Zwiń

DGP Poleca

Nie masz konta? Zarejestruj się

Cyfrowa gospodarka » E-państwo

Megabaza z ograniczony zakresem danych Polaków. Nie wszystko trafi do Centralnej Informacji Emerytalnej

Sławomir Wikariak
Ten tekst przeczytasz w 3 minuty
dane osobowe
Obsługą techniczną CIE ma się zająć wyspecjalizowana firma wybrana przez PFR.
ShutterStock

Zakres danych gromadzonych w Centralnej Informacji Emerytalnej zostanie ograniczony – zapowiada minister cyfryzacji po uwagach zgłoszonych podczas konsultacji projektu ustawy.

Centralna Informacja Emerytalna ma zapewnić Polakom dostęp w jednym miejscu do informacji o wszystkich posiadanych produktach emerytalnych. Logując się w niej, będzie można dowiedzieć się nie tylko, jaka będzie emerytura z ZUS czy KRUS, lecz także poznać stan wszystkich oszczędności emerytalnych zgromadzonych w IKE, IKZE, PPE, PPK, OFE.

„Powołanie do życia CIE będzie odpowiadać na zapotrzebowanie społeczne, mitygować lęki oraz pozwoli Polakom lepiej planować przyszłość, o którą - jak wynika z badań - się martwią” - można przeczytać w uzasadnieniu projektu ustawy o CIE.

Aby zapewnić dostęp do tych informacji, powstanie megabaza gromadząca dane z ponad 150 źródeł - począwszy od ZUS i KRUS, przez instytucje finansowe prowadzące IKE i IKZE, podmioty zarządzające pracowniczymi programami emerytalnymi, na powszechnych towarzystwach emerytalnych kończąc. Czy gromadzenie tak wielu danych kilkudziesięciu milionów Polaków z tak wielu źródeł jest uzasadnione, a przede wszystkim bezpieczne? Niektórzy zgłaszający uwagi podczas konsultacji mają co do tego wątpliwości. Największe Narodowy Bank Polski.

„W ocenie NBP gromadzenie i przechowywanie przez operatora systemu informacji emerytalnej danych wszystkich uczestników ze wszystkich systemów emerytalnych nie jest konieczne, a niesie ze sobą ryzyko dla bezpieczeństwa danych” - można przeczytać w jego opinii do projektu.

Planowane zmiany

Uwagi te, przynajmniej częściowo, będą uwzględnione przez ministra cyfryzacji.

- Planujemy zmienić model na taki, który ograniczy zakres danych użytkowników przechowywanych w CIE przed pierwszym logowaniem - odpowiedziała na nasze pytania Monika Dębkowska z KPRM Cyfryzacja.

Nie udało nam się dowiedzieć, czy MC wybrało już docelowy model gromadzenia danych, a jeśli tak, to jaki. Możliwych jest kilka rozwiązań. W Danii, Holandii i Niemczech dane są agregowane z instytucji zarządzających funduszami emerytalnymi na bieżąco, na żądanie użytkownika systemu. W ten sposób użytkownik ma dostęp do wszystkich informacji w jednym miejscu, ale jedynie przez chwilę. Po jego wylogowaniu się z systemu wszystkie informacje są kasowane, a przechowywane jedynie w źródłowych, rozproszonych bazach. Inny model stosuje się w Szwecji, gdzie w jednej bazie dane są już przechowywane, ale tylko za zgodą użytkownika wyrażaną przy pierwszym logowaniu się do systemu. Także i ten wariant pozwala na znaczne ograniczenie zawartości bazy, bo nie przechowuje się w niej danych na zapas.

Tworzenie tak dużych baz wiąże się już nie tylko ze zwykłą cyberprzestępczością, lecz także cyberterroryzmem, co w aktualnej sytuacji geopolitycznej nabiera szczególnego znaczenia.

„To na projektodawcy ciąży obowiązek przeprowadzenia wszechstronnej oceny ryzyk związanych ze stworzeniem i funkcjonowaniem komentowanej megabazy, wiążących się zarówno z kwestią ochrony praw i wolności osób, których dane osobowe znajdą się w tej megabazie, jak i ochroną tej megabazy przed atakami cybernetycznymi, w tym wykonania testu prywatności” - podkreślił w swym stanowisku prezes Urzędu Ochrony Danych Osobowych.

Jak zapewnił nas minister cyfryzacji, ocena skutków dla ochrony danych zostanie przeprowadzona po nadaniu projektowi ostatecznego kształtu, a przed rozpoczęciem działania CIE i adekwatnie do modelu przetwarzania danych założonego w projekcie ustawy.

PFR administratorem

Zastrzeżenia podczas konsultacji wzbudziło również powierzenie utworzenia CIE i administrowania nią Polskiemu Funduszowi Rozwoju. Zdaniem NBP w sposób naturalny najbardziej odpowiednim podmiotem do wypełnienia tego zadania jest ZUS, który ma doświadczenie w gromadzeniu i administrowaniu danymi, a jego baza będzie stanowiła trzon CIE.

„Propozycja wskazania PFR jako podmiotu prowadzącego CIE wymaga szczególnego uzasadnienia także ze względu na fakt, że PFR, działający w reżimie prawa korporacyjnego i realizujący inne zadania wynikające z ww. ustawy, prowadząc CIE, będzie posiadał dostęp do informacji emerytalnych, które stanowią specyficzne dane i które w większości pozostają w posiadaniu szczególnych podmiotów, takich jak ZUS i KRUS (a podmioty te są instytucjami państwowymi odpowiedzialnymi za kwestie ubezpieczeń społecznych i mają ustawowo określony katalog zadań w tym zakresie, przy czym realizując ww. zadania, m.in. gromadzą i udostępniają informacje emerytalne)” - zwróciło z kolei w swej opinii uwagę Rządowe Centrum Legislacji.

MC broni swego pomysłu i przekonuje, że PFR ma unikalny status, doświadczenie i predyspozycje do kooperowania zarówno z publicznymi ubezpieczycielami (ZUS, KRUS), jak i jednostkami administracji, które będą współpracować przy budowie CIE (KPRM czy Ministerstwo Finansów), a także instytucjami finansowymi prowadzącymi rachunki oszczędnościowe.

Obsługą techniczną CIE ma się zająć wyspecjalizowana firma wybrana przez PFR. Ustawa zobowiąże ją do zachowania tajemnicy oraz właściwego zabezpieczenia danych. UODO zwraca jednak uwagę, że obowiązki te będą obwarowane tylko odpowiedzialnością kontraktową.

„Co za tym idzie, gwarancje (…) mają charakter jedynie formalny (deklaratywny) i tym samym nie stanowią należytych gwarancji - w rozumieniu przepisów RODO - zapewnienia bezpieczeństwa danych osobowych” - zauważył prezes UODO w swej opinii. ©℗

Dane z setek źródeł
Dane z setek źródeł /
Dziennik Gazeta Prawna - wydanie cyfrowe

Etap legislacyjny

Projekt ustawy po konsultacjach

Źródło: Dziennik Gazeta Prawna
Newsletter
Drukuj
Skopiuj link
Zgłoś błąd na stronie