A A+ A++ Czarno-biały Biały-czarny Czarno-żółty Żółto-czarny Domyślne kolory

Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to. Więcej »

Zrozumiałem
  • Serwis Główny
  • Aktualności
  • O cyberbezpieczeństwie i zarządzaniu danymi – podsumowanie Zespołu do Spraw Społeczeństwa Informacyjnego KWRiST

O cyberbezpieczeństwie i zarządzaniu danymi – podsumowanie Zespołu do Spraw Społeczeństwa Informacyjnego KWRiST

O cyberbezpieczeństwie i zarządzaniu danymi – podsumowanie Zespołu do Spraw Społeczeństwa Informacyjnego KWRiST fotolia.pl

16 grudnia 2024 r. odbyło się posiedzenie Zespołu do Spraw Społeczeństwa Informacyjnego Komisji Wspólnej Rządu i Samorządu Terytorialnego, na którym kontynuowano rozmowy o projektach dwóch aktów prawnych: ustawy o zarządzaniu danymi, a także ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Przepisy o zarządzaniu danymi czyli narastający chaos w prawie

Na pierwszy ogień w dyskusji poszedł projekt ustawy o zarządzaniu danymi, będący odpowiedzią na konieczność wdrożenia DGA (Data Governance Act), czyli rozporządzenia unijnego dotyczącego udostępniania i ponownego wykorzystywania danych chronionych z sektora publicznego, które są objęte ochroną, np. ze względu na tajemnicę zawodową bądź handlową, i nie mogą być udostępniane na ogólnych zasadach. DGA obowiązuje od września 2023 r., w związku z czym przeciwko Polsce Komisja Europejska prowadzi postępowanie naruszeniowe z powodu jego niewdrożenia.

Zgodnie z projektowaną ustawą, jednym z organów do realizacji zadań DGA ma być Główny Urząd Statystyczny. To do niego będą mogły zwracać się podmioty, m.in. JST, do których wpłyną wnioski o udostępnianie danych. Ustawa jest dla samorządów ważna, gdyż nakłada na nie kolejne obowiązki w zakresie zarządzania danymi. Projekt był już przedmiotem dyskusji na poprzednim posiedzeniu Zespołu. Tym razem omawiana była jego nowa wersja.

Związek Powiatów Polskich już na początku zgłosił do projektu kilkanaście uwag.

– Wydawało mi się, że co do poniektórych kwestii odnieśliśmy konsensus na poprzednim posiedzeniu – mówiła mec. Patrycja Grebla-Tarasek – jednak te nasze ustalenia nie znajdują zupełnie odzwierciedlenia w nowym tekście, który nam został przesłany. Faktycznie uwzględniona została uwaga dotycząca trybu liczenia terminów (zgodnie z zasdami określonymi w KPA) i została zmieniona definicja podmiotu publicznego (…). Za tę zmianę oczywiście dziękujemy. Mamy dalsze wątpliwości w zakresie tekstu przesłanej ustawy.

Odpowiadając na przytoczone wątpliwości, Ministerstwo Cyfryzacji (MC) odniosło się w pierwszej kolejności do sytuacji, w której wniosek o udostępnienie informacji wpłynie do niewłaściwego organu. MC wyjaśniło, że nie może ingerować we wniosek, nawet jeżeli wnioskodawca mylnie wskaże organ, do którego przekazuje swoją prośbę. Wyjątkiem będzie sytuacja, w której wnioskodawca nie wskaże żadnego organu. Wówczas wniosek zostanie mu zwrócony w terminie 7 dni.

– Jesteśmy tak naprawdę pośrednikiem w przekazywaniu wniosków o ponowne wykorzystywanie takich danych – mówiła przedstawicielka resortu.

Na pytanie czy i w jakich sytuacjach będzie można odmówić udzielenia dostępu do celów ponownego wykorzystania danych, strona rządowa wskazała, że DGA nie pozostawiło w tym zakresie swobody krajowym prawodawcom:

– Według nas byłaby to nadregulacja i mamy wątpliwości czy – również jeśli chodzi o zasady techniki prawodawczej – by to było zgodne z tymi zasadami. W związku z tym należy w tym zakresie stosować rozporządzenie wprost, bezpośrednio.

W kolejnej uwadze ZPP odniósł się do przepisu DGA, według którego każda osoba fizyczna lub prawna, której bezpośrednio dotyczy decyzja w sprawie wniosku o ponowne wykorzystanie kategorii danych, ma prawo do skutecznego środka zaskarżenia w państwie członkowskim. Związek postawił pytanie o to, w jaki sposób to prawo będzie zapewnione, jeżeli projektowana ustawa zapewnia prawo do odwołania tylko od decyzji odmownych i tylko dla wnioskodawcy.

W odpowiedzi Ministerstwo potwierdziło, że oprócz skargi przysługującej do Wojewódzkiego Sądu Administracyjnego, osobie, której dane są przetwarzane, będą przysługiwać również m.in. środki przewidziane w RODO, jak skarga do Urzędu Ochrony Danych Osobowych.

ZPP chciał się również dowiedzieć, z którego przepisu DGA wynika prawo podmiotu sektora publicznego do uwzględnienia w opłacie kosztów udzielenia pomocy przez właściwy podmiot (w przypadku Polski GUS).

Ministerstwo wskazało, że podstawą prawną jest artykuł 6 ust. 1, 2 i 5 oraz art. 7 ust. 1 i 4 DGA, zapewniając, że nie będzie rozliczeń pomiędzy podmiotami sektora publicznego. Podmiot sektora publicznego będzie mógł w opłatach uwzględnić koszt, jaki poniósł GUS, natomiast równowartość tych kosztów – jeżeli zostanie uwzględniona w opłacie – będzie przychodem podmiotu sektora publicznego, który rozpatrywał wniosek.

– To nie jest tak że samorząd, który się zwróci do GUS-u o wsparcie będzie musiał GUS-owi za to zapłacić i GUS przedstawiać koszty, jakie go wyniosą, jeśli chodzi o zapewnienie udzielenia odpowiedzi na wniosek – mówiła przedstawicielka resortu. – (…) to nie jest tak, że samorząd będzie zwrotnie musiał zapłacić. (…) będzie to mogło być elementem oferty wnioskodawcy. No i tutaj, jeśli chodzi o te obniżone koszty, to przypadki zostały wskazane w DGA. To podmiot sektora publicznego, którego wniosek złożono, będzie decydował, czy w danym przypadku stosuje te obniżone koszty czy też uwzględni tak jak GUS wskazał.

W dalszej dyskusji pojawiły się głosy wskazujące na narastający chaos w przepisach prawnych dotyczących udostępniania danych.

Z uwagi na pilność projektu Zespół zaopiniował go pozytywnie z zastrzeżeniem, że Ministerstwo Cyfryzacji podejmie jednocześnie działania w celu przygotowania odpowiednich uwag do ewaluacji DGA.

Ustawa dotycząca cyberbezpieczeństwa bez opinii

Drugi punkt posiedzenia stanowiła dyskusja nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Była to zarazem kontynuacja rozmów toczących się na październikowym i listopadowym Zespole ds. Społeczeństwa Informacyjnego.

Przygotowanie tego projektu wynika z konieczności wdrożenia dyrektywy europejskiej NIS2. Nakłada on na wszystkie szczeble samorządu liczne obowiązki, mimo iż sama dyrektywa wymieniła wśród jednostek sektora samorządowego, jedynie jednostki poziomu wojewódzkiego. Jak wskazała strona samorządowa, projektowana ustawa nie zapewnia adekwatnego źródła finansowania.

Związek Powiatów Polskich już w październiku zgłosił do projektu liczne uwagi, dotyczące: konieczności dostosowania języka ustawy do odbiorców, wątpliwości w zakresie odpowiedzialności za naruszenia w przypadku organów kolegialnych, zawężenia definicji podmiotu publicznego w zakresie zgodnym z Dyrektywą 2022/255, doprecyzowania rozumienia „usług publicznych”, wykreślenia kar za naruszenia dla kierowników podmiotów publicznych w wysokości 6-krotności pensji oraz ogólnego problemu: w ocenie ZPP projekt spowoduje sprzedaż przez prywatne przedsiębiorstwa audytów dotyczących cyberbezpieczeństwa, które i tak w żaden sposób nie sprawią, że podmiot będzie wolny od cyberzagrożeń.

Termin na wdrożenie przepisów minął 17 października br., dlatego Rządowi zależało na jak najszybszym zakończeniu prac nad ustawą i jej wdrożeniu. Omawiany na posiedzeniu Zespołu projekt, był jego drugą wersją.

Tym razem strona samorządowa przygotowała wspólne stanowisko, w postaci gotowych poprawek legislacyjnych, które przedstawiła na posiedzeniu mec. Bernadeta Skóbel ze Związku Powiatów Polskich. Organizacje skupiły się na 3 najbardziej kluczowych kwestiach: kategorii podmiotów sektora publicznego, wysokości kar za naruszenia dla kierowników podmiotów publicznych, które – zgodnie z propozycją rządową – miały wynosić 6-krotność ich pensji oraz możliwości wprowadzenia wspólnej obsługi zadań z zakresu cyberbezpieczeństwa np. przez urząd obsługujący samorząd terytorialny i jednostki organizacyjne tego samorządu.

Pierwszy problem związany był z pytaniem o to, w jakim zakresie jednostki samorządu terytorialnego szczebla gminnego i powiatowego oraz częściowo samorządu województwa, powinny zostać ujęte w ustawie o cyberbezpieczeństwie. Propozycja strony samorządowej objęła wprowadzenie do ustawy kategorii podmiotów sektora publicznego innych, niż przewidziane w ustawie „podmioty kluczowe” i „podmioty ważne” oraz przywrócenie w projekcie nowelizacji rozdziału 5, w nowym brzmieniu, w którym znajdowałyby się obowiązki, jakie spoczywałyby na tej kategorii podmiotów. Chodzi między innymi o małe jednostki jak przedszkola czy żłobki.

– (Podmioty te – przyp. red.) nie są kluczowe (…) z punktu widzenia cyberbezpieczeństwa, w naszej ocenie, i powinny mieć jednak tych obowiązków mniej – przekonywała mec. B. Skóbel.

Zmianie miałby ulec również załącznik 1 do projektu ustawy: w odniesieniu do samorządu powiatowego (który zgodnie z rozporządzeniem co do zasady nie musi podlegać pod przepisy) propozycja strony samorządowej polegała na tym, aby „podmiotem kluczowym” było zawsze starostwo powiatowe. Uzasadnieniem ma być fakt, iż to powiaty realizują zadania związane z zarządzaniem kryzysowy. To nie oznacza, że inne podmioty powiatowe, mające znaczenie kluczowe, miałyby nie wchodzić do kategorii „podmiotów kluczowych”; byłoby tak jednak nie dzięki objęciu ich definicją podmiotu publicznego, a w ramach pozostałych obszarów, określonych w załączniku do rozporządzenia

Jeżeli chodzi o kwestię kar, strona samorządowa zaproponowała zmniejszenie ich wymiaru z 600 do 100 %.

– I tak jest to dosyć wysoka kara, biorąc pod uwagę np. jednostki samorządu terytorialnego (…) – argumentowała mec. B. Skóbel. – W przypadku, (…) wójtów, burmistrzów, prezydentów to będą kwoty i tak kilkunastu tysięcy zł. Wydaje się, że to jest kwota wystarczająca do tego, aby zachęcić (do tego – przyp. red.), żeby jednak pewne rozwiązania w zakresie bezpieczeństwa wprowadzać.

Zaproponowano również, by warunkiem nałożenia kary pieniężnej na kierownika podmiotu kluczowego lub podmiotu ważnego była kwestia zawinienia czyli niedotrzymania należytej staranności we wdrożeniu przepisów. W przypadku braku zawinienia podmiotu kluczowego, kara pieniężna nie mogłaby zostać nałożona. Środki z kar miałyby zasilać Fundusz Cyberbezpieczeństwa, a dokładniej środki jednostek samorządu terytorialnego na zadania związane z cyberbezpieczeństwem.

W kwestii wspólnej obsługi, strona samorządowa zaproponowała modyfikację projektowanych przepisów: art. 16d ust. 5 i 6.

– Dzisiaj problem jest taki, że spółki prawa handlowego nie mogą być ani jednostkami obsługującymi, ani jednostkami, które są obsługiwane w ramach wspólnej obsługi, ponieważ nie pozwalają na to przepisy ustawy o samorządzie gminnym, powiatowym, o samorządzie województwa – mówiła mec. B. Skóbel. – Więc nasza propozycja jest taka: artykuł 16d ust. 5 zmodyfikować w taki sposób, żeby nie dostosowywać brzmienia tego przepisu do ustaw samorządowych, tylko żeby zmodyfikować przepisy ustaw samorządowych, żeby dawały możliwość prowadzenia wspólnej obsługi m. in. spółek prawa handlowego i w artykule 16t ust. 5 zrobić odpowiednie odwołanie do właściwych ustaw samorządowych, dotyczących wspólnej obsługi.

Ostatecznie, co do wysokości kar, Zespół zgodził się na kompromis wynoszący 300 % pensji. Dodatkowo, raz w roku, Komisja Wspólna Rządu i Samorządu Terytorialnego ma otrzymywać informacje związane z Funduszem Cyberbezpieczeństwa, w tym dotyczące skali nałożonych kar.

Projekt ostatecznie nie został zaopiniowany przez Zespół. Ministerstwo Cyfryzacji pochyli się nad poprawkami zgłoszonymi przez stronę samorządową i odniesie się do nich na piśmie, po czym projekt zostanie zaopiniowany na styczniowym posiedzeniu Zespołu.

Pon., 6 St. 2025 0 Komentarzy Dodane przez: Anna Dąbrowska

Popularne