Prezes UODO skierował do Ministra Cyfryzacji uwagi odnośnie do projektu Strategii Cyberbezpieczeństwa RP na lata 2025-2029. Jak wskazuje organ nadzorczy, dokument wpłynie również na obszar praw i wolności jednostki. Dlatego kluczowe jest, aby regulacje prawne w zakresie cyberbezpieczeństwa były jak najbardziej precyzyjne i adekwatne do wyzwań.
Opracowanie: Michał Kowalski
Ogólnie rzecz ujmując, Prezes UODO wyraził pozytywną opinię na temat prezentacji projektu strategii Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa. Podobnie ocenił pomysł zwiększenia odporności cyberprzestrzeni poprzez podniesienie poziomu ochrony danych w sektorze publicznym, wojskowym i prywatnym. Zdaniem organu nadzorczego właściwym jest położenie nacisku na promowanie wiedzy i dobrych praktyk w zakresie ochrony danych osobowych i innych informacji.
Do strategii zostały jednak zgłoszone pewne uwagi. Pierwsza z nich dotyczy braku podstawy prawnej. Środki mające na celu zapewnienie cyberbezpieczeństwa mogą być wdrażane tylko na podstawie jasno określonych przepisów. Konieczne jest zatem zaktualizowanie stosownych aktów prawnych, aby były przystosowane do dynamicznie zmieniających się technologii. Należy również przeanalizować obecnie obowiązujące przepisy, które wprowadzają rozwiązania wadliwe z perspektywy ochrony danych, a które według oceny organu nadzorczego mogą negatywnie wpływać na cyberbezpieczeństwo kraju.
W ocenie PUODO warto zwrócić uwagę na publiczne rejestry, w których dane osobowe, takie jak numer PESEL, są jawne i dostępne dla wszystkich, jak również na podpisy elektroniczne, gdzie numer PESEL pełni rolę identyfikatora.
Numer PESEL pozwala na identyfikację konkretnej osoby. Dlatego możliwość jego nieautoryzowanego użycia powinna być traktowana jako zagrożenie cybernetyczne dla praw i wolności obywateli.
Ta kwestia ma znaczenie również w kontekście przewidywanego w rozporządzeniu eIDAS2 europejskiego portfela tożsamości cyfrowej oraz pojęcia certyfikatu podpisu elektronicznego – ustawodawca powinien rozważyć zmianę przepisów w celu dostosowania polskiego prawa do wymogów tego rozporządzenia.
Zgodnie z pkt 2 projektu „istotne jest, aby prawo do prywatności nie utrudniało identyfikacji cyberprzestępców oraz ich ścigania i nie zapewniało im bezkarności”. To ważne i społecznie oczekiwane działanie, niemniej jednak może być one wprowadzone jedynie w zgodzie z art. 23 RODO.
Przed wprowadzeniem zmian w przepisach, ustawodawca powinien przeprowadzić analizę ryzyka związaną z przetwarzanymi danymi. Cyberbezpieczeństwo jest związane z wykorzystywaniem nowych technologii, które mogą z dużym prawdopodobieństwem generować incydenty wiążące się wysokim ryzykiem naruszenia praw lub wolności jednostek. Ocena prywatności powinna być przeprowadzana już na etapie tworzenia przepisów, zanim zostaną przyjęte założenia do konkretnych projektów informatycznych. Ustawodawca powinien kierować się podejściem opartym na analizie ryzyka przy tworzeniu przepisów.
Szczególnie istotne jest to w przypadkach dotyczących rejestrów publicznych oraz integracji danych.
Projekt strategii nie uwzględnia kwestii dotyczącej przetwarzania danych biometrycznych, które stają się coraz bardziej popularne w celach identyfikacyjnych. Prezes UODO również wskazał na zagrożenia związane z wykorzystaniem sztucznej inteligencji w obszarze cyberbezpieczeństwa. Ustawodawca powinien wprowadzić rozwiązania, które zapobiegną kradzieży tożsamości, śledzeniu za pomocą technologii oraz podszywaniu się pod inne osoby przy użyciu narzędzi sztucznej inteligencji.
W dokumencie dotyczącym strategii nie określono precyzyjnie jej pełnego zakresu. Nie jest jasne, czy strategia ogranicza się wyłącznie do realizacji dyrektywy NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa (co sugeruje fragment punktu 3: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 nie obejmuje jednak tych kwestii, jako wykraczających poza ramy ustawowe określające KSC”), czy też ma szerszy zakres, obejmujący na przykład ochronę danych oraz bezpieczeństwo określone w RODO i dyrektywie UE 2016/680 (na szerszy zakres strategii wskazuje między innymi „Cel szczegółowy 4. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli”).
Serwis UODO
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
