1. Numer PESEL jako źródło zagrożeń
Jeszcze kilkadziesiąt lat temu nikt nie był w stanie przewidzieć ogromnego potencjału nadzoru i kontroli jaki stworzą elektroniczne bazy danych:
- Nieograniczone gromadzenie cyfrowych informacji (np. Google Mail obsługuje setki milionów darmowych kont, każde o pojemności 8GB). W świecie papierowym jest to niewykonalne nie tylko z powodu kosztów.
- Błyskawiczne wyszukiwanie informacji. Komputer potrzebuje kilka sekund aby znaleźć konkretną informację w zbiorze z danymi wielu milionów osób. W świecie papierowym nikomu nie przychodziło do głowy żeby przeszukać całe archiwum w celu znalezienia niepowiązanej informacji.
- Szybkie korelowanie i łączenie informacji z wielu archiwów. Jest to szczególnie łatwe kiedy dane w różnych bazach mają wspólny identyfikator (np. numer PESEL). W świecie papierowym korelowanie faktów na podstawie dokumentów z różnych archiwów jest robione bardzo rzadko z powodu ogromnej pracochłonności.
W wielu krajach gromadzenie elektronicznych danych osobowych jest postrzegane jako zagrożenie dla prywatności i rozrost kontroli państwa. Gromadzenie danych Polaków może mieć groźniejsze konsekwencje. W naszej najnowszej historii zbiory polskich archiwów były często poza Polską. Wywiezione archiwa lub ich kopie nadal wywierają wpływ na polskie życie polityczne. Innym problemem jest niemożność zorganizowania silnej organizacji konspiracyjnej gdy okupant ma dostęp do danych osobowych ze wszystkich baz sektora publicznego i prywatnego.
Mimo szybko postępującej komputeryzacji walka z cyfrowym nadzorem nie jest beznadziejna. Można ją prowadzić na dwóch frontach. Pierwszy to prawo ograniczające zakres i czas przechowywania danych osobowych. Drugi front - moim zdaniem ważniejszy - to walka o bezpieczny sposób identyfikowania danych osobowych w bazach danych. Teraz mamy najgorsze rozwiązanie: wszystkie nasze dane osobowe są identyfikowane przez numer PESEL.
Numer PESEL łączy osobę z jej danymi osobowymi we wszystkich istotnych bazach danych sektora publicznego i prywatnego. Umożliwia to bardzo łatwe wyszukiwanie, korelowanie i agregowanie danych konkretnej osoby. Dla każdej osoby można stworzyć zbiór zawierający historię operacji bankowych, historię zakupów dokonywanych kartą płatniczą, historię z wypożyczalni video, wieloletnie dane bilingowe, historię stanu zdrowia, historię rozliczeń z fiskusem, dane z programów lojalnościowych i wiele innych.
Obowiązująca w Polsce metoda ochrony danych osobowych nie przeciwdziała narastaniu potencjału cyfrowego nadzoru i profilowania a jedynie skupia się na kontroli dostępu do danych. Potrzebna jest zmiana filozofii ochrony.
2. Identyfikatory podstawą bezpieczeństwa
Bazy danych osobowych zawierają zwykle trzy rodzaje danych: Unikalne identyfikatory, nieunikalne identyfikatory i pozostałe. Jeśli usuniemy z bazy wszystkie identyfikatory to pozostałe dane przestaną być danymi osobowymi.
Identyfikatory w bazach służą m.in. do rozróżniania osób. Poza identyfikatorami przypisanymi lub zatwierdzonymi urzędowo tj. nazwiskiem, imieniem, numerem PESEL, numerem NIP, numerem telefonu, datą urodzenia są nimi także dane historyczne i cechy charakterystyczne osoby jak nazwa skończonej uczelni, data rozwodu, kolor oczu, wzrost, płeć ponieważ pomagają rozróżniać osoby.
Unikalny identyfikator jednoznacznie identyfikuje osobę. Zwykle unikalny identyfikator jest numerem i może być zmieniony. Wyjątkiem jest cyfrowy wzorzec biometryczny osoby, który jest niezmiennym identyfikatorem unikalnym.
Zakres i skalę cyfrowego nadzoru najskuteczniej ogranicza brak powiązań między danymi osobowymi z różnych baz. Można to osiągnąć przez wprowadzenie ograniczeń dla stosowania unikalnych identyfikatorów w bazach danych osobowych:
- Zakaz stosowania numeru PESEL w innych bazach niż baza PESEL i baza dowodów osobistych
- Baza danych osobowych może mieć tylko jeden unikalny identyfikator osoby
- Unikalny identyfikator osoby z baz jednej organizacji nie może być wykorzystany w bazach innej organizacji
- Zakaz przechowywania w bazach danych osobowych wzorców biometrycznych osób (ponieważ są unikalnymi identyfikatorami)
Zamazanie powiązania w bazie między danymi osobowymi i ich właścicielem wzmacnia ochronę prywatności oraz zmniejsza potencjał cyfrowego nadzoru. Można to uzyskać przez wprowadzenie restrykcji także dla nieunikalnych identyfikatorów:
- Dozwolone jest stosowanie tylko takich identyfikatorów, które są rzeczywiście potrzebne w codziennej pracy organizacji będącej właścicielem bazy. W bazach służby zdrowia do prawidłowej opieki zdrowotnej, statystyk i badań naukowych poza wewnętrznym unikalnym identyfikatorem wystarczyłyby dane o płci i roku urodzenia. W bazach bankowych można realizować wszystkie procesy biznesowe dysponując tylko imieniem, nazwiskiem, adresem kontaktowym i numerem telefonu klienta.
- Jeżeli dany identyfikator osoby można zastąpić identyfikatorem bardziej rozmytym, to trzeba użyć tego drugiego (np. jeśli potrzebny jest tylko wiek osoby, to nie wolno przechowywać w bazie całej daty urodzenia, etc.)
Ilość i rodzaje nieunikalnych identyfikatorów w konkretnej bazie byłyby negocjowane z GIODO przed rejestracją bazy danych osobowych. Organizacja rejestrująca bazę musiałaby uzyskać zgodę GIODO na każdy nieunikalny identyfikator. Dla najważniejszych baz danych osobowych identyfikatory nieunikalne byłyby określone wprost poprzez rozporządzenie lub ustawę.
Ograniczenia powinny objąć te bazy, których właściciel wymaga podania identyfikatorów. Nie obowiązywałyby baz, z których można korzystać bez podania identyfikatorów (np. fora i portale społecznościowe).
Przedstawiony system zarządzania identyfikatorami w bazach ma ważne zalety:
- Radykalnie ogranicza skalę i zakres cyfrowego nadzoru
- Lepiej chroni prywatność niż dotychczasowe sposoby ochrony danych osobowych wymagane przez prawo
- Bezpieczeństwo danych osobowych bazujące na identyfikatorach jest zrozumiałe dla większości obywateli
- Umożliwia łatwe sprawdzenie czy właściciel konkretnej bazy danych przestrzega zasad stosowania identyfikatorów
W drugiej części przedstawię sposób tworzenia identyfikatorów, który pozwoli każdej osobie zdecydować czy woli dotychczasową wygodę posługiwania się samym numerem PESEL i zadowoli się dotychczasową ochroną swoich danych osobowych czy woli zadać sobie trochę trudu i uzyskać znacznie silniejszą ochronę.