Prywatyzacja prywatności obywatela*

Artykuł
13.07.2016
7 min. czytania
Tekst
Image

Współpraca pomiędzy władzą publiczną a podmiotami prywatnymi sama z siebie nie jest czymś złym. Ale tworząc konkretne rozwiązania – zwłaszcza tam, gdzie przedmiot takiej współpracy miałby dotykać praw i wolności obywateli – trzeba to robić z rozwagą i z umiarem, aby zachować odpowiednie gwarancje dla naszych praw i wolności.

Impulsu do napisania tego tekstu dostarczyły pojawiające się ostatnio doniesienia – i wdrażane rozwiązania – dotyczące współpracy między władzą publiczną a podmiotami prywatnymi, w taki lub inny sposób dotykające problemu prywatności obywateli. Po stronie rozwiązań działających trzeba wymienić składanie wniosków w ramach programu „500+” za pomocą systemów bankowości elektronicznej udostępnianych przez banki. Po stronie doniesień – w pierwszej kolejności informacje o pracach nad połączeniem kart płatniczych z kartą ubezpieczenia zdrowotnego: karta taka miałaby umożliwiać uzyskanie dostępu do lekarza, do historii choroby, być może mogłaby stanowić także nośnik dla podpisu elektronicznego i jednocześnie byłaby kartą płatniczą. Po drugie, pojawił się pomysł na likwidację papierowych paragonów i na zastąpienie ich elektronicznymi. Takie elektroniczne paragony miałyby być przesyłane do systemów bankowości elektronicznej klientów, gdzie ten miałby do nich dostęp i gdzie mógłby je przechowywać.

Tego rodzaju rozwiązania, ułatwiające życie obywatelom, nie są złe same z siebie. Co więcej, zapewne spotkają się z aprobatą większości z nas, jak to miało miejsce choćby w przypadku składania wniosków o świadczenia „500+”, czego dowodzi stosunkowo duża liczba wniosków złożonych za pomocą kanałów elektronicznych. Nie mam więc żadnych wątpliwości, że jeżeli obywatele uzyskaliby możliwość połączenia na jednej, plastikowej karcie, funkcjonalności karty płatniczej, karty ubezpieczenia społecznego oraz nośnika podpisu elektronicznego, większość z nas byłaby z tego rozwiązania zadowolona. Być może elektroniczne paragony przesyłające się „same” do naszego systemu bankowości elektronicznej zyskałyby zwolenników – wszak takiego paragonu przypadkiem nie wyrzucimy, więc już z perspektywy dochodzenia roszczeń konsumenckich byłoby nam łatwiej.

Nie sposób również zapominać, że nasze państwo nie jest w czołówce państw europejskich w zakresie wdrażania rozwiązań elektronicznej administracji. Tymczasem podmioty prywatne od lat korzystają z powodzeniem z analogicznych w gruncie rzeczy rozwiązań na własne potrzeby – bankowość elektroniczna, dostęp do polis ubezpieczeniowych on-line, elektroniczne systemy obsługi pacjentów w prywatnych przychodniach, elektroniczne zarządzanie usługami telekomunikacyjnymi to tylko niektóre z licznych rozwiązań, które mogłyby zostać wykorzystane w ramach współpracy władzy publicznej z podmiotami prywatnymi. Zapewniają one bowiem te same funkcjonalności, których oczekuje się po rozwiązaniach z sektora elektronicznej administracji, na czele z identyfikacją stron, a mają dodatkowo tą cechę, że działają, i są sprawdzone. Problem jednak w tym, że te rozwiązania, które są użyteczne i łatwe w obsłudze, nie zawsze okazują się najlepsze z punktu widzenia naszej prywatności.

Decydując się na opisaną wyżej współpracę pomiędzy władzą publiczną a sektorem prywatnym, nie można zapominać, że wiązałaby się ona z przekazaniem podmiotom prywatnym informacji, do których wcześniej te podmioty dostępu nie miały. Dane dotyczące pomocy społecznej, ubezpieczeń społecznych, stanu zdrowia i świadczeń medycznych, wreszcie całość danych o dokonywanych przez obywateli transakcjach handlowych trafiłaby w ręce prywatne. Jest oczywistym, że tego rodzaju projekty powinny zakładać brak możliwości wykorzystania tych informacji przez podmioty prywatne dla ich własnych potrzeb. Problem w tym, że istniałaby jednak naturalna tendencja do korzystania z takich danych przez podmioty prywatne – nie tylko więc rozwiązania prawne, ale przede wszystkim konkretne zabezpieczenia techniczne i organizacyjne powinny leżeć u podstaw tego rodzaju projektów. W wyniku zastosowania tych zabezpieczeń być może udałoby się zmniejszyć ryzyko nieuprawnionego dostępu do danych do poziomu akceptowalnego minimum. Mimo to nie można wykluczyć prób na pozór zgodnego z prawem uzyskania dostępu do tych informacji przez podmioty prywatne – na czele ze zbieraniem „dobrowolnych” zgód klientów na wykorzystanie informacji przez podmiot prywatny dla jego własnych celów, w zamian za co klienci otrzymywaliby np. promocyjną usługę przez kilka miesięcy.

Jednak dużo większe zagrożenie wiąże się z postępującym uzależnieniem władzy publicznej od podmiotu prywatnego. Jest to zjawisko znane od lat w sektorze zamówień publicznych, zwłaszcza w sektorze IT – nierozważne określenie warunków umowy może prowadzić do tego, że wykonawca na długie lata uzyskuje faktyczny monopol na serwisowanie i kolejne uaktualnienia systemu, który dostarczył. I właśnie ten problem – uzależnienie państwa od podmiotów, z którymi to państwo współpracuje – może się pojawić w przypadku zbyt pochopnego oddawania naszych danych w ręce sektora prywatnego. Gdy dodać do tego niechęć obywateli do rezygnacji – wbrew ich woli – z rozwiązania, które może się okazać użyteczne w praktyce, zawrócenie z raz obranej drogi prywatyzacji naszej prywatności może się okazać bardzo trudne.

Pamiętać należy wreszcie o zjawisku określanym mianem wykluczenia cyfrowego. Paragon po dokonanej transakcji otrzymuje każdy, ale nie każdy korzysta z systemu bankowości elektronicznej. Nie każdy z nas ma nawet konto bankowe. Podobnie z ubezpieczeniem zdrowotnym – nie każdy z nas korzysta z kart płatniczych, więc nie każdego obejmie dobrodziejstwo połączenia kart płatniczych z kartą ubezpieczenia zdrowotnego. Skoro więc dane rozwiązanie ma być rozwiązaniem powszechnym, nie można zorganizować go w taki sposób, aby pozbawić możliwości korzystania z niego części obywateli.

Punktem odniesienia dla oceny rozwiązań z zakresu przetwarzania informacji i danych osobowych nie może być szybkość ich wdrożenia i łatwość korzystania z nich. O tym, czy dane rozwiązanie jest dobre dla naszej prywatności, nie może przesądzać jego użyteczność dla obywatela. W 2016 r. w świetle nowych europejskich przepisów o ochronie danych osobowych, podejmując konkretne działania dotykające przetwarzania naszych danych osobowych powinniśmy pamiętać o obowiązku uwzględniania ochrony danych osobowych już na etapie projektowania tych rozwiązań (privacy by design). Nie można także zapominać o filozofii privacy by default, która zakłada domyślne ograniczenie przetwarzania danych osobowych do absolutnego minimum, co dopiero świadomie może zmienić osoba, której dane dotyczą. Tymczasem, jak się wydaje, takiej refleksji brak autorom projektów, o których wspominałem na wstępie.

Paweł Litwiński – dr nauk prawnych, adwokat, członek sekcji własności intelektualnej Instytutu Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p., współpracownik Fundacji Panoptykon

* skrócona wersja artykułu została opublikowana 12 lipca 2016 r. w Dzienniku Gazecie Prawnej

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.