Cyberbezpieczeństwo i konstytucyjne wątpliwości

Projektowany tryb oceny dostawców sprzętu, usług i oprogramowania budzi istotne wątpliwości w zakresie zgodności z konstytucją – pisze prof. dr hab. Marek Chmaj.

Według założeń projektu minister właściwy do spraw informatyzacji może wszcząć postępowanie w sprawie uznania za dostawcę wysokiego ryzyka. Kryteria do zainicjowania postępowania kontrolnego to ochrona bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Według art. 66a ust. 7 i ust. 8 projektu zawiadomienie o wszczęciu postępowania minister wyśle do podmiotu poddanego kontroli, a w przypadku dostawcy niemającego siedziby na terytorium państwa członkowskiego Unii Europejskiej, Konfederacji Szwajcarskiej albo państwa członkowskiego Europejskiego Stowarzyszenia o Wolnym Handlu (EFTA). Stronie umowy o Europejskim Obszarze Gospodarczym zawiadomienie zostanie udostępnione na stronie ministerstwa i tak opublikowane zawiadomienie wywoła skutek doręczenia po upływie 14 dni od dnia jego dokonania.

Nowe przepisy przewidują dodatkowo, że przed wydaniem decyzji minister zasięgnie opinii kolegium, tj. organu krajowego systemu cyberbezpieczeństwa. Kolegium zbada m.in. prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego. Decyzja o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka ma być udostępniona w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” oraz w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji, a także na stronie internetowej urzędu obsługującego tego ministra.