Zaledwie pięć podmiotów ma ważną ministerialną promesę na dostęp do rejestru PESEL. Wynika tak z odpowiedzi ministra cyfryzacji Marka Zagórskiego na interpelację poselską Anny Sobeckiej. To, że mają ją Związek Banków Polskich oraz Biuro Informacji Kredytowej, nie budzi niczyich wątpliwości. Dlaczego jednak dostęp do danych o Polakach z publicznej bazy mają spółka Euronet, posiadająca sieć bankomatów, oraz kantor wymiany walut online Cinkciarz.pl? A przede wszystkim, skąd w tym gronie nieduża spółka udzielająca chwilówek, której nie wypalił w Polsce biznes i właśnie jest w likwidacji?
– Zgody na dostęp do rejestru PESEL zostały wydane lekkomyślnie. Minister cyfryzacji powinien niezwłocznie przeanalizować, czy naprawdę prywatne podmioty, w szczególności z obcym kapitałem, powinny korzystać z dobrodziejstw państwowego rejestru – podkreśla radca prawny Andrzej Lewiński, w latach 2006–2016 zastępca generalnego inspektora ochrony danych osobowych, a dziś prezes zarządu Fundacji im. Józefa Wybickiego.
Bezpieczeństwo danych
Dostęp do rejestru PESEL, na który pięć podmiotów uzyskało zgodę, wbrew powszechnemu odczuciu nie oznacza, że pracownik spółki może swobodnie przeglądać informacje o wszystkich Polakach. Jest to dostęp weryfikacyjny. Polega na tym, że to podmiot musi wskazać czyjeś dane osobowe, a następnie otrzymuje informację, czy przekazane dane są zgodne z rzeczywistością, czy nieprawdziwe. Jak podkreśla Ministerstwo Cyfryzacji, nie jest więc tak, że w prywatne ręce wpadły dane milionów Polaków.
– Co nie znaczy, że nie ma kłopotu. Po pierwsze, można sobie bez trudu wyobrazić sytuację, w której np. firma pożyczkowa zebrała dane osobowe znacznie większej liczby osób, niżeli ma klientów. Po drugie, istotą jest odpowiednie zabezpieczenie danych, które pozyskują prywatne podmioty – spostrzega Andrzej Lewiński.
Przykładowo Cinkciarz.pl wykorzystuje bazę PESEL w celach związanych z obowiązkiem stosowania środków bezpieczeństwa finansowego określonych w przepisach ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wiceprezes spółki Piotr Kiciński informuje nas, że jej obowiązkiem jest weryfikacja tożsamości klienta w oparciu o wiarygodne i niezależne źródła. Trudno zaś sobie wyobrazić bardziej wiarygodne źródło niż rejestr PESEL. Piotr Kiciński zapewnia zarazem, że spółka spełnia warunki bezpiecznego korzystania z bazy: posiada specjalnie przystosowany komputer bez dostępu do internetu oraz przeznaczone do tego celu łącze.
Jak jednak dba o bezpieczeństwo danych np. Axcess Financial Poland, nie wiadomo. Na pytanie nie uzyskaliśmy odpowiedzi, a spółka jest w likwidacji. Likwidatorem zaś jest obywatel amerykański.
Niedostateczna kontrola
Sprawą w sierpniu 2018 r. zainteresowała się również Fundacja Panoptykon. Okazało się bowiem, że dostęp do rejestru PESEL miał również osławiony GetBack i skrzętnie z możliwości zaglądania nam w PESEL korzystał. Pojawiło się zatem pytanie, ile podmiotów uzyskało zgody, a także, jak chronione są dane obywateli. Z analizy odpowiedzi, które otrzymali aktywiści z resortów cyfryzacji oraz spraw wewnętrznych i administracji, oraz treści przepisów wyłania się niepokojący obraz. Otóż gdy dany podmiot uzyskuje zgodę na dostęp do rejestru PESEL, potem w zasadzie nie jest już kontrolowany.
– Organy administracji publicznej powinny sprawdzać, w jakim celu uprawnione podmioty wnioskują o przekazanie informacji. Może być przecież tak, że ich działanie nie jest wcale uzasadnione istnieniem interesu prawnego. Przy wydawaniu zgody na udostępnianie danych podmiot zostaje sprawdzony. Ale założenie, że jeśli ktoś spełniał wszystkie wymogi np. w 2015 r. do pozyskiwania danych, to spełnia je również w 2018 r., jest zbyt brawurowe – podkreśla Wojciech Klicki, prawnik z Fundacji Panoptykon. I dodaje, że dlatego minister cyfryzacji powinien choćby wyrywkowo weryfikować niektóre zapytania. I w razie powzięcia wątpliwości co do celowości przetwarzania danych sprawdzić, czy wydana zgoda nadal ma rację bytu.
– Trudna do zrozumienia jest sytuacja, w której spółka bez zarządu i rady nadzorczej ma dostęp do rejestru PESEL. W razie nieprawidłowości nie ma nawet kogo pociągnąć do odpowiedzialności – spostrzega Wojciech Klicki. Przyznaje zarazem, że w świetle obecnie obowiązujących przepisów nie ma wyraźnej podstawy prawnej do przeprowadzania kontroli. Potrzebna więc byłaby zmiana legislacyjna.
– Albo zainteresowanie sprawą Urzędu Ochrony Danych Osobowych – podpowiada Andrzej Lewiński.
Z kolei Jarosław Ryba, prezes Polskiego Związku Instytucji Pożyczkowych, uważa, że nie mamy się czego obawiać. A to dlatego, że dostęp do rejestru PESEL służy przedsiębiorcom zapewne od przeciwdziałania fraudom, a nie do profilowania klientów.
– Nie demonizujmy instytucji pożyczkowych. Zależy nam jedynie na tym, by klient był zadowolony, a jednocześnie spłacił wierzytelność. Musimy więc sprawdzać potencjalnych pożyczkobiorców. Dostęp do rejestru PESEL jest jedną z form takiej weryfikacji. Nie jest wykorzystywany masowo przez instytucje pożyczkowe, gdyż są efektywniejsze narzędzia – spostrzega Ryba.
Ministerstwo Cyfryzacji zapewnia, że na bieżąco weryfikuje listę uprawnionych podmiotów. I tendencja jest taka, by liczbę spółek ze zgodami na dostęp do rejestru PESEL ograniczać, a nie zwiększać.