Przedstawienie projektu Strategii prezes UODO ocenia pozytywnie. Podobnie odnosi się do idei wzmocnienia odporności cyberprzestrzeni poprzez zwiększenie poziomu ochrony informacji w sektorze publicznym, militarnym i prywatnym. Ważne jest też, że dokument stawia na promowanie wiedzy i dobrych praktyk w zakresie ochrony naszych danych i informacji.

Podstawa prawna musi być wyraźna

Rozwiązania mające zapewnić cyberbezpieczeństwo mogą być wprowadzane jedynie w oparciu o wyraźną podstawę prawną. Trzeba więc zmienić przepisy i to tak by były dostosowane do szybko zmieniających się rozwiązań technologicznych. Niezbędna jest również analiza przepisów już obowiązujących, wprowadzających wadliwe z punktu widzenia ochrony danych rozwiązania, które w ocenie organu nadzorczego negatywnie wpływać mogą na zachowanie cyberbezpieczeństwa państwa. Prezes UODO  ma na myśli  rejestry publiczne, w których jawne i ogólnodostępne są dane osobowe m.in. numer PESEL (np. rejestr ksiąg wieczystych), a także podpisy elektroniczne, w których numer PESEL wykorzystywany jest w formie identyfikatora.

Numerem PESEL można zidentyfikować konkretną osobę. Dlatego możliwość jego nieuprawnionego użycia powinna zostać uznana za cyberzagrożenie dla praw i wolności obywateli. Kwestia ta ma znaczenie także w związku z przewidywanym w rozporządzeniu eIDAS2 europejskim portfelem tożsamości cyfrowej oraz pojęciem certyfikatu podpisu elektronicznego – prawodawca rozważyć powinien zmianę prawa w celu dostosowania polskich przepisów do wymogów wynikających z tego rozporządzenia.

Zobacz w LEX: Zarządzanie cyberbezpieczeństwem jako element kontroli zarządczej >

Analiza ryzyka bardzo skrupulatna 

Prezes UODO  zwraca też uwagę, że zmianę przepisów prawodawca powinien poprzedzić analizą ryzyka dla przetwarzanych danych. Cyberbezpieczeństwo wiąże się z użyciem nowych technologii, a te z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób. Przeprowadzenie testu prywatności powinno następować już na etapie tworzenia przepisów prawa, przed przyjęciem założeń do konkretnych projektów informatycznych. Prawodawca przy tworzeniu przepisów kierować powinien się podejściem opartym na ryzyku. W szczególności powinno mieć to miejsce w przypadkach dotyczących rejestrów publicznych oraz integracji danych.

Rozwiązania technologiczne: Al i biometria

Zdaniem prezesa UODO projekt strategii nie odnosi się zagadnień przetwarzania danych biometrycznych, których użycie dla celów identyfikacyjnych jest coraz bardziej powszechne. Prezes UODO zwrócił także uwagę na ryzyka związane z użyciem sztucznej inteligencji w kontekście cyberbezpieczeństwa. Prawodawca powinien przyjąć rozwiązania zapobiegjące kradzieży tożsamości, technologiami śledzącymi czy podszywaniem się pod osoby przy użyciu narzędzi sztucznej inteligencji.

 W projekcie strategii nie wyjaśniono też dokładnego zakresu tej strategii. Niejasne jest przede wszystkim czy projekt strategii ogranicza się jedynie do sfery wykonawczej NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa (na co wskazuje fragment pkt. 3: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 nie obejmuje jednak tych kwestii, jako wykraczających poza ramy ustawowe określające KSC”)  czy też ma charakter szerszy, obejmujący m.in. kwestię ochrony danych oraz bezpieczeństwa określonych w rozporządzeniu 2016/679 oraz dyrektywie 2016/680[1] (na szerszy zakres strategii wskazuje chociażby „Cel szczegółowy 4. Budowanie świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli”)