Fundacja ePaństwo wzięła udział w ewaluacji wybranych standardów otwierania danych publicznych. Poniżej przedstawiamy nasze uwagi przekazane do Ministerstwa Cyfryzacji.

Uwagi Fundacji ePaństwo do „standardu prawnego” oraz „standardu bezpieczeństwa”

1)    Uwagi do „Standardu prawnego”

Fundacja ePaństwo podejmuje od wielu lat działania polegające na promowaniu i korzystaniu z otwartych danych. Opracowanie trafnie wskazuje na bariery w tworzeniu, udostępnianiu i ponownym wykorzystywaniu danych, jak również formułuje właściwe rekomendacje zmian. Faktycznie, brakuje w polskich przepisach wyraźnego standardu prawnego, który nakazywałby podmiotom zobowiązanym udostępnianie danych publicznych w otwartych formatach. Jak pokazuje praktyka – również za pośrednictwem portalu dane.gov.pl – mimo sprzyjającego, jak by się mogło wydawać otoczenia prawnego w postaci przepisów ustawy o informatyzacji podmiotów publicznych, ustawy o ponownym wykorzystywaniu informacji sektora publicznego czy uchwały Rady Ministrów przyjmującej rządowy Program Otwierania Danych Publicznych, nie udało się w pełni ujednolicić regulacji prawnych, a działania promujące otwieranie danych okazały się, w wielu przypadkach niewystarczające. Fundacja poczyniła już uwagi w tym zakresie w opublikowanych w 2017 raporcie podsumowującym rok funkcjonowania ustawy o ponownym wykorzystywaniu informacji sektora publicznego, a płynące z raportu wniosku potwierdzają się w badaniu prowadzonym w związku z realizowanym przez Fundację projektem „Obywatelska analiza prawa”.
Przedstawione przez Ministerstwo opracowanie powinno być, naszym zdaniem uzupełnione o wskazanie szczegółowych przykładów barier występujących w polskim prawodawstwie. Zidentyfikowanie konkretnych barier w postaci przepisów ustawowych pozwoli na stworzenie katalogu przepisów, które powinny ulec zmianie. Przytoczone w tekście przykłady przepisów stanowiących barierę, są – z uwagi na wiedzę zespołu Fundacji – jej znane, ale umieszczenie ich w dokumencie bez odwołania do konkretnych ustaw nie pozwala na powszechną identyfikację realnie występujących barier. Przykłady barier ustawowych powinny zawierać odesłania do konkretnych przepisów żeby dobrze zidentyfikować problem i instytucje, które mogłyby zainicjować odpowiedni proces legislacyjny. Warto byłoby rozszerzyć zaprezentowane przykłady o pełen katalog zidentyfikowanych barier.

Fundacja sygnalizuje gotowość współpracy w zakresie wskazania już zdefiniowanych barier w przepisach rangi ustawowej. Przykładem mogą chociażby służyć ograniczenia licencyjne zawarte w ustawie Prawo geodezyjne i kartograficzne, które, w opracowaniu są wskazane jedynie pośrednio. Nie jest również w pełni jasny status pełnych danych meteorologicznych, gdyż ustawa o ponownym wykorzystywaniu informacji sektora publicznego zmieniła ustawę Prawo wodne w ograniczonym zakresie. W tym zakresie pominięto w opisie barier problem relacji różnych ustaw dotyczących otwierania danych i ich ponownego wykorzystywania. Z badań przeprowadzonych przez Fundację wynika, że zarówno dla obywateli, jak i urzędów problemem pozostaje ustalenie właściwego trybu udostępniania danych.

Przywołany na stronie 16 opracowania wyrok Sądu Najwyższego z dnia 8 listopada 2012 r.,  sygn. akt I CSK 190/12 stanowi, faktycznie dobry przykład na sposób radzenia sobie orzecznictwa z barierami prawnymi. Warto jednak pójść o krok dalej i na podstawie tego wyroku, oraz podobnych rozstrzygnięć sądów administracyjnych, sformułować rekomendację zmiany art. 5.ust 2 ustawy o dostępie do informacji publicznej, aby zminimalizować wątpliwości co do tego, czy wyłącznie osoby, które pełnią funkcje publiczne korzystając z ograniczeń w wykonywaniu swojego prawa do prywatności.
Z kolei rekomendacja zawarta na stronie 27 dokumentu: „Wyłączenie możliwości odmowy udostępnienia danych w oparciu o przesłankę m.in. ochrony praw własności intelektualnej, praw własności przemysłowej, ochrony prywatności lub informacji niejawnych w stosunku do danych objętych taką ochroną, ale wytworzonych w ramach realizacji obowiązku ustawowego” wydaje się być za daleko idąca i sprzeczna z obowiązującymi przepisami, np. dotyczącymi ochrony danych osobowych. Zwracamy uwagę, że w wyniki realizacji obowiązku ustawowego powstają np. listy osób korzystających z usług pomocy społecznej. Ta rekomendacja jest również niespójna z dokumentem określającym „Standard bezpieczeństwa”. Gdyby rekomendacja została w takim kształcie przyjęta, mogłoby to prowadzić do ujawnienia danych tych osób. W związku z tym rekomendacja powinna zostać zmieniona – np. poprzez dostosowanie jej do przywołanego wyżej wyroku Sądu Najwyższego.

Sposób prezentacji propozycji zmian lub doprecyzowania regulacji nie pozwala na jednoznaczne stwierdzenie, które propozycje mają dotyczyć tzw. regulacji twardych, a które powinny zostać przyjęte np. w formie polityk otwartości. Tych wątpliwości nie niwelują ogólne stwierdzenia w ostatnim rozdziale dokumentu. Znowuż, rodzi to problemy w ustaleniu adresatów opracowania.

Na szczególne uznanie zasługuje wprowadzenie w części „Wzorzec otwartości” postulatu dotyczącego informacji o terminie aktualizacji danych oraz udostępniania danych przez usługi sieciowe. W celu realizacji tych postulatów należałoby zaproponować konkretne zmiany w przepisach ustawy o dostępie do informacji publicznej (w zakresie metadanych odnoszących się do informacji zawartych w Centralnym Repozytorium Informacji Publicznej) oraz ustawy o ponownym wykorzystywaniu informacji sektora publicznego m.in. w zakresie danych dynamicznych oraz zmian w zakresie ograniczeń czasowych udostępniania danych na podstawie tzw. wniosku ciągłego, ale również w zakresie, słusznego postulatu autorów opracowania, ograniczającego odpłatność za udostępnienie danych do ponownego wykorzystywania.

Zagadnieniem niezaadresowanym w dokumencie, a wywołującym liczne wątpliwości jest kwestia określenia własności danych podmiotów prywatnych, które zbierają dane w wyniku umowy z urzędem, ale te same urzędy tymi danymi nie dysponują. Jest to duży problem sektora zajmującego się pomiarami zanieczyszczeń powietrza lub transportem.

2) Uwagi do „Standardu bezpieczeństwa”

Fundacja prowadząc serwisy takie jak np. rejestr.io sama jest administratorem danych i ma w związku z tym doświadczenie odnoszące się do kwestii bezpieczeństwa danych. Poniższa opinia opiera się na wieloletniej praktyce Fundacji w tym obszarze.
Przedstawiony dokument „Standard bezpieczeństwa” wydaje się być pozbawiony jasno sprecyzowanego celu i pozostawia wątpliwości do jakich danych się odnosi. Z jednej bowiem strony dotyczy np. danych osób prawnych ale, jak wynika ze wstępu i większej części tekstu jest adresowana do administratorów danych osobowych. Dokument ten nie odnosząc się jednocześnie do konkretnych przepisów zdaje się ustalać jakie dane są dostępne, a jakie nie. Brakuje podania podstaw prawnych dla uznania prawidłowości oceny dokonanej w tym zakresie przez autorów.

Nie wskazano w oparciu o jakie kryteria wybrano bardzo wąską grupę danych podlegających nieograniczonemu udostępnianiu. Z kształtu tego krótkiego rozdziału może wynikać, że grupa ta ma charakter zamknięty. Tymczasem katalog takich danych to co najmniej kilkaset zestawów. Wśród wymienionych przykładów podano np. dane statystyczne ale nie np. dane budżetowe jednostek samorządu terytorialnego. Zwracamy jednocześnie uwagę, że zakres nieograniczonego przetwarzania danych jest – w przypadku informacji dotyczących osób prawnych – znacznie szerszy niż wskazany w dokumencie. Dotyczy on m.in. osób reprezentujących dany podmiot.

Niezrozumiały w tym kontekście jest fragment kolejnego rozdziału oznaczony jako pkt 1 d). Nie wskazano dlaczego, zdaniem autorów w przypadku przetwarzania danych z jawnych zasobów konieczna jest ich pseudonimizacja lub wręcz anonimizacji, a jednocześnie pominięto zagadnienie prawnych przesłanek przetwarzania takich danych, tworzenia polityk prywatności i realizacji obowiązków informacyjnych. Jak zaznaczono w przedstawionych przez Fundację uwagach do „Standardu bezpieczeństwa” oba dokumenty są w tym zakresie niespójne. W rozdziale tym (pkt 1 e) jest błąd polegający na uznaniu za dane osobowe numeru REGON, oraz NIP (w przypadku osób prawnych). To też kolejny przykład potwierdzający ocenę Fundacji, że nie jest jasne jakich danych dotyczy opracowanie.
Dokument dużo by zyskał, gdyby omówić zagadnienia techniczne na konkretnych przykładach, np. anonimizacji danych dotyczących osób korzystających z usług pomocy społecznej, lub posiadaczy radioodbiorników.