrowych ludzi, których zabijała silna reakcja obronna organizmu. Ktoś powie, że moglibyśmy się modlić, żeby tak nie było w przypadku koronawirusa. Ale modlitwa, chociaż zasadna, nie może być jedynym rozwiązaniem. Takie jest moje zdanie na dziś. Po pandemii nie będę się upierał, że stosowanie tego typu aplikacji jest niezbędne. Jeśli będzie inaczej, to zapewniam, że będę pierwszy w kolejce, żeby skarżyć takie działania do sądów i europejskich trybunałów.
W tarczy antykryzysowej rząd zastrzegł sobie możliwość przetwarzania olbrzymiej ilości danych z podmiotów publicznych, tylko przerzucił obowiązek ich anonimizacji na tych, którzy je dostarczają. To mogą być np. placówki oświatowe. Mamy wątpliwości, czy to odpowiednie zabezpieczenie.
Wątpliwości co do tego, czy np. dyrektor szkoły ma techniczną wiedzę pozwalającą na przesłanie odpowiednio zabezpieczonych danych, są uzasadnione. Nonszalancja w podejściu do cyberbezpieczeństwa w administracji publicznej jest dobrze znana. I jest to problem ignorowany przez rządzących, odkąd tylko pojawiła się cyberprzestępczość.
A zatem rozwiązanie jest bardzo kontrowersyjne.
I znów „tak, ale…”. Efekty, jakie ma przynieść to rozwiązanie, są dla mnie zasadne. Na pewno trzeba zapanować nad tym, kto będzie miał dostęp do pozyskanych danych i odpowiednio je zabezpieczyć. W tarczy antykryzysowej wskazuje się, że wgląd do pozyskanych informacji ma mieć premier i jego najbliżsi współpracownicy. To nie są przypadkowi ludzie, tylko najważniejsze osoby w państwie. W przypadku prywatnych korporacji niebezpieczeństwo jest o wiele większe. Wszak chodzi im o pieniądze, magia pieniądza jest niebezpieczna, a do tego wiele z tych firm jest kontrolowanych przez obce służby, które nie dbają o interes Polaków.
Fundacja Panoptykon wskazuje, że wszystkie rozwiązania muszą być wprowadzane z zachowaniem określonych zasad bezpieczeństwa. Tyle że tych zasad nadal nie ma, a narzędzia już się pojawiają.
Bardzo często zgadzam się z twierdzeniami Fundacji Panoptykon, dbającej o prywatność obywateli. Natomiast mam wątpliwości, czy – zważywszy na pandemię – jest czas na blokowanie narzędzi technologicznych, które pomogłyby ratować życie ludzkie. Kiedy wprowadzono lichą anonimizację danych w GUS, niemal nikt nie reagował. Jak wpisano do ustawy wdrażającej RODO, że podmioty prywatne mogą zapłacić karę do 20 mln zł, a instytucje publiczne najwyżej 100 tys. zł – taka dysproporcja jest niezgodna z Konstytucją RP – to też w zasadzie nikt nie widział problemu. Nie wiem też, dlaczego nikt nie dociska rządu, aby wykorzystał narzędzia z RODO dla wsparcia polskich przedsiębiorców.
O jakich narzędziach pan mówi?
Artykuł 23 RODO mówi o możliwości ograniczenia poprzez akt prawny w państwie członkowskim zakresu praw wynikających z unijnego rozporządzenia o ochronie danych osobowych. Takie działania są możliwe, gdy służą m.in. bezpieczeństwu narodowemu, zdrowiu publicznemu czy zapobieganiu przestępczości. Państwo mogło więc ulżyć nieco przedsiębiorcom, oferując im np. możliwość spełniania obowiązku informacyjnego na stronie internetowej, co ma przecież większy sens, zważywszy na to, że wiele placówek usługowych jest zamkniętych. Pandemia zabija przedsiębiorczość, a państwo zapomina o tak ważnych kwestiach. Można było w przyjętej ustawie ograniczyć na podstawie art. 23 prawa osób fizycznych. Bo kiedy firmy wrócą do normalnej pracy, to zamiast zajmować się ratowaniem własnego biznesu, będą się borykać przed sądami z roszczeniami ze strony osób fizycznych za niespełnienie wobec nich obowiązków wynikających z RODO.
Czy gdyby rząd dziś poluzował przepisy, to później nie byłoby oporu przed normalnym stosowaniem RODO?
Jeszcze przed pandemią wraz z rzecznikiem MSP Adamem Abramowiczem apelowaliśmy do rządu o wprowadzenie pewnych zwolnień z obowiązków RODO, przede wszystkim dla mikro- i małych przedsiębiorców. Dziś wyraźnie widać, że unijne rozporządzenie jest zbyt restrykcyjne, nieżyciowe i nijak nie przystaje do rozwoju technologii. Daje jednak pewne furtki dla państw członkowskich, aby wprowadzić pewnie poluzowania i dlatego też szokujące jest dla mnie to, że rząd z tych furtek nie korzysta.
Pewnie rząd jest bardziej pochłonięty zwiększaniem swojej władzy. Początkowo w drugiej odsłonie tarczy antykryzysowej premier miał zakusy na pozyskiwanie danych o lokalizacji wszystkich mieszkańców od telekomów. Taki przepis wyleciał dzięki temu, że aktywiści wnieśli sprzeciw.
Nie mam wątpliwości, że tego typu sposoby poszerzania nadzoru będą wracać. A aktywiści i media będą przeciwko nim protestować. Tylko mam wątpliwość, czy protestować będą tylko przeciw dzisiejszemu rządowi. Moim zdaniem dziś należy przerwać spory i zaufać rządzącym. Ale gdy poradzimy sobie z koronawirusem, z wielką przyjemnością będę wspomagał wszelkie działania kontroli polityków i urzędników. Niech z każdego swojego pomysłu tłumaczą się dwa razy bardziej niż dotychczas oraz wypełniają prawem określone prawa osób, których dane dotyczą.