Biuletyn Informacji Publicznej RPO

Opinia RPO do projektu ustawy o Centralnej Informacji Emerytalnej. Odpowiedź KPRM

Data:
  • Tworzenie baz czy rejestrów z nadmiarowymi danymi osobowymi, jest niezgodne z zasadą minimalizacji danych - o czym stanowi unijne rozporządzenie RODO
  • Dane gromadzone w CIE muszą być też przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo
  • AKTUALIZACJA: Wszystkie prawa zagwarantowane polskim i unijnym prawem ochrony danych osobowych będą poszanowane – zapewnia w odpowiedzi KPRM i informuje, że prace nad projektem nadal są prowadzone
  • W toku uzgodnień i konsultacji publicznych zgłoszonych zostało wiele cennych uwag. W wyniku ich analizy projekt podlega daleko idącym zmianom, które zmierzają w pierwszym rzędzie do poprawy Centralnej Informacji Emerytalnej i wychodzą naprzeciw zgłoszonym obawom.
  • Prawo do prywatności i ochrona danych osobowych zostaną, w stosunku do projektu przekazanego do konsultacji, znacząco wzmocnione dzięki przyjęciu nowego modelu zarządzania danymi

Rzecznik praw obywatelskich Marcin Wiącek przedstawia pełnomocnikowi rządu ds. cyberbezpieczeństwa Januszowi Cieszyńskiemu stanowisko ws. projektu ustawy o Centralnej Informacji Emerytalnej, umieszczonego na stronie Rządowego Centrum Legislacji. 

Celem projektu jest zapewnienie obywatelom pełnego dostępu do informacji o środkach zgromadzonych na wszystkich dostępnych produktach emerytalnych. Chodzi o ZUS, KRUS, IKE, IKZE, PPE, PPK i OFE. Na platformie każdy ubezpieczony będzie mógł sprawdzić stan konta i dokonać symulacji przyszłego świadczenia.

Rzecznik z zadowoleniem przyjął informacje, zgodnie z którymi należy sądzić, że zakres danych gromadzonych w CIE zostanie ponownie poddany analizie, a także docelowo zmniejszony. 

Tworzenie bowiem baz czy rejestrów, w których gromadzone są nadmiarowe dane osobowe, jest niezgodne z zasadą minimalizacji danych. Mowa o niej w art. 5 ust. 1 lit. c rozporządzenia RODO. Kwestia ta wielokrotnie była podkreślana przy okazji innych projektów, wobec których Rzecznik wyrażał opinie. A ten projekt budzi istotne zastrzeżenia przede wszystkim właśnie pod względem zakresu przetwarzanych danych.

RPO wskazywał wielokrotnie - m.in. przy okazji prowadzonych przez Ministra Cyfryzacji prac nad zintegrowaną platformą analityczną - że kompilowanie danych osobowych i innych danych, pochodzących z różnych źródeł, umożliwia tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania.

Projekt zawiera upoważnienie dla ministra ds. informatyzacji do wydania aktu wykonawczego, w którym określone zostaną warunki, sposób i tryb przekazywania niezbędnych danych i informacji. 

Trybunał Konstytucyjny wielokrotnie wypowiadał się w zakresie konstytucyjnej ochrony prywatności, która stanowi jeden z podstawowych elementów aksjologii demokratycznego państwa prawnego. RPO zwraca zatem uwagę, że zakres spraw przekazanych do uregulowania w akcie rangi podustawowej wymaga ponownej analizy i weryfikacji.

Dane gromadzone w CIE muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 

A zdarzały się wszak incydenty związane z brakiem odpowiednich zabezpieczeń bądź dostępem do danych nieuprawnionych osób, co w kontekście projektu może stanowić olbrzymią nieuprawnioną wiedzę o obywatelu. Rzecznik sygnalizuje zatem potrzebę ponownej szczególnie wnikliwej analizy co do konieczności wprowadzenia odpowiednich zabezpieczeń.

W projekcie zaledwie jeden przepis dotyczy profilowania. A przeprowadzenie oceny skutków dla ochrony danych winno być tu kluczowe i to na wstępnym etapie prac, a nie dopiero po konsultacjach. 

Warto także odnieść się do innych krytycznych uwag ekspertów, a dotyczących m.in. i sposobu prezentacji danych o środkach zgromadzonych na cele emerytalne. Nie tylko może on wprowadzać w błąd, ale  może mieć skutek odwrotny od zakładanego, zwłaszcza w okresie dekoniunktury, co projektodawca winien wziąć pod uwagę.

Celowe wydaje się też uaktualnienie zarówno uzasadnienia, jak również Oceny Skutków Regulacji projektu w zakresie sytuacji ekonomicznej i gospodarczej kraju, a co za tym idzie – także gospodarstw domowych, które nie dysponują obecnie takimi możliwościami oszczędzania, jak w projekcie ustawy z roku 2020.

Odpowiedź Kancelarii Premiera

- Uprzejmie dziękuję za przesłane stanowisko do projektu ustawy o Centralnej Informacji Emerytalnej i jednocześnie przesyłam poniżej ustosunkowanie do stanowiska Pana Rzecznika - pisze w odpowiedzi z 5 sierpnia 2022 r. pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński i dodaje, że nadal prowadzone są prace nad uwzględnieniem uwag zgłoszonych w wyniku konsultacji publicznych i uzgodnień projektu z innymi organami.

1. Projekt ustawy o Centralnej Informacji Emerytalnej (CIE) ma na celu oddanie w ręce wszystkich zainteresowanych użytecznego i łatwego w obsłudze instrumentu, który pozwoli na podniesienie świadomości, wagi i potrzeby zadbania o środki do życia po zakończeniu aktywności zawodowej. W toku uzgodnień i konsultacji publicznych zgłoszonych zostało wiele cennych uwag. W wyniku ich analizy projekt podlega daleko idącym zmianom, które zmierzają w pierwszym rzędzie do poprawy Centralnej Informacji Emerytalnej i wychodzą naprzeciw zgłoszonym obawom. Ważne zmiany służą upodmiotowieniu i wzmocnieniu ochrony praw zainteresowanych. Wszystkie prawa zagwarantowane polskim i unijnym prawem ochrony danych osobowych będą poszanowane. Prawo do prywatności i ochrona danych osobowych zostaną, w stosunku do projektu przekazanego do konsultacji, znacząco wzmocnione dzięki przyjęciu nowego modelu zarządzania danymi, który zostanie przybliżony w dalszej części niniejszego pisma.

2. Najważniejszą zmianą projektu jest przyjęcie nowego modelu zbierania i przetwarzania danych. W nowym modelu dane zostały wyraźniej podzielone na dwie grupy. Pierwsza grupa to bardzo ograniczone dane identyfikujące posiadaczy produktów emerytalnych (imię i nazwisko, numer PESEL i numery dokumentów tożsamości). Administrator CIE (tj. Polski Fundusz Rozwoju) nawet tych danych nie będzie przechowywał w oryginalnej postaci, ale jako zakodowane identyfikatory posiadaczy produktów emerytalnych. Powstanie zbioru takich identyfikatorów jest niezbędne, aby żądanie przekazania danych dotyczących indywidualnych oszczędności emerytalnych kierować tylko do tych podmiotów, które przechowują i zarządzają produktami emerytalnymi konkretnych osób, a nie do wszystkich podmiotów na rynku, które zarządzają produktami emerytalnymi. Powstanie zbioru identyfikatorów w istocie zatem służy ograniczeniu przepływu danych dotyczących oszczędności

emerytalnych. To oznacza, że tymczasowe pozyskanie podstawowych danych identyfikujących w celu utworzenia zakodowanych identyfikatorów pozostaje w zgodzie z zasadami przydatności, niezbędności i proporcjonalności przetwarzania danych osobowych. Należy dodać, że identyfikatory przechowywane w systemie CIE będą miały postać zakodowaną (tzw. funkcję skrótu – hash).

3. Drugą grupą danych są informacje emerytalne, czyli dane o oszczędnościach emerytalnych. Zgodnie z założeniem przyświecającym idei budowy systemu CIE, zainteresowany ma uzyskać możliwie kompletną informację o zgromadzonych przez siebie środkach emerytalnych, tj. środkach z publicznego systemu emerytalnego (ZUS i KRUS) oraz z form zarządzanych przez instytucje rynku kapitałowego. Realizacja tego założenia będzie możliwa wyłącznie, gdy do systemu CIE trafią informacje oddające w możliwie pełnym stopniu obraz stanu oszczędności emerytalnych. Stąd nie można podzielić zastrzeżeń do zakresu informacji, które mają być przekazywane do systemu CIE. Ograniczenie zakresu tych danych w stosunku do zakresu określonego w projekcie pozbawiłoby system CIE jego podstawowej funkcji.

Należy dodać, że w systemie CIE nie będą przetwarzane żadne dane wrażliwe w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: rozporządzenie 2016/679).

4. W systemie CIE nie będą przetwarzane dane o oszczędnościach emerytalnych wszystkich ubezpieczonych w ZUS lub KRUS i posiadaczy produktów emerytalnych. Przekazanie tych danych będzie bowiem następować wyłącznie po założeniu profilu w systemie CIE. Projekt ustawy expressis verbis potwierdza, że założenie profilu w systemie CIE będzie zawsze dobrowolne. Zainteresowani będą mogli także w każdej chwili zamknąć profil, co będzie skutkowało usunięciem z systemu CIE danych o oszczędnościach emerytalnych. Jedynie ze względów technicznych, przez okres 6 lat (podstawowych okres przedawnienia roszczeń) pozostaną tylko wpisy w rejestrze operacji i identyfikatory, które są niezbędne do zapewnienia rozliczalności obsługujących system i zachowania spójności zbiorów danych. Takie rozwiązania są powszechnie stosowane w bazach danych. Podobnie rzecz się przedstawia z innymi zbiorami, w których zachowywane są poszczególne pozycje, nawet po ich dezaktywacji (np. numery rachunków bankowych muszą być niepowtarzalne).

5. Należy podkreślić, że informacje dotyczące wszystkich ubezpieczonych i posiadaczy produktów emerytalnych będą przekazywane tylko w minimalnym zakresie, właśnie w celu zapewnienia wzmocnionej ochrony danych zawierających szczególnie ważne osobiste informacje, czyli informacje o wysokości i charakterze oszczędności emerytalnych. Dane identyfikujące, do czasu założenia profilu w systemie CIE, nie będą przechowywane w systemie CIE.

Projekt ustawy od początku prac był zatem pomyślany w taki sposób, aby nie dopuścić do zbierania nadmiarowych danych osobowych. Natomiast dzięki wnikliwiej analizie i wsłuchaniu się w głosy płynące od strony społecznej, opracowany został nowy model przetwarzania danych, który zapewni jeszcze dalej idącą ochronę danych osobowych.

6. Podsumowując wyjaśnienia dotyczące ochrony prywatności, należy podkreślić, że – w celu zapewnienia ograniczenia przepływu danych od podmiotów obowiązanych (czyli takich instytucji jak fundusze emerytalne) – dane dotyczące zgromadzonych oszczędności emerytalnych będą przekazywane do systemu CIE wyłącznie za zgodą samego zainteresowanego. Proces przekazywania tych danych będzie bowiem uruchamiany dopiero po założeniu przez daną osobę tzw. profilu w systemie CIE. To oznacza, że prawo do prywatności, w szczególności prawo do decydowania o przekazywaniu danych informacji (autonomia informacyjna) będzie w pełni poszanowane.

7. Projektowana ustawa przewidywać będzie rozbudowane przepisy o obowiązku zachowania w tajemnicy informacji uzyskanych w toku obsługi systemu CIE. Z kolei udostępnianie informacji z systemu CIE organom władzy publicznej odbywać się będzie w nawet węższym zakresie podmiotowym i przedmiotowym, niż to wynika z innych obowiązujących przepisów, np. ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi lub ustawy – Prawo bankowe.

8. Projektowana ustawa nie będzie przewidywała profilowania posiadaczy produktów emerytalnych w rozumieniu rozporządzenia 2016/679.

9. Projekt ustawy kładzie silny nacisk na ochronę bezpieczeństwa danych osobowych. W pierwszej kolejności należy zauważyć, że dostęp do systemu CIE będzie zapewniony wyłącznie przez krajowy węzeł identyfikacji elektronicznej, który jest już wykorzystywany do dostępu do procedur administracyjnych, np. podatkowych i niektórych usług, np. dotyczących zdrowia. Unormowania projektu ustawy dotyczące bezpieczeństwa danych przetwarzanych w systemie CIE zapewniają poziom wymagany rozporządzeniem 2016/679 i z pewnością stawiają wymagania nie niższe niż przewidziane w innych ustawach. Mając na uwadze, że rozporządzenie 2016/679 jest aktem bezpośrednio obowiązującym, wszystkie jego wymagania, w tym ocena ryzyk, będą stosowane przez PFR i inne zaangażowane podmioty.

10. System CIE będzie złożonym systemem teleinformatycznym. W związku z tym, szczegółowe warunki techniczne nie będą regulowane w ustawie, ale w akcie wykonawczym. Dlatego w projekcie przewidziana jest delegacja dla ministra właściwego do spraw informatyzacji do wydania rozporządzenia, w którym zostaną uregulowane techniczne aspekty zabezpieczenia i przekazywania danych. Natomiast wszystkie istotne aspekty funkcjonowania systemu CIE, zwłaszcza dotyczące praw konstytucyjnych, będą uregulowane w ustawie. W celu uniknięcia ewentualnych wątpliwości, w odpowiedzi na zgłoszone uwagi, projekt ustawy zostanie uzupełniony o przepis materialny określający wysokie standardy przekazywania danych. Zwłaszcza przekazywanie danych do systemu CIE będzie musiało być przeprowadzane w sposób sprawny, gwarantujący ochronę danych osobowych przed niedozwolonym przetwarzaniem, w szczególności przed ich zniszczeniem, utratą, modyfikacją, ujawnieniem lub dostępem do nich, uwzględniający ryzyko wiążące się z ich przekazywaniem. Takie regulacje są spójne choćby z art. 32 rozporządzenia 2016/679.

11. Uzupełniając uwagi dotyczące bezpieczeństwa danych, należy dodać, że liczne obowiązki PFR będą wynikały z pełnienia przez ten podmiot roli administratora danych osobowych. Jak już wspomniano, w związku z charakterem rozporządzenia unijnego, odrębne regulowanie tych obowiązków w projektowanej ustawie nie jest właściwe. Ta uwaga dotyczy np. oceny skutków operacji przetwarzania dla ochrony danych osobowych, którą przewiduje art. 35 rozporządzenia 2016/679.

Zwracam także uwagę, że projekt przewiduje nałożenie na PFR i inne podmioty ważnych obowiązków w zakresie funkcjonowania systemu CIE, m.in. zapewnienia ochrony przed nieuprawnionym dostępem do danych zgromadzonych w systemie CIE i integralności danych zgromadzonych w systemie CIE, zapewnienia podmiotom obowiązanym dostępu do systemu CIE, tylko w zakresie niezbędnym do wykonywania przez te podmioty przepisów ustawy, przeciwdziałania uszkodzeniom systemu CIE, a także obowiązki określenia zasad bezpieczeństwa przetwarzanych danych oraz zapewnienia rozliczalności działań dokonywanych na danych zgromadzonych w systemie CIE oraz spójności danych przetwarzanych w systemie CIE.

12. Naturalnie, w związku z ewolucją projektu ustawy, uzupełnione i uaktualnione zostaną wszystkie dokumenty towarzyszące.

Podsumowując, wszystkie rozwiązania projektu ustawy zostały zaprojektowane w poszanowaniu prawa do prywatności i ochrony danych osobowych, w szczególności zgodnie z rozporządzeniem 2016/679.

VII.501.93.2022

Załączniki:

Autor informacji: Łukasz Starzewski
Data publikacji:
Osoba udostępniająca: Łukasz Starzewski
Data:
Operator: Łukasz Starzewski