Na pokładzie samolotu zamówiłeś posiłek halal? Skorzystałeś z wózka inwalidzkiego na lotnisku? Już wkrótce tego typu informacje trafią do ogromnej bazy danych, którą tworzy Straż Graniczna. Fundacja Panoptykon alarmuje, że projekt ustawy ws. zbierania tego typu informacji zagraża prawom człowieka.
Najpóźniej 25 maja 2018 r. zacznie funkcjonować baza danych, w której znajdą się wszystkie informacje o pasażerach samolotów, które przyleciały do Polski lub ją opuściły. To efekt unijnej dyrektywy, którą do polskiego systemu prawnego wprowadzi ustawa stworzona w MSWiA.
W rozmowie z money.pl Karolina Iwańska z fundacji Panoptykon, która przygotowuje opinię ws. projektu, stwierdziła, że zaproponowane rozwiązania są nieproporcjonalne w stosunku do celów, które mają osiągnąć. - Pomysły stoją częściowo w sprzeczności z zapisami Karty Praw Podstawowych - dodała. Z kolei ekspert ds. bezpieczeństwa informacji prof. Tomasz Aleksandrowicz z Collegium Civitas ocenił, że projekt może bulwersować, ale "to nic nowego".
Sami ujawniamy dane
Naukowiec przypomniał bowiem, że nasza prywatność jest w świetle prawa systematycznie ograniczana. - Oburzamy się, gdy robi to państwo, a równocześnie sami dowolnie ujawniamy masę informacji o sobie. Nie mówię tylko o mediach społecznościowych, ale także o m.in. programach lojalnościowych. Chociażby na stacjach benzynowych - wyjaśnił.
- Być może to wynika z faktu, że w tej chwili opinia publiczna zaczęła bardziej zwracać uwagę na kwestię prawa do prywatności. Od wielu lat obowiązuje przepis, który pozwala państwom na prośbę lub z własnej woli przekazać innemu państwu dane osobowe, jeśli pojawia się poważne zagrożenie terrorystyczne. Zapis, o którym mówię, jest sformułowany ogólnie, więc nie jest to nic nowego - tłumaczył prof. Aleksandrowicz.
Równocześnie przypomniał, że dane PNR (Passenger Name Record - red.) są już w posiadaniu linii lotniczych. - To są wszystkie dane, które trzeba podać, by kupić bilet - dodał.
Rząd nadgorliwy, KE niechętna do działania
I choć zbieranie danych nie jest "niczym nowym", to przedstawicielka fundacji Panoptykon wskazuje na nadgorliwość polskiego rządu i bierność Komisji Europejskiej, która jest świadoma problemu. - Polski rząd ma związane ręce, ponieważ musi implementować dyrektywę w zakresie jej postanowień w jasno określony sposób. Niestety w miejscach, gdzie znajdowało się pole do wyboru rozwiązań, rząd z Warszawy wybrał te ograniczające prawa człowieka. Dyrektywa miała dotyczyć wyłącznie lotów poza Unię Europejską, ale w Warszawie zdecydowano o rozszerzeniu jej na wszystkie loty międzynarodowe - mówiła w rozmowie z nami Iwańska. W tym kontekście warto wspomnieć, że tylko w ubiegłym roku polskie lotniska obsłużyły ponad 34 mln osób.
- Jaką dodatkową jakość niosą służbom informacje o tym, że dana osoba dwa razy w roku podróżuje do Pakistanu czy Syrii? Przecież one już mają uprawnienia do zdobywania tych informacji. Na szali kładzione są dane kilkudziesięciu milionów osób, które trafią do systemu, w którym będą przechowywane przez 5 lat - tłumaczyła nam przedstawicielka Fundacji Panoptykon.
Depersonalizacja nie jest ostateczna
I właśnie okres przechowywania danych budzi wiele wątpliwości. Choć ustawa przewiduje, że po 6 miesiącach zostaną one "zdepersonalizowane", to nie będzie to proces ostateczny. Nawet po usunięciu informacji pozwalających na identyfikację osoby, której dotyczą, będzie można je przywrócić. Wystarczy do tego zgoda prokuratora, sądu, a czasem nawet i przedstawiciela służb, które wnioskowały o ich udostępnienie.
Problematyczne "uwagi ogólne"
Jakie informacje trafią do bazy? Zarówno dyrektywa, jak i projekt ustawy wylicza dokładny ich katalog. Są to m.in. imię, nazwisko, sposób płatności czy trasa podróży. To jednak również tzw. "uwagi ogólne". Właśnie ta kategoria powoduje najwięcej wątpliwości.
- Ona jest niedoprecyzowana. Wejdzie tam wszystko, co linie lotnicze wiedzą na nasz temat. Mogą to być informacje wrażliwe, np. czy ktoś wypożyczył na lotnisku wózek inwalidzki, albo jaki posiłek zamówił na pokładzie. To może wskazywać na wyznawaną religię pasażera. Jeśli weźmiemy pod uwagę, że obowiązek przekazywania informacji jest obwarowany wysokimi karami, to przewoźnicy będą przekazywać wszystko, co mają. W efekcie dane wrażliwe trafią do organów państwa - ostrzegała Karolina Iwańska.
W ustawie przewidziano mechanizm, który powinien zapobiec nadużyciom i korzystaniu przez służby z danych wrażliwych. Zakłada on, że w sytuacji, gdy już trafią do bazy, powinny zostać natychmiast usunięte. - Trudno sobie wyobrazić, jak to będzie funkcjonować w praktyce. Nasz postulat doprecyzowania katalogu danych ma na celu zmniejszenie ryzyka, że te dane wrażliwe w ogóle zostaną przekazane - powiedziała ekspertka Panoptykonu.
Kategorię "uwagi ogólne" skrytykował w lipcu Trybunał Sprawiedliwości Unii Europejskiej. Przy okazji rozpoznania sprawy umowy między UE a Kanadą wskazano, że zapis o informacjach ogólnych jest za szeroki i stoi w sprzeczności z zapisami Karty Praw Podstawowych. Komisja Europejska nie planuje jednak zajmować się sprawą. Przynajmniej na razie.
W tym samym orzeczeniu Trybunał wskazał, że pięcioletnie przechowywanie danych osób, które nie są podejrzewane o działania sprzeczne z prawem, jest okresem zbyt długim.
Nie ma bezpiecznych systemów
Obawy może budzić także kwestia bezpieczeństwa zgromadzonych danych. - Powiem brutalnie – z tym nie radzi sobie nikt na świecie. Bezpieczeństwo jest pewnym bytem absolutnym i idealnym, do którego dążymy. Jeśli baza istnieje, to można się do niej włamać. Będzie to łatwiejsze lub trudniejsze, ale możliwe. Wystarczy przypomnieć, że przed kilkunastoma tygodniami okazało się, że dokonano elektronicznej kradzieży z NSA, która uchodziła za cyfrową twierdzę - ostrzegł w rozmowie z nami prof. Tomasz Aleksandrowicz.
Pewnym uspokojeniem mogą być informacje przekazane money.pl przez rzecznik prasową Straży Granicznej ppor. Agnieszkę Golias. Z przesłanej wiadomości wynika, że prace koncepcyjne nad rozwiązaniami organizacyjnymi i prawnymi rozpoczęły się jeszcze w 2015 r. O tym, jak wyglądać ma system, służba wie od 28 kwietnia br., gdy podpisano tzw. Decyzję Wykonawczą dla dyrektywy.
"Architekturę rozwiązania przygotowuje i prowadzi programistyczne Biuro Łączności i Informatyki Komendy Głównej Straży Granicznej. Równolegle realizowane są umowy oraz postępowania przetargowe na zakup infrastruktury i licencji" – wyjaśniła nam rzecznik.
Także przedstawicielka fundacji Panoptykon przyznała, że przyjęte rozwiązanie powinno zapewnić pewien względny poziom bezpieczeństw. Pozwala ono na zatrudnienie przy obsłudze systemu osób wykwalifikowanych. - To nie będą tylko funkcjonariusze Straży Granicznej, ale i delegowane z innych służb osoby, które mają doświadczenie w tym zakresie - dodała Iwańska.
Niestety i w kwestii sposobu działania tzw. JIP znajdziemy problemy. Choć wygląda on na dobrze przemyślany, to zapisy projektu ustawy stawiają pod znakiem zapytania nasze prawa.
- Powołanie w strukturze Straży Granicznej inspektora odpowiedzialnego za ochronę danych jest dobrym ruchem. Mamy nadzieję, że prawo skargowe będzie zachowane, ale jest tu pewien problem. Inspektor powinien być niezależny, a w projekcie przewidziano jego podległość Komendantowi Głównemu. W naszej opinii postulujemy uznanie jego niezależności poprzez kadencyjność lub nieodwołalność - wskazała ekspertka Panoptykonu.