Według szefa UODO Strategii Cyfryzacji Polski do 2035 powinien towarzyszyć również namysł nad rozwojem ochrony danych osobowych. Planowane wdrożenia rozwiązań technologicznych powinno być uzupełnione odpowiednimi rozwiązaniami prawnymi. Dlatego Prezes UODO zabiera głos w ramach trwających konsultacji projektu Strategii przygotowanej w Ministerstwie Cyfryzacji.
Mirosław Wróblewski, prezes UODO, uznaje za bardzo ważne regulacje kwestii związanych z rozwojem technologii. Dostrzega spójność Strategii Cyfryzacji Polski do 2030 r. z ideami towarzyszącymi aktualnym europejskim planom transformacji cyfrowej (Program Cyfrowa Europa, czy też Program Cyfrowa Dekada Europy). Wskazuje na potencjał nowych technologii, które można wykorzystywać dla dobra obywateli.
Wskazuje on jednak elementy, które pozwolą wzmocnić strategię i ochronić prywatność ludzi.
Sposoby wzmocnienia SCP do 2030 r. według Prezesa UODO
Mirosław Wróblewski wskazał kilka sposobów, które pozwolą wzmocnić Strategię Cyfryzacji Polski do 2030 r. i zabezpieczyć obywateli. Przede wszystkim chodzi o analizę ryzyka przetwarzania danych i rozwiązań prawnych.
Przed wdrożeniem konkretnych rozwiązań prawodawczych, powinna zostać przeprowadzona analiza. Pozwoli ona stwierdzić, że dane rozwiązania są niezbędne i nie można osiągnąć założonych celów poprzez inne rozwiązania, które w mniejszym stopniu ingerować będą w sferę prywatną i wolność osób.
Prezesa UODO uznaje, że problemem podstawowym jest to, że dzisiaj często tego typu analizy są pomijane. Ponadto ma on postulat o wprowadzenia prawnego wymogu przeprowadzenia tzw. testu prywatności już na etapie procesu legislacyjnego. Ma on być elementem oceny skutków regulacji.
Obecnie także ocena skutków dla ochrony danych osobowych w praktyce jest często pomijana. Niesie to negatywne konsekwencje. Najważniejsze jest wprowadzenie takiego obowiązku dla ekstensywnych systemów państwowych, rejestrów publicznych czy projektów integracji danych.
Edukacja i bezpieczeństwo cyfrowe
Szef UODO zauważa, że Strategia powinna uwzględniać nie tylko edukację dotyczącą tego, jak korzystać z nowych technologii. Ważnym aspektem są problemy związane z bezpieczeństwem i prawem do prywatności oraz ochrony danych, które z tym się wiążą.
Ponadto edukacja dotyczy nie tylko osób młodych – dzieci i młodzieży. Należy nią objąć wszystkich obywateli i obywatelki, by zwiększyć ich kompetencje cyfrowe. Również w zakresie środków zapewniających bezpieczeństwo.
Ludzie powinni poznać rozwiązania i narzędzia służące do ochrony prywatności ich oraz ich danych osobowych. Chociażby szyfrowanie danych czy też usługi VPN. Kolejną kwestią są sposoby minimalizacji szkodliwego oddziaływania technologii na stan psychiczny.
Rozwój e-usług, a co z bezpieczeństwem?
W Strategii opisywany jest dalszy rozwój e-usług. Brakuje tam zapewnienia stosowania zasad ochrony danych osobowych, które systemy te powinny respektować.
Podpisy elektroniczne w różnej formie są coraz powszechniejsze. Powinny za tym iść zmiany systemowe w powszechnie obowiązującym prawie. Szczególnie dotyczy to kwestii związanych z rozporządzeniem eIDAS2 i przewidzianym w nim europejskim portfelem tożsamości cyfrowej.
Analizie powinien zostać poddany certyfikat podpisu elektronicznego. Zagrożeniem dla prywatności obywateli jest coraz powszechniejsze wykorzystywanie numeru PESEL w formie identyfikatora w podpisach elektronicznych.
W dalszej kolejności pojawiają się zagadnienia jak identyfikacja z wykorzystaniem danych biometrycznych. Także danych behawioralnych. Strategia nie odnosi się do tej problematyki, chociaż rozwiązanie wykorzystywane jest obecnie chociażby przez banki czy inne instytucje finansowe.
IoT i smart city a bezpieczeństwo jednostki
Większe wykorzystanie internetu rzeczy (IoT) oraz sztucznej inteligencji w przestrzeni publicznej, to także większe zagrożenie związane z wykorzystaniem technologii śledzących osoby fizyczne.Strategia „inteligentne miasta” (smart cities) zakłada optymalizację zarządzania usługami publicznymi. Zbieranie danych jest coraz bardziej zaawansowane, wykorzystywane są coraz lepsze i bardziej rozbudowane systemu monitoringu.
Należy ustalić granice wykorzystania nowych technologii przez podmioty publiczne obowiązane do działania na podstawie i w granicach wyznaczonych im przepisami prawa. Nie można przymykać oka na ewentualne negatywne skutki dla suwerenności jednostki. Celem powinno być uniknięcie rozwiązań polegających na stosowaniu zautomatyzowanego podejmowania decyzji wywołującego wobec jednostki chociażby skutki prawne.
W Strategii nie ma zaznaczonego rozwoju mechanizmów zgód obywateli na przetwarzanie danych w systemach cyfrowych, które oparte są o kryteria świadomości, dobrowolności oraz braku ujemnych skutków w przypadku jej nieudzielenia lub odwołania. Pozostawia to pole do nadużyć w wykorzystywaniu danych.
Ochrona praw jednostki
Prezes UODO baczną wagę zwraca na mechanizmy ochrony praw jednostki. Wprowadzanie szczegółowych regulacji związanych z cyfryzacją powinno opierać się o zasady etycznego rozwoju, transparentności przyjmowanych rozwiązań, odpowiedzialności i przeciwdziałania różnym formom dyskryminacji.
Zasady powinny odnosić się do sektora prywatnego oraz publicznego. Dostarczanie przez urząd państwowy treści powinno być poprzedzone obowiązkiem informowania, że zostały wygenerowane przez AI wraz z publikacją w BIP informacji o użytym modelu i treści promptów.
Projektodawca powinien przewidzieć stosowanie środków kontroli przestrzegania zasad postępowania z technologią sztucznej inteligencji (AI), a także wykrywania błędów systemów, poprzez stałe i obowiązkowe audyty i przeglądy.
Konieczne są zabezpieczenia przeciwko niejawnemu i bezprawnemu nadzorowi, jak chociażby wykorzystanie biometrii.
Strategia zakłada rozwój chmury obliczeniowej, ale nie przedstawia konkretnych warunków dotyczących przechowywania danych obywateli, ani mechanizmów weryfikacji bezpieczeństwa usług.
Przed administracja stają nowe wymagania
Dzięki cyfryzacji administracja publiczna może zostać przeniesiona na nowe, działające w interesie publicznym kanały bieżącej komunikacji z obywatelem. Dlatego też ze stron administracji publicznej zniknąć powinny zbędne skrypty śledzące.
Projektodawca słusznie spostrzegł, że uzależnienie od rozwiązań dostarczanych przez zewnętrznych dostawców jest potencjalną słabością cyfrowego państwa. Niepokoi tworzenie rozwiązań w oparciu o infrastrukturę dużych korporacji technologicznych, których siedziby znajdują się poza Europejskim Obszarem Gospodarczym.
UODO rekomenduje również stworzenie sprawnej, darmowej, bezpiecznej, posiadającej otwarte API i dostosowanej do polskiego systemu edukacji platformy do komunikacji szkół z rodzicami (e-dziennik). Wciąż edukacja działa w systemie cyfrowym opartym o prywatne platformy, co niesie ze sobą różne nieprzewidziane (albo właśnie możliwe do przewidzenia) konsekwencje.
Należy również przeprowadzić analizę kwestii suwerenności energetycznej i ekonomicznej. Strategia powinna przewidywać zasób energetyczny potrzebny do utrzymywania planowanych systemów. Konieczne są plany kryzysowe, zachowanie ciągłości i dostępu do danych w przypadku awarii i dłuższej utraty energii.
Źródło: UODO
