Strategia Cyfryzacji Państwa. Prezes UODO ma uwagi

Kompleksowy dokument na temat cyfrowego rozwoju Polski do 2035 roku omawialiśmy krok po kroku na łamach CyberDefence24.pl. Byliśmy również obecni na podsumowaniu konsultacji, w czasie których dyskutowano o właściwym kierunku zmian. Padły wtedy ważne deklaracje dotyczące działań resortu w 2025 roku.

Szereg uwag PUODO

Teraz głos zabrał Prezes Urzędu Ochrony Danych Osobowych, który skierował swoje propozycje dotyczące Strategii Cyfryzacji Państwa do wicepremiera i ministra cyfryzacji w kontekście wzmocnienia ochrony danych osobowych.

Podstawą według niego jest kwestia rozwoju nowych technologii, ale trzeba pamiętać, by odbywało się to z korzyścią dla obywateli. Jego zdaniem, koncepcja ta pozostaje spójna z ideami towarzyszącymi aktualnym europejskim planom transformacji cyfrowej (Program Cyfrowa Europa, czy też Program Cyfrowa Dekada Europy).

Jednak w opinii Prezesa UODO, Strategię Cyfryzacji Państwa można wzmocnić poprzez:

• analizę ryzyka przetwarzania danych;
• edukację i bezpieczeństwo cyfrowe;
• technologię w służbie jednostki;
• rejestry publiczne i aplikację mObywatel;
• mechanizmy ochrony praw jednostki;
• suwerenność cyfrową państwa i odpowiedzialność korporacji technologicznych.

Poprzez analizę ryzyka przetwarzania danych PUODO rozumie najpierw sprawdzenie czy wdrożenie konkretnych rozwiązań prawnych jest niezbędne i czy nie da się osiągnąć określonego celu poprzez „rozwiązanie mniej inwazyjne” dla prawa i wolności osób, których dotyczą dane.

Ponadto PUODO ponawia postulat wprowadzenia prawnego wymogu przeprowadzenia tzw. testu prywatności już na etapie procesu legislacyjnego, jako elementu oceny skutków regulacji (OSR). Tego rodzaju obowiązek jest szczególnie istotny w przypadku ekstensywnych systemów państwowych, rejestrów publicznych czy projektów integracji danych. Obecnie ocena skutków dla ochrony danych osobowych w praktyce jest często pomijana, z negatywnymi konsekwencjami dla wszystkich.
komunikat UODO

Dodatkowa uwaga dotyczy kwestii edukacji, która powinna obejmować też problemy związane z bezpieczeństwem i prawem do prywatności oraz ochrony danych.

„Edukacja nie powinna ograniczać się jedynie do osób młodszych. Trzeba zwiększać kompetencje cyfrowe wszystkich, także w zakresie środków zapewniających bezpieczeństwo. Promowane powinno być stosowanie narzędzi do ochrony prywatności i danych osobowych (takich jak choćby szyfrowanie danych, czy usługi VPN) oraz sposoby minimalizacji szkodliwego oddziaływania technologii na stan psychiczny” - uważa PUODO.

Jego uwaga dotyczy też wpływu rozwiązań technologicznych na system ochrony zdrowia, co nie powinno być traktowane „powierzchownie”. Chodzi m.in. o rozwinięcie planów w kwestii ograniczenia czasu ekranowego w szkołach.

Technologia dla jednostek

Kolejna uwaga ma obejmować rozwój e-usług, które powinny odnosić się też do stosowania zasad ochrony danych osobowych. „Upowszechnianie różnych form podpisów elektronicznych powinno iść w parze z wprowadzeniem zmian systemowych w powszechnie obowiązującym prawie – szczególnie w perspektywie przewidzianej przez rozporządzenie eIDAS2 funkcji europejskiego portfela tożsamości cyfrowej oraz pojęcia certyfikatu podpisu elektronicznego” - uważa PUODO.

Zagrożeniem dla prywatności ma być coraz szersze wykorzystywanie numeru PESEL w formie identyfikatora w podpisach elektronicznych.

Dalej Prezes UODO wskazuje na fakt, że Strategia Cyfryzacji Państwa nie odnosi się do problemu identyfikacji z wykorzystaniem danych biometrycznych (w tym behawioralnych). „Trzeba tę tematykę uregulować” - uważa.

Innym aspektem ma być kwestia mechanizmów zgód obywateli na przetwarzanie danych w systemach cyfrowych czy przeanalizowanie sprawy rozwoju rejestrów publicznych.

„Szczególne obawy budzi zakładana interoperacyjność różnych baz, zasobów danych, systemów, stwarzająca znaczne ryzyko ich łączenia” - czytamy.

Mechanizmy ochrony praw jednostki

PUODO uważa, że punktem odniesienia dla wprowadzenia szczegółowych regulacji powinny być zasady: etycznego rozwoju, transparentności przyjmowanych rozwiązań, odpowiedzialności i przeciwdziałania różnym formom dyskryminacji.

W szeregu uwag znalazło się także stosowanie środków kontroli przestrzegania zasad postępowania z technologią AI oraz wykrywania błędów systemów, poprzez stałe i obowiązkowe audyty i przeglądy.

PUODO uważa, że trzeba wprowadzić zabezpieczenia przeciwko niejawnemu i bezprawnemu nadzorowi czy przeanalizować wpływ tzw. agentów AI w kontekście przetwarzania danych.

Wśród szeregu uwag znalazło się też zagadnienie suwerenności cyfrowej, a niepokojącym zjawiskiem - zdaniem organu - jest „tworzenie rozwiązań w oparciu o infrastrukturę dużych korporacji technologicznych, których siedziby znajdują się poza Europejskim Obszarem Gospodarczym”.

Brak również konkretów w kwestii rozwoju chmury obliczeniowej pod kątem przetwarzania i przechowywania danych obywateli czy w sprawie suwerenności energetycznej i ekonomicznej.

„Strategia powinna przewidywać zasób energetyczny potrzebny do utrzymywania planowanych systemów, jak również plany kryzysowe, zachowanie ciągłości i dostępu do danych w przypadku awarii i dłuższej utraty energii” - czytamy.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].