text_structure.xml
59.5 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
<?xml version="1.0" encoding="UTF-8"?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="PPC_header.xml"/>
<TEI>
<xi:include href="header.xml"/>
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#PrzewodniczącyposełMieczysławGolba">Otwieram 86 posiedzenie Komisji Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów oraz zaproszonych gości. Stwierdzam kworum. Wobec niewniesienia zastrzeżeń, stwierdzam przyjęcie protokołów z posiedzeń Komisji od 77 do 82.</u>
<u xml:id="u-1.1" who="#PrzewodniczącyposełMieczysławGolba">Na porządek dzienny posiedzenia składa się rozpatrzenie informacji dotyczącej zagadnień bezpieczeństwa danych (w tym danych osobowych) w ramach przetwarzania danych w chmurach (cloud computing). Informuję, że członkowie Komisji otrzymali powyższy porządek dzienny i materiały. Czy są jakieś uwagi do porządku dziennego posiedzenia? Nie słyszę. Wobec tego stwierdzam, że Komisja przyjęła porządek dzienny bez zmian.</u>
<u xml:id="u-1.2" who="#PrzewodniczącyposełMieczysławGolba">Przystępujemy do jego realizacji. Bardzo proszę o zabranie głosu i przedstawienie informacji podsekretarza stanu w Ministerstwie Administracji i Cyfryzacji, pana ministra Andrzeja Ręgowskiego. Panie ministrze, bardzo proszę.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">Dziękuję panie przewodniczący. Szanowna Komisjo, jeżeli chodzi o aspekty bezpieczeństwa danych osobowych przetwarzanych w chmurze obliczeniowej, to na ten temat wypowie się generalny inspektor ochrony danych osobowych. Bezpieczeństwo danych jest jednym z aspektów użytkowania tzw. chmury obliczeniowej. Na posiedzeniu Komisji była już prezentowana idea chmury, niemniej przypomnę, że jest to nowe, biznesowe podejście do użytkowania zasobów infrastrukturalnych, systemowych i aplikacji. Biznesowe podejście polega na tym, że wszystkie aspekty użytkowania infrastruktury, systemów i aplikacji są usługą, którą wykupuje potrzebujący – w tym przypadku chodzi o administrację publiczną. Dzięki temu administracja może uzyskać korzyści. Między innymi, nie musi tworzyć własnych rozwiązań, a zamiast tego wykupuje usługi w dziedzinach, w których istnieje zapotrzebowanie.</u>
<u xml:id="u-2.1" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">Komisja Europejska opracowała strategię budowy chmury obliczeniowej w Unii Europejskiej, której celem jest obniżenie kosztów funkcjonowania administracji, zbudowanie pozycji konkurencyjnej Unii, poprzez aktywizację przedsiębiorców oraz wykreowanie nowych miejsc pracy. Korzyści powinny wynieść, według szacunków, ok. 180 mld euro. Takie są założenia. Komisja Europejska podjęła już pewne działania. Zostało utworzone European Cloud Partnership – Europejskie partnerstwo na rzecz chmur obliczeniowych, w którym zasiada przedstawiciel Polski. To ciało pracuje nad różnymi aspektami wdrożenia chmury obliczeniowej. Głównym celem jest zapewnienie bezpieczeństwa, w tym również ochrony danych, oraz zapewnienie ciągłości i właściwego poziomu usług. Uważa się, że ze względu na różne systemy prawne w państwach Unii Europejskiej, nie będzie to zadanie łatwe. Jeżeli będzie to możliwe, to należy ujednolicić przepisy oraz zbudować nowoczesne rozwiązania. W związku z tym uruchomiony został projekt pilotażowy obejmujący kilka bardziej zaawansowanych krajów. W ramach Europejskiego partnerstwa na rzecz chmur obliczeniowych współpracują firmy oraz administracje niektórych krajów – z nieznanych powodów nie wszystkie państwa zostały zaproszone do współpracy. Partnerstwo ma polegać na współpracy administracji i firm, które są potencjalnymi dostawcami usług. Prace obejmują chmurę europejską, dlatego do współpracy zostały zaproszone podmioty, które mają europejską genezę oraz prowadzą działalność na terenie Europy.</u>
<u xml:id="u-2.2" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">Wypracowywane są propozycje, w jaki sposób można zrealizować chmurę obliczeniową. Ostatnim czasem pracowano nad koncepcją przechowywania danych wrażliwych. Pojawia się postulat, aby dane fizycznie nie opuszczały Europy. Każdy kraj jest zainteresowany, aby informacje, które z jego punktu widzenia są wrażliwe, pozostawały na jego terytorium. Padła również propozycja, aby utworzyć eksterytorialne miejsca, gdzie mogłyby być przechowywane wrażliwe dane różnych państw. Bardzo trudno powiedzieć, czy ta koncepcja zostanie podtrzymana w toku dalszych prac.</u>
<u xml:id="u-2.3" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">Chcę również przekazać, co dzieje się na naszym terenie, w naszej administracji. Obecnie dojrzewa koncepcja chmury dla administracji. Najpierw będzie to chmura obliczeniowa dla jednostek samorządu terytorialnego. Projekt został zaproponowany po przemyśleniach i rozpatrzeniu uwarunkowań finansowych. W perspektywie finansowej będzie on realizowany w formie dość ograniczonej. Chodzi głównie o przetestowanie mechanizmów funkcjonowania chmury obliczeniowej, wdrożenie mechanizmu współpracy z jednostkami samorządu terytorialnego oraz wypracowanie finansowania utrzymania rozwiązań chmurowych, z których będą korzystać jednostki samorządu terytorialnego. Projekt ten dopiero zostanie uruchomiony.</u>
<u xml:id="u-2.4" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">Równolegle zakończyło się postępowanie dotyczące opracowania okresowej ekspertyzy, która dotyczy warunków, jakie należy stworzyć w Polsce, aby chmura mogła funkcjonować w różnych wariantach – czy to chmury publicznej, czy chmury prywatnej, w której będą udostępnione usługi publiczne, oraz jakie usługi można umieścić w chmurze, a jakich nie powinno się umieścić. Kompleksowa analiza będzie najprawdopodobniej zakończona w kwietniu 2014 r. W wyniku prac nad Programem Zintegrowanej Informatyzacji Państwa, pojawiła się propozycja, aby zbudować chmurę obliczeniową dla administracji publicznej rozumianej jako całość, w której istniałaby możliwość uruchamiania i testowania nowych aplikacji. Docelowo wszystkie inne usługi realizowane przez administrację zostałyby ulokowane w chmurze. Przyniosłoby to pożytek społeczeństwu, przedsiębiorcom, jak i samej administracji.</u>
<u xml:id="u-2.5" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">To są główne kierunki działań. Może warto jeszcze wspomnieć, że świadczeniem usług w chmurze obliczeniowej są zainteresowane podmioty gospodarcze. Jeżeli chodzi o szczegóły realizacyjne, to w Polsce nie mamy jeszcze zbyt dużego doświadczenia. Administracja stawia wymagania bardzo wysokie, bo ich spełnienie wiąże się ze szczególnym reżimem prawnym. Niewykluczone, że niektóre usługi będą licencjonowane, aby zagwarantować odpowiedni poziom zaufania usługodawców. Kryteria, takie jak pewność i wiarygodność świadczenia usług oraz możliwość ich monitorowania, czy przypadkiem nie zostały złamane pewne przepisy, stawiają poprzeczkę bardzo wysoko.</u>
<u xml:id="u-2.6" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiAndrzejRęgowski">To tyle ze strony ministerstwa. Temat chmury obliczeniowej jest zawarty w Programie Zintegrowanej Informatyzacji Państwa. Będzie dalej rozwijany, gdyż musimy w tym zakresie zdobyć doświadczenie, aby ustrzec się przed popełnieniem istotnego błędu dotyczącego wdrażania koncepcji chmury obliczeniowej w praktykę. Dziękuję.</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo panie ministrze. Proszę o przedstawienie informacji generalnego inspektora ochrony danych osobowych, pana ministra Wojciecha Wiewiórowskiego. Bardzo proszę panie ministrze o zabranie głosu.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Panie przewodniczący, szanowni państwo, panie ministrze, przede wszystkim bardzo dziękuję za podjęcie przez Komisję tematu chmury obliczeniowej. Postaram się w miarę krótko przedstawić państwu trzy główne zagadnienia, przede wszystkim związane z bezpieczeństwem używania chmury i danych w niej przechowywanych.</u>
<u xml:id="u-4.1" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Pierwsze zagadnienie wprowadzające, to określenie kształtu usług chmurowych. Wiem, że były to po części przedstawiane już na posiedzeniach Komisji. Będę starał się położyć nacisk na najważniejsze kwestie związane z chmurą obliczeniową – cloud computingiem. To nie jest jedno zagadnienie prawne, które może zostać rozwiązane w jednym akcie prawnym. Prawdą jest, że przy wielu działaniach, które podejmuje nasz parlament, albo jako istotne, albo jako poboczne, jest część rozważań dotyczących technologicznej realizacji, w których pojawiała się kwestia chmury obliczeniowej.</u>
<u xml:id="u-4.2" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Podam jeden klasyczny przykład, jak daleko idzie kwestia stosowania rozwiązań chmurowych, oraz jak bardzo ważne są kwestie związane z bezpieczeństwem. Jak państwo wiecie, obowiązujące akty prawne nakazują, że od 1 sierpnia 2014 r. całość dokumentacji medycznej ma być prowadzona w postaci elektronicznej. Oczywiste jest, że duża grupa podmiotów zajmujących się działalnością leczniczą nie jest przygotowana do prowadzenia w postaci elektronicznej wszystkich czynności, takich jak przechowywanie, przetwarzanie i archiwizowanie danych medycznych. Im mniejszy jest podmiot leczniczy, który będzie dane przetwarzał, tym więcej problemów dotyczących jego samodzielnego działania będzie się pojawiać. To oznacza, że eksploduje nam rynek usług outsourcingu dla tych podmiotów. Co więcej, spodziewam się, że bardzo duża część podmiotów medycznych będzie chciała realizować je w modelu chmury obliczeniowej – czyli przekazywać dane do podmiotów, które dostarczą im infrastrukturę razem z oprogramowaniem znajdującym się w chmurach. Upraszczając, lekarz nie będzie miał u siebie na komputerze oprogramowania, które służy mu do zbierania, przetwarzania, archiwizowania danych medycznych. To oprogramowanie wraz z infrastrukturą, gdzie dane będą przechowywane, będzie znajdowało się poza jego gabinetem. Nie będzie się ono znajdowało u konkretnego outsourcera, który będzie przechowywał dane na konkretnym komputerze. Oprogramowanie będzie znajdowało się w chmurze obliczeniowej. Biorąc pod uwagę wszystkie kwestie związane z bezpieczeństwem danych medycznych, musimy zdawać sobie z tego sprawę. System Informacji Medycznych w Polsce jest wdrażany. Będzie aktywniej korzystał z zasobów, a być może także z zasobów, które lekarze będą chcieli przechowywać w chmurach obliczeniowych.</u>
<u xml:id="u-4.3" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Przejdę do trzeciej kwestii. Nie zablokujemy – nikt nie ma zamiaru blokować – istnienia oraz dalszego rozwoju usług chmurowych. To naturalna droga postępu związana z rozwojem technologii informatycznej, która będzie się rozwijała zarówno ze względów ekonomicznych, jak i czysto praktycznych. Jest oczywiste, że coraz więcej usług będzie realizowanych w modelu chmury obliczeniowej. Musimy być do tego przygotowani, musi to być cywilizacyjne wejście w nową jakość, która różni się od dotychczasowego wyglądu outsourcingu.</u>
<u xml:id="u-4.4" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Na koniec informacji, przedstawię państwu „Dekalog Chmuroluba”, jak nazywamy Zalecenie Generalnego Inspektora Ochrony Danych Osobowych</u>
<u xml:id="u-4.5" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">„Dziesięć zasad stosowania usług chmurowych przez administrację publiczną”. Dokument zawiera porady dla podmiotów, które już wiedzą, że chcą korzystać z chmur obliczeniowych oraz wiedzą, że mogą z nich korzystać. Zawiera także dane, które podmiot administracji powinien wziąć pod uwagę realizując swoje zadania.</u>
<u xml:id="u-4.6" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Przede wszystkim musimy pamiętać, że rozwiązania chmurowe nie są rozwiązaniami zupełnie nowymi. To jest w miarę nowy model biznesowy, ale od jego dobrego opracowania minęło 5–6 lat. Wszystko wywodzi się z koncepcji wirtualizacji i innych rozwiązań, które dotyczą outsourcingu danych przetwarzanych przez różne podmioty. Upraszczając, wirtualizacja to proces, w którym liczba komputerów faktycznie działających jest inna, niż liczba komputerów, które znajdują się przed użytkownikiem w pomieszczeniu. Przed nami stoją trzy maszyny przetwarzające dane, a tak naprawdę mamy na nich sześć przenikających się środowisk. Część środowiska używanego przez osoby „X” znajduje się na pierwszej maszynie, część znajduje się na drugiej, a część na maszynie trzeciej. Kwestią jest, które z tych zasobów, znajdujących się w maszynach, są współdzielone pomiędzy różnymi użytkownikami, a które są zarezerwowane dla użytkownika, który usługę wykupił. Jak mówię, przetwarzanie w chmurze obliczeniowej jest czymś, do czego powinniśmy się przyzwyczaić. Powinniśmy zacząć traktować ją, jako rzecz zupełnie oczywistą.</u>
<u xml:id="u-4.7" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">W najbliższym czasie będzie możliwość zamówienia potrzebnej usługi, bez konieczności kupowania całości infrastruktury i oprogramowania, łatwy dostęp z różnych miejsc do naszych danych i oprogramowania oraz ustalanie rodzajów zasobów, które są nam potrzebne. Jest to działanie elastyczne i szybkie, to znaczy podmiot może szybko zdecydować, że nie jest już potrzebny mu zasób „X”, tylko potrzebuje zasobu „10X” z tego powodu, że nagle zmieniła się jego koncepcja biznesowa, czy jego działanie. Może w formie umowy rozszerzyć zakres infrastrukturalny, jak i zakres oprogramowania, z którego korzysta, bez konieczności fizycznego zakupu sprzętu. Jednocześnie powinien płacić jedynie za to, co wykorzystał. To oznacza, że nie będzie płacił za całość powierzchni dysku „którą zakupił i którą składuje u siebie w piwnicy”, tylko za zakres wykorzystania oprogramowania i pamięci, jaki do konkretnego działania potrzebuje.</u>
<u xml:id="u-4.8" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Mamy trzy podstawowe modele cloud computingu, ale skupię się na dwóch. Trzeci z nich, ten środkowy, jak widzą państwo na prezentacji, PaaS – Platform as a Service, spotka się ze swoistymi problemami. Jest to środowisko głównie deweloperskie, służące do tworzenia oprogramowania, w związku z czym wymyka się z zakresu zainteresowań GIODO. W pewnym uproszczeniu dwa pozostałe modele możemy określić w następujący sposób. IaaS – Infrastrusture as a Service oznacza, że kupujemy zasób, miejsce, dostęp do kabli lub dostęp do środków transmisji. Przechowujemy nasze dane w jednym konkretnym miejscu i przetwarzamy za pomocą dostarczonej infrastruktury. Natomiast w przypadku SaaS – Software as a Service korzystamy z oprogramowania, jako usługi. Oznacza to, że nie kupujemy oprogramowania, które mielibyśmy instalować na komputerach, tylko korzystamy z niego poprzez sieć – czyli dostęp zewnętrzny. Oczywiście można spotkać inne, popularne na rynku skróty, takie jak DaaS – Data as a Service, CaaS – Communications as a Service, czy EaaS – Everything as a Service. Potraktujmy je jako usługi, które mogą być zrealizowane za pomocą wcześniej wspomnianych trzech modeli.</u>
<u xml:id="u-4.9" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Innym bardzo często pojawiającym się rozróżnieniem jest podział na chmury prywatne, publiczne, hybrydowe, branżowe oraz społecznościowe. Jest ważne dla dalszej dyskusji, że pojęcia publiczne i prywatne powinny być rozpatrywane nie z punktu widzenia własnościowego, tylko z punktu widzenia dostępu do zasobu lub usługi. W idealnej chmurze publicznej, każdy może skorzystać z takiego samego rodzaju usługi i takiej samej przestrzeni. Oferujący usługę w ramach chmury publicznej umożliwia dostęp dla każdego podmiotu na tych samych warunkach. Przy doskonałej chmurze prywatnej mamy do czynienia z sytuacją następującą. To jest nasz sprzęt, to jest nasze oprogramowanie, które jest jedynie odizolowane od dostępu innych podmiotów, niż my i usługodawca. Mogę powiedzieć, że jest to dość klasyczny outsourcing, technicznie może to wyglądać trochę inaczej. Dzisiaj na rynku spotykamy cały przegląd rozwiązań pomiędzy tymi dwoma skrajnościami: całkowicie publicznymi rozwiązaniami, do których przystępujemy adhezyjnie – czyli przyjmujemy umowę, którą zaproponował nam usługodawca, a sytuacjami, w których sami piszemy umowę, uwzględniając to, jak chcemy, aby system wyglądał. Jeżeli korzystają państwo z poczty Gmail, to powinni państwo wiedzieć, że jest to klasyczny przykład chmury publicznej. Jeżeli korzystają państwo z chmury obliczeniowej, która jest zamknięta w ściśle określonej przestrzeni, tylko przez państwo wykorzystywana, to jest to chmura prywatna. Z punktu widzenia prawnego rozróżnienie jest jeszcze prostsze. Mamy do czynienia z chmurą, z której korzystamy adhezyjnie, a więc nie mamy żadnego wypływu na wygląd umowy – po prostu ją przyjmujemy albo nie przyjmujemy. W drugim przypadku jesteśmy w stanie wpłynąć na wygląd umowy – w jak głęboki sposób, to zależy od konkretnego przykładu.</u>
<u xml:id="u-4.10" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Jak wspomniał przed momentem pan minister Ręgowski, Komisja Europejska opublikowała w połowie 2012 r. komunikat „Wykorzystanie potencjału chmury obliczeniowej w Europie”. Również w „Agendzie cyfrowej” znajdą państwo wskazania dotyczące rozwoju chmur, chociaż będą dotyczyć jedynie administracji i nauki. Jest to bardzo ważne, że nie tylko administracja, ale i nauka pojawiła się w dokumencie „Agenda cyfrowa”. Natomiast w komunikacie Komisji Europejskiej pojawia się znacznie szersze podejście, przede wszystkim zwracające uwagę na gospodarczy potencjał chmury. Nie tylko administracja i nauka korzystają z chmury obliczeniowej, można wręcz powiedzieć, że podążają one w kierunku wskazanym przez przedsiębiorców.</u>
<u xml:id="u-4.11" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Chcę zwrócić uwagę na kilka kwestii dotyczących ochrony danych osobowych, wynikających z kilku innych dokumentów, które w prezentowanej informacji również są wymienione. Zwracam państwa uwagę na fakt, że wiele krajów na świecie opracowało własne strategie, dotyczące sposobu angażowania publicznych rozwiązań w chmury obliczeniowe. Są one ciekawe i możliwe do wykorzystania w polskiej praktyce, niezależnie, albo razem z przygotowywanymi przez Unię Europejską. Przywołam w tym momencie trzy moje ulubione przykłady. Pierwszy to amerykański Federal Cloud Computing Strategy oraz wchodzące w jego realizację PEDRAM, który przygotowuje standardy technologiczne i prawne korzystania z chmury przez administrację USA. Drugie to rozwiązanie australijskie, a trzecie – rozwiązanie kanadyjskie.</u>
<u xml:id="u-4.12" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Zwróćmy uwagę na wskazywane przez Unię Europejską problemy, które powinny zostać jak najszybciej rozwiązane, wiążące się z bezpiecznym korzystaniem z chmur obliczeniowych przez przedsiębiorców i administrację. Pierwszym, podstawowym problemem, który się pojawia, jest uporządkowanie dużej liczby norm dotyczących chmur, którym mają zająć się instytucje europejskie – publiczne i prywatne. To jest między innymi rola ITF. W tym zakresie instytucje wspierane są działaniami Unii Europejskiej, opierającymi się głównie na instytucjach standaryzacyjnych.</u>
<u xml:id="u-4.13" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Drugie podejmowane działanie jest bardzo ważne. Temat będzie wracał przy rozważaniach dotyczących prawa bankowego, prawa ubezpieczeniowego, przepisów dotyczących ochrony zdrowia oraz wszelkich innych sytuacji, w których duża liczba danych, szczególnie danych podlegających szczególnej ochronie, jest przetwarzana. Są to bezpieczne i uczciwe warunki umowne, zawierane pomiędzy indywidualnym użytkownikiem lub instytucjonalnym użytkownikiem a dostarczycielem usług chmury obliczeniowej. Ten cel ma zostać osiągnięty przez Unię Europejską poprzez stworzenie swoistego zestawu klauzul umownych, traktowanych jako klauzule fair, które będą występować w kontraktach dotyczących chmury obliczeniowej. Chcę skierować wezwanie do państwa na tej sali, niezależnie, czy reprezentują państwo organy legislacyjne, czy organy egzekutywy, czy organy społeczne, czy przedsiębiorców. Proszę państwa, jeżeli nie będziemy uczestniczyli w tworzeniu klauzul umownych, to ktoś je stworzy za nas. Będziemy musieli się do nich dostosować. W związku z tym aktywność po stronie publicznej i prywatnej jest konieczna. Cieszę się, że pan minister Ręgowski jest członkiem zarządu Europejskiego partnerstwa na rzecz chmur obliczeniowych, o którym jest mowa w trzecim podpunkcie slajdu prezentacji, który jest w tej chwili wyświetlony. Jest jednym z dwóch ministrów, którzy się tam pojawiają. Poza panem Toomasem Hendrikiem Ilvesem, prezydentem Estonii, mamy jedynie dwóch wysokich rangą przedstawicieli państw. Reszta to przedstawiciele niższego szczebla administracji publicznej albo osoby jej nie reprezentujące. Podam przykład pana profesora Osha, który jest raczej guru administracji austriackiej, niż rzeczywistym urzędnikiem państwowym. Bardzo dobrze, że pan minister Ręgowski uczestniczy na co dzień w tym przedsięwzięciu.</u>
<u xml:id="u-4.14" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Zwracam uwagę, że w Polsce zupełnie nie odbił się echem fakt, że miesiąc temu Komisja Europejska poszukiwała niezależnych prawników, specjalistów od pisania klauzul. Wymagania, które przed kandydatami stawiano, to doświadczenie na rynku, niereprezentowanie rządu ani dużych podmiotów gospodarczych. Według mojej wiedzy, jedynie dwóch prawników z Polski wysłało swoje aplikacje do udziału w przedsięwzięciu. Miejmy nadzieję, że przynajmniej jeden będzie w nim uczestniczył.</u>
<u xml:id="u-4.15" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Jakie są zagrożenia oraz jakie proponujemy metody ich zwalczania? Główne i podstawowe kwestie, z którymi spotyka się każdy użytkownik chmury to: brak dostępności, brak integralności, brak poufności, brak możliwości interwencji w sposób przetwarzania danych oraz brak odizolowania danych. Problemy powinny zostać rozwiązane. Co więcej, różnie to wygląda w kwestii różnych usług, z którymi państwo będziecie się spotykać. Podam przykład z praktyki. Pojawia się ogólne stwierdzenie, że administracja i władze publiczne powinny z dużą ostrożnością korzystać z usług chmury obliczeniowej, ponieważ przetwarzane dane powinny pozostać tylko w ich administracji. Jest to prawda, za wyjątkiem jednej, ogromnej sfery, w której administracja ma o wiele większe możliwości działania – jest to dostęp do informacji publicznej. Umieszczenie zbiorów informacji publicznej, takich jak biuletyny informacji publicznej, a w przyszłości Centralne Repozytorium Informacji Publicznej, w chmurze obliczeniowej, jest jak najbardziej dopuszczalne. Decyzja, czy dane mają być dostępne, czy niedostępne, została podjęta na etapie zaliczenia ich do informacji publicznej. Skoro to informacja publiczna, to w ogóle nie istnieje problem „wycieku”, ona może sobie „wyciekać”. Można ją pobierać i przetwarzać do woli. Taka jest rola informacji publicznej. Owszem, pojawia się kwestia integralności. Dokument stanowiący informację publiczną, który został umieszczony na stronie, nadal powinien być dokumentem w kształcie istniejącym w jakimś miejscu. Spośród różnych, pojawiających się zagrożeń, inne zagrożenia są ważne dla biznesu, a inne dla administracji publicznej. O ile w przypadku dostępu do informacji publicznej kwestia umieszczenia jej, dostępności oraz integralności, jest jak najbardziej kluczowa, o tyle już kwestie odizolowania danych, możliwość interwencji, czy nawet poufności danych nie są w tym przypadku kluczowe. Z drugiej strony, jeżeli mówimy o danych w systemach medycznych, przyjmując założenie o dopuszczalności ich przetwarzania w chmurze obliczeniowej, to w tym przypadku wszystkie punkty są ważne i wchodzą w rachubę.</u>
<u xml:id="u-4.16" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Przejdę do slajdów związanych z danymi osobowymi, które są przetwarzane w chmurach – co jest jedynie częścią prezentowanego zagadnienia. Bardzo wiele danych, które są przetwarzane, nie ma charakteru danych osobowych. Jeżeli powinny podlegać reżimowi bezpieczeństwa, to zupełnie innej regulacji. Po pierwsze, istotne jest określenie, kto jest administratorem ochrony danych osobowych dla zasobu realizowanego w chmurze obliczeniowej. Nie jest to proste, ponieważ użytkownik, przekazujący swój zasób danych do przetwarzania w chmurze, wydaje się nam zawsze administratorem danych osobowych. Z kolei ten, kto przetwarza dane w chmurze obliczeniowej, wydaje się nam jedynie przetwarzającym dane osobowe w imieniu przekazującego. Wszystko jest dobrze do momentu, w którym zaczniemy się zastanawiać, na czym tak naprawdę polega model Software as a Service. Model SaaS polega na tym, że usługodawca daje oprogramowanie, w którym usługobiorca dane przetwarza. Jaki użytkownik ma wpływ na cel i sposób przetwarzania danych, skoro korzysta z oprogramowania, którego nie ma u siebie na komputerze, a korzysta z niego tylko w sieci. Wszystkie te kwestie są do wyjaśnienia w ramach klauzul umownych, o których wspominałem.</u>
<u xml:id="u-4.17" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Najpewniej jednak będzie musiało to zostać uregulowane na poziomie prawa, jeżeli będzie dotyczyło takich gałęzi jak: prawo bankowe, prawo telekomunikacyjne, prawo ubezpieczeniowe, prawo związane z ochroną zdrowia. Nie możemy pozostawiać tych kwestii klauzulom umownym. Sytuacja prawa bankowego jest o tyle lepsza, że przepisy zawierają już normy dotyczące outsourcingu. Mogą się przydać oraz uzupełniać wiedzę o tych wymaganiach. Zadaniem GIODO jest określenie, jak te sprawy nie mogą zostać wykonane. Główny zarzut przetwarzania danych w takich systemach, dotyczących ochrony zdrowia, dotyczy nie zmienienia przepisów o tajemnicy lekarskiej podczas tworzenia ustawy o systemie informacji w ochronie zdrowia. Literalnie czytając przepisy dochodzimy do interpretacji, że dostarczycielem usług chmurowych w zakresie ochrony zdrowia może być dzisiaj jedynie lekarz. Użytkownicy to lekarze, ale dostarczający usługi chmur obliczeniowych także muszą być lekarzami. Inaczej nie mieścimy się w ramach normy, że jedynie lekarz lekarzowi może przekazać dane dotyczące pacjenta. W innym wypadku zaczynamy mówić o sytuacji, że lekarz przekazuje dane chorego bliżej nieokreślonemu podmiotowi zewnętrznemu.</u>
<u xml:id="u-4.18" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Określenie, kto tak naprawdę przetwarza dane oraz, kto decyduje o sposobie przetwarzania danych, jest kluczowe. Zagrożenia zostały w dużej mierze zebrane w dokumencie przyjętym 24 kwietnia 2012 r. podczas spotkania Międzynarodowej Grupy Roboczej do spraw Ochrony Danych w Telekomunikacji – tzw. Grupa Berlińska. Grupa ta spotkała się wówczas w Sopocie, dlatego główny dokument globalny dotyczący ochrony prywatności w cloud computing nazywa się Memorandum Sopockim. Najważniejsze wskazania tego dokumentu widzicie państwo na prezentacji. Nie chcę przedłużać, dlatego nie będę wspominał o wszystkich zaleceniach. Zachęcam państwa do zwrócenia uwagi na proponowane przez rzeczników ochrony danych osobowych kierunki działań.</u>
<u xml:id="u-4.19" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Wiem, że dostali państwo dokumenty w wersji pisemnej, dlatego nie chcę przedłużać prezentacji informacji. Przejdę do jej ostatniej części, czyli wskazań, o których powinny pamiętać podmiot decydujące się na skorzystanie z zalet chmur obliczeniowych, pomimo wszelkich zastrzeżeń. Te zastrzeżenia dotyczą m.in. dostępu do danych przekazywanych do chmury, miejsc, w którym te dane są przechowywane, integralności danych oraz kwestii związanych z ewentualnym nieprawidłowym użyciem. „Dekalog Chmuroluba” jest przygotowany pod kątem administracji publicznej, ale z wymienionych dziesięciu wskazań, co najmniej osiem może zostać użyte przez inne podmioty. Pozostałe dwa są skierowane bezpośrednio do administracji.</u>
<u xml:id="u-4.20" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Pierwsza uwaga dotyczy podmiotu, który decydując się przekazać chociaż części zasobów do chmury obliczeniowej. Musi on zobowiązać dostarczyciela usługi do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów, na których dane są przetwarzane. Z powodu konstrukcji chmury usługodawca nie może poinformować dostarczycieli, gdzie dokładnie w tym momencie dane się znajdują. Zamiast tego powinien poinformować, gdzie znajdują się centra przetwarzania danych. Dlaczego tak? Jest to mało istotne w przypadku informacji publicznej przekazywanej do chmury obliczeniowej, chociaż cały czas pozostaje problem integralności. W innych przypadkach związanych z ochroną danych osobowych, nie powinniśmy wychodzić poza terytorium Europejskiego Obszaru Gospodarczego, bądź poza obszar zarządzany przez podmioty, które z innego powodu zostały uznane za adekwatnie chroniące dane osobowe. Mam nadzieję, że takim sposobem przetwarzania danych będzie stosowanie wiążących reguł korporacyjnych oraz że zostanie znaleziony jakiś sposób na ominięcie wątpliwości pojawiających się wśród przedsiębiorców.</u>
<u xml:id="u-4.21" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Zastrzegam, że kiedy przygotowywaliśmy dekalog i proponowaliśmy temat do omówienia Komisji, nie było jeszcze afery PRISM. Nie wiadomo, jak będzie wyglądał rynek przetwarzania danych znajdujących się w chmurze obliczeniowej, gdy okaże się, co tak naprawdę robią duże podmioty dostarczające usługę, a współpracujące z systemem PRISM. Wciąż studiujemy ten temat. Jutro odbędzie się kolejne posiedzenie Komitetu Ekonomiczno-Społecznego i Parlamentu Europejskiego. Szef Grupy Roboczej Art. 29, czyli grupy zrzeszającej rzeczników ochrony danych osobowych, będzie prezentował swoje stanowisko wobec tego problemu z punktu widzenia ochrony danych osobowych.</u>
<u xml:id="u-4.22" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Druga kwestia, trudna do rozwiązania, jest następująca: dostarczyciel usługi chmurowej powinien umożliwić podmiotowi publicznemu pełen dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych, przyjmowanych w poszczególnych centrach przetwarzania danych. Ta informacja nie jest udostępniana wszystkim, nie może być zamieszczona na stronach internetowych. Podmiot decydujący się na przekazanie dane do chmury obliczeniowej, powinien mieć co najmniej dostęp do tego systemu.</u>
<u xml:id="u-4.23" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Po trzecie, dostarczyciel usługi chmurowej jest zobowiązany przekazać pełną informację dotyczącą podwykonawców i współpracujących instytucji, mających udział w dostarczaniu usługi chmurowy obliczeniowej.</u>
<u xml:id="u-4.24" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Proszę państwa, cały czas upraszczam, twierdząc, że z jednej strony mamy użytkownika, a z drugiej strony mamy usługodawcę. Tak naprawdę użytkownik – także organ administracji publicznej – kupuje usługę u usługodawcy, który wcale nie ma chmury. Ma jedynie usługę, którą świadczy w chmurze. Sama chmura obliczeniowa jest zamieszczona jeszcze u innego usługodawcy, który jeszcze u innego usługodawcy ma infrastrukturę. Wszystko razem tworzy „stos chmur”. Otwarta pozostaje kwestia odpowiedzialności wszystkich podmiotów, które znajdują się w usługowym „stosie”, wobec podmiotu przekazującego dane. Każdy z podwykonawców powinien być traktowany jako podprzetwarzający dane osobowe. Powinien być związany takimi samymi klauzulami, jak główny dostarczyciel usługi. Natomiast podmiot publiczny powinien pozostawać wyłącznym administratorem danych osobowych przekazanych do chmury. To jest wskazanie dla administracji publicznej, które nie ma zastosowania w przypadku biznesu, gdyż można przyjąć zupełnie inne rozwiązania. W przypadku administracji publicznej, to podmiot administracji może być jedynym administratorem danych osobowych i tylko on może decydować o sposobach ich przetwarzania. Jeżeli jest inaczej, to podmiot administracji publicznej nie powinien decydować się na korzystanie z usługi chmury obliczeniowej, ponieważ oznacza to, że tak naprawdę prywatyzuje zadanie będące zadaniem publicznym. Jeżeli nie ma uprawnienia, to nie powinien doprowadzić do takiej sytuacji. Podmiot publiczny ma pozostawać wyłącznym administratorem danych. To było czwarte i piąte wskazanie.</u>
<u xml:id="u-4.25" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Po szóste, dostarczyciel usługi chmurowej zobowiązany jest informować podmiot publiczny o wszelkich zobowiązaniach publicznych w stosunku do policji, organów ścigania oraz służb specjalnych w zakresie przekazywania i dostępu do danych zamieszczonych w chmurze obliczeniowej przez podmiot publiczny. To jest kolejna sytuacja, która bardzo ogranicza administrację publiczną w korzystaniu z usług chmury obliczeniowej. Jeżeli administracja publiczna przekazuje swoje dane osobowe oraz inne dane niebędące informacją publiczną do chmury, to musi zdawać sobie sprawę z faktu, że dostarczyciel chmury będzie przekazywał je do dalszego wykorzystania policji lub służbą specjalnym – polskim, a jeżeli usługę będzie oferował poza terytorium naszego państwa, to nawet obcym. Znowu pragnę zwrócić uwagę na system PRISM oraz inne podobne systemy.</u>
<u xml:id="u-4.26" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Po siódme, dostarczyciel usługi chmurowej powinien określić, wspólnie z podmiotem publicznym, zasady przeszukiwania, retencji i usuwania danych dostarczonych przez podmiot publiczny. To jest oczywiste, nie będę tego tematu rozwijał.</u>
<u xml:id="u-4.27" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Po ósme, dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania wszystkich incydentów związanych z bezpieczeństwem danych podmiotowi administracji, który korzysta z usług.</u>
<u xml:id="u-4.28" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Po dziewiąte, podmiot publiczny powinien w procesie negocjacji umowy z dostarczycielami usług chmurowych ustalić zasady wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi. Wyjaśnię, o co dokładnie w tym wypadku chodzi. To jest temat, o którego istnieniu wszyscy prawnicy wiedzą, ale nikt nie wie, w jaki sposób sobie z nim poradzić. W polskiej ustawie o świadczeniu usług drogą elektroniczną oraz w europejskich dyrektywach znajdują się trzy rodzaje wyłączeń odpowiedzialności dostarczyciela usługi społeczeństwa informacyjnego. Nie ma odpowiedzi, czy usługi chmury obliczeniowej są usługami społeczeństwa informacyjnego, czy takie same wyłączenia dotyczą usług chmurowych, ponieważ te przepisy były pisane zanim jeszcze pojawiła się koncepcja cloud computing. Dostarczyciel usług chmurowych będzie się starał przepisać fragment polskiej ustawy o świadczeniu usług drogą elektroniczną do umowy, którą będzie zawierał z użytkownikiem. Powiem, że jest w tym sens. Z drugiej strony, podmiot wynajmujący usługi chmurowe musi zdawać sobie sprawę, że na te wyłączenia ktoś będzie się powoływał.</u>
<u xml:id="u-4.29" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Ostatnie, dziesiąte wskazanie jest logiczne przy każdym rodzaju outsourcingu, ale przy chmurze obliczeniowej jest najbardziej widoczne. Systemy vendor lock, które przywiążą nas do jednego dostawcy, są absolutnie niedopuszczalne. W przypadku instytucji, jaką jest administracja publiczna, przekazanie danych do chmury, przekazanie zarządzania danymi, wejście w system SaaS, oznacza zazwyczaj zlikwidowanie własnego serwisu informatycznego po stronie urzędu. To oznacza, że jak raz przywiążemy się do dostawcy „A”, to nie ma możliwości łatwego przełączenia się do dostawcy „B”, wtedy gdy dostawca „A” przestał nam odpowiadać z pewnych powodów. Zostajemy na zawsze przywiązani do dostawcy „A”. Nie jesteśmy w stanie przebudować systemu oraz odtworzyć działu informatycznego, który byłby w stanie zastąpić dostawcę.</u>
<u xml:id="u-4.30" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Tyle moich uwag. Jestem otwarty na wszelką pomoc przy pracach nad rozwiązaniami prawnymi dotyczącymi chmur. Mam nadzieję, że nie powstanie ustawa o cloud computing. Zanim zostałaby uchwalona i weszła w życie, to ta instytucja nie nazywałaby się już cloud computingiem. To jest oczywiste, że ulega ona rozwojowi. Zwracam uwagę, że przy wszelkich działaniach, które dotyczą aktów prawnych związanych z przetwarzaniem danych osobowych i przetwarzaniem informacji, musimy zdawać sobie sprawę, że usługi chmurowe są rosnącym rynkiem, który niedługo będzie pokrywał większość usług świadczonych w postaci elektronicznej. Dziękuję bardzo.</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję panie ministrze. Otwieram dyskusję. Proszę, kto z państwa chce zabrać głoś? Proszę, pani się zgłasza. Proszę się przedstawić.</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Panie przewodniczący, Wysoka Komisjo, nazywam się Małgorzata Darowska. Reprezentuję kancelarię prawną Bird & Bird. Razem ze mną jest Izabela Kowalczuk. Dziękuję bardzo za pozwolenie zabrania głosu w dyskusji. Chcę krótko odnieść się do wystąpienia pana ministra Wiewiórowskiego oraz przedstawić stanowisko kancelarii. Na wstępie zaznaczę, że placówka kancelarii Bird & Bird w Wielkiej Brytanii uczestniczyła w ustalaniu strategii cloud computing. Także w Polsce działamy aktywnie.</u>
<u xml:id="u-6.1" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Co do uwag dotyczących tworzenia klauzul. Mecenas Maciej Gawroński, który niestety nie mógł dzisiaj uczestniczyć w posiedzeniu, zgłosił się do inicjatywy Unii Europejskiej. Mamy nadzieję, że będzie w niej brał udział. Na zagadnienia chcę spojrzeć oczami praktyków, podzielić się doświadczeniem kancelarii w realizacji prywatnych projektów, przekazać, jakie widzimy problemy oraz co należałoby wyeliminować.</u>
<u xml:id="u-6.2" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Usługi chmur obliczeniowych są dzisiaj koniecznością, będą się rozwijać. Musimy się z tym pogodzić. Jest to rozwiązanie tańsze. Małe przedsiębiorstwa niekorzystające z chmury obliczeniowej nie mogą zapewnić sobie bezpiecznego, wewnętrznego przetwarzania danych. Po prostu, będą przegrywać na rynku, gdyż utrzymanie infrastruktury komputerowej jest o wiele droższe od korzystania z usług chmurowych. Decyduje tu kryterium ekonomiczne.</u>
<u xml:id="u-6.3" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Analiza prawna prowadzi do wniosków, że podstawowym kryterium negatywnym korzystania z chmur jest kwestia bezpieczeństwa. Jako prawnicy zastanawiamy się, jak sobie z tą kwestią radzić. Do kwestii przedstawianej przez pana ministra Wiewiórowskiego, pojawiają się trudne pytania. Należy odpowiedzieć, jak zdefiniować odpowiedzialność, profesjonalizm podmiotów prowadzących komercyjną działalność w zakresie cloud computingu, czyli centrów przetwarzania danych. Wydaje się nam, że należy do problemu podejść inaczej. Nasze obserwacje są następujące. Trzeba przeformułować zasadę odpowiedzialności. Odejść w tym przypadku od podziału odpowiedzialności za wszelkie naruszenia przechowywanych danych administratora, czyli korzystającego z usług, jeżeli te dane powierzył do chmury. Ta odpowiedzialność powinna zostać przerzucona na dostawcę usług. To jest jednak skomplikowany temat.</u>
<u xml:id="u-6.4" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Jeżeli chodzi o podstawowe problemy, z którymi się na bieżąco spotykamy w praktyce, to niektóre są proste i łatwe, a niektóre są trudniejsze do rozwiązania. Z tych prostszych, oczywistych przeszkód spotykanych w projektach korzystania z chmur obliczeniowych – głównie projektach międzynarodowych, z którymi mamy największe doświadczenie – są następujące. Po pierwsze, powinna zostać odformalizowana umowa o powierzeniu przetwarzania danych. Obecnie wymagana jest forma pisemna. W naszej ocenie nie ma podstaw, żeby była to forma na piśmie z podpisem. Wydaje się nam, że forma elektroniczna będzie wystarczająca. Podobnie, umowę o przekazywaniu danych należy ograniczyć do podpisu własnoręcznego. Nie ma podstaw, aby konieczna były forma pisemna, ponieważ często obie strony chcą wyrazić zgodę, ale z podpisaniem dokumentu i jego przechowywaniem jest duży problem. To są łatwe do rozwiązania problemy.</u>
<u xml:id="u-6.5" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Trudniejszą kwestią do rozwiązania jest retencja danych. Ten problem zaczyna się pojawiać. Pragnę jedynie zaznaczyć, że ten problem będzie się pojawiał, zwłaszcza w odniesieniu do dużych ilości danych. Nie chcę tego teraz rozwijać.</u>
<u xml:id="u-6.6" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Przenoszalność danych jest bardzo ważną kwestią. W wielu realizowanych przez nas projektach pojawiała się kwestia wymuszania na dostawcy usług przenoszenia danych do innego dostawcy. W obecnym stanie prawnym, na gruncie Kodeksu cywilnego, nie jesteśmy w stanie wymusić takiego działania, dlatego powinna powstać taka regulacja. Pytaniem jest, czy ma to być regulacja prawna, czy standardowe klauzule umowne, zobowiązujące dostawcę do współpracy i do zapewnienia przenoszenia danych do innego dostawcy, niezależnie od innych roszczeń, jakie mogą powstać między stronami. To kluczowa kwestia, jest bardzo ważne zapewnienie w cloud computingu i outsourcingu ciągłości dostarczania usługi. Musi to w jakiś sposób zostać rozstrzygnięte. Wydaje się, że w tym wypadku możemy odnosić się do standardów. Te standardy tworzą się „w bólu”, ale się tworzą. Na pewno bardzo pomogłyby jakieś regulacje ustawowe albo standardowe klauzule umowne.</u>
<u xml:id="u-6.7" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Jeżeli chodzi o konkretne regulacje, to dużym utrudnieniem – zwłaszcza w sektorze finansowym, np. bankowym – jest zakaz ograniczania odpowiedzialności dostawcy. Według nas, ten zakaz powinien zostać zmieniony. Jeżeli chodzi o masowy obrót – mówię w tym wypadku nie o chmurach prywatnych, ale publicznych – to kontrakty są adhezyjne, najczęściej nie mają do nich zastosowanie prawo polskie, a popularne w tej kwestii jest prawo irlandzkie. Są to kontrakty adhezyjne. Popieramy wypracowanie standardowych postanowień i kontraktów, które mają gwarantować zaufanie do modelu, aby mógł sprawnie funkcjonować. Tak naprawdę, zabezpieczenie danych w chmurze obliczeniowej, wbrew pozorom, może być skuteczniejsze niż w przypadku prowadzenia przez przedsiębiorstwo infrastruktury informatycznej we własnym zakresie.</u>
<u xml:id="u-6.8" who="#PartnerwkancelariiprawnejBirdBirdMałgorzataDarowska">Zdecydowanie model cloud computing będzie się rozwijał. Bardzo ważne jest wypracowanie właściwych standardów oraz rozwiązanie problem odpowiedzialności dostawcy. Nasze stanowisko przygotowałam na piśmie. Jeżeli są państwo zainteresowani, to przekażemy je sekretariatowi Komisji. Dziękuję.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję. Oczywiście jesteśmy zainteresowani. Czy ktoś z państwa chce zabrać głos? Bardzo proszę.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Nazywam się Bożena Janicka, reprezentuję Porozumienie Pracodawców Ochrony Zdrowia. Po raz kolejny przybyłam na posiedzenie Komisji. Szanowny panie przewodniczący, panie i panowie posłowie, szanowni ministrowie, temat jest bardzo istotny z punktu widzenia ochrony zdrowia. Jest przez nas śledzony, a ponadto wielokrotnie bierzemy udział w pracach Komisji. Mam wiele pytań dotyczących tej sprawy. Pan minister wspomniał, że od 1 sierpnia 2014 r. całość dokumentacji medycznej ma być przechowywana w formie elektronicznej. Na ile system jest w ogóle przygotowany na informatyzację? Co z przepisami prawnymi? W jaki sposób planować umieszczenie danych w chmurze? To jest istotna sprawa. Wydaje się, że niby mamy jeszcze cały rok, ale czas bardzo szybko ucieka, a zabezpieczenie danych medycznych jest kluczowe.</u>
<u xml:id="u-8.1" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Mam pytania do panów ministrów – jak zabezpieczyć dane pacjentów? W jaki sposób chmura obliczeniowa zagwarantuje wymianę informacji? To jest bardzo istotna sprawa, jak zabezpieczyć najbardziej prywatne dane osobowe, dotyczące zdrowia i chorób. Podnosimy tę kwestię od zawsze. Mówimy zarówno o systemie Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców – eWUŚ, jak i o systemie Zintegrowany Informator Pacjenta – ZIP. Po raz kolejny pytamy, czy dane zbiorcze są bezpieczne w ZIP? W tym systemie jest bardzo dużo błędów. Informacje w ZIP mają podstawową ułomność: nie są autoryzowane przez pacjenta. Zostały zebrane, przekazane i wrzucone do systemu. Nie ma kontroli zgodności ze stanem faktycznym. W tej chwili, dane zbierane w ten sposób będą dalej przekazywane. Na ile będą one spójne? Jak będzie wyglądała ich autoryzacja? Myślę, że będzie autoryzował to lekarz, ale jak wielka jest pewność, że dane medyczne będą na pewno bezpieczne?</u>
<u xml:id="u-8.2" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Cały czas wisi nad nami perspektywa 1 sierpnia 2014 r. Jako środowisko medyczne – jestem lekarzem aktywnie pracującym – nie widzimy dobrze tego czasu, jak już mówiłam Komisji. Placówki po prostu nie są przygotowane, o czym mówił już pan minister. Nie ma środków finansowych przeznaczonych na wdrażanie rozwiązań „na dole”, jedynie uchwala się nowe akty prawne i nakłada obowiązki.</u>
<u xml:id="u-8.3" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Ostatnia sprawa ma wymiar bardzo ludzki. Kiedy przetwarzamy dane pacjenta, to jesteśmy związani kodeksem etyki i tajemnicą lekarską. Mówię o problemach, które my – lekarze – dostrzegamy. Nie wypowiadam się o sprawach gospodarczych, biznesowych, bo są to zupełnie inne działy. Zajmuję się ochroną zdrowia i bezpieczeństwem danych. Kto będzie miał dostęp do gromadzonych i przetwarzanych danych? Na jakich warunkach? Czy tylko administrator, który przekazał dane? Jaki dostęp będzie miał do tych danych sam pacjent? To jest istotny problem, czy będzie miał on „klucz” do chmury obliczeniowej. Czy będzie się to odbywało raczej na zasadzie przekazania danych i utworzenia zamkniętej „szufladki”, do której dostęp będzie miała jedynie określona poradnia?</u>
<u xml:id="u-8.4" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Wiem, że to wszystko jest w fazie projektowania. Jest projekt „Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych” – projekt P1. Czy ja, jako poradnia lub lekarz przekazuję dane, czyli tworzę chmurę? Kto, kiedy i w jakim zakresie będzie miał dostęp do tych danych? Jaki będzie dostęp pacjenta oraz ewentualnie innych instytucji? Mówi się w tym wypadku o wyłączeniach. Na ile te wyłączenia będą dotyczyły problemów medycznych? Mamy niecały rok. Myślę, że z upływem czasu zostaną wskazane pewne rozwiązania. Z drugiej strony, nie łudźmy się, że 1 sierpnia 2014 r. wszystkie dane medyczne znajdą się w chmurach obliczeniowych. To nie jest realne. Według mnie, jest to pewna polityka długofalowa, która z upływem tego terminu coś rozpocznie. Miejmy na uwadze przede wszystkim bezpieczeństwo danych. Możemy się spodziewać pewnego oporu, zarówno środowiska, jak i pacjentów. Czy na pewno ma być w chmurach, na ile moja kartoteka i mój komputer są bezpieczniejsze? Musimy się z tym dylematem zmierzyć – przekonać ludzi, pracowników, pacjentów. Owszem, może to będzie tańsze, wygodniejsze, ale popatrzmy na postrzeganie tego problemu „na dole”. Z tego powodu podnoszę kwestię ochrony zdrowia i danych medycznych. Podkreślam, że nam, reprezentantom podstawowej opieki zdrowotnej, potrzebne są dane spójne. Często potrzebujemy danych ze szpitala, z poradni, temu ma służyć projekt P1, a ewentualnie portal pacjenta, który będzie w razie potrzeby mógł udostępnić. Być może dojdziemy do wniosków, że w tej formie ktoś jeszcze będzie mógł uczestniczyć.</u>
<u xml:id="u-8.5" who="#PrezesPorozumieniaPracodawcówOchronyZdrowiaBożenaJanicka">Do pana ministra kieruję pytanie – jak będzie to dalej wyglądało? Jesteśmy zawsze gotowi do współpracy. Mamy spostrzeżenia „z dołu” systemu, w tym obawy pacjentów, lekarzy, pielęgniarek. Pożytek z systemu w zakresie ochrony zdrowia też widzimy. To bardzo ważne dane, które muszą być pod szczególną ochroną. Biegu czasu nie zmienimy. Informatyzacja jest faktem, ale problemem jest, jak ją przeprowadzić, aby była skuteczna i bezpieczna, oraz uwzględniała wszystkie wykładniki, które na posiedzeniu Komisji zostały przedstawione. Dziękuję bardzo.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję. Jest to naprawdę szczególnie ważny i szeroki temat. Jak mówił pan minister Wiewiórowski, należy poszukać rozwiązań wśród różnych środowisk, aby później nie było zaskoczenia – o czym wspomniała pani w kwestii ochrony danych pacjentów. Czy ktoś jeszcze chce z państwa zabrać głoś? Nie słyszę. Proszę panie ministrze o odpowiedzi na pytania, które padły ze strony prawników i pani Janickiej.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#PodsekretarzstanuwMAiCAndrzejRęgowski">Dziękuję panie przewodniczący. Obawy mogą zawsze wystąpić. Wiadomo, że jak tworzy się pewne rozwiązania, to coś może zostać przeoczone. Z punktu widzenia MAiC wydaje się, że każdy podmiot budujący rozwiązania dotyczące gromadzenia i przetwarzania danych osobowych, musi bezwzględnie stosować się do przepisów. Panuje zgoda, co do tego. Trudno jest odnieść się do szczegółów realizacji projektów medycznych przez Centrum Systemów Informacyjnych Ochrony Zdrowia pod nadzorem Ministerstwa Zdrowia. Skoro dochodzimy do takich szczegółów, to może należałoby zorganizować w niedalekiej przyszłości spotkanie, na którym twórcy systemu zaprezentowaliby mechanizmy i wymagania do spełnienia. Śledzę budowę platform P1 i P2 – projekt „Platforma udostępniania on-line przedsiębiorcom usług i zasobów cyfrowych rejestrów medycznych” – na posiedzeniach Komitetu Rady Ministrów do spraw Cyfryzacji. Z tego, co wiem, te aspekty są obecne. Co do szczegółów, w jaki sposób dane będą chronione, w jaki sposób pacjent będzie miał dostęp do weryfikacji swoich danych, to musiałby wypowiedzieć się przedstawiciel tego projektu. Są to szczegółowe sprawy. Na następne posiedzenie Komisji proponuję zaprosić przedstawiciela MZ oraz projektów P1 i P2.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję. Czy pan minister Wiewiórowski chce coś dodać do odpowiedzi na pytania?</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Kilka słów wyjaśnienia odnośnie do mojej wypowiedzi na temat ochrony zdrowia, gdyż zostały one bardzo szybko przeniesione na kwestię platformy P1 i P2. Nawet, jeżeli rozwiązania przygotowane przez Centrum Systemów Informacyjnych Ochrony Zdrowia miałyby być rozwiązaniami opartymi na technologii chmur obliczeniowych, to mówimy o chmurze prywatnej. To będzie chmura prywatna, przeznaczona do realizacji projektów P1 i P2. Nie do końca technologia chmury obliczeniowej jest odpowiedzią na pytania, które stawia sobie CSIOZ. Wspominałem o innym zagrożeniu, które pojawia się w tym zakresie.</u>
<u xml:id="u-12.1" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Poza faktem, że tworzone są centralne systemy zbierające informacje dotyczące zdrowia, tworzone są również zdecentralizowane zbiory. Te zdecentralizowane zbiory będą musiały od 1 sierpnia 2014 r. pojawić się u każdego podmiotu, który prowadzi działalność medyczną. W każdym szpitalu, w każdej przychodni, w każdym indywidualnym gabinecie stomatologicznym i w każdym indywidualnym gabinecie lekarza rodzinnego, będzie musiało się znajdować rozwiązanie technologiczne, które będzie umożliwiało przechowywanie danych w postaci elektronicznej. Mam głębokie przekonanie, że odpowiedzią na fakt, że lekarze nie mogą sami tego zrobić, będzie zaoferowanie im w tym zakresie usług chmur obliczeniowych. Jest to równoznaczne z zaproponowaniem, za stosunkowo niską cenę, przechowywania w chmurze obliczeniowej danych potrzebnych do prowadzenia działalności medycznej. To, że z tych danych będzie się dodatkowo korzystało w jakiś sposób w ramach systemu informacji medycznej, to jest drugą rzeczą. Chodzi o te podstawowe zasoby, które będą w rozproszonym systemie.</u>
<u xml:id="u-12.2" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Mam wrażenie, że znacząca część rynku zostanie przejęta przez usługi chmurowe. Pod względem prawnym oraz biorąc pod uwagę świadomość lekarzy, nie jesteśmy do tego całkowicie przygotowani z tego powodu, że lekarz musi zdawać sobie sprawę z faktu operowania przez niego danymi objętymi tajemnicą lekarską. To dotyczy każdej tajemnicy prawnie chronionej. Przypominam, że tajemnic prawnie chronionych, według różnych wyliczeń, mamy w Polsce od 40 do 100. Jestem po piątkowym spotkaniu z Naczelną Radą Lekarską dotyczącą tego zagadnienia, ale zaraz potem miałem spotkanie z Krajową Radą Radców Prawnych, gdzie problem jest taki sam. Chodzi o przetwarzanie danych z indywidualnych kancelarii radców prawnych korzystających z usług chmurowych. Radcy ze zdziwieniem dowiadują się, że jeśli przekazują dane w niezaszyfrowanej formie przez pocztę typu Gmail, czyli pocztę umieszczoną w chmurach obliczeniowych, to nie zachowują tajemnicy radcowskiej. Tajemnica w tej chwili znika. Zakładam, że tak się nie dzieje, że radcowie nie przesyłają niezaszyfrowanych informacji. Tak samo zakładam, że nie stosują laptopów z niezaszyfrowanymi twardymi dyskami. Nie mieści mi się w głowie, że może istnieć taka możliwość. Taka sytuacja jest sprzeczna z przepisami dotyczącymi etyki radców, adwokatów lub notariuszy. Dziękuję bardzo.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#PrzewodniczącyposełMieczysławGolba">Na pewno to wszystko jest porządnie zabezpieczone. Żadne WikiLeaks nie ma tam dostępu, żaden Snowden też. Szanowni państwo, czy ktoś jeszcze chce z państwa zabrać głoś? Proszę.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#DoradcazarząduPolskiejIzbyUbezpieczeńStefanSzyszko">Nazywam się Stefan Szyszko, reprezentuję Polską Izbę Ubezpieczeń. Proszę państwa, jesteśmy wszyscy w chmurze, bo praktycznie każdy ma dziś telefon z Androidem. Także Google dostarcza usługę chmury obliczeniowej do codziennego użytku w postaci poczty Gmail. Myślę, że sytuacja przypomina minę szlachcica, który dowiedział się nagle, że mówi prozą. Tą prozą mówimy od momentu pojawienia się telefonów G1, czyli od ładnych kilku lat. To była moja pierwsza uwaga.</u>
<u xml:id="u-14.1" who="#DoradcazarząduPolskiejIzbyUbezpieczeńStefanSzyszko">Druga dotyczy zasobu, który jest niezwykle pomocny tym, którzy konstruują takie systemy. To jest dorobek Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji – ENISA. Najlepszym dowodem znacznego wieku chmury oraz kłopotów z kwestią bezpieczeństwa, jest dokument ENISA z 2009 r. Liczy ponad sto trzydzieści stron, a ponad trzydzieści jest poświęconych ochronie danych osobowych. Pozostałe dokumenty ENISA są nowsze, ale materiał dotyczy jedynie wybranych kwestii. Dokument z 2009 r. nie został uchylony, w dalszym ciągu obowiązuje. Jest bardzo ciekawy i interesujący. ENISA to europejska agencja, więc jak najbardziej możemy skorzystać z jej dorobku. To tyle mojego głosu w dyskusji. Dziękuję bardzo.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję. Na pewno do tematu jeszcze wrócimy. Będziemy go omawiać w przyszłości. Stwierdzam, że porządek dzienny został wyczerpany.</u>
<u xml:id="u-15.1" who="#PrzewodniczącyposełMieczysławGolba">Protokół z zapisu będzie do wglądu w sekretariacie Komisji Innowacyjności i Nowoczesnych Technologii.</u>
<u xml:id="u-15.2" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję państwu za udział, dziękuję panom ministrom za prezentację informacji, dziękuję wszystkim za przybycie.</u>
<u xml:id="u-15.3" who="#PrzewodniczącyposełMieczysławGolba">Zamykam posiedzenie Komisji.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>