Jak Ministerstwo Cyfryzacji pilnuje swojej bazy zdjęć paszportowych? Idziemy do sądu po informacje!

Artykuł
Element dekoracyjny | Zdjęcie "Gangster" | CC0 Public Domain via Pixabay.com

Przyzwyczailiśmy się do myśli, że państwo w swoich rozlicznych bazach przechowuje o nas tysiące informacji. Rejestr PESEL, dane urzędu skarbowego czy ZUS-u, akta stanu cywilnego czy dokumentacja medyczna są jednak rozproszone: każda baza należy do innego podmiotu, a przepływy między zbiorami są ograniczone. Z jednym wyjątkiem – służb, które mogą zasysać dane, skąd chcą i kiedy chcą. Postanowiliśmy się temu przyjrzeć bliżej, a za przykład posłużyły nam zdjęcia paszportowe, którymi administruje Ministerstwo Cyfryzacji.

W lipcu ubiegłego roku Gazeta Wyborcza donosiła, że uczestnicy protestów w obronie niezawisłości sądów mogli być inwigilowani przez Policję i Agencję Bezpieczeństwa Wewnętrznego. Zdaniem Wyborczej ABW porównywała otrzymane od Policji nagrania z manifestacji ze zdjęciami z ewidencji dokumentów paszportowych. W ten sposób powstawać miały listy nieposłusznych obywateli. Nasza analiza wykazała, że zarówno prawnie, jak i technicznie takie działania są możliwe. Podjęliśmy próbę weryfikacji, czy rzeczywiście tak było – teraz sprawa trafiła do sądu. Jak do tego doszło?

31 sierpnia 2017 r. spytaliśmy Ministerstwo Cyfryzacji, które prowadzi centralną ewidencję dokumentów paszportowych, o to, ile razy w latach 2016–2017 system teleinformatyczny, w którym prowadzona jest centralna ewidencja, zarejestrował zapytania o dane skierowane przez Agencję Bezpieczeństwa Wewnętrznego. W odpowiedzi dowiedzieliśmy się, że zapytania kierowane przez ABW do ewidencji są przechowywane w logach systemu, a informacje z logów nie są informacją publiczną. Zanim jednak o tym, co z tym zrobiliśmy – krok wstecz.

Kontrolowanie kontrolujących

Po co Panoptykonowi informacje o tym, jak często ABW i inne służby sięgają po rozmaite dane o obywatelach? Uważamy, że „bezpieczeństwo” nie powinno być słowem wytrychem, które pozwala na nieograniczone wkraczanie w sferę naszej wolności. Służby mają dostęp do coraz szerszego spektrum informacji na nasz temat, a my o nich wciąż wiemy niewiele. Znajomość danych statystycznych dotyczących funkcjonowania służb jest tym bardziej potrzebna, im słabsza jest niezależna, zewnętrzna kontrola nad ich funkcjonowaniem.

Od wejścia w życie ustawy antyterrorystycznej (lipiec 2016 r.) instytucje publiczne udostępniają szefowi ABW dane zgromadzone w swoich zbiorach w drodze teletransmisji, bez konieczności każdorazowego przedstawiania imiennego upoważnienia. Obowiązek ten dotyczy każdej instytucji, do której zgłosi się ABW i zażąda stworzenia stałego łącza, także Ministerstwa Cyfryzacji.

Podobne rozwiązania umożliwiające zdalne – za pomocą stałego łącza – pobieranie przez służby informacji wprowadziła tzw. ustawa inwigilacyjna. Dzięki niej możliwe stało się zasysanie danych od firm świadczących usługi drogą elektroniczną, czyli np. Allegro. Obecnie w parlamencie trwają z kolei prace nad umożliwieniem nie tylko ABW, ale i Policji czy CBA zdalnego zasysania danych z aktów stanu cywilnego.

Stałe łącze umożliwiające pobieranie danych czy to o aktywności internautów (tzw. ustawa inwigilacyjna), czy to pochodzących z rejestrów publicznych (ustawa antyterrorystyczna) budzi uzasadnione obawy przed nadużyciami. Remedium nie jest jednak – trącący lekko luddyzmem – powrót do papierologii pozwalającej funkcjonariuszom uzyskać informacje o naszej aktywności wyłącznie na podstawie pisemnego żądania, najlepiej z kilkoma pieczątkami. To nie tylko marnowanie papieru, ale przede wszystkim praktyka uniemożliwiająca służbom skuteczną realizację ich zadań. Stałe łącze jest potrzebne. Klucz w tym, by ktoś stał na straży jego wykorzystania. A dzisiaj tak nie jest.

Problem nie w trybie, a w braku kontroli

Wróćmy do Ministerstwa Cyfryzacji. W odpowiedzi na nasze pytania resort stwierdził, że „ABW korzysta z uprawnień (…) w zakresie niezbędnym do wykonywania jej ustawowych zadań”. Problem w tym, że Ministerstwo nie może tego wiedzieć. Centralna ewidencja zawierająca zdjęcia paszportowe skonstruowana jest w taki sposób, by rejestrować wpływające do niej zapytania „wraz z informacją o czasie i podmiocie, który wystąpił z zapytaniem”. Pracownicy resortu nie mają jakichkolwiek podstaw ani możliwości, by weryfikować, czy Agencja nie pobiera danych na zapas, z ciekawości lub na wyrost. Takich podstaw nie ma żadna instytucja. I w tym, a nie w elektronicznym trybie dostępu, tkwi największy problem.

Dwa miesiące temu złożyliśmy skargę na bezczynność Ministerstwa Cyfryzacji. Uważamy, że wbrew twierdzeniom Ministerstwa informacja o tym, ile razy ABW pobierała zdjęcia paszportowe Polek i Polaków, jest informacją publiczną. W ciągu najbliższych miesięcy sprawę rozstrzygnie Wojewódzki Sąd Administracyjny w Warszawie.

Wojciech Klicki

Wspieraj naszą walkę o nadzór nad służbami specjalnymi! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż nam 1% swojego podatku (KRS: 0000327613)

Komentarze

Patrząc na tendencje orzecznictwa zawisłego sądu NSA po zmianie ich na pisdowców, to mogę tylko stwierdzić, że niedługo pozostanie nam tylko trolowanie trolującycych zamiast kontrolowania kontrolujących. Moim zdaniem batalię należałoby odwlec do czasu wyborów i modlić się by tym razem naród był mądrzejszy. Wolę już legalizację marihuany czy tą całą Grodzką w sejmie od tego co teraz się dzieje.

Celem przetwarzania zdjęć przez władze publiczne jest wydanie dokumentu ze zdjęciem (paszportu, dowodu), a nie śledzenie niewinnych ludzi.
Moim zdaniem zdjęcia paszportowe, dowodowe i do prawa jazdy osób niekaranych powinny być w osobnym rejestrze, a dostęp do każdego zdjęcia w nim zawartego byłby tylko za uprzednią zgodą sądu.
Inaczej, w połączeniu z systemami rozpoznawania twarzy, mamy masową inwigilację.
Nadmienię, że np. Wielka Brytania nie przechwuje zdjęć paszportowych osób, które nie były karane.

Nie ma efektywnej metody kontrolowania wykorzystania informacji przez upoważnione podmioty. Można jedynie ograniczyć liczbę chętnych do grzebania w sferze prywatnej społeczeństwa (szczególnie na prywatny użytek, czy to z chęci rozrywki czy chęci wzbogacenia się). Wyrywkowe kontrole i w przypadku stwierdzenia nadużycia natychmiastowe wydalenie ze służby. Inne sankcje w zależności od okoliczności popełnionego czynu. Ludzie sami będą się kontrolować.
Jeżeli nadużycie będzie motywowane polityką to praktycznie nie ma mowy żeby to wykryć i udowodnić.

Podobnym rozwiązaniem jest wprowadzenie panoptykonu, ale dla służb ;)

Ponieważ podobno wszystkie dostępy są logowane, to każdy obywatel powienień mieć prawo sprawdzenia kto pobierał o nim dane. Oczywiście potrzeba tu jakiegoś sensowego opóźnienia - na przykład 5 lat. Kowalskich który to zrobią będzie 0,0001%, ale żaden pracownik służb nie będzie wiedział, który akurat Kowalski to zrobi, więc naturalnie będą się ograniczać do tego co jest potrzebne, a nie "przydatne".

Dzisiaj jestem w stanie dowiedzieć się które banki pobierały informacje o mnie z BIK, wiec nie jest to nic nowego.

Odpowiedź na pytanie z tytułu: nie pilnuje wcale. Bezpieka i policja grzebią sobie w naszych zdjęciach do woli.

Pytanie ciekawsze: co z odciskami palców w paszporcie biometrycznym? W teorii nie trafiąją do bazy policyjnej, bo jak wiadomo baza jest cienutka a paszportów sporo. Ale czy w praktyce nie trafiają do producentów sprzętu i softu z Izraela/USA? Oczywiście takie pytania to myślozbrodnia dla sługusów żydowsko-amerykańskich z PiS a więc tylko, ekhem, sygnalista z wewnątrz może nam coś powiedzieć.

Ustawowo jest zabronione przechowywanie w ewidencji paszportowej odcisków palców zapisywanych w czipie paszportu.
Dodatkowo Polska Wytwórnia Papierów Wartościowych (która produkuje paszporty) twierdzi, że mamy własną technologię ich produkcji. Należy w to wątpić, bo np. Gemalto - światowy potentat w produkcji paszportów biometrycznych - twierdzi że Polska korzysta z jego systemów: https://www.gemalto.com/press/Pages/news_176.aspx

Z dokumentów Snowdena wynika, że GCHQ włamała się do wewnętrznych systemów firmy Gemalto, by ukraść klucze prywatne kart SIM produkowanych przez tę firmę, co miało umożliwić rozszyfrowanie przechwyconych rozmów telefonicznych.
Równie dobrze może próbować włamywać się do systemów produkcji paszportów, prawda? A nie wiadomo czy klucz prywatny czipu paszportowego generowany jest przez Gemalto, czy przez PWPW czy może przez centrum personalizacji dokumentów MSWiA.

Podsumowując: sprawa jest warta dochodzenia, ale na to że jakikolwiek polski rząd się temu przyjrzy nie ma co liczyć. Więc rzeczywiście sygnalista byłby pożądany...

Dodaj komentarz