Ikonka home dla okruszków Aktualności
photo
04.02.2025

Projekt Strategii Cyberbezpieczeństwa - Uwagi PUODO

Prezes UODO przekazał Ministrowi Cyfryzacji uwagi dotyczące projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029. Dokument ten będzie wywierał wpływ także na sferę praw i wolności człowieka. Dlatego ważne jest, aby rozwiązania prawne z zakresu cyberbezpieczeństwa były w najwyższym stopniu dopracowane i odpowiadały na wyzwania.

Przedstawienie projektu Strategii Prezes UODO ocenia pozytywnie. Podobnie odnosi się do idei wzmocnienia odporności cyberprzestrzeni poprzez zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym i prywatnym. Ważne jest też, że dokument stawia na promowanie wiedzy i dobrych praktyk w zakresie ochrony naszych danych i informacji.

Prezes Urzędu Ochrony Danych Osobowych zgłasza następujące uwagi:

  1. 1.     Podstawa prawna

Rozwiązania mające zapewnić cyberbezpieczeństwo mogą być wprowadzane jedynie w oparciu o wyraźną podstawę prawną. Trzeba więc zmienić przepisy i to tak by były dostosowane do szybko zmieniających się rozwiązań technologicznych. Trzeba też dokonać analizy przepisów już obowiązujących, wprowadzających wadliwe z punktu widzenia ochrony danych rozwiązania, które w ocenie organu nadzorczego negatywnie wpływać mogą na zachowanie cyberbezpieczeństwa państwa.

W szczególności wskazać w tym miejscu należy rejestry publiczne, w których jawne i ogólnodostępne są dane osobowe m.in. numer PESEL (np. rejestr ksiąg wieczystych), a także podpisy elektroniczne, w których numer PESEL wykorzystywany jest w formie identyfikatora.

Numerem PESEL można zidentyfikować konkretną osobę. Dlatego możliwość jego nieuprawnionego użycia powinna zostać uznana za cyberzagrożenie dla praw i wolności obywateli. Kwestia ta ma znaczenie także w związku z przewidywanym w rozporządzeniu eIDAS2 europejskim portfelem tożsamości cyfrowej oraz pojęciem certyfikatu podpisu elektronicznego – prawodawca rozważyć powinien zmianę prawa w celu dostosowania polskich przepisów do wymogów wynikających z tego rozporządzenia.

W projekcie strategii (pkt 2) wskazano, że „istotne jest, aby prawo do prywatności nie utrudniało identyfikacji cyberprzestępców oraz ich ścigania i nie zapewniało im bezkarności”. To ważne i społecznie oczekiwane działanie. Jednakograniczenia stosowania przepisów rozporządzenia 2016/679 można dokonać jedynie na zasadach określonych w art. 23 tego rozporządzenia.

  1. 2.     Analiza ryzyka

Zmianę przepisów prawodawca powinien poprzedzić analizą ryzyka dla przetwarzanych danych. Cyberbezpieczeństwo wiąże się z użyciem nowych technologii, a te z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób. Przeprowadzenie testu prywatności powinno następować już na etapie tworzenia przepisów prawa, przed przyjęciem założeń do konkretnych projektów informatycznych. Prawodawca przy tworzeniu przepisów kierować powinien się podejściem opartym na ryzyku.

W szczególności powinno mieć to miejsce w przypadkach dotyczących rejestrów publicznych oraz integracji danych.

  1. 3.     Rozwiązania technologiczne

Projekt strategii nie odnosi się zagadnieniem przetwarzania danych biometrycznych, których użycie dla celów identyfikacyjnych jest coraz bardziej powszechne. Prezes UODO zwrócił także uwagę na ryzyka związane z użyciem sztucznej inteligencji w kontekście cyberbezpieczeństwa. Prawodawca powinien przyjąć rozwiązania zapobiegjące kradzieży tożsamości, technologiami śledzącymi czy podszywaniem się pod osoby przy użyciu narzędzi sztucznej inteligencji.

 W projekcie strategii nie wyjaśniono dokładnego zakresu tej strategii. Niejasne jest przede wszystkim czy projekt strategii ogranicza się jedynie do sfery wykonawczej NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa (na co wskazuje fragment pkt. 3: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 nie obejmuje jednak tych kwestii, jako wykraczających poza ramy ustawowe określające KSC”)  czy też ma charakter szerszy, obejmujący m.in. kwestię ochrony danych oraz bezpieczeństwa określonych w rozporządzeniu 2016/679 oraz dyrektywie 2016/680[1] (na szerszy zakres strategii wskazuje chociażby „Cel szczegółowy 4. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli”)

Prezes UODO przesłał też uwagi do konkretnych postanowień projektu Strategii (dostępne są w załączniku do komunikatu).

Uwagi te, jak podkreśla PUODO, mają zwrócić uwagę Ministerstwa Cyfryzacji na wiele – istotnych z perspektywy organu nadzorczego – kwestii mających istotny wpływ na zachowanie bezpieczeństwa państwa.

DPNT.401.18.2025

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2025-02-04
Wprowadził informację:
user Natalia Tołwińska
date 2025-02-03 10:02:46
Ostatnio modyfikował:
user Natalia Tołwińska
date 2025-02-04 09:53:42

Materiały do pobrania

Pobierz plik Pismo Prezesa UODO do Ministra Cyfryzacji - uwagi dotyczące projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 [176 KB]
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Monika Krasińska
date 2025-02-03 10:28:14
Wprowadził informację:
user Natalia Tołwińska
date 2025-02-03 10:28:14