Jakie książki polityczne wypożyczyliśmy z biblioteki, czy jechaliśmy ostatnio autostradą A4 i w jakim kierunku, czy uczestniczyliśmy w warsztatach dla osób dotkniętych przemocą domową lub uzależnionych, ile wody zużywamy w dzień, a ile w nocy? To tylko kilka przykładów danych, jakie gromadzą na nasz temat podmioty realizujące zadania publiczne. Dane te są rozproszone w setkach tysięcy, jeśli nie milionach różnych zbiorów. Teraz wszystkie one mają być agregowane i udostępniane na żądanie rządu. Gdyby były skutecznie zanonimizowane, to nie stanowiłoby to większego zagrożenia. Problem w tym, że przepisy nie określają standardów tej anoninimizacji, a na dodatek dopuszczają też pseudoanonimizację, a więc proces z założenia odwracalny i pozwalający ustalić osobę, na której temat zgromadzono informacje.
Za i przeciw
Regulacje pozwalające premierowi, jego pełnomocnikowi oraz szefowi KPRM żądać dostępu do wszystkich danych gromadzonych przez podmioty realizujące zadania publiczne dołączono do projektu tarczy antykryzysowej 2.0. Chodzi o dodanie art. 10a do ustawy o Radzie Ministrów (t.j. Dz.U. z 2019 r. poz. 1171 ze zm.).
Cel? Jak najbardziej szczytny.
„We współczesnym życiu publicznym coraz większe znaczenie mają gromadzone informacje. (...) Informacje te są zgromadzone w zbiorach danych i rejestrach podmiotów wykonujących zadania publiczne. Obecnie jednak tworzą one zasób wiedzy, który jest rozproszony” – napisano w uzasadnieniu projektu.
Część komentatorów argumentacja ta przekonuje. Ich zdaniem nowe przepisy pozwolą na kształtowanie polityk z różnych dziedzin życia, które będą oparte na dowodach uzyskanych z analizy wielkich zbiorów danych (z ang. evidence based policy).
przekonuje Krzysztof Izdebski, dyrektor programowy Fundacji ePaństwo.
Nie brakuje jednak również przeciwników nowych regulacji, zwłaszcza w zaproponowanym kształcie. Choćby ze względu na ich zakres.
zauważa Patryk Wachowiec, analityk prawny Forum Obywatelskiego Rozwoju.
– ostrzega.
Brak zabezpieczeń
Najwięcej obaw budzi jednak brak stuprocentowo skutecznych zabezpieczeń, które uniemożliwiałyby powiązanie przekazywanych danych z konkretną osobą.
– ocenia dr Paweł Litwiński.
Anonimizacja to zabieg mający trwale i nieodwracalnie wymazać dane osobowe, tak aby informacji w żaden sposób nie dało się z nimi powiązać. Tyle że nie wszyscy wiedzą, jak to zrobić. Tu gwarancję mogłyby dawać wspomniane przez dr. Pawła Litwińskiego standardy anonimizacji. Ich jednak nie przewidziano. Jeszcze gorzej, że dopuszczono również pseudoanonimizację. Ta bowiem z założenia jest odwracalna. Wystarczy mieć klucz, który pozwoli przywrócić dane osobowe i na nowo powiązać je z informacjami.
– uważa Patryk Wachowiec. Jako przykład podaje eksperyment przeprowadzony przez dziennikarzy „New York Times”, którzy badając zbiór 20 mln zapytań do wyszukiwarki AOL, udostępnionych w celach badawczych i pozbawionych adresów IP, zidentyfikowali 62-letnią wdowę ze stanu Georgia.
podsumowuje analityk FOR.
Krzysztof Izdebski, choć entuzjastycznie nastawiony do pomysłu wykorzystania danych, również dostrzega pewne niebezpieczeństwa związane z odpowiednią anonimizacją.
komentuje.
Innym zagadnieniem są koszty związane z anonimizacją. Projekt nie przewiduje ich zwracania przez państwo, a nawet w przypadku średniej wielkości zbiorów trudno będzie się obejść bez specjalistycznego, a więc często drogiego oprogramowania. Koszty te będą musiały pokryć podmioty przygotowujące dane na żądanie KPRM.
