Bardzo istotnym aspektem z uwagi na bezpieczeństwo danych jest kwestia retencji danych. Zapis znajdujący się w projekcie ustawy – Prawo komunikacji elektronicznej ogranicza możliwość korzystania przez przedsiębiorców telekomunikacyjnych z usług chmurowych z wykorzystaniem rozproszonej infrastruktury znajdującej się na terytorium Europejskiego Obszaru Gospodarczego – uważają eksperci Związku Cyfrowa Polska.
Stanowisko w tej sprawie organizacja przesłała do Ministerstwa Cyfryzacji w ramach prowadzonych przez resort konsultacji do projektu ustawy – Prawo komunikacji elektronicznej. Związek postuluje, aby obowiązek retencji danych mógł być realizowany na terytorium całego Europejskiego Obszaru Gospodarczego (EOG), nie zaś wyłącznie na terytorium Polski.
Korzyści
W opinii Cyfrowej Polski, takie rozszerzenie możliwości wyboru miejsca przechowywania danych pozwoli zwiększyć poziom bezpieczeństwa danych i da więcej opcji wyboru rozwiązań przechowywania danych przez przedsiębiorców telekomunikacyjnych.
W stanowisku przesłanym do ministra cyfryzacji organizacja wymienia także wymierne korzyści dla firm telekomunikacyjnych. To m.in. większy poziom bezpieczeństwa, skalowalność, korzyści kosztowe, oraz możliwość natychmiastowego wprowadzania innowacyjnych rozwiązań odpowiadających na konkretne/kolejne zapotrzebowania klientów. „Utrzymanie wymogu przechowywania danych wyłącznie na terytorium jednego kraju stawia w niekorzystnej sytuacji przedsiębiorców telekomunikacyjnych działających jednocześnie w Polsce oraz w innych państwach członkowskich UE/EOG, utrudnia bowiem korzystanie z zintegrowanych rozwiązań na poziomie grupy, w tym również tych rozwiązań, które podnoszą poziom cyberbezpieczeństwa. Narzucanie przedsiębiorcom telekomunikacyjnym korzystania z centrów danych zlokalizowanych wyłącznie w Polsce jest sprzeczne z zasadami wspierania funkcjonowania wspólnego unijnego rynku” – podkreślono w stanowisku.
Ryzyka
Eksperci Cyfrowej Polski przestrzegają rząd przed przyjęciem projektu ustawy w obecnym brzmieniu. Ich zdaniem skutkować to będzie m.in. problemami z wykorzystywaniem najbardziej nowatorskich rozwiązań z obszaru cyberbezpieczeństwa i trudnościami w zarządzaniu ryzykami z tego obszaru. „Doświadczenia ukraińskie po wybuchu pełnoskalowej wojny pokazały, że zlokalizowanie wszystkich kluczowych danych na terenie jednego państwa może rodzić poważne niebezpieczeństwo w kontekście ataków cybernetycznych oraz kinetycznych. Rozwiązanie polegające na fizycznym ich lokowaniu wyłącznie w jednym państwie utrudnia ich obronę oraz zmniejsza cyberodporność. Utrudnia także szybkie przenoszenie danych w wypadku wystąpienia rzeczywistego zagrożenia” – czytamy w stanowisku Cyfrowej Polski.
Eksperci ponadto podkreślają, że nie istnieją także żadne podstawy prawne w przepisach prawa unijnego, które sugerowałyby tworzenie takich ograniczeń (czyli obowiązku przechowywania danych telekomunikacyjnych tylko w Polsce).