Współpraca pomiędzy władzą publiczną a podmiotami prywatnymi sama z siebie nie jest czymś złym. Ale tworząc konkretne rozwiązania – zwłaszcza tam, gdzie przedmiot takiej współpracy miałby dotykać praw i wolności obywateli – trzeba działać z rozwagą i umiarem, aby zachować odpowiednie gwarancje tych praw i wolności.
Impulsu do napisania tego tekstu dostarczyły pojawiające się ostatnio doniesienia – i wdrożone rozwiązania – dotyczące tej współpracy, a w taki lub inny sposób dotykające problemu prywatności obywateli. Po stronie rozwiązań działających trzeba wymienić składanie wniosków w ramach programu 500 plus za pomocą systemów bankowości elektronicznej udostępnianych przez banki. Po stronie doniesień w pierwszej kolejności informacje o pracach nad połączeniem kart płatniczych z kartą ubezpieczenia zdrowotnego: karta taka miałaby umożliwiać uzyskanie dostępu do lekarza, do historii choroby, być może mogłaby stanowić nośnik dla podpisu elektronicznego i jednocześnie byłaby kartą płatniczą („Do lekarza jak do bankomatu” – DGP 74/2016). Pojawił się też pomysł likwidacji papierowych paragonów i zastąpienia ich elektronicznymi („Paragony tylko w sieci” – DGP 123/2016). Takie e-paragony miałyby być przesyłane do systemów bankowości elektronicznej, gdzie klient miałby do nich dostęp i gdzie mógłby je przechowywać.
E-ułatwienia
Tego rodzaju rozwiązania ułatwiające życie obywatelom nie są złe same z siebie. Co więcej, zapewne spotkają się z aprobatą większości z nas, jak to miało miejsce w przypadku wniosków o 500 plus składanych dość licznie za pomocą kanałów bankowości elektronicznej. Nie ma więc żadnych wątpliwości, że jeżeli obywatele uzyskaliby możliwość połączenia na jednej karcie funkcjonalności karty płatniczej, karty ubezpieczenia społecznego czy nośnika podpisu elektronicznego, większość z nas byłaby z tego rozwiązania zadowolona. Być może elektroniczne paragony przesyłające się „same” do naszego banku też zyskałyby zwolenników – wszak takiego paragonu przypadkiem nie wyrzucimy, więc już z perspektywy dochodzenia roszczeń konsumenckich byłoby łatwiej. Tym bardziej że nasze państwo nie jest w czołówce państw europejskich w zakresie wdrażania rozwiązań elektronicznej administracji. Z drugiej strony podmioty prywatne od lat korzystają z powodzeniem z analogicznych w gruncie rzeczy rozwiązań na własne potrzeby: bankowość elektroniczna, dostęp do polis ubezpieczeniowych online, elektroniczne systemy obsługi pacjentów w prywatnych przychodniach, elektroniczne zarządzanie usługami telekomunikacyjnymi – to tylko niektóre z licznych rozwiązań, które mogłyby zostać wykorzystane w ramach współpracy władzy publicznej z podmiotami prywatnymi. Problem jednak w tym, że te rozwiązania, które są użyteczne i łatwe w obsłudze, nie zawsze okazują się najlepsze z punktu widzenia naszej prywatności.
Decydując się na taką współpracę pomiędzy władzą publiczną a sektorem prywatnym, nie można jednak zapominać, że wiązałaby się ona z przekazaniem podmiotom prywatnym informacji, do których wcześniej dostępu nie miały. Dane dotyczące pomocy społecznej, ubezpieczeń społecznych, stanu zdrowia i świadczeń medycznych, wreszcie całość danych o dokonywanych przez obywateli transakcjach handlowych trafiłaby w ręce prywatne. Jest oczywiste, że tego rodzaju projekty powinny zakładać brak możliwości wykorzystania tych informacji przez podmioty prywatne dla ich własnych potrzeb. Problem w tym, że istniałaby jednak naturalna tendencja do takiego ich wykorzystania. To nie rozwiązania prawne, ale konkretne zabezpieczenia techniczne i organizacyjne powinny więc leżeć u podstaw tego rodzaju projektów. W wyniku zastosowania tych zabezpieczeń być może udałoby się zmniejszyć ryzyko nieuprawnionego dostępu do danych do poziomu akceptowalnego minimum. A i tak nie można wykluczyć prób na pozór zgodnego z prawem uzyskania dostępu do tych informacji przez podmioty prywatne – na czele ze zbieraniem „dobrowolnych” zgód klientów na wykorzystanie posiadanych już danych dla własnych celów podmiotu prywatnego, w zamian za co klienci otrzymywaliby np. promocyjną usługę przez kilka miesięcy.
E-uzależnienie
Jednak dużo większe zagrożenie wiąże się z postępującym uzależnieniem władzy publicznej od podmiotu prywatnego. Jest to zjawisko znane od lat w sektorze zamówień publicznych, zwłaszcza w sektorze IT – nierozważne określenie warunków umowy może prowadzić do tego, że wykonawca na długie lata uzyska faktyczny monopol na serwisowanie i kolejne uaktualnienia systemu, który dostarczył. I właśnie ten problem może się pojawić w przypadku zbyt pochopnego i nierozważnego oddawania danych obywateli w ręce sektora prywatnego: uzależnienie państwa od podmiotów, z którymi to państwo współpracuje. Gdy dodać do tego niechęć do pozbawiania obywateli rozwiązania, które może się okazać dla nich użyteczne w praktyce, zawrócenie z raz obranej drogi prywatyzacji naszej prywatności może się okazać bardzo trudne.
Pamiętać należy wreszcie o zjawisku określanym mianem wykluczenia cyfrowego (technologicznego). Paragon po dokonanej transakcji otrzymuje każdy, ale nie każdy korzysta z systemu bankowości elektronicznej. Ba, nie każdy ma nawet konto bankowe. Podobnie z ubezpieczeniem zdrowotnym – nie każdy z nas korzysta z kart płatniczych, więc nie każdego obejmie dobrodziejstwo połączenia ich z kartą ubezpieczenia zdrowotnego. Skoro więc dane rozwiązanie ma być rozwiązaniem powszechnym, nie można pozbawić możliwości korzystania z niego części obywateli.
Punktem odniesienia dla oceny rozwiązań z zakresu przetwarzania informacji i danych osobowych nie może być łatwość i szybkość ich wdrożenia. O tym, czy dane rozwiązanie jest dobre dla naszej prywatności, nie może decydować jego użyteczność dla obywatela. W 2016 r. w świetle nowych europejskich przepisów o ochronie danych osobowych, podejmując konkretne działania dotykające przetwarzania naszych danych osobowych, powinniśmy pamiętać o obowiązku uwzględniania ich ochrony już na etapie projektowania tych rozwiązań (privacy by design). Nie można także zapominać o filozofii privacy by default, która zakłada domyślne ograniczenie przetwarzania danych osobowych do absolutnego minimum, co dopiero świadomie może zmienić osoba, której dane dotyczą. Tymczasem, jak się wydaje, takiej refleksji brak autorom projektów, o których wspominałem na wstępie.