Czy nasze dane są bezpieczne?

Koncerny farmaceutyczne, banki, firmy ubezpieczeniowe, służby – kto potrzebuje szczegółowych informacji o tym, gdzie mieszkamy, ile zarabiamy albo na co chorujemy? Eksperci alarmują – ochrona danych osobowych to fikcja. Także Generalny Inspektor Danych Osobowych nie ma wątpliwości, że problem jest poważny – tym bardziej teraz, kiedy Polska musi zmierzyć się z wprowadzeniem elektronicznej dokumentacji medycznej. Już wkrótce do systemu trafią bowiem np. historie naszych wszystkich chorób i wizyt u lekarzy. W tym celu we Wrocławiu powstało Medyczne Centrum Przetwarzania Danych. Inżynierem kontraktu przy tej inwestycji był urodzony w Jerozolimie dr Ahmad Sameh Abu Mizer.

Danymi handlują nie tylko popularne serwisy społecznościowe, lecz także rządy – np. w Szwecji przejrzystość i jawność informacji była dla mieszkańców tego kraju powodem do dumy. Dzisiaj okazuje się, że tak kolorowo już nie jest, bowiem szwedzki rząd zarabia miliardy koron rocznie, sprzedając dane swoich obywateli do np. agencji reklamowych. A to wszystko legalnie i zgodnie z obowiązującymi w tym kraju przepisami. Szwedzi zadowoleni z tego powodu już jednak nie są, a wokół ich prywatności toczy się w mediach i na scenie politycznej nieustanna debata. W Polsce natomiast handel danymi to temat pozostający na marginesie zainteresowania społecznego. Nie wiemy dokładnie, jakie informacje o nas są gromadzone, ani kto i gdzie je przechowuje.

Ekspert ds. bezpieczeństwa danych Wojciech Sługocki podkreśla, że problem leży przede wszystkim w braku świadomości.

– Nasze ustawowe prawo do kontroli przetwarzanych danych osobowych może stać się fikcją wtedy, gdy bezrefleksyjnie wyrażamy zgodę nie tylko na przetwarzanie naszych danych osobowych przez daną firmę, lecz także na ich dalsze redystrybuowanie kolejnym podmiotom. Wtedy w istocie tracimy kontrolę nad tym, kto i kiedy jest w posiadaniu ważnych dla nas informacji – mówi Wojciech Sługocki. I dodaje: – W kontekście tego zagrożenia można mówić o braku wystarczającej świadomości społecznej dotyczącej wagi problemu, co z kolei skutkuje nagminnym wyrażaniem zgody na przetwarzanie naszych danych osobowych różnym podmiotom np. w ramach udziału w różnych akcjach promocyjnych czy programach lojalnościowych – podkreśla ekspert.

Czy informacje o nas mogą być komuś potrzebne? Czy nasze dane gromadzone przez państwo w systemach teleinformatycznych są bezpieczne? – Niekontrolowany wypływ danych w niepowołane ręce może doprowadzić do tzw. kradzieży tożsamości, w wyniku której w cudzym imieniu np. zaciągane są zobowiązania finansowe. Wiadomości takie mogą zostać celowo i świadomie wykorzystane np. w celu zastraszania czy też szantażu – mówi Wojciech Sługocki.

Tymczasem członkowie grupy Anonymous, której udało się np. złamać zabezpieczenia Pentagonu, podkreślają, że w systemach teleinformatycznych nie ma idealnych zabezpieczeń. – Do stworzenia idealnych zabezpieczeń potrzebna jest duża wiedza i idealna precyzja. Nie może być żadnej luki. Ale jak nie będzie żadnej luki, to twórca zabezpieczenia także nie będzie miał dostępu do swoich informacji. Nie ma zatem zabezpieczeń idealnych – mówi nam Haron z organizacji Anonymous, założyciel polskiej podgrupy ANONHEX. – Wszystkie zabezpieczenia da się obejść lub złamać, tylko jedne są trudniejsze, a inne łatwiejsze do przejścia. To rząd, przenosząc wszystko do sieci, ma nas na talerzu. Ludzie zaczynają to dostrzegać i trzymają poufne dane z dala od internetu – przekonuje Haron.

W Polsce zdarzały się już przypadki, w których o handel danymi zostali oskarżeni np. policjanci, którzy sprzedawali informacje o ofiarach wypadków agentom zajmującym się odszkodowaniami. Dwa lata temu Michał Hucał wiceprezes Alior Banku w wywiadzie dla TVN CNBC opowiadał o nowych planach placówki czyli tzw. Big Data. Jak stwierdził, to „wykorzystanie i sprzedawanie wiedzy, którą bank posiada na temat swoich klientów, ale połączonej z informacjami ze źródeł zewnętrznych, tzn. portali społecznościowych i np. firm telekomunikacyjnych”.

Ale w cenie jest każda informacja o nas – co i gdzie kupujemy, dokąd jeździmy na wakacje, jakie strony w internecie odwiedzamy, a także zasobność naszego portfela czy numer telefonu. Jakie kary przewiduje kodeks karny za handel danymi? „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch”. Takiej samej karze podlega osoba, która tę informację ujawni.

Wiedza cenniejsza od złota

Problem robi się coraz bardziej poważny. Do 2017 r., zgodnie z rozporządzeniem ministra zdrowia, Polska musi uporać się z obowiązkiem wprowadzenia elektronicznej dokumentacji medycznej. Do systemu trafią zatem szczegółowe informacje o pacjentach – przebytych chorobach czy wizytach u lekarzy. Takie informacje są szczególnie cenne dla np. koncernów farmaceutycznych czy firm ubezpieczeniowych. Te drugie dostęp mają ułatwiony – wszystko za sprawą tzw. ustawy o działalności ubezpieczeniowej.

Co to oznacza w praktyce? Jeśli chcemy się ubezpieczyć lub zwracamy się do naszej firmy po odszkodowanie za np. wypadek, wtedy zakład leczniczy jest zobowiązany do przekazania informacji, które o nas posiada. Kiedy w życie wejdzie elektroniczna dokumentacja medyczna, kto wtedy będzie udostępniał informacje o naszych chorobach firmom ubezpieczeniowym? Jak będzie wyglądała ta kwestia, kiedy wszystkie nasze dane będą zgromadzone w jednym miejscu? Czy pacjent leczony na AIDS, który zgłosił się po odszkodowanie za skręconą kostkę, będzie narażony na to, że jego ubezpieczyciel uzyska dostęp również do innych informacji? Często naszymi ubezpieczycielami są również banki, które mając dostęp do historii naszych wszystkich chorób, mogą np. nie chcieć przyznać nam kredytu, uznając za niewiarygodnych. Nasz ekspert Wojciech Sługocki zwrócił również uwagę, że takie informacje mogą być wykorzystywane do szantażu – np. nie każdy chce, aby jego sąsiedzi wiedzieli na co się leczył.

– Ustawowa konieczność wprowadzenia elektronicznej dokumentacji medycznej przy jednoczesnym braku konkretnych wymagań co do poziomu i sposobu zabezpieczenia systemów gromadzących i przetwarzających dane medyczne, może stanowić spore zagrożenie – mówi nam Wojciech Sługocki. – Kolejnym niebezpieczeństwem może być fakt trafiania wszelkich danych medycznych do serwerów firm prywatnych, które wyposażają placówki medyczne w zintegrowane programy komputerowe przetwarzające dane osobowe pacjentów, co w konsekwencji może doprowadzić do niekontrolowanego ich przepływu – wyjaśnia.

Również Generalny Inspektor Ochrony Danych Osobowych ma sporo zastrzeżeń. Wystąpił już do ministra zdrowia z wnioskiem o podjęcie stosownych działań legislacyjnych zmierzających do wprowadzenia podstawy prawnej regulującej niektóre wątpliwe kwestie.

– Ze względu na szczególny charakter kategorii danych, do jakiej należą dane o stanie zdrowia, Ustawa o ochronie danych osobowych, zapewnia wysoki reżim ich ochrony – mówi nam Małgorzata Kałużyńska-Jasak, dyrektor zespołu rzecznika prasowego GIODO i dodaje, że przetwarzanie takich danych jest co do zasady zabronione. – Dla zgodnego z prawem przekazywania danych osobowych pacjentów, w związku z udzielaniem im świadczeń zdrowotnych, innym (np. wyspecjalizowanym w zakresie obsługi serwisowej sprzętu medycznego podmiotom) konieczne jest istnienie odpowiedniej podstawy prawnej – podkreśla.

GIODO wyjaśnia, że zgodnie z przepisami, administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Ponosi on również odpowiedzialność za przestrzeganie przepisów w tym zakresie.

– Przedmiotem powierzenia przetwarzania danych osobowych może być zarówno kompleksowa obsługa procesu przetwarzania danych dla określonego celu lub tylko niektóre operacje na danych, jak np. ich przechowywanie czy usuwanie – mówi nam Małgorzata Kałużyńska-Jasak. – To umowa powierzenia przetwarzania danych może i powinna stanowić prawną podstawę dostępu do danych osobowych dla zapewnienia konserwacji i naprawy oprogramowania i sprzętu informatycznego lub diagnostycznego – wyjaśnia. I dodaje: – W tym miejscu należy przywołać przepisy odnoszące się do tajemnicy zawodowej określonej w art. 13 i 14 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Przepis ten stanowi, że pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego. Zgodnie zaś z art. 14 w celu realizacji prawa, o którym mowa w art. 13, osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta. Wyjątki od tej zasady określa ust. 2, zaś ust. 3 powołanego przepisu przesądza, że osoby wykonujące zawód medyczny, udzielające świadczeń zdrowotnych, z wyjątkiem przypadków, o których mowa w art. 14 ust. 2 pkt 1–3, są związane tajemnicą również po śmierci pacjenta – precyzuje Małgorzata Kałużyńska-Jasak.

Dokąd trafią nasze dane medyczne?

W celu przechowywania i przetwarzania naszych danych medycznych we Wrocławiu powstała największa i najnowocześniejsza serwerownia w Europie środkowo-wschodniej wybudowana przez spółkę Data Techno Park.

„Medyczne Centrum Przetwarzania Danych realizuje ustawowy obowiązek wdrażania elektronicznej dokumentacji medycznej, który wejdzie w życie za trzy lata. Od 1 sierpnia 2017 r. dane pacjentów mają być dokumentowane wyłącznie w formie elektronicznej. Dzięki temu, że e-dokumentacja będzie przechowywana w tzw. chmurze w Medycznym Centrum Przetwarzania Danych (ItQ Data Center) – szpitale, przychodnie i gabinety lekarskie nie będą musiały inwestować w zakup, utrzymanie i zabezpieczenie własnych systemów informatycznych” – czytamy na stronie internetowej spółki Data Techno Park.

Inżynierem kontraktu przy budowie serwerowni był dr Ahmad Sameh Abu Mizer – według naszych informacji – urodzony w Jerozolimie, jest obywatelem Jordanii. Chcieliśmy te informacje potwierdzić i zapytać, czy posiada również obywatelstwo polskie i jeżeli tak – od kiedy. Najpierw przesłaliśmy do niego pytania na adres spółki Data Techno Park – rzecznik poinformował nas, że pytania dotarły do adresata, ale spółka nie odpowie, bo te kwestie „nie dotyczą prowadzonej przez spółkę DTP sp. z o.o. działalności gospodarczej”. Udało nam się zdobyć numer telefonu Abu Mizera i do niego dodzwonić. Potwierdził, że był inżynierem kontraktu przy budowie serwerowni. Kiedy zapytaliśmy o obywatelstwo – poprosił o przesłanie e-maila, na którego ostatecznie nie odpowiedział. Nie odpisał nam również na SMS-a.

O co jeszcze zapytaliśmy w e-mailach Abu Mizera? Np. o to, co podczas budowy serwerowni leżało w zakresie jego kompetencji i dlaczego w oficjalnych dokumentach raz posługuje się pierwszym imieniem, a raz drugim.

Dr Ahmad (czy raczej Sameh?) wcześniej był pracownikiem administracji publicznej – a konkretnie kierownikiem wydziału inwestycji w Urzędzie Miasta i Gminy Konstancin-Jeziorna. W archiwalnych numerach lokalnych gazet czytamy, że z pracy odszedł w 2009 r. – po tym, jak burmistrz złożył na niego zawiadomienie do prokuratury o przekroczenie uprawnień przy uzyskaniu kosztorysu inwestorskiego. Sprawę ostatecznie umorzono ze względu na „brak danych dostatecznie uzasadniających podejrzenie popełnienia przestępstwa”. Jak czytamy w uzasadnieniu, o które zwróciliśmy się do Prokuratury Rejonowej w Piasecznie – chodziło o przebudowę obiektu „Hugonówka”. Po tym, jak jedna z firmy wygrała przetarg i przystąpiła do prac, okazało się, że stan fundamentów obiektu i jego konstrukcja są tak złe, że wymagają niezwłocznego wzmocnienia. Przedstawiciele firmy i magistratu omówili kosztorys ofertowy na dodatkowe prace, a ich wartość ostatecznie w drodze negocjacji ustalono na 420 tys. złotych. Po tych uzgodnieniach – według zeznań burmistrza – Abu Mizer miał wydać swojemu podwładnemu polecenie służbowe sporządzenia kosztorysu inwestorskiego na kwotę wyższą od ustalonej. Ostatecznie kosztorys sporządzono na kwotę wyższą o 15 tys. złotych. Podwładny urzędnik twierdził, że nierzetelny kosztorys sporządził na polecenie swojego szefa Abu Mizera. Ten jednak zaprzeczył, twierdząc, że zalecił wykonanie rzetelnego kosztorysu. Ostatecznie prokuratura stwierdziła, że „mając na uwadze zgromadzony w sprawie materiał dowodowy należy stwierdzić, że zostały ustalone dwie pozostające w sprzeczności wersje faktycznego przebiegu zdarzeń”. Nie można ich również zweryfikować żadnymi obiektywnymi dowodami.

Abu Mizer nie odpowiedział nam również, czy z pracy w Urzędzie Miasta Konstancin-Jeziorna trafił bezpośrednio na stanowisko inżyniera kontraktu i kierownika projektu budowy gigantycznego Data Center.-p[-

Podczas uroczystego otwarcia Medycznego Centrum Przetwarzania Danych we Wrocławiu, w którym wzięliśmy udział, opowiadał dziennikarzom jak bardzo bezpieczne będą nasze dane w tym obiekcie. – W pomieszczeniu z serwerami zainstalowaliśmy m.in. czujniki filtrujące powietrze i informujące o każdego rodzaju anomalii zachodzącej w tym środowisku – przekonywał Abu Mizer. I twierdził, że jeśli ktoś wyszedł na papierosa, to jeśli wróci do tego pomieszczenia w swetrze przesiąkniętym dymem, czujniki dadzą sygnał, że coś jest nie tak. – Budynek jest monitorowany 24 godziny na dobę w każdym aspekcie jego funkcjonowania, tak aby na wszystkie takie sygnały można było od razu reagować – mówił. Dodajmy, że wybudowaniem serwerowni szczególnie zainteresowani byli politycy Platformy Obywatelskiej – np. Michał Jaros (podczas uroczystego otwarcia wspomniał, że jest przyjacielem byłego prezesa spółki) i Jacek Protasiewicz (wieloletni dyrektor biura poselskiego Protasiewicza zasiadał w radzie nadzorczej DTP). Obaj politycy lobbowali również za dofinansowaniem. Projekt wsparła Państwowa Agencja Rozwoju Przedsiębiorczości. Z publicznych pieniędzy w serwerownię zainwestowano ostatecznie 200 mln zł.

Serwerownia trafi w prywatne ręce?

Początkowo w spółce większościowym udziałowcem były instytucje publiczne. W tej chwili swojej niewielkiej części pozbywa się Gmina Wrocław, a Uniwersytet Medyczny pozbył się już większościowego pakietu, decydując się na umorzenie udziałów. Rektor uczelni, prof. Marek Ziętek przekonuje jednak, że to świetna decyzja, nie zważając, że w ciągu roku wartość tych udziałów zdecydowanie wzrosła. Twierdzi także, że umowa ze spółką była zawarta tak, że uczelnia nie może czerpać korzyści z jej zysków. Zyski mogą być przekazywane jedynie na rozwój spółki DTP. Dlaczego zatem uczelnia zainwestowała w spółkę, która – według rektora – nie może przynieść jej zysku? Czy od początku było wiadomo, że kiedy spółka zacznie zarabiać, trzeba będzie rozpocząć oddawanie jej w prywatne ręce? Z kolei w sprawozdaniu z posiedzenia Senatu Uniwersytetu Medycznego z kwietnia tego roku czytamy: „Umowa naszej uczelni z Data Techno Park została zawiązana w roku 2005, jednak w opinii prawnika spółki na zasadach niekorzystnych dla uczelni, co w 2013 r. skutkowało umorzeniem części udziałów”.

Dlaczego dopiero po ośmiu latach znalazł się prawnik, który stwierdził, że umowa była niekorzystna dla uczelni? Dlaczego tuż przed rozpoczęciem działalności komercyjnej Uniwersytet postanowił wycofać się z części udziałów?

Waldemar Bednarz, ekspert i kandydat na prezydenta Wrocławia, który przyjrzał się spółce i działaniom władz uczelni, nie zgadza się z rektorem. – Za umorzone udziały Uniwersytet Medyczny uzyskał 5,2 mln złotych. Oddając tę kwotę do banku na lokatę albo kupując obligacje Skarbu Państwa można uzyskać maksymalnie 150 tys. złotych rocznie. Załóżmy, że UM nie umorzył udziałów pod koniec 2013 r. W 2014 r. Data Techno Park miała 4 mln złotych czystego zysku. Gdyby Walne Zgromadzenie Udziałowców przeznaczyło całą kwotę na dywidendę, to UM mógłby dodatkowo uzyskać 1,3 mln złotych, czyli aż dziewięć razy więcej – wylicza Waldemar Bednarz. I dodaje: – Zgodnie z Ustawą o zasadach uprawnień przysługujących Skarbowi Państwa państwowe osoby prawne (w tym uczelnie wyższe) muszą uzyskać zgodę ministra Skarbu Państwa na dokonanie czynności prawnej w zakresie rozporządzania składnikami aktywów trwałych, których wartość rynkowa przekraczała równowartość 50 tys. euro. Czynność prawna, której dokonano z naruszeniem tego obowiązku, jest nieważna. W przypadku Uniwersytetu Medycznego we Wrocławiu umorzenie udziałów w spółce Data Techno Park było formą zbycia, tym bardziej, że za tę operację na swoich aktywach spółka osiągnęła wynagrodzenie w wysokości 5,2 mln zł. Żywię nadzieję, że rzeczywiście rektor uzyskał zgodę ministra Skarbu Państwa, bo w przeciwnym wypadku można mówić o naruszeniu ustawy, a samo umorzenie udziałów może być unieważnione – podkreśla Bednarz.

Jak wynika z dokumentów zawartych w Krajowym Rejestrze Sądowym, rektor zgody Ministra Skarbu Państwa jednak nie posiadał i stwierdził podczas zgromadzenia wspólników, że po prostu nie jest ona potrzebna. – Podkreślę raz jeszcze, że wszelkie decyzje dotyczące DTP były podejmowane zgodnie z prawem, obowiązującymi przepisami oraz opiniami prawnymi i ekspertyzami ekonomicznymi – odpowiada nam Jolanta Grzebieluch z Uniwersytetu Medycznego.

Jak pokazuje historia – istnieje jednak ryzyko, że za kolejne osiem lat znajdzie się prawnik, który będzie twierdził inaczej.

Serwerownia, która pochłonęła 200 mln złotych publicznych pieniędzy i planuje na dużą skalę świadczyć komercyjne usługi w zakresie e-zdrowia, powoli trafia w ręce prywatnych przedsiębiorców, którzy mają już pakiet większościowy. W dodatku jako aport do spółki została wniesiona przez Uniwersytet willa położona w Parku Południowym w dzielnicy Krzyki – uważanej za najdroższą i najbardziej atrakcyjną we Wrocławiu. Jak wynika z protokołu posiedzenia Senatu Uczelni, jego członkowie zostali poinformowani, że obecnie nadal 30 proc. udziałów w Data Techno Park należy do Uniwersytetu, „podobnie jak prawo wieczystego użytkowania budynku”. Problem w tym, że wierzycielami willi są również Alior Bank oraz Państwowa Agencja Rozwoju Przedsiębiorczości. Bank udzielił spółce kredytu inwestycyjnego pod jej zastaw, a PARP udzieliła wsparcia środkami unijnymi i obciążyła nieruchomość w ramach zabezpieczenia zobowiązań wynikających z umowy wsparcia.

Warto dodać, że o spółce Data Techno Park pisaliśmy już w „Gazecie Finansowej” ponieważ była ona m.in. podwykonawcą regionalnej platformy informacyjnej e-DolnySlask – słynnego portalu za 66 mln złotych. Pisaliśmy także o kontrowersyjnym przetargu na 144 mln złotych związanym z realizacją Medycznego Centrum Przetwarzania Danych, w którym urząd zamówień publicznych stwierdził uchybienia, a PARP po podtrzymanej przez KIO decyzji wprowadziła korektę finansową. Pisaliśmy także o wspólnych projektach realizowanych z notowaną na giełdzie warszawską firmą Qumak SA.

Czy nasze dane medyczne będą bezpieczne w najnowocześniejszej serwerowni w Polsce? Marek Girek, prezes Data Techno Park powiedział w wywiadzie dla Money.pl: – To nie jest tak, że my teraz weźmiemy te wszystkie dane, wrzucimy do jednego worka i zaczniemy udostępniać i sprzedawać (…). Warto jednak wiedzieć, że ja i moi pracownicy nie możemy zarządzać tymi danymi. Fizycznie mamy tylko kontrolę nad ich przechowywaniem, ale w żaden sposób nie mamy możliwości administrowania nimi czy przetwarzania. Jesteśmy skarbcem, który przechowuje coś, do czego nie ma dostępu. Nawet ja jako prezes firmy i administrator budynku nie mogę wejść do wielu pomieszczeń. Podobnie jest z moimi pracownikami – procedury bezpieczeństwa są na bardzo zaawansowanym poziomie i pozyskanie jakichkolwiek danych z naszych serwerów jest bardzo mało prawdopodobne – stwierdził.

Nie mamy jednak pewności, że w największej serwerowni w Polsce, nasze dane będą bezpieczne – a bezpieczeństwo danych obywateli to przecież nic innego jak bezpieczeństwo kraju. W kwietniu, w siedzibie spółki Data Techno Park, odbyło się seminarium Rotary Club. Prezes spółki Marek Girek opowiedział zebranym o „bezpieczeństwie informacji w praktyce, w odniesieniu do obowiązującego prawa i wysokich wymagań stawianych przez jednostki kontrolne”. Na spotkanie został również zaproszony Jerzy Konieczny – były szef Urzędu Ochrony Państwa, a także prof. Marian Noga – były członek Rady Polityki Pieniężnej, który podsumował debatę słowami: „Im bardziej człowiek pozna prawdę, tym mniej o niej wie”.