Prezes Urzędu Ochrony Danych Osobowych (UODO) przekazał Ministerstwu Cyfryzacji swoje uwagi dotyczące projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029. Dokument ten ma istotny wpływ nie tylko na kwestie związane z bezpieczeństwem cyfrowym, ale również na sferę praw i wolności człowieka. W związku z tym, jak podkreśla Prezes UODO, rozwiązania prawne z zakresu cyberbezpieczeństwa powinny być jak najlepiej dopracowane, aby skutecznie odpowiadały na wyzwania współczesnych technologii i zapewniały odpowiednią ochronę obywateli.
Pozytywna ocena projektu Strategii
Prezes UODO, mimo zgłoszonych uwag, pozytywnie ocenia sam projekt Strategii. Chwali zwłaszcza propozycje mające na celu wzmocnienie odporności cyberprzestrzeni poprzez poprawę ochrony informacji w sektorze publicznym, militarnym oraz prywatnym. Zwraca także uwagę na istotną rolę strategii w promowaniu wiedzy oraz dobrych praktyk dotyczących ochrony danych i informacji. W kontekście tego, coraz bardziej zaawansowane technologie i zmieniający się krajobraz cyberzagrożeń, takie działania są niezbędne.
Uwagi Prezesa UODO
- Podstawa prawna cyberbezpieczeństwa
Prezes UODO zwraca uwagę, że wszelkie działania związane z zapewnieniem cyberbezpieczeństwa powinny być wprowadzane wyłącznie na podstawie wyraźnych przepisów prawnych. Istnieje potrzeba zmiany obecnych regulacji w taki sposób, by lepiej odpowiadały one na wyzwania technologiczne. UODO podkreśla także konieczność analizy istniejących przepisów, które mogą wprowadzać niepożądane rozwiązania, negatywnie wpływające na ochronę danych. W szczególności dotyczy to rejestrów publicznych, w których mogą być przechowywane dane osobowe, takie jak numer PESEL, wykorzystywany w rejestrach takich jak księgi wieczyste. Prezes UODO podkreśla, że niewłaściwe zarządzanie tymi danymi może stanowić poważne zagrożenie dla prywatności obywateli. - Analiza ryzyka
UODO zaleca, aby proces wprowadzania zmian w przepisach prawnych dotyczących cyberbezpieczeństwa poprzedzała szczegółowa analiza ryzyka. Nowe technologie, choć przynoszą korzyści, niosą ze sobą również wysokie ryzyko naruszenia praw obywateli. Prezes Urzędu proponuje, aby test prywatności był przeprowadzany już na etapie tworzenia przepisów prawa, co pozwoliłoby na zminimalizowanie potencjalnych zagrożeń związanych z nowymi technologiami, zwłaszcza w kontekście rejestrów publicznych i integracji danych. - Rozwiązania technologiczne
Prezes UODO zauważa również, że projekt strategii nie odnosi się w wystarczający sposób do kwestii przetwarzania danych biometrycznych, których użycie w celach identyfikacyjnych staje się coraz bardziej powszechne. Dodatkowo, UODO wskazuje na rosnące zagrożenia związane z używaniem sztucznej inteligencji (AI) w kontekście cyberbezpieczeństwa, takie jak kradzież tożsamości czy podszywanie się pod osoby za pomocą narzędzi AI. Z tego powodu, w projekcie Strategii powinny znaleźć się rozwiązania zapobiegające tego rodzaju zagrożeniom. - Zakres strategii
Prezes UODO zwrócił również uwagę na niejasność dotyczącą zakresu projektu Strategii. W szczególności, nie jest jasne, czy projekt ma charakter wyłącznie wykonawczy, odnoszący się do ustawodawstwa w zakresie krajowego systemu cyberbezpieczeństwa (NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa), czy też obejmuje szerszy kontekst ochrony danych osobowych oraz bezpieczeństwa, jak to ma miejsce w rozporządzeniu 2016/679 i dyrektywie 2016/680.