Ikonka home dla okruszków Aktualności
photo
27.12.2024

Uwagi PUODO do Strategii Cyfryzacji Polski do 2035

Wieloletniemu planowi rozwojowi cyfryzacyjnemu Polski powinien towarzyszyć również namysł nad rozwojem ochrony danych osobowych. Wdrożenie rozwiązań technologicznych powinno iść w parze ze stosownymi rozwiązaniami prawnymi.

Prezes UODO zabiera głos w ramach trwających konsultacji projektu Strategii przygotowanej w Ministerstwie Cyfryzacji. Propozycje, jak wzmocnić Strategię,  kieruje do ministra cyfryzacji.

Mirosław Wróblewski, prezes UODO za materię fundamentalną uznaje regulowanie kwestii związanych z rozwojem nowych technologii. Wskazuje przy tym, jak ważne jest wykorzystanie potencjału nowych technologii z korzyścią dla obywateli. Koncepcja przyjęta w projekcie Strategii – zauważa – pozostaje w spójności z ideami towarzyszącymi aktualnym europejskim planom transformacji cyfrowej (Program Cyfrowa Europa, czy też Program Cyfrowa Dekada Europy).

Prezes UODO wskazuje, jak można wzmocnić strategię:

  • Analiza ryzyka przetwarzania danych

Wdrażanie konkretnych rozwiązań prawodawczych poprzedzone powinno zostać analizą wskazującą, że dane rozwiązania są niezbędne i że nie da się osiągnąć założonych celów poprzez rozwiązania o charakterze mniej inwazyjnym dla sfery praw i wolności osób, których dane dotyczą. Dziś takie analizy są często pomijane i w ocenie Prezesa UODO to problem kluczowy.

Ponadto PUODO ponawia postulat wprowadzenia prawnego wymogu przeprowadzenia tzw. testu prywatności już na etapie procesu legislacyjnego, jako elementu oceny skutków regulacji (OSR). Tego rodzaju obowiązek jest szczególnie istotny w przypadku ekstensywnych systemów państwowych, rejestrów publicznych czy projektów integracji danych. Obecnie ocena skutków dla ochrony danych osobowych w praktyce jest często pomijana, z negatywnymi konsekwencjami dla wszystkich.

  • Edukacja i bezpieczeństwo cyfrowe

Strategia powinna uwzględniać nie tylko edukację, jak korzystać z nowych technologii, ale też, jakie problemy związane z bezpieczeństwem i prawem do prywatności oraz ochrony danych one niosą.

Edukacja nie powinna ograniczać się jedynie do osób młodszych. Trzeba zwiększać kompetencje cyfrowe wszystkich, także w zakresie środków zapewniających bezpieczeństwo. Promowane powinno być stosowanie narzędzi do ochrony prywatności i danych osobowych (takich jak choćby szyfrowanie danych, czy usługi VPN) oraz sposoby minimalizacji szkodliwego oddziaływania technologii na stan psychiczny.

Wpływ wdrażanych rozwiązań na system ochrony zdrowia nie może być traktowany powierzchownie. Zagadnienia z tym związane, w tym plany minimalizacji czasu ekranowego w środowisku szkolnym, mogłyby być w Strategii bardziej rozwinięte.

  • Technologia w służbie jednostki

Strategia opisuje dalszy rozwój e-usług. Byłoby lepiej, gdyby odnosiła się także do zapewnienia stosowania zasad ochrony danych osobowych, które systemy te powinny respektować.

Upowszechnianie różnych form podpisów elektronicznych powinno iść w parze z wprowadzeniem zmian systemowych w powszechnie obowiązującym prawie – szczególnie w perspektywie przewidzianej przez rozporządzenie eIDAS2 funkcji europejskiego portfela tożsamości cyfrowej oraz pojęcia certyfikatu podpisu elektronicznego.

Szczególne zagrożenia dla prywatności obywateli związane są obecnie z coraz szerszym wykorzystywaniem (w tym ujawnianiem osobom postronnym) numeru PESEL w formie identyfikatora w podpisach elektronicznych.

Strategia nie odnosi się do problemu identyfikacji z wykorzystaniem danych biometrycznych (w tym behawioralnych), chociaż takie mechanizmy są już stosowane (np. przez banki i inne instytucje finansowe). Trzeba tę tematykę uregulować.

Zwiększenie wykorzystania internetu rzeczy (IoT) oraz sztucznej inteligencji (AI) w przestrzeni publicznej nieodłącznie związane są ze wzmożonym zagrożeniem szerokiego wykorzystania technologii śledzących (często wręcz inwigilujących) osoby fizyczne.

Strategia „inteligentne miasta” (smart cities) zakłada optymalizację zarządzania usługami publicznymi m.in. w oparciu o dane zbierane z coraz bardziej zawansowanych i rozbudowywanych systemów monitoringu.

Ustalenie granic wykorzystania nowych technologii przez podmioty publiczne obowiązane do działania na podstawie i w granicach wyznaczonych im przepisami prawa (zasada legalizmu), w świetle potencjalnych negatywnych skutków dla suwerenności jednostki – w tym celem uniknięcia rozwiązań polegających na stosowaniu zautomatyzowanego podejmowania decyzji wywołującego wobec jednostki skutki prawne lub w sposób podobny istotnie na nią wpływającego – ma znaczenie kluczowe.

Strategia nie rozwija też mechanizmów zgód obywateli na przetwarzanie danych w systemach cyfrowych (opartych o kryteria świadomości, dobrowolności oraz braku ujemnych skutków w przypadku jej nieudzielenia lub odwołania), co stwarzać może pole do nadużyć w wykorzystywaniu danych.

  • Rejestry publiczne i aplikacja mObywatel

Założony w Strategii rozwój rejestrów publicznych niesie ze sobą konieczność przejrzenia dotychczasowego modelu ich funkcjonowania. Szczególne obawy budzi zakładana interoperacyjność różnych baz, zasobów danych, systemów, stwarzająca znaczne ryzyko ich łączenia.

Przekazywanie danych z zasobów coraz większych zbiorów danych potencjalnie utrudnia, czy wręcz czyni iluzoryczną możliwość sprawowania kontroli i wiedzy o procesach przetwarzania danych przez osoby, których dane dotyczą, a po stronie administratorów trudnym do spełnienia jest wymóg rozliczalności. Problemy te nasila zakładany w Strategii model szerokiej współpracy z sektorem prywatnym przewidujący migrację danych z rejestrów państwowych do zasobów podmiotów rynkowych / prywatnych – na podstawie zawieranych porozumień, a nie przepisów prawnych rangi ustawowej.

  • Mechanizmy ochrony praw jednostki

Punktem odniesienia dla wprowadzenia szczegółowych regulacji powinny być zasady: etycznego rozwoju, transparentności przyjmowanych rozwiązań, odpowiedzialności i przeciwdziałania różnym formom dyskryminacji. Zastosowanie tych zasad powinno przybrać wymiar uniwersalny, a więc odnosić się nie tylko do sektora prywatnego, ale w równym stopniu również do sektora publicznego. Na przykład dostarczanie przez urząd państwowy treści powinno być poprzedzone obowiązkiem informowania, że zostały wygenerowane przez AI wraz z publikacją w BIP informacji o użytym modelu i treści promptów. Wprowadzenia wymaga obowiązek informowania użytkowników o zastosowanych algorytmach oraz tego w jaki sposób dane są wykorzystywane i przetwarzane (w formule przystępnej i zrozumiałej dla odbiorcy).

Projektodawca powinien przewidzieć stosowanie środków kontroli przestrzegania zasad postępowania z technologią sztucznej inteligencji (AI) oraz wykrywania błędów systemów, poprzez stałe i obowiązkowe audyty i przeglądy.

Trzeba też wprowadzić zabezpieczenia przeciwko niejawnemu i bezprawnemu nadzorowi (np. z wykorzystaniem biometrii).

Rozszerzonej analizy wymaga zagadnienie tzw. agentów sztucznej inteligencji, a więc tego, jak uregulowane powinno zostać reprezentowanie osób i podmiotów za pomocą oprogramowania, które może wykonywać w imieniu użytkownika zadania, podejmując decyzje i wchodzić w interakcję z innymi podmiotami czy osobami. Szczególną uwagę trzeba poświęcić operacjom przetwarzania danych szczególnych kategorii (np. wymiana dokumentacji medycznej między placówkami).

  • Szansa dla administracji i nowe wymagania

Cyfryzacja jest szansą, aby administracja publiczna przeniesiona została na alternatywne, działające w interesie publicznym kanały bieżącej komunikacji z obywatelem, odchodząc od zamkniętych platform. Ze stron administracji publicznej zniknąć powinny zbędne skrypty śledzące.

Rekomendowanym przez organ nadzorczy rozwiązaniem jest stworzenie sprawnej, darmowej, bezpiecznej, posiadającej otwarte API i dostosowanej do polskiego systemu edukacji platformy do komunikacji szkół z rodzicami (e-dziennik).

  • Suwerenność cyfrowa państwa i odpowiedzialność korporacji technologicznych

Projektodawca słusznie spostrzegł, że uzależnienie od rozwiązań dostarczanych przez zewnętrznych dostawców jest potencjalną słabością cyfrowego państwa. Niepokojącym zjawiskiem, z którym należy się zmierzyć, jest tworzenie rozwiązań w oparciu o infrastrukturę dużych korporacji technologicznych, których siedziby znajdują się poza Europejskim Obszarem Gospodarczym.

Strategia zakłada rozwój chmury obliczeniowej, ale nie przedstawia konkretnych warunków dotyczących przechowywania danych obywateli, ani mechanizmów weryfikacji bezpieczeństwa usług.

Dodatkową analizę poświęcić należy kwestii suwerenności energetycznej i ekonomicznej. Strategia powinna przewidywać zasób energetyczny potrzebny do utrzymywania planowanych systemów, jak również plany kryzysowe, zachowanie ciągłości i dostępu do danych w przypadku awarii i dłuższej utraty energii.

DOL.401.502.2024

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Monika Krasińska
date 2024-12-27
Wprowadził informację:
user Karolina Jastalska
date 2024-12-27 12:12:47
Ostatnio modyfikował:
user Karolina Jastalska
date 2024-12-27 13:00:41

Materiały do pobrania

Pobierz plik DOL.401.502.2024_opinia prezesa UODO do projektu Strategii Cyfryzacji Polski do 2035 roku [PDF; 440 KB]
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Monika Krasińska
date 2024-12-27 12:16:09
Wprowadził informację:
user Karolina Jastalska
date 2024-12-27 12:16:09