NOTA:Na początek niezbędne jest drobne wyjaśnienie. Nie mam wykształcenia prawniczego, o czym pewnie łatwo się zorientujecie w miarę czytania. Niemniej brałem udział w pracach nad kilkoma aktami prawnymi, a niektóre obowiązujące już teraz przepisy wyszły wprost spod mojej klawiatury (no, nie tej, na której teraz piszę, tylko służbowej). Anyway.
Przeczytałem ostatnio alarmujący wpis dotyczący nowo tworzonej rządowej bazy danych. Przy okazji ustawy zakazującej sprzedaży napojów energetycznym dzieciom i młodzieży, a także w automatach i placówkach edukacyjnych (ustawa z dnia 17 sierpnia 2023 r. o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw – link) parlament przyjął również zmiany w ustawie o sporcie. Zgodnie z przyjętymi zmianami, minister właściwy ds. kultury fizycznej prowadził będzie ewidencję pod jakże chwalebną nazwą “Sportowe talenty”.
Tatusiom i mamusiom mogą w tym momencie rozbłysnąć świńskie oczka na myśl, że ich latorośl może zostać kolejnym Lewandoskim, albo nową gówniarom z paletkom, ale w ogóle nie będziemy o tym rozmawiać.
O co chodzi w tych “sportowych talentach”?
W skrócie – minister będzie zbierał od szkół informacje o wynikach sportowych uczniów i dzielił się tymi danymi ze szkołą, klubem sportowym, albo polskim związkiem sportowym. W tym celu szkoły będą musiały raz w roku przeprowadzać testy sprawnościowe uczniów, a rodzice – przekazywać szkołom informację o wzroście i wadze dziecka. Następnie szkoły przekażą te dane do ewidencji, a “osoby upoważnione” będą miały do nich dostęp.
Gwoli ścisłości: dane, które będzie zawierała ewidencja to: imię, nazwisko, PESEL (lub numer dokumentu tożsamości), rok urodzenia, wiek, płeć ucznia, wagę i wzrost, wyniki uzyskane z testów sprawnościowych oraz datę ich przeprowadzenia, a także typ i dane szkoły oraz klasy, a także jej lokalizację (gmina, powiat, województwo).
Spośród tych danych osoby upoważnione będą mieć dostęp do: roku urodzenia, wieku, płci, wagi i wzrostu, wyniku oraz daty testów, a także lokalizacji szkoły (gmina, powiat, województwo).
Teraz wyobraźmy sobie, że klub sportowy jest zainteresowany pozyskaniem juniorów. W tym celu, z wykorzystaniem systemu teleinformatycznego prowadzonego przez ministra, klub może wskazać, że jest zainteresowany uczniami np. w wieku 13-15 lat, o wzroście co najmniej 160 cm, wadze nie większej niż 55 kg i wynikach testów sprawnościowych równych co najmniej… No i oczywiście najlepiej, jakby ze swojej okolicy, więc weźmy – z powiatu. Na tej podstawie system (tak to sobie wyobrażam, ustawodawca – i słusznie – był dosyć zdawkowy) powinien dopasować wyniki uczniów pasujących do danego zakresu, po czym przekazać informację do szkół, do których ci uczniowie uczęszczają. Następnie szkoła przekazuje informację o zainteresowaniu uczniowi i/lub jego opiekunom, którzy – jeśli chcą – mogą skontaktować się bezpośrednio z klubem.
Dla mnie jest to jasne i – w założeniach – niekontrowersyjne.
Ale oprócz sportowych talentów, w ostatnich latach mieliśmy jeszcze parę przykładów, gdy to państwo inicjuje stworzenie dużych zbiorów danych o obywatelach. Weźmy sobie taką stareńką już ustawę, jaką jest Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (link). Nas interesuje w szczególności jedna z nowelizacji. Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (link) w swoim artykule 51. dodała do naszej staruszki Rozdział 3b, dotyczący Zintegrowanej platformy analitycznej.
Co to jest Zintegrowana platforma analityczna?
W przeciwieństwie do ewidencji małych Lewandowskich, Zintegrowana platforma analityczna to nie tylko system teleinformatyczny, ale “rozwiązanie organizacyjno-techniczne” na potrzeby prowadzenia analiz wspomagających kreowanie polityk publicznych. Aby kreowanie skutecznych polityk było możliwe, niezbędne jest zasilenie ZPA masą danych (miejmy nadzieję, że będzie z siebie wypluwała lepsze wyniki, niż chatGPT). I tak, zgodnie z ustawą, minister będzie przetwarzał dane udostępnione z rejestrów publicznych i systemów teleinformatycznych określonych w przepisach wydanych na podstawie nooo powiedzmy, że na wynikających z rozporządzenia.
Prace nad tym rozporządzeniem jeszcze trwają. Projekt pojawił się w kwietniu 2022 roku (tak, to nie błąd). Dokumenty do projektu znajdziecie tutaj. Skupmy się jednak na tych systemach. Mamy tutaj więc rejestr PESEL, rejestr dowodów osobistych, rejestr stanu cywilnego, rejestry prowadzone przez urzędy pracy, rejestry ZUS, KRUS, PFRON, rejestry prowadzone przez ministra edukacji (pozdrawiamy małych Lewandoskich) i cały szereg innych baz danych.
Doprawdy potężne narzędzie. Jeśli kiedyś stracicie pamięć, to najłatwiej będzie uderzyć do ministra cyfryzacji – powie wam o was wszystko.
A właściwie nawet nie minister, tylko osoby z rządowego think-tanku, czyli Polskiego Instytutu Ekonomicznego, który ma zarządzać całą platformą. Nadzór nad prawidłową realizacją zadań i wykorzystaniem danych pełnić ma Rada Polityk Publicznych (która ma powstać na mocy jeszcze innego projektu, tym razem ustawy o zmianie niektórych ustaw w związku z rozwojem e-administracji – link).
Dodajmy, żeby uniknąć partyjnej młócki, że sam projekt utworzenia ZPA nie jest pomysłem Prawa i Sprawiedliwości. Podwaliny pod niego położyły jeszcze rządy Platformy Obywatelskiej.
A teraz rzućmy jeszcze okiem w stronę elektroenergetyki. W październiku 2018 roku na stronach RCL pojawił się projekt zmiany ustawy Prawo energetyczne. Kilka lat później, w maju 2021 roku została przyjęta ustawa, która wprowadziła dwa interesujące pojęcia: system pomiarowy oraz centralny system informacji rynku energii (w pierwszych wersjach projektu jeszcze pod nazwą centralny system informacji pomiarowej). I właśnie ten drugi twór nas interesuje.
Czym jest Centralny system informacji rynku energii?
CSIRE to system informacyjny służący do wymiany informacji rynku energii pomiędzy wszystkimi uczestnikami rynku. Tutaj musimy doprecyzować, że mowa jest po pierwsze o rynku energii elektrycznej, po drugie – o rynku detalicznym.
Na tak zdefiniowanym rynku energii funkcjonuje ponad 500 podmiotów profesjonalnych, którzy z dużą regularnością wymieniają pomiędzy sobą informacje. Pierwotna nazwa zwracała uwagę na istotny wątek przekazywanych danych, czyli informacje pomiarowe. I tutaj wracamy do systemu pomiarowego i przepisów wspomnianej wcześniej nowelizacji. Zgodnie z przepisami ustawy, z końcem najbliższej dekady przytłaczająca większość konsumentów będzie posiadała liczniki zdalnego odczytu, które umożliwiają rejestrację i zdalne przekazywanie informacji o zużyciu do operatora systemu elektroenergetycznego. Ten operator będzie przekazywał te dane do operatora informacji rynku energii, czyli zarządcy i administratora CSIRE. Operator informacji rynku energii będzie z kolei udostępniał te dane wszystkim upoważnionym stronom (w tym odbiorcy, którego te dane dotyczą).
CSIRE z kolei ma zostać uruchomione do końca czerwca 2024 roku (są plany, by start produkcyjny CSIRE przesunąć o 12 miesięcy, ale jak na razie na planach się kończy).
Należy podkreślić, że CSIRE to nie tylko dane pomiarowe, ale również dane osobowe oraz dane o umowach zawieranych na rynku. CSIRE będzie więc – zgodnie z nazwą i rolą – centralnym repozytorium danych o detalicznym rynku energii elektrycznej.
Ciekawostką jest, że choć na rynku funkcjonuje ponad 500 podmiotów, to pięć spośród sześciu największych z nich to firmy kontrolowane przez państwo, które na dodatek kontrolują przeważającą większość tego rynku.
Operatorem informacji rynku energii została z kolei inna spółka skarbu państwa – Polskie Sieci Elektroenergetyczne.
Każdy z projektów, o których wyżej napisałem, może budzić uzasadnione wątpliwości. Być może część z was pamięta, że kiedyś w Polityce napisali, że liczniki zdalnego odczytu są groźne dla obywateli, bo dzięki nim można stwierdzić, kto jakie programy w tv ogląda (tak, tak, naprawdę tak napisali). To oczywiście bzdura. Nie wierzcie w to.
Tym bardziej, że do każdego projektu można mieć uzasadnione wątpliwości. O ZPA obszernie pisał m.in. Rzecznik Praw Obywatelskich, a o Sportowych talentach – Panoptykon. Nie zamierzam tych wątpliwości przepisywać, bo choć plagiat jest być może najwyższą formą uznania, to pewnie nie najprzyjemniejszą dla plagiatowanego.
Dane osobowe w rejestrach państwowych
Zamiast tego chciałbym wspomnieć kilka słów o udostępnianiu danych, a w szczególności – danych osobowych. Tutaj niestety musimy przywołać kolejny akt prawny, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie bla bla bla, w skrócie: RODO. Rzućmy okiem na artykuł 4, pkt 1, który definiuje, co to są dane osobowe:
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Teraz trochę będę malował, ponieważ aż tak się na materii RODO nie znam, a moja wiedza wynika tylko z doświadczenia we współpracy z inspektorami ochrony danych podmiotów, dla których pracowałem. Otóż ocena, czy określona dana jest daną osobową stwierdzana jest na podstawie analizy, czy dana dana (lub zbiór jakichś danych) umożliwia jednoznaczną identyfikację osoby fizycznej w systemach podmiotów przetwarzających tę daną lub te dane.
Przykład
Omówmy to na przykładzie: jeżeli 123456789 to mój numer telefonu (jest na mnie zarejestrowany), to numer ten może być i może nie być daną osobową. W rejestrze zarejestrowanych numerów pewnie jest – ponieważ jeden numer nie może być zarejestrowany na więcej niż jedną osobę, co oznacza, że ciąg cyfr 123456789 jest daną umożliwiającą jednoznaczną identyfikację osoby fizycznej (tak naprawdę to nie wiem, czy jeden numer telefonu może być faktycznie zarejestrowany tylko na jedną osobę, ale wydaje mi się to logiczne).
Jednocześnie ten numer telefonu może znajdować się jako numer kontaktowy sklepu internetowego, w którym robię zakupy. Ale jeżeli mój partner/moja partnerka ma swoje konto w tym sklepie i z jakiegoś powodu również podała mój numer (a na dodatek nasze dziecko również ma tam konto i również podało mój numer jako kontaktowy – tzw. uroki pracy z domu), to ów numer telefonu nie wystarczy do jednoznacznej identyfikacji osoby fizycznej – sklep nie będzie w stanie przypisać tego ciągu cyfr tylko do jednej osoby fizycznej.
Teoretycznie więc z punktu widzenia rejestru PESEL moje imię i nazwisko nie jest daną osobową – wiem z całą pewnością, że w Polsce istnieje co najmniej jeszcze jedna osoba o takim samym imieniu i nazwisku, jak ja.
Nie pytajcie mnie, co z tym fantem zrobić. Nie wiem. Wróćmy do tych małych Lewandoskich. Klub zapyta o pasujący zbiór, po czym dostanie jakiś set danych dopasowanych do jego potrzeb. I dowie się, że oto w powiecie XYZ, gminie ABC jest chłopiec, lat 14, ur. w roku 2009, wzrost 165, waga 54, który osiągnął określone wyniki i tym samym spełnia zakładane ograniczenia.
I teraz pytanie jest następujące: czy ten set danych to dane osobowe? Problem w tym, że tego nie wiemy. Wie o tym, teoretycznie, administrator ewidencji Sportowe talenty – jeżeli taki zestaw jest wystarczający do jednoznacznej identyfikacji osoby fizycznej, to taki zestaw danych stanowi daną osobową. Ale z punktu widzenia odbiorcy tych danych, czyli klubu lub związku sportowego, który wysłał stosowne zapytanie, ten zbiór nijak nie daje możliwości identyfikacji kogokolwiek. Choćby skały srały, pani Krysia z księgowości klubu sportowego nie będzie wstanie stwierdzić, na podstawie takiej tabelki z excela, że faktycznie tutaj jest mowa o Adasiu Jędrzejewskim z Końskich.
Czy tylko ja uważam, że takie postrzeganie danych osobowych prowadzi do absurdu?
Weźmy inny przykład. niech 1234567 będzie moim numerem licznika energii elektrycznej. Załóżmy też, że w całym kraju numery liczników są unikatowe (to założenie jest nie jest do końca prawidłowe, ale nie będziemy go teraz rozkładać na czynniki pierwsze). Z punktu widzenia CSIRE, mój numer licznika jest daną osobową, ponieważ umożliwia jednoznaczną identyfikację konkretnej osoby fizycznej, “przypisanej” do tego licznika. [tutaj moglibyśmy nałożyć jeszcze trzeci wymiar, tj. czas, ale wtedy już do reszty byśmy zagmatwali sprawę]. Ale dla kogokolwiek postronnego, kto mój numer licznika dostanie (załóżmy, że z CSIRE) jest to gównodana, będzie mógł ją literalnie spuścić w kiblu, bo nic więcej z nią nie zrobi.
Przetwarzanie danych osobowych to nie lada labirynt i naprawdę wielki szacunek dla wszystkich, którzy przy niejednym projekcie próbują go rozgryźć.
To the point
Ale pomimo tych wszystkich wątpliwości, ja się cieszę, że państwo wykazuje inicjatywy w zakresie informatyzacji i profesjonalizacji usług. Wiążę duże nadzieje w polepszeniu jakości prowadzenia polityk po wdrożeniu ZPA. Instytucje państwa jako impuls rozwojowy gospodarki to też nie jest nowy koncept, choć zdaje się zapomniany w Polsce po zachłyśnięciu się gospodarczym liberalizmem ostatnich dekad XX wieku.
Polska zresztą od kilku lat, konsekwentnie, rozwija e-usługi. Mamy profil zaufany i mObywatela, od niedawna mDowód, e-urząd skarbowy, skojarzony z profilem zaufanym portal pacjenta z dostępem do recept i historii leczenia, nawet ZUS ma swoje PUE, które pozwala w formie elektronicznej konwersować z Zakładem.
I chciałbym zakończyć to optymistycznym akcentem, że sprawne państwo, a przy tym transparentność, budowanie zaufania obywateli do instytucji i tak dalej. A później i tak, kurwa, wjeżdża taki Niedzielski na białym koniu.
Obraz Stafford GREEN z Pixabay
Jeśli czegoś Ci tutaj brakuje, napisz w komentarzu. Dzięki Tobie będę mógł pisać bardziej interesujące teksty!