Państwowe instytucje gromadzą o nas tak wiele informacji, że bez trudu mogłoby każdego szczegółowo inwigilować. I wszystko to dzieje się zgodnie z prawem, w dodatku ponoć dla naszego bezpieczeństwa.
Zagrożenia zawiązane z nadmierną liczbą rejestrów publicznych / DGP
Administracja państwowa musi gromadzić pewne dane swoich obywateli. Dzięki temu wiadomo, kto przebywa na terytorium państwa, jak przebiegają granice prywatnych nieruchomości, jaką działalnością zajmuje się dany przedsiębiorca. Jednak rejestrów, w których przetwarzane są dane obywateli, jest tak dużo, że ciężko je zliczyć. Przepisy przyznają instytucjom bardzo szeroki dostęp do naszych danych. W efekcie informacje te mogą posłużyć nie tylko do zapewnienia społeczeństwu bezpieczeństwa, lecz także do bardzo wnikliwej inwigilacji obywateli. Wprawdzie zebranie takich informacji wymaga wysiłku, bo nie są one zgromadzone w jednym miejscu, tylko porozrzucane w wielu różnych bazach danych, jednak istnieją rozwiązania, które umożliwiają ich połączenie.

Służby wiedzą najwięcej

Policja, prokuratura, Agencja Bezpieczeństwa Wewnętrznego czy Centralne Biuro Śledcze mają dostęp do danych o naszych połączeniach telefonicznych. Dzięki temu są w stanie ustalić, że pan X kontaktował się z panem Y w konkretnym dniu i o danej godzinie, co pozwala udowodnić niektóre przestępstwa. Z tym że przepisy ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne każą gromadzić te dane firmom telekomunikacyjnym, a nie państwowym służbom. Firmy muszą je przechowywać przez dwa lata, by w razie potrzeby służby mogły wystąpić o ich udostępnienie.
Problem z retencją danych telekomunikacyjnych, czyli ich przechowywaniem, polega na tym, że polskie regulacje umożliwiły bardzo szeroki dostęp do nich. Zgodnie z art. 180a ustawy – Prawo telekomunikacyjne operatorzy muszą przekazywać dane uprawnionym podmiotom, a także Służbie Celnej, sądowi i prokuratorowi. Tak skonstruowany przepis powoduje, że krąg uprawnionych jest bardzo szeroki. Brak zawężenia powoduje, że przepisy są wykorzystywane nie tylko w poważnych sprawach karnych. Po dane mogą sięgnąć nawet sądy cywilne, np. w sprawach rozwodowych. W ten sposób gromadzone informacje, które miały służyć walce z przestępczością, stały się orężem w walce skłóconych małżonków.
Dane, jakie przez dwa lata muszą przetrzymywać firmy, to numery telefonów, z którymi łączył się właściciel telefonu, czy czas trwania rozmowy. To nawet informacje o stacjach przekaźnikowych, w zasięgu których znajdował się telefon, jak i aparat, na którym odebrano rozmowę. Dzięki temu można ustalić, gdzie znajdowały się rozmawiające ze sobą osoby.
Ten sam przepis prawa telekomunikacyjnego zmusza operatorów do gromadzenia na potrzeby służb nie tylko danych o naszych połączeniach telefonicznych. Zbierają także informacje o ruchu w internecie, np. o tym, kto i kiedy wchodził na dany serwer. Nie oznacza to jednak, że każdy, kto chce, może zdobyć takie dane. Nawet sądy muszą kierować zapytania do operatorów o udostępnienie informacji.



Urzędnik dobrze cię zna

Ogromem informacji na nasz temat dysponują także różne urzędy. Wiele z nich jest zgromadzonych w Powszechnym Elektronicznym Systemie Ewidencji Ludności (PESEL). Powstał on na mocy ustawy z 10 kwietnia 1974 roku o ewidencji ludności i dowodach osobistych. W bazie PESEL przetwarzane są dane takie jak nazwiska, imiona, nazwiska rodowe, numery i serie dowodu osobistego. Są tam informacje o płci obywatela, stanie cywilnym, danych małżonka, dacie zawarcia związku małżeńskiego. To wszystko związane jest z adresem zameldowania. W tym obszernym rejestrze są też informacje o zgonach.
Rejestr pozwala zidentyfikować osoby przebywające na terytorium kraju. Bywa też pomocny przy poszukiwaniu osób zaginionych. Oprócz służb, sądów i prokurator dostęp do tych danych mają m.in. samorządy w zakresie niezbędnym do realizacji zadań publicznych czy też straż miejska.
Dane o osobach skazanych znajdują się w Krajowym Rejestrze Karnym, który prowadzi Ministerstwo Sprawiedliwości. Zgodnie z ustawą z 24 maja 2000 r. o Krajowym Rejestrze Karnym są tam dane osób prawomocnie skazanych za przestępstwa lub przestępstwa skarbowe, czy tych, którym warunkowo umorzono postępowanie karne. Wgląd w te dane mogą uzyskać przedstawiciele wymiaru sprawiedliwości, ale też pracodawcy, jeśli chcą zatrudnić pracownika, który musi spełniać wymóg niekaralności. Każdy obywatel może też sam uzyskać informację, czy informacje o nim znajdują się w tym rejestrze.
Resort sprawiedliwości prowadzi także elektroniczny rejestr ksiąg wieczystych. Za pośrednictwem strony internetowej możemy sprawdzić położenie i oznaczenie konkretnej nieruchomości, kto jest jej właścicielem. By jednak uzyskać te dane, trzeba znać numer konkretnej księgi.
W rejestrach gromadzone są dane pozwalające dowiedzieć się, czy ktoś ma samochód. W Centralnej Ewidencji Pojazdów i Kierowców są informacje nie tylko o pojazdach zarejestrowanych w Polsce i ich właścicielach, lecz także data rejestracji auta czy informacje o zawartym ubezpieczeniu OC. Są też dane o tym, czy konkretny kierowca ma uprawnienie do prowadzenia pojazdów i czy prawo jazdy nie zostało mu odebrane.
Urzędnicy w samorządach wiedzą o nas wiele. Wystarczy, że zajrzą do rejestrów decyzji o ustaleniu warunków zabudowy czy o pozwoleniu na budowę. Mają więc wgląd w informacje, kto, kiedy i gdzie np. buduje dom. Bez tego nie dałoby się jednak sprawdzić, czy dany dom jest samowolą budowlaną, czy nie.
Takich rejestrów jest cała masa, ale nie zawierają one wszystkich danych. Dopiero wyciągnięcie informacji z kilku z nich pozwala na zbudowanie tzw. profilu osoby. A to już gra na zaawansowanym poziomie. Mając dostęp do danych z różnych rejestrów, można dokładnie poznać człowieka. Dowiedzieć się, gdzie mieszka, gdzie pracuje, z kim się kontaktuje, wywnioskować, czym się zajmuje, co lubi i jak często korzysta z niektórych usług. W takim przypadku obywatel jest niemal obdarty z prywatności.
Profil może stworzyć choćby urzędnik, który ma wgląd w kilka rejestrów. A w razie wycieku danych – komercyjna firma, by przesłać potencjalnemu klientowi indywidualnie skrojoną ofertę handlową.



Obszerne centralne bazy

Powstają już bazy danych, gdzie znajdą się nie tylko podstawowe dane osobowe obywateli, ale znacznie bardziej szczegółowe. Uchwalona w zeszłym roku ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia sprawi, że dane każdego pacjenta, w tym także informacje o jego chorobach będą dostępne w jednym miejscu. Dostępne tam będą dane z kilku rejestrów, jak np. systemu rejestru usług medycznych Narodowego Funduszu Zdrowia czy systemu statystyki w ochronie zdrowia. Za jednym zamachem będzie można sprawdzić, jak pacjent ma na imię i nazwisko, jaką ma płeć, obywatelstwo, stan cywilny, numer PESEL, adres zamieszkania, numer ubezpieczenia czy też stopień niepełnosprawności. Na tym jednak nie koniec. Za sprawą tego systemu dostępna będzie także dokumentacja medyczna pacjenta w postaci elektronicznej.
Rozwiązanie ma służyć usprawnieniu funkcjonowania służby zdrowia. Z założenia lekarze będą mieli szczegółowe informacje o pacjencie, który np. nieprzytomny trafi do szpitala. Dzięki temu łatwiej podejmą decyzję o danej metodzie leczenia czy o podaniu właściwych leków. System będzie prowadzony przez Ministerstwo Zdrowia. Jednak jakikolwiek wyciek tak szczegółowych informacji może być bardzo niebezpieczny. Mimo że ustawa weszła w życie z dniem 1 stycznia 2012 roku, to pełna funkcjonalność tego sytemu medycznego ma być gotowa do 1 sierpnia 2014 roku.
Zgodnie z nową ustawą z 15 kwietnia 2011 r. o systemie informacji oświatowej, która wejdzie w życie 30 kwietnia 2012 roku, w jednym miejscu będą zbierane dokładne informacje o uczniach. Wątpliwości co do proponowanych w ustawie rozwiązań ma m.in. prof. Irena Lipowicz, rzecznik praw obywatelskich. Jej zdaniem nie ma potrzeby, by w jednym centralnym rejestrze znalazły się takie dane jak np. informacje o uczestnictwie w dodatkowych zajęciach, wynikach egzaminów czy przyznanej uczniowi pomocy materialnej.
O ile państwo musi zbierać dane o obywatelach, by administracja właściwie funkcjonowała, to nie ma potrzeby, by urzędnicy mieli do nich tak swobodny dostęp. Wystarczyłoby, gdyby mieli wgląd do tych danych tylko wtedy, gdy wymaga tego konkretna sytuacja.
W praktyce nikt nie sprawuje bezpośredniego nadzoru nad urzędnikiem. Dlatego może on zdobyć informacje o petencie, nie tylko w momencie jego obsługi. Oczywiście nie należy zakładać, że urzędnicy sprzedają nasze dane firmom ubezpieczeniowym, jednak nie można wykluczyć takiego ryzyka.
Może się zdarzyć, że urząd w ramach prowadzonych rejestrów dostanie dostęp do danych, których nie potrzebuje. Mało brakowało, by generalny inspektor ochrony danych osobowych miał dostęp do rejestru kont bankowych i rachunków inwestycyjnych w Polsce. GIODO sam przyznaje, że takie dane nie są mu do niczego potrzebne w pracy. Na szczęście Sejm uchwalił jednak ustawę o wymianie informacji między organami ścigania krajów UE bez takich zapisów.
Powstają też rozwiązania, które pozwalają jednocześnie korzystać z danych zgromadzonych w kilku rejestrach. Tak jest np. z projektem pl.ID, który ma na celu udostępnienie w jednym miejscu informacji zgromadzonych w PESEL, Centralnym Rejestrze Aktów Stanu Cywilnego, który jeszcze nie powstał i Rejestrze Dowodów Osobistych. Takie rozwiązania powodują, że poszczególne instytucje nie muszą tworzyć własnych rejestrów.
W ramach jednego narzędzia uzyskują dostęp do potrzebnych im danych, które zostały zgromadzone w innym urzędzie. I tak powstaje kolejny instrument, który ułatwia pracę urzędnikom, stwarzając im jednocześnie ogromną pokusę.



Małgorzata Szumańska, z Fundacji Panoptykon
OPINIA
Nie należy zbierać danych, jeżeli nie jest to niezbędne
Czy państwo dużo wie o obywatelach?
Miejsc, w których zbiera się informacje o obywatelach, jest wiele, jednak groźniejsza jest tendencja integrowania ze sobą tych informacji. Dopóki dane są w rozproszonych bazach, nie jest tak źle, jak wtedy, gdy można zdobyć komplet informacji o obywatelu za pomocą jednego kliknięcia.
Dużo jest takich scentralizowanych systemów?
W zeszłym roku parlament uchwalił dwie zmiany, które zmierzają w tym kierunku – ustawę o systemie informacji oświatowej oraz ustawę o systemie informacji w ochronie zdrowia. Na ich podstawie tworzone są dwa wielkie rejestry, w których będzie możliwe gromadzenie bardzo dużego zakresu danych. Jako przykład niech posłuży oświata.
Wątpię, by ministerstwu potrzebna była integracja tak wielu danych o uczniach – od wyników egzaminów po informacje o korzystaniu z pomocy psychologicznej. Ich zbieranie jest niezbędne na poziomie szkoły, na poziomie centralnym stanowi natomiast nieuzasadnioną ingerencję w prywatność jednostki. Takie rozwiązania opierają się jedynie na założeniu, że należy zbierać jak najwięcej, bo pomoże to w sprawniejszym zarządzaniu.
Tymczasem sprawne zarządzanie nie następuje, a pojawiają się zagrożenia związane z kontrolą nad obywatelami.
Co jest bardziej niebezpieczne – zakres zbieranych danych przez państwową administrację czy niekontrolowany dostęp do nich?
Wszystko ma znaczenie. Istotne jest to, jak są gromadzone dane, ich zakres, sposób przechowywania, liczba podmiotów mających do nich dostęp, zasady dostępu i możliwości łączenia ze sobą informacji, poziom zabezpieczeń, zarówno prawnych, jak i technologicznych. Problem tkwi w dużej mierze w braku odpowiedniego myślenia osób odpowiedzialnych za tworzenie systemów, myślenia, które przyświeca naszej konstytucji. Wskazano w niej, że jeżeli zbieranie informacji o obywatelu nie jest konieczne, to państwo nie powinno tego robić.
Jakie mogą być konsekwencje wycieku danych ze scentralizowanych systemów?
To zależy, w czyje ręce one wpadną. Mogą trafić do pracodawców, którzy skorzystają z nich przy rekrutacji pracowników.
Mogą też trafić w ręce firm ubezpieczeniowych, które wiedząc np. o stanie naszego zdrowia, podniosą składki. Istotne jest jednak też to, że jeżeli w jednym miejscu jest integrowanych coraz więcej informacji, to zwiększa się władza państwa nad obywatelem.
Człowiek staje się zakładnikiem państwa. Pogłębia się pewna dysproporcja, bo państwo wie o nas coraz więcej, a my mamy niewielką wiedzę o tym, co ono z tą wiedzą robi.