Zaledwie pięć podmiotów ma ważną ministerialną promesę na dostęp do rejestru PESEL. Wynika tak z odpowiedzi ministra cyfryzacji Marka Zagórskiego na interpelację poselską Anny Sobeckiej. To, że mają ją Związek Banków Polskich oraz Biuro Informacji Kredytowej, nie budzi niczyich wątpliwości. Dlaczego jednak dostęp do danych o Polakach z publicznej bazy mają spółka Euronet, posiadająca sieć bankomatów, oraz kantor wymiany walut online Cinkciarz.pl? A przede wszystkim, skąd w tym gronie nieduża spółka udzielająca chwilówek, której nie wypalił w Polsce biznes i właśnie jest w likwidacji?
– – podkreśla radca prawny Andrzej Lewiński, w latach 2006–2016 zastępca generalnego inspektora ochrony danych osobowych, a dziś prezes zarządu Fundacji im. Józefa Wybickiego.
Bezpieczeństwo danych
Dostęp do rejestru PESEL, na który pięć podmiotów uzyskało zgodę, wbrew powszechnemu odczuciu nie oznacza, że pracownik spółki może swobodnie przeglądać informacje o wszystkich Polakach. Jest to dostęp weryfikacyjny. Polega na tym, że to podmiot musi wskazać czyjeś dane osobowe, a następnie otrzymuje informację, czy przekazane dane są zgodne z rzeczywistością, czy nieprawdziwe. Jak podkreśla Ministerstwo Cyfryzacji, nie jest więc tak, że w prywatne ręce wpadły dane milionów Polaków.
– spostrzega Andrzej Lewiński.
Przykładowo Cinkciarz.pl wykorzystuje bazę PESEL w celach związanych z obowiązkiem stosowania środków bezpieczeństwa finansowego określonych w przepisach ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wiceprezes spółki Piotr Kiciński informuje nas, że jej obowiązkiem jest weryfikacja tożsamości klienta w oparciu o wiarygodne i niezależne źródła. Trudno zaś sobie wyobrazić bardziej wiarygodne źródło niż rejestr PESEL. Piotr Kiciński zapewnia zarazem, że spółka spełnia warunki bezpiecznego korzystania z bazy: posiada specjalnie przystosowany komputer bez dostępu do internetu oraz przeznaczone do tego celu łącze.
Jak jednak dba o bezpieczeństwo danych np. Axcess Financial Poland, nie wiadomo. Na pytanie nie uzyskaliśmy odpowiedzi, a spółka jest w likwidacji. Likwidatorem zaś jest obywatel amerykański.
Niedostateczna kontrola
Sprawą w sierpniu 2018 r. zainteresowała się również Fundacja Panoptykon. Okazało się bowiem, że dostęp do rejestru PESEL miał również osławiony GetBack i skrzętnie z możliwości zaglądania nam w PESEL korzystał. Pojawiło się zatem pytanie, ile podmiotów uzyskało zgody, a także, jak chronione są dane obywateli. Z analizy odpowiedzi, które otrzymali aktywiści z resortów cyfryzacji oraz spraw wewnętrznych i administracji, oraz treści przepisów wyłania się niepokojący obraz. Otóż gdy dany podmiot uzyskuje zgodę na dostęp do rejestru PESEL, potem w zasadzie nie jest już kontrolowany.
– podkreśla Wojciech Klicki, prawnik z Fundacji Panoptykon. I dodaje, że dlatego minister cyfryzacji powinien choćby wyrywkowo weryfikować niektóre zapytania. I w razie powzięcia wątpliwości co do celowości przetwarzania danych sprawdzić, czy wydana zgoda nadal ma rację bytu.
spostrzega Wojciech Klicki. Przyznaje zarazem, że w świetle obecnie obowiązujących przepisów nie ma wyraźnej podstawy prawnej do przeprowadzania kontroli. Potrzebna więc byłaby zmiana legislacyjna.
– podpowiada Andrzej Lewiński.
Z kolei Jarosław Ryba, prezes Polskiego Związku Instytucji Pożyczkowych, uważa, że nie mamy się czego obawiać. A to dlatego, że dostęp do rejestru PESEL służy przedsiębiorcom zapewne od przeciwdziałania fraudom, a nie do profilowania klientów.
– – spostrzega Ryba.
Ministerstwo Cyfryzacji zapewnia, że na bieżąco weryfikuje listę uprawnionych podmiotów. I tendencja jest taka, by liczbę spółek ze zgodami na dostęp do rejestru PESEL ograniczać, a nie zwiększać.
