O tom, aký je rozdiel medzi BIFO a SIFO som písal v mojom predošlom blogu (nájdete ho TU).
BIFO je jednoduchou náhradou rodného čísla, o ktorej sa hovorí takmer 15 rokov. Faktom je, že rodné čísla v dnešnej dobe už neposkytujú dostatočnú ochranu osobných údajov (niekomu nemusí vadiť, že v jeho rodnom čísle sú zobrazené jeho pohlavie a vek, no veľa ľudí považuje ochranu súkromia a zverejňovanie osobných údajov za vážnu vec). Zároveň zjednoduší poskytovanie elektronických služieb pre občanov.
Zmenu na BIFO si nepredstavujte ako okamžité zrušenie rodných čísel. Nejaký čas potrvá, kým bude toto riešenie implementované vo všetkých štátnych systémoch a v tomto prechodnom období bude možné používať obe čísla.
Otázka SIFO je komplikovanejšia. Pri návrhu projektu sa vychádzalo z myšlienky, že v každom štátnom registri by mala byť fyzická osoba evidovaná/identifikovaná pod iným číslom, pričom samotný informačný systém SIFO mal slúžiť ako obslužné riešenie, ktoré oprávneným používateľom (napríklad polícii, finančnej správe či zdravotnej poisťovni) umožní cez silnú kryptografiu spárovať dve na prvý pohľad nesúvisiace identity do jednej informácie.
Prečo sa to všetko vymyslelo?
Treba povedať, že myšlienka sektorových identifikátorov nie je nezmyselná a súvisí s ochranou osobných údajov. Cieľom je, aby nikto bez patričného oprávnenia prostredníctvom jedného čísla (identifikátora) nedokázal zhromaždiť všetky informácie o človeku a zneužiť ich (príklad: ak by sa dnes niekto „nabúral“ do štátnych systémov, dokázal by veľmi jednoducho zistiť detailné a veľmi citlivé informácie o konkrétnej osobe – zdravotný stav, príjmy, majetkove pomery atď.).
Pod slovným spojením „niekto bez patričného oprávnenia“ mám, samozrejme, na mysli nejaký program, ktorý by bol schopný z kombinácie dát z rozličných systémov a verejne dostupných dát, či dát na sociálnych sieťach, zistiť vhodné cieľové skupiny na ovplyvňovanie, vydieranie či obchodné ponuky šmejdov. Poprípade by mohol vytipovať priamo individuálne ciele v zraniteľnejších skupinách, akými sú dôchodcovia, deti, alebo osoby v ťažkých životných situáciách.
V Európskej únii sa stretávame s dvomi typickými, takpovediac „krajnými“ prístupmi k ochrane dát. Na jednej strane sú krajiny, ktoré pristupujú k tejto otázke benevolentnejšie. Napríklad ľudia v škandinávskych krajinách nemajú problém s tým, aby o nich štátni úradníci vedeli takmer všetko. Dá sa povedať, že problém „big brother is watching you“ nikdy veľmi neriešili.
Na druhej strane existujú štáty, ktoré ochranu osobných údajov občanov chápu veľmi striktne. K takým patria napríklad nemecky hovoriace krajiny a koncept sektorových identifikátorov je už pomerne dávno implementovaný v Rakúsku. Zjavne slúžil aj ako inšpirácia aj pre navrhované slovenské riešenie.
Diskusia o SIFO nesmie byť založená na dojmoch
Na projekt SIFO sa v nedávnom období zniesla značná kritika. Ministerstvo vnútra na základe pripomienok odstránilo z pôvodného návrhu povinnosť sektorových a navrhlo ich dobrovoľné používanie zo strany úradov (stanovisko ministerstva nájdete v článku https://domov.sme.sk/c/22219507/sakova-robi-pri-ruseni-rodnych-cisel-zvlastny-kompromis.html#ixzz611DT05oo).
Budúcnosť projektu súvisí s tým, aká bude pozícia Slovenska v oblasti ochrany osobných údajov. Mám na mysli pozíciu nielen štátnych orgánov, ale aj mimovládnych organizácií, odbornej verejnosti a médií.
Považujem totiž za problém, že neprebehla fundovaná verejná diskusia a v mediálnom priestore boli otázky zvýšenej ochrany osobných dát buď vynechané, alebo zmiešané so širšími dopadmi projektu. Bez toho, aby sme si to vydiskutovali sa ďalej nepohneme a verejná podpora názorov - či už za alebo proti projektu - bude založená na dojmoch.
Argumenty za a proti
Jednou z výhrad bolo, že nemá zmysel byť striktný pri identifikátoroch, ak niekto - hoci aj neoprávnený - dokáže identifikovať osobu v rozličných informačných systémoch na základe iných údajov. Napríklad na základe mena, priezviska a bydliska. Toto je absolútne správna pripomienka. Projekt zrejme počíta s adekvátnymi opatreniami, ale v žiadnej verejnej obhajobe projektu sme sa o týchto opatreniach nedozvedeli.
Druhá výhrada je daná tým, že prostredie eGovernmentu sa dynamicky mení. Niekoľko rokov po vzniku konceptu SIFO boli naštartované takzvané antibyrokratické projekty. Princíp „Jedenkrát a dosť“ priamo vyžaduje automatizovanú elektronickú výmenu údajov o osobách medzi jednotlivými orgánmi verejnej moci. Rovnako ako koncept „Moje dáta“. Tieto koncepty sa potenciálne nevylučujú s nasadením sektorových identifikátorov, avšak zatiaľ nikto nepovedal, ako bude informačný systém SIFO fungovať pri takto zmenených očakávaniach.
Treťou výhradou je, že v tejto chvíli nevie nikto presne vyčísliť náklady nie na projekt samotný, ale na všetko, čo s ním súvisí a čo z neho vyplýva. Vraciame sa teda k predošlým dvom bodom, tentokrát cez peniaze.
Posledná výhrada, ktorá ma irituje, súvisí s otázkou, či má široká verejnosť skutočný záujem o ochranu svojich osobných údajov. Naráža sa tu na skutočnosť, že množstvo ľudí dnes bez problémov zverejňuje o sebe a o svojej rodine citlivé údaje a títo ľudia sú vo veľkej miere imúnni voči všetkým varovaniam. Dá sa vôbec očakávať spoločenská podpora projektu zameraného na ochranu osobných údajov v prostredí, kde je ľahostajnosť k vlastných dátam pre veľkú časť populácie normou?
Otázka ochrany údajov je celoeurópskym problémom
Aká bude budúcnosť sektorových identifikátorov možno na konci dňa nebude iba vnútorným slovenským problémom. EÚ smeruje k vzájomnej integrácii informačných systémov medzi jednotlivými krajinami (viď. napríklad projekt SINGLE DIGITAL GATEWAY https://ec.europa.eu/growth/single-market/single-digital-gateway_en).
Táto regulácia predpokladá poskytovanie eGovernment služieb naprieč členskými krajinami EÚ. Zatiaľ však nevieme, aké kritériá sa budú uplatňovať v súvislosti s bezpečnosťou osobných údajov (samozrejme, s výnimkou GDPR, to je však iná regulácia). Príklad: ak bude slovenské eGov služby používať Rakúšan (dajme tomu, že sa tu rozhodne podnikať), bude musieť zadať do systému svoje osobné údaje. Nevieme však, či bude akceptovať slabšiu ochranu svojich údajov ako v Rakúsku.
A práve táto otázka sa javí ako celoeurópsky problém. Očakávam, že inštitúcie EÚ poskytnú členským krajinám nejakú formu usmernenia – uvidíme, či sa Únia prikloní k prísnejšiemu alebo voľnejšiemu spôsobu nakladania s osobnými identifikátormi. Dnes to nevie nikto.
Asi by som mal na záver povedať, aká bude moja pozícia v prípadnej diskusii. Ja osobne som naklonený skôr k podpore paranoického pohľadu na to, čo všetko sa dá s osobnými dátami robiť. Projekt SIFO by pravdepodobne znamenal vyššiu ochranu súkromia, no k jeho realizácii by som pristúpil len za predpokladu, že osobu nebude možné spárovať cez rozličné informačné systémy na základe iných citlivých informácií (meno, bydlisko atď.), až po dobre naplánovanej integrácii všetkých štátnych systémov a dôkladnej analýze jeho dopadov.
