Czy katalog danych przetwarzanych w zintegrowanej platformie analitycznej nie jest zbyt obszerny? RPO interweniuje u premiera
- Rząd pracuje nad rozporządzeniem w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej
- Zakres danych i materia uregulowana w rozporządzeniu budzi poważne wątpliwości natury zarówno konstytucyjnej, jak i legislacyjnej. Pomija też zasady wynikające z RODO
- Przetwarzanie przez państwo olbrzymich zestawów danych przywołuje skojarzenia z Chińskim systemem kontroli społecznej
- Dlatego, aby zapewnić ochronę praw jednostek z poszanowaniem Konstytucji RP, orzecznictwa TK oraz standardów międzynarodowych i europejskich, Rzecznik Praw Obywatelskich interweniuje u Premiera
RPO Marcin Wiącek z zaniepokojeniem odnotował opublikowanie w Rządowym Centrum Legislacji projektu rozporządzenia Rady Ministrów w sprawie wykazu rejestrów publicznych i systemów teleinformatycznych, z których udostępniane są dane na potrzeby prowadzenia analiz w ramach zintegrowanej platformy analitycznej.
Po jego analizie pojawiły się wątpliwości zarówno natury legislacyjnej, jak i konstytucyjnej dotyczącej nie tylko przedmiotu rozporządzenia, ale i jego zakresu. W związku z tym RPO przedstawia uwagi Prezesowi Rady Ministrów, Ministrowi Cyfryzacji i prosi o podjęcie działań w celu poszanowania Konstytucji RP, ugruntowanej linii orzeczniczej TK, standardów międzynarodowych i europejskich – aby zapewnić ochronę praw jednostek.
Rozporządzenie Rady Ministrów
Upoważnienie do wydania przedmiotowego rozporządzenia przez rząd znajduje się w tzw. ustawie o informatyzacji (ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne).
Znajduje się w rozdziale zatytułowanym „Zintegrowana platforma analityczna”, który został do niej dodany w sierpniu 2021 r. ustawą o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego i wiąże się z wdrożeniem w polskim porządku prawnym zasad określonych w prawie UE. Chodzi o Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego.
W motywach tej dyrektywy wskazuje się m.in., że dokumenty, sporządzane przez organy sektora publicznego pełniące funkcje wykonawcze, ustawodawcze lub sądowe, stanowią szerokie, zróżnicowane i wartościowe zasoby, które mogą być wykorzystane z korzyścią dla społeczeństwa. A inteligentne korzystanie z danych, w tym ich przetwarzanie w ramach zastosowań sztucznej inteligencji, może mieć rewolucyjne skutki dla wszystkich sektorów gospodarki.
RPO zwraca uwagę, że jednocześnie przywołany tam został art. 8 Karty Praw Podstawowych UE, który gwarantuje prawo do ochrony danych osobowych i stanowi, że dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie ustanowionej prawem i pod kontrolą niezależnego organu.
Rzecznik przypomina, że kompilowanie danych osobowych i innych danych stanowiących informację publiczną, pochodzących z różnych źródeł, umożliwi tworzenie profili osobowych osób fizycznych, co może skutkować negatywnymi konsekwencjami w przypadku niewłaściwego sposobu wykorzystania takiej możliwości.
Nie można takiej materii określać rozporządzeniem
Zwraca uwagę, że rozporządzenie – czyli akt wykonawczy – określa szeroki zakres danych i zawiera wykaz rejestrów publicznych, zbiorów danych oraz systemów teleinformatycznych, z których udostępniane są te dane. A tymczasem ta materia zarezerwowana jest dla przepisów rangi ustawowej, co wynika z art. 51 ust. 1 i 5 Konstytucji RP. Zwraca uwagę, że również Trybunał Konstytucyjny wielokrotnie potwierdził konieczność ustawowej regulacji tej materii.
W projektowanym rozporządzeniu zawarty został niezwykle obszerny katalog nie tylko podmiotów udostępniających dane do platformy, ale także udostępnianych danych, co zgodnie z zawartymi wcześniej rozważaniami jest niezgodne z Konstytucją.
Projekt przewiduje, że dane do platformy udostępnia kilkadziesiąt podmiotów, a źródłem udostępnianych do platformy danych jest 20 różnych baz danych, rejestrów i systemów. Zakres udostępnianych danych obejmuje ponad 70 pozycji tak szczegółowych jak np.: dane osobowe łącznie z numerem PESEL; liczbę i daty urodzin dzieci; liczbę, rodzaj i wysokość wypłaconych zasiłków lub świadczeń; dochody, na podstawie których ustalone zostało prawo do tych zasiłków lub świadczeń; wyniki egzaminów centralnych; numer REGON płatnika składek; informacje o przychodach, informacje o stanie zdrowia i świadczeniach uzyskanych z systemu opieki zdrowotnej.
Zdaniem Rzecznika nie można znaleźć uzasadnienie dla zamiaru uregulowania tej materii przez Radę Ministrów w akcie wykonawczym. Nie są to bowiem szczegółowe i techniczne sprawy związane z przetwarzaniem danych osobowych, lecz fundamentalne zagadnienia, które wymagają regulacji ustawowej, a co za tym idzie przejścia całego procesu legislacyjnego w Sejmie, w Senacie oraz uzyskania podpisu Prezydenta RP.
RPO zastanawia się też, czy ta regulacja oraz sposób tworzenia zintegrowanej platformy analitycznej są konieczne, uzasadnione i niezbędne w demokratycznym państwie. Powinno się wykazać, że doprowadzi do zamierzonych skutków (zasada przydatności), jest niezbędna dla ochrony interesu publicznego, z którym jest powiązana (zasada konieczności), a jej efekty pozostają w proporcji do ciężarów nakładanych przez nią na obywatela (zasada proporcjonalności w ścisłym tego słowa znaczeniu).
Projekt pomija i narusza RODO
RPO zwraca również uwagę, że projekt rozporządzenia w brzmieniu umieszczonym na stronie RCL jest niezgodny z rozporządzeniem RODO, które nakłada szereg zasad związany ze zbieraniem, przechowywaniem i przetwarzaniem danych. Są to: zasada zgodności z prawem, rzetelności i przejrzystości; zasada ograniczenia celu; zasada minimalizacji danych; zasada prawidłowości; zasada ograniczenia przechowywania; zasada integralności i poufności.
Sposób udostępnia danych oraz przetwarzania ich na platformie w myśl przepisów projektowanego rozporządzenia nie jest przejrzysty. Projekt także nie czyni zadość zasadzie ograniczenia celu. Przepisy projektowanej regulacji zakładają bowiem zmianę pierwotnego celu przetwarzania danych, która nie ma uzasadnienia i podstaw faktycznych.
Rzecznik zauważa, że w projekcie brakuje również szczegółowych i technicznych regulacji związanych z przetwarzaniem danych osobowych, które mają być uregulowane w odrębnych porozumieniach, a powinny być określone właśnie w rozporządzeniu, bo są zarezerwowane dla tej rangi aktu normatywnego.
Pozostawienie spraw ważnych dla ochrony praw i wolności obywateli do uregulowania w porozumieniach obejmujących polityki bezpieczeństwa, przetwarzania danych osobowych oraz możliwości techniczno-organizacyjnych stron tych porozumień, w ocenie Rzecznika Praw Obywatelskich, stanowi poważne naruszenie gwarancji tych praw i wolności.
Czy to już system kontroli społecznej?
Przetwarzanie przez organy państwa olbrzymich zestawów danych może kojarzyć się z systemem kontroli społecznej, który obecnie jest domeną Chińskiej Republiki Ludowej. Tworzony tam mechanizm o nazwie System Zaufania Społecznego ma na celu zintegrowanie szeregu elementów codziennego funkcjonowania: od spraw prozaicznych typu wypożyczenia roweru, poprzez organizację opieki zdrowotnej, kontakty z urzędnikami, aż po możliwość uzyskania mieszkania.
Planowany nadzór nad obywatelami Chin jest totalny, a głębokość ingerencji w prawa jednostki – bezprecedensowa. Skala i dynamika tego przedsięwzięcia są nieporównywalne z jakimkolwiek projektem socjotechnicznym w historii ludzkości. Jednym z podstawowych założeń Systemu Zaufania Społecznego ma być poddawanie obywateli drobiazgowej ocenie rankingowej, która ma mieć wpływ na ich codzienne życie oraz przyznawane im uprawnienia.
Zgodnie z projektem, dzięki algorytmom sztucznej inteligencji wykorzystywanym do analizy udostępnianych do platformy danych będzie istniała możliwość generowania przydatnych władzy publicznej informacji na temat obywateli w dowolnych konfiguracjach uzależnionych od bieżących potrzeb władzy. Taka możliwość budzi poważne wątpliwości Rzecznika Praw Obywatelskich w zakresie zarówno jej zgodności z Konstytucją RP, jak również ze standardami międzynarodowymi i europejskimi.
Sztuczna inteligencja w Unii Europejskiej
Od kilku lat trwają intensywne prace nad stworzeniem przepisów prawa unijnego regulujących sposób tworzenia oraz działania sztucznej inteligencji. Przełomem w pracach okazał się opublikowany w roku 2021 projekt rozporządzenia Parlamentu Europejskiego i Rady ustanawiający zharmonizowane przepisy dotyczące sztucznej inteligencji.
W jego motywach wskazano, że oprócz wielu korzystnych zastosowań sztucznej inteligencji technologia ta może być również niewłaściwie wykorzystywana i może dostarczać nowych i potężnych narzędzi do praktyk manipulacji, wykorzystywania i kontroli społecznej. Takie praktyki są szczególnie szkodliwe i powinny być zakazane, ponieważ są sprzeczne z unijnymi wartościami poszanowania godności ludzkiej, wolności, równości, demokracji i praworządności oraz z prawami podstawowymi Unii, w tym z prawem do niedyskryminacji, ochrony danych i prywatności oraz z prawami dziecka.
Zwrócono tam też uwagę, że systemy sztucznej inteligencji, które umożliwiają prowadzenie przez organy publiczne lub w ich imieniu oceny punktowej zachowań społecznych osób fizycznych do celów ogólnych, mogą prowadzić do dyskryminacyjnych wyników i wykluczenia pewnych grup. Ocena społeczna wystawiona przez takie systemy może prowadzić do krzywdzącego lub niekorzystnego traktowania osób fizycznych lub całych ich grup. Mogą one naruszać prawo do godności i niedyskryminacji oraz wartości, jakimi są równość i sprawiedliwość. Dlatego powinny być zakazane.
Ze względu na te wątpliwości natury legislacyjnej, jak również konstytucyjnej RPO prosi prezesa Rady Ministrów, Ministra Cyfryzacji Mateusza Morawieckiego o uwzględnienie przedstawionych uwag i podjęcie działań w celu zapewnienia ochrony praw jednostek z poszanowaniem Konstytucji RP, orzecznictwa TK i standardów międzynarodowych i europejskich. Prosi również o informacje o podjętych w tej sprawie krokach.
VII.501.51.2022