La cicatriz de Katyń 
Państwo powinno bronić danych osobowych obywateli. Tymczasem popełnia błędy
Konrad BIAŁOSZEWSKI
Gdy pod koniec 2015 r. podejmowano decyzję o zorganizowaniu nowego Ministerstwa Cyfryzacji, pokazano program, w którym proponowano nowy typ ministerstwa — zajmującego się informatyzacją państwa. Czy ktoś sprecyzował, co to ma oznaczać? Z jednej strony mamy całą przestrzeń internetową, dającą ogromne możliwości komunikacyjno-operacyjne, z drugiej strony są ludzie, którzy chcieliby oprócz wędrowania po stronach internetowych móc załatwić kilka spraw. Ot, chcieliby choćby zrobić przelew bankowy, napisać pismo do któregoś z urzędów, zapisać się do lekarza, może zagłosować w wyborach lokalnych, rozliczyć podatki. Takie proste sprawy, a w trakcie ich załatwiania okazuje się, że natrafiamy na bariery, których pierwotnie nie dostrzegaliśmy. Dlaczego?
Wydawało się, że Ministerstwo Cyfryzacji, mając w ręku takie narzędzia, jak otwarta przestrzeń internetowa oraz rejestry państwowe, szybko upora się z tymi problemami. A tu co chwila jak królik z cylindra wyskakują problemy z ePUAP-em, Centralną Ewidencją Pojazdów i Kierowców (CEPiK2.0), projektem dowodów osobistych z warstwą elektroniczną (słynne pl.ID).
Dlaczego wymieniam te obszary? Dlatego, że po wnikliwej analizie okazuje się, że stanowią one klucze do drzwi, za którymi można zbudować lub już są zbudowane autostrady internetowe.
ePUAP to narzędzie do komunikowania się z administracją publiczną, czyli możliwość załatwienia jak największej liczby spraw bez konieczności odwiedzania urzędu. To punkt startowy każdego — dalsza podróż może być szybka i przyjemna albo długa i uciążliwa. Można się komunikować z administracją publiczną, tylko ta administracja musi wiedzieć w stopniu graniczącym z pewnością, że osoba komunikująca się z nią jest właściwą osobą.
.I tak oto dochodzimy do połączenia logicznego dwóch projektów: ePUAP i pl.ID. Dowód osobisty z warstwą elektroniczną od samego początku, czyli od 2007 r., był projektowany wyłącznie jako dokument potwierdzający naszą tożsamość na wiele sposobów — wizualnie (można go czytać), biometrycznie (gdy chcemy podróżować lub wyeliminować wątpliwość, czy posiadacz dokumentu i opisana w nim osoba to ten sam podmiot) lub dzięki identyfikatorowi cyfrowemu (ciąg znaków logicznych potwierdzany przez nas PIN-em, żeby mieć pewność, że nikt pod nas się nie podszyje).
Wszelkie dziedzinowe informacje o nas — czyli np. w ZUS te, które interesują ZUS, w służbie zdrowia te, które interesują tę służbę, w urzędach skarbowych te, które interesują te urzędy itd. — powinny być przechowywane w systemach dziedzinowych bez możliwości dysponowania danymi osobowymi, czyli tym, co umieszczamy w zbiorze PESEL. Gdyby nawet ktoś nieuprawniony wszedł w posiadanie tych danych dziedzinowych, to nic mu po nich, bo nie dysponowałby informacją, kogo one dotyczą.
Tak powstaje system przyjemny dla ludzi i dla administracji publicznej. Kontakt pomiędzy szeroko rozumianą administracją publiczną a obywatelami jest łatwy, przyjemny i bezpieczny. Co powinno być zwornikiem Systemu Rejestrów Państwowych a całym otoczeniem urzędowo-internetowym? Ano właśnie dowód osobisty uwiarygodniany przez izolowany System Rejestrów Państwowych.
Tak naprawdę to, czego powinno bronić państwo, to dane osobowe. Reszta bez danych osobowych nic nie znaczy. Można sobie swobodnie działać w internecie, podmioty rynkowe mogą tworzyć różne produkty dla obywateli, i nic złego się nie stanie. Przepraszam, jest jeden warunek: muszą być centra zapasowe z prawdziwego zdarzenia i właściwa eksploatacja systemów.
Nie wiem, czy ktoś zauważył, ale gładko przemknęliśmy przez cyberbezpieczeństwo. Dlaczego? Dlatego, że z systemów izolowanych bardzo trudno wykraść dane osobowe.
Niestety, dzisiaj resort cyfryzacji prześciga się w pomysłach wprowadzenia prostego rozwiązania przechowywania danych w najbardziej niedorzeczny sposób, angażując w to banki i telekomy.
.Dlaczego banki i telekomy wchodzą w takie operacje bez opłat? Bo w zamian dostają dane osobowe osób, które do nich przychodzą i dobrowolnie je podają na potrzeby systemów bankowych. Dane osobowe są największą wartością w tej operacji — po niej następuje lawina ofert od firm związanych z bankami umowami marketingowymi.
Otrzymujemy mnóstwo ofert telefonicznie i internetowo i zachodzimy w głowę, jak to się stało, że jakaś firma dysponuje informacjami o nas, skoro nigdy się z nią nie kontaktowaliśmy. A tu działa cała machina — pozwolę sobie na takie porównanie — która nas wciąga razem z głową.
Ulegamy blichtrowi życia społeczeństwa internetowego, nie widząc w pierwszej chwili, co tracimy. A tracimy prywatność. To także efekt uboczny zrealizowania np. programu 500+ przy wsparciu banków. Program w mojej ocenie bardzo pozytywny, ale realizacja warstwy obsługowej w internecie to niestety niewypał. Pomijam tu rzeczywistą efektywność tego rozwiązania, ale skutki uboczne są — i nie powinniśmy udawać, że ich nie zauważamy.
Mamy do czynienia z cichym przyzwoleniem administracji na połknięcie danych osobowych przez banki, o co od dawna zabiegały bezskutecznie. Teraz banki i towarzystwa ubezpieczeniowe otrzymały dane obywateli na tacy, konsumując najwartościowsze zasoby państwa i słuchając komplementów pod swoim adresem.
.Podniesienie poziomu zinformatyzowania kraju wymaga nie tylko planu technicznego, ale i rozumienia nieco bardziej wysublimowanych mechanizmów. Przy rozwoju internetu należy stwarzać możliwość wykorzystania pośrednictwa internetowego, ale nie można zamykać innych dróg załatwiania spraw, bo społeczeństwo to nie tylko mieszkańcy dużych aglomeracji, w których istnieje spora grupa (ale nie większość), która chce załatwiać sprawy przez internet. To również ludzie stroniący od trzymania pieniędzy w banku, to ludzie idący do urzędu, bo oszczędzają każdy grosz, unikając opłat bankowych i pocztowych, to cały obszar działań mających na celu spajanie społeczności lokalnych. Temu ślęczenie nad internetem i życie w przestrzeni internetowej nie służy. Internet niestety tworzy indywidua anonimowe, które wykorzystują swoją anonimowość zarówno pozytywnie, jak i negatywnie.
Obserwując działania administracji publicznej w obszarze cyfryzacji po grudniu 2015 r., kiedy to zaczęto tworzyć nową jakość ministerstwa, odnoszę wrażenie, że z początkowych wielkich i ciekawych planów zostaje coraz mniej.
.Powstała niepokojąca sytuacja — otóż po pierwotnych założeniach, że to Ministerstwo Cyfryzacji będzie tym organizmem, który stworzy nową jakość cyfrową, okazało się, że resort nie do końca radzi sobie z rzeczywistością i zaczyna być ona tworzona tak naprawdę w Ministerstwie Rozwoju, czyli Ministerstwo Cyfryzacji zostało zmarginalizowane. W Ministerstwie Rozwoju powołano zespoły pracujące nad rozwiązaniami w sferze cyfryzacji, a Ministerstwo Cyfryzacji straciło cały impet twórczy. Nie oceniam tu jakości rozwiązań proponowanych przez zespoły z Ministerstwa Rozwoju, to temat na odrębną refleksję, ale faktem jest, że cyfryzacja została zepchnięta na węższy tor i obserwujemy, czy utrzyma się na nim, czy też się wykolei. A czas ucieka.
Za chwilę minie rok prac nowej ekipy. Nie tylko ja odnoszę wrażenie, że wszystko stoi w miejscu. Czas ponownie zdefiniować cele cyfryzacji. Być może realizacja wcześniejszego mojego pomysłu, by to nie było ministerstwo, lecz urząd podlegający bezpośrednio premierowi, zatrudniający fachowców na kontraktach, mający jasno zdefiniowane cele techniczne, spowodowałaby wyeliminowanie całej warstwy działań politycznych i stworzyłaby warunki do prac merytorycznych.
.A jeśli ministerstwo — to działające w trybie: zero efekciarstwa i propagandy, a maksimum skuteczności i użyteczności. Ministerstwo jasno formułujące zasady działania nie tylko w warunkach stabilnych, ale i w warunkach kryzysowych. Ministerstwo wspólnie z innymi podmiotami administracji publicznej stworzy rzeczywisty i dynamiczny system funkcjonowania cyfryzacji w państwie z uwzględnieniem wszelkich aspektów, takich jak: cyberbezpieczeństwo, ochrona danych osobowych, swoboda korzystania z bezpiecznego internetu z uwzględnieniem nie tylko standardów krajowych, ale i rozwiązań Unii Europejskiej, co znacznie poszerzy nasze możliwości nie tylko w kraju, ale również za granicą.
I nie należy sobie wmawiać, że zrobimy to dzięki dowodowi osobistemu w smartfonie, ponieważ nie ma takich rozwiązań w praktyce, ale korzystając z najbardziej bezpiecznego narzędzia pośredniczącego, jakim jest dowód osobisty, będący jednocześnie dokumentem podróży.
Czasu na sprawdzone, racjonalne rozwiązania jest coraz mniej.
Konrad Białoszewski
