Już ponad rok temu podczas Europejskiego Kongresu Gospodarczego Zbigniew Jagiełło, prezes PKO BP, przedstawił wizję udostępniania danych przez ZUS. Po uzyskaniu zgody klienta na ich przetwarzanie bank mógłby na ich podstawie np. wyliczyć zdolność kredytową. Wizja na razie się nie zmaterializowała, niewykluczone jednak, że banki zyskają dostęp do danych emerytalnych kuchennymi drzwiami. Przestrzega przed tym m.in. Prokuratoria Generalna w opinii dotyczącej projektu ustawy o Centralnej Informacji Emerytalnej (CIE), skierowanego do konsultacji tuż przed wyborami.
CIE ma gromadzić i udostępniać informacje m.in. o składkach pochodzące z ZUS, KRUS, instytucji finansowych prowadzących IKE lub IKZE i zarządzających PPK, a także innych organów emerytalnych. System, którego częścią ma być aplikacja mobilna, ma zbudować Polski Fundusz Rozwoju (PFR). Celem jest ułatwienie dostępu do danych przyszłym emerytom, którzy obecnie muszą zwracać się w tej sprawie do kilku instytucji. W myśl założeń ma to zwiększyć zaufanie obywateli do systemu emerytalnego. Na razie jednak projekt zwiększył tylko niepokój licznych instytucji.
Furtka dla banków
Prokuratoria Generalna RP (PGRP) zwraca uwagę na przepis umożliwiający ustanowienie pełnomocnika do dostępu do danych. Jej zdaniem „nie wyklucza on sytuacji, w której dane osobowe zgromadzone w CIE (…) bez uzasadnienia mogłyby być przetwarzane przez podmioty komercyjne”. PGRP uważa, że każde sięgnięcie po konkretne dane powinno wymagać odrębnej zgody zainteresowanego. Bartosz Marczuk, wiceprezes PFR, przyznaje, że mogłaby to być potencjalnie furtka dla podmiotów komercyjnych, choć niezamierzona.
— Tej ustawie nie przyświeca taki zamysł. Potrafię sobie jednak wyobrazić model, w którym klient, zamiast nosić dziesiątki dokumentów, wyrazi zgodę na wgląd do danych, np. w celu ustalenia zdolności kredytowej — mówi Bartosz Marczuk.
Na inną furtkę do danych wskazuje prezes Urzędu Ochrony Danych Osobowych (UODO). Chodzi o przepis dotyczący udostępniania informacji o funkcjonowaniu CIE innym podmiotom. UODO ma wątpliwości, jaki ma być zakres tych informacji. Gdyby wśród nich miały się znaleźć dane osobowe, urząd postuluje zamknięcie katalogu podmiotów, które mogłyby je uzyskać.
Dane w chmurze
ZUS obawia się, że drobne poprawki w przepisach nie rozwiążą problemów z ustawą, które — w jego opinii — wykraczają daleko poza kwestię oceny zdolności kredytowej. Zakład twierdzi, że konieczność połączenia teleinformatycznego systemów ZUS i CIE grozi utratą kontroli nad wrażliwymi danymi „o strategicznym znaczeniu dla państwa”.
Wątpliwości ZUS budzi pomysł powierzenia nowej bazy zewnętrznej instytucji oraz to, że ustawa nie precyzuje, kto docelowo będzie przechowywał i przetwarzał dane emerytalne. PFR nie wyklucza, że system do CIE zostanie umieszczony w chmurze. Chodzi o tzw. chmurę krajową, której operatorem jest spółka funduszu i PKO BP.
— To scenariusz mocno brany pod uwagę, choćby dlatego, że jesteśmy udziałowcem Operatora Chmury Krajowej [OChK — red.] — twierdzi Bartosz Marczuk.
W sprawozdaniu z działalności za 2018 r. zarząd PFR napisał, że w ciągu trzech lat całość usług IT grupy zostanie przeniesiona do OChK.
Tajemnice na widoku
Zakład uważa, że założone przez autorów projektu cele można osiągnąć, wykorzystując działające już narzędzia, np. PUE ZUS. Jego zdaniem byłoby taniej i bezpieczniej.
„Projekt nie zawiera (…) opisu warunków mających gwarantować bezpieczeństwo przetwarzania wrażliwych zasobów danych. (…) inne kluczowe systemy z punktu widzenia państwa nie przesyłają zewnętrznemu podmiotowi swoich baz, zawierających dane wrażliwe” — podkreśla w dziesięciostronicowej opinii ZUS.
Autor projektu — nieistniejące w nowej strukturze rządu Ministerstwo Inwestycji i Rozwoju — o bezpieczeństwo danych się nie martwił.
„Zadaniem CIE jest gromadzenie i udostępnianie informacji emerytalnych, w związku z tym system teleinformatyczny będzie posiadał zabezpieczenia przed ingerencją z zewnątrz przez osoby i podmioty nieuprawnione” — zapewniło MIiR.
ZUS ma jednak wątpliwości, czy kwestia bezpieczeństwa jest traktowana z należytą powagą. Jego zdaniem prace nad projektem ingerującym w strategiczne dla państwa systemy teleinformatyczne nie powinny być prowadzone w trybie jawnym.
Zamiast przetargu
PFR zamierza zbudować CIE podobnie jak system do ewidencji PPK — bez przetargu, bo PFR, choć jest państwowy, nie ma obowiązku stosowania prawa zamówień publicznych, mimo że koszty pokryje budżet państwa.
— Wyjdziemy na rynek z zapytaniem ofertowym i wybierzemy spośród firm, które się zgłoszą. Zrobimy to w sposób w pełni transparentny — deklaruje Bartosz Marczuk.
System dla PPK zbudowała spółka PKO BP Finat. Wartość kontraktu nie została ujawniona ze względu na tajemnicę handlową. W przypadku CIE, choć PFR nie zna jeszcze architektury systemu, koszty już zostały oszacowane. Budowa ma pochłonąć 45 mln zł, a utrzymanie blisko 40 mln zł rocznie, w tym ponad 9 mln zł z tytułu opłat licencyjnych.