Reklama

Przede wszystkim źle sformułowano pojęcie administratora danych. Obecnie prawo wymaga,  by wskazać jeden podmiot odpowiedzialny za zabezpieczenie danych osobowych.  W tej ustawie mamy zaś pojęcie administratora zbiorowego.  To stwarza ogromne ryzyko, że nie będzie wiadomo, kto tak naprawdę ma chronić te informacje. Wprowadzenie nowej kategorii zbiorowego administratora danych powoduje, że odpowiedzialność się rozmywa. Jeśli administratorem danych jest administracja publiczna rozumiana jako ogół, to oznacza, że dostęp do wrażliwych danych będą mieli urzędnicy każdego szczebla w każdym ministerstwie czy urzędzie.  To zła definicja.

Nie zakładam, że urzędnicy celowo będą wynosili wrażliwe dane. Wystarczy jednak, że jedna osoba weźmie USB z informacjami do domu, albo w jakikolwiek sposób udostępni komputer z dostępem do baz danych. Tak szeroko sformułowane pojęcie administratora danych w ustawie naraża te dane na niebezpieczeństwo.

Poza tym zbyt długi, bo ponad 10-letni, jest okres przechowywania danych. Cel gromadzenia i zakres gromadzonych danych jest nadmiernie szeroki. W ustawie nie wskazano, dlaczego aż tyle informacji przez tak długi czas ma być przechowywanych. Ustawa w ogóle nie pokazuje, jak chronić te informacje.

Czemu ta ustawa została tak napisana? Jednym z powodów może być tempo jej wprowadzania. Bezpieczniej by było, gdybyśmy akurat na tym projekcie nie testowali nowego podejścia do e-administracji .

Największy problem leży w zignorowaniu prawa do prywatności.  To chyba podejście typowe dla obecnej ekipy rządzącej. Co prawda nie tylko w naszym kraju widać trend, w który wpisuje się tzw. ustawa inwigilacyjna, to znaczy przekładania bezpieczeństwa nad prawo do prywatności. Ale nawet, jeśli założymy, że bezpieczeństwo bierze górę nad prywatnością, to w wypadku ustawy o programie 500 + nie ma przesłanek, żeby tak dalece ograniczać prawo do prywatności. Różnica polega na tym, że w ustawie inwigilacyjnej mówimy o bezpieczeństwie państwa, a przy 500 + nie ma uzasadnienia dla rozmycia odpowiedzialności. Te dane mają być przetwarzane w „interesie publicznym”. Ale ustawa nie definiuje, co to znaczy. Trudno na jej podstawie wykazać, kto i w jakich okolicznościach może mieć dostęp do tych informacji.

Ustawa 500 plus wpisuje się w tendencję, której ilustracją jest ustawa inwigilacyjna. Obecna władza próbuje gromadzić jak najwięcej danych o obywatelach. To mógł być jeden z motywów wprowadzenia tych przepisów.  Wystarczy połączyć wnioski płynące z kształtu tych dwóch ustaw. W obu wypadkach uwagi obrońców prywatności są ignorowane.

To jeszcze nie koniec. Dopiero będziemy się mierzyli się z problemami międzynarodowymi, gdy zapuka do nas Unia Europejska. W tym roku wprowadzona zostanie reforma regulacji dotyczących ochrony danych osobowych. Rozporządzenie pokazuje zupełnie odwrotne podejście do prawa do prywatności niż to, z którym mamy do czynienia w Polsce. Zgodnie z unijnymi wytycznymi z założenia mamy troszczyć się o prawo do prywatności jednostek. Ustawa dotycząca 500 + nie będzie realizować założeń tego unijnego prawa. Z kolei za dwa lata wejdzie w życie dyrektywa NIS, w której jest mowa o cyberzabezpieczeniach. Tych założeń nasze prawo również póki co nie spełnia.

Ustawa o programie 500 + i ustawa inwigilacyjna zmierzają w przeciwnym kierunku niż prawo europejskie, które dąży do podniesienia standardów ochrony prywatności. U nas prawodawca idzie pod prąd tendencji widocznej w legislacji unijnej.  

Dr Joanna Kulesza: adiunktka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego oraz ekspertka Rady Europy w zakresie zarządzania Internetem, praw człowieka i cyberbezpieczeństwa. Ekspert Fundacji im. Kazimierza Pułaskiego.

Reklama

Komentarze

    Reklama