Dnia 28 maja 2021r. odbyło się spotkanie konsultacyjne, które grupa robocza CDDG ds. demokracji i technologii (GT-DT) zorganizowała online, z udziałem przedstawicieli organów zarządzających wyborami.

Dnia 28 maja 2021r. odbyło się spotkanie konsultacyjne, które grupa robocza CDDG ds. demokracji i technologii (GT-DT) zorganizowała online, z udziałem przedstawicieli organów zarządzających wyborami.

Sekretariat zaprezentował postęp prac do dnia dzisiejszego. Przeprowadzono wstępne badanie "Nowe technologie w cyklu wyborczym. Wytyczne Rady Europy" oraz rozesłano kwestionariusz dla państw (w tym EMB) na przełomie grudnia 2020r. oraz stycznia 2021r. Kwestionariusz zawierał pytania otwarte dotyczące wykorzystania TIK, aspektów regulacyjnych, planów rozszerzenia, trudności, zamówień, zasobów i kompetencji wewnętrznych, kontroli publicznej i niezależnej weryfikacji, współpracy międzynarodowej, COVID19. Zwierał on również szczegółowe pytania cząstkowe, np. dotyczące aspektów regulacyjnych (zapewnienie zgodności, poziom szczegółowości regulacji, regulacje dotyczące konkretnych aspektów, np. użyteczności, poufności, przejrzystości, bezpieczeństwa cybernetycznego, kontroli i odpowiedzialności itp.).

Pierwsza prezentacja wyników kwestionariusza odbyła się 8 lutego br., stworzono kompendium odpowiedzi (125 stron zestawionych informacji od 24 państw członkowskich) oraz podsumowanie ich (20 stron skonsolidowanych informacji według zagadnień). Szczegółowe omówienie wyników wraz z pierwszą propozycją wytycznych zostały przedstawione na spotkaniu 16 kwietnia br., natomiast prezentacja projektu Wytycznych miesiąc później, 28 maja br. Kolejne konsultacje planowane są na czerwiec oraz lipiec br., konsolidacja będzie miała miejsce w lipcu i sierpniu, a prezentacja końcowa we wrześniu.

Następnie Sekretariat przeszedł do przedstawienia projektu Wytycznych (na które składają się Preambuła, Zakres, Podstawowe zasady demokratycznych wyborów, tzw. Wprowadzenie).

Zanotowano w obszarze Zakresu Wytycznych, że nie dotyczą głosowania elektronicznego (EVM, i-voting, e-counting), nie odnoszą się do kształtowania opinii publicznej (kampanie wyborcze), dotyczą wykorzystania ICT na wszystkich innych etapach procesu wyborczego (ok. 75 rodzajów dokumentów i procesów wspieranych przez ICT, zidentyfikowanych w kwestionariuszu, w tym EMS, rejestracja, składanie podpisów popierających kwestie/kandydatów, szkolenia i akredytacja, uwierzytelnianie wyborców, przetwarzanie wyników).

Celem wytycznych jest wspieranie integralności procesu wyborczego i zwiększanie zaufania obywateli do niego, zapewnienie wiarygodności rozwiązań ICT i uczciwości wyników. Pośród poziomów regulacyjnych możemy rozróżnić "interpretację zasad" od "technicznego wdrożenia". Mają one angażować ustawodawcę/regulatora w przypadku kwestionowania zasad oraz zapewnić sprawiedliwą równowagę, która respektuje istotę wszystkich istotnych zasad.

Melanie Volkamer zaczęła właściwą część spotkania poprzez prezentację swojej części uwag.

1. Państwa członkowskie dbają o to, by rozwiązania TIK były zgodne z zasadami demokratycznych wyborów i referendów oraz innymi odpowiednimi zasadami (…) oraz opracowują wymogi, które w pełni odzwierciedlają te zasady (...) oraz opracowują wymogi, które w pełni odzwierciedlają te zasady.

Zaznaczono, ze żadne rozwiązanie (TIK) nie odzwierciedla wszystkich zasad w 100%, wszystkie mają swoje wady i zalety i dlatego ważne jest, aby określić stopień, w jakim zasady muszą być spełnione w minimum. Uwaga na temat znaczenia założeń w kontekście bezpieczeństwa: należy znać wszystkie założenia, które muszą być spełnione, aby spełnić każdą z zasad, tzn. wydedukować, na ile realistyczne są te założenia oraz jakie są pozostałe ryzyka, a następnie zdecydować, czy są one akceptowalne, czy nie.

Następnie przedstawiono wątpliwości związane z przejrzystością – należy skupić się na dokładnym opisaniu procesu oraz osób zaangażowanych w określaniu wymagań technicznych oraz stopnia, w jakim muszą być one spełnione.

2. Państwa członkowskie zapewniają użyteczność i dostępność rozwiązań ICT wykorzystywanych w procesie wyborczym, stosując podejście skoncentrowane na człowieku (humanocentryczne).

Skupiono się na spisaniu satysfakcjonujących definicji dla użyteczności (wydajność, efektywność, satysfakcja dla każdego interfejsu użytkownika ISO 9241), dostępności (różne grupy, do których należy się zwrócić

Stopień, który musi być spełniony, powinien być zdefiniowany zgodnie z G-1 i przejrzysty. Zinterpretowano podejście do użyteczności i dostępności, tzn. zaangażowanie przyszłych użytkowników w proces podejmowania decyzji i projektowania, np. poprzez wywiady częściowo ustrukturyzowane, grupy fokusowe, tworzenie makiet. Wspomniano, że należy w tym uwzględnić informacje zwrotne po wyborach oraz dokumentację wysiłków (jak i uczynienie jej przejrzystą).

9. Państwa członkowskie organizują ocenę rozwiązań ICT stosowanych w procesie wyborczym przez niezależnych ekspertów.

Pierwsza przedstawiona uwaga dotyczy skupienia się na okresie przed pierwszym wejściem w życie rozwiązania. Decyzje do podjęcia to między innymi sprawa, czy tylko wybrani eksperci mogą oceniać/brać udział lub wszyscy, ponieważ dokumenty oraz kod źródłowy są upublicznione. Następnie, które ramy powinny być użyte dla jakiego typu wymagań (różni eksperci dla różnych wymagań). Idealnymi ramami oceny bezpieczeństwa dla produktu byłyby dwa niezależne podmioty do oceny i certyfikacji. Kolejna uwaga dotyczyła jasnej definicji celu ewaluacji, jasnej definicji założeń wymaganych do spełnienia wymagań. Poruszono kwestię  ceny infrastruktury i procesów (np. dla aspektów bezpieczeństwa: ISO 27001), oceny użyteczności i dostępności (patrz pkt.2) oraz raportów z oceny i certyfikacji dla przejrzystości, a także określenie sposobu postępowania w przypadku zmian po certyfikacji / obowiązujących procedur.

10. Państwa członkowskie prowadzą ciągłe zarządzanie ryzykiem związanym z rozwiązaniami ICT wykorzystywanymi w procesie wyborczym.

Należy być świadomym pozostałych zagrożeń i dokumentować każdą decyzję (przejrzystość). Istotne w różnych fazach są ryzyka, które wiążą się ze stopniami/założeniami (pkt.1) Przed rozpoczęciem użytkowania należałoby kierować się wynikami z ewaluacji (pkt.9), uwagi obejmują posiadanie planów awaryjnych na czas użytkowania, a podczas właściwego procesu co najmniej dokumentowanie i omawianie "nietypowych" przypadków. Po zakończeniu procedury wspomina się o konieczności audytów systemu komisji zarządzania wyborami, zbierania informacji zwrotnych od użytkowników. W ramach przygotowań do przyszłych wyborów powinno omawiać sposoby unikania zagrożeń podczas wyborów w przyszłości, omawiać sposoby poprawy.

Robert Krimmer przeszedł do prezentowania swojej części uwag.

3. Państwa członkowskie budują i utrzymują niezbędne zdolności do oceny, wprowadzania i zarządzania wykorzystaniem rozwiązań ICT w procesie wyborczym.

Zdolność EMB obejmuje nie tylko zdolność administracyjną i techniczną do planowania, wdrażania i administrowania rozwiązaniami TIK, ale również posiadanie przeszkolonych zasobów ludzkich, niezbędnych narzędzi i ogólnych zasobów, w tym wystarczającej ilości czasu. Wymaga to niezbędnych inwestycji w kształcenie i szkolenie zasobów ludzkich EMB. Zasadniczym celem tego jest uniknięcie konieczności zlecania podstawowych procesów wyborczych podmiotom prywatnym. 

12. Państwa członkowskie ponoszą ostateczną odpowiedzialność, również w przypadkach, w których zaangażowane są podmioty prywatne.

Ostateczna odpowiedzialność spoczywa na państwie członkowskim, które musi w związku z tym opracować wymogi dotyczące rozwiązania TIK, jak również zapewnić w umowie zasadniczej, że podmiot, z którym zawarto umowę, musi spełniać te same normy i oczekiwania, jakie stawia się państwu członkowskiemu. Oczywiste jest, że nawet jeśli procesy związane z procesem wyborczym są zlecane na zewnątrz i/lub podwykonawcom, dostawca musi przestrzegać i spełniać te same wymogi, co państwo członkowskie.

4. Państwa członkowskie zapewniają integralność i autentyczność informacji dostarczanych przez rozwiązania ICT wykorzystywane w procesie wyborczym. Wprowadza się procedury wykrywania i, w miarę możliwości, korygowania wszelkich błędów lub nieuprawnionej interwencji.

Celem działania każdego rozwiązania ICT w procesie wyborczym jest uczynienie tego bezbłędnie, a tym samym zapewnienie uczciwości wyborów. Organizacja wyborów powinna zapewniać dokładne kontrole i równowagę na wszystkich poziomach wyborów.

Błędy mogą wystąpić z powodu awarii systemu, błędów programowania, złych praktyk, jak również celowego włamania i manipulacji przez podmioty zewnętrzne, dlatego niezbędne jest zapewnienie odpowiedzialnej i przejrzystej procedury, jak skorygować dane lub zmienić/zastąpić wadliwie działający system.

7. Państwa członkowskie powinny zapewnić przejrzystość wyborów i zastosowanych rozwiązań ICT.

Obejmuje to zalecenia publikacyjne przedstawione w poprzednio omawianych punktach. Głównym celem jest informowanie zainteresowanych stron o rozwiązaniach ICT, w tym o ich wprowadzeniu do wyborów (opracowanie strategii, założeń leżących u podstaw decyzji, wykonalności, zamówieniach na rozwiązania, ocenie, kodzie źródłowym, itp.), ich działaniu, jak również powyborczej ocenie ich wykorzystania. Obejmuje to również zapewnienie dostępu dla obserwatorów. Środki przejrzystości powinny również obejmować udostępnianie danych strukturalnych o procesie wyborczym, takich jak otwarte dane (open data).

Następnie Ardita Driza Maurer zaprezentowała swoje uwagi.

5. Państwa członkowskie zapewniają jak największą dostępność, a tym samym niezawodność rozwiązań ICT wykorzystywanych w procesie wyborczym, tak aby nie doszło do (zauważalnego) przerwania procesu wyborczego.

Kluczowym są decyzje o poziomie dostępności/niezawodności i uczynienie ich przejrzystymi (np. 99% dostępności, oznacza 1 minutę na każde 100 minut braku dostępności). Dostępność i niezawodność są ściśle związane z jakością/wiarygodnością.

Ponadto państwa członkowskie powinny przewidzieć środki proceduralne, tzn. przed rozpoczęciem eksploatacji należy upewnić się, że rozwiązanie TIK jest autentyczne i działa prawidłowo, skupić się na procedurach instalowania aktualizacji i poprawek w trakcie eksploatacji. Następnym punktem do przeanalizowania są informacje w przypadku incydentów (osoby odpowiedzialne za obsługę sprzętu natychmiast informują właściwy organ), rozwiązania awaryjne (np. alternatywne kanały/wsparcia) i plany naprawcze w celu zapewnienia dostępności danych i ciągłości wyborów (np. dostępność informacji o rejestrach, kontynuacja uwierzytelniania wyborców, przekazywanie wyników itp.) nawet w przypadku awarii lub ataków na rozwiązanie TIK.

6. Państwa członkowskie zapewniają tajność, odpowiednio poufność, informacji przechowywanych w ramach rozwiązań ICT, zgodnie z wymogami prawa wyborczego i prawa ochrony danych.

Prawo wyborcze odnosi się do tajności lub poufności głosowania, ale zazwyczaj nie zawiera szczegółowych przepisów dotyczących ochrony innych danych, takich jak informacje znajdujące się w różnych rejestrach lub w protokołach przekazywania wyników. Minimalne zastosowanie mają wymogi ochrony danych (np. minimalizacja danych, ochrona prywatności w fazie projektowania, itp. Zgodnie z przepisami o ochronie danych, przetwarzanie "informacji wrażliwych" wymaga przyjęcia szczególnych środków. Państwa członkowskie muszą rozważyć, czy takie szczególne środki są konieczne. Jeśli tak, powinny one zostać włączone do ordynacji wyborczej

8. W przypadku gdy proponowane rozwiązanie elektroniczne nie jest powszechnie dostępne dla wszystkich potencjalnych użytkowników, państwa członkowskie zapewniają alternatywne rozwiązanie nieoparte na TIK.

Należy zidentyfikować wszystkich potencjalnych użytkowników dokumentu/procesu wspieranego przez rozwiązanie TIK oraz rozważyć, czy rozwiązanie TIK jest dostępne dla wszystkich z nich (zob. pkt.2 na temat definicji użyteczności i dostępności).

Jeśli nie, trzeba rozważyć zastosowanie alternatywnego rozwiązania o niskim stopniu zaawansowania technologicznego w celu zapewnienia powszechnego dostępu do danego dokumentu/procesu. Jeżeli równolegle stosowane są rozwiązania o niskim i wysokim stopniu zaawansowania technologicznego, w rozporządzeniu należy wyjaśnić warunki korzystania z nich oraz wartość prawną wyników dzięki nim uzyskanych w przypadku, gdy użytkownik ma dostęp do obu tych rozwiązań.

11. Państwa członkowskie przygotowują się na sytuacje, w których "siła wyższa" może mieć wpływ na przeprowadzenie wyborów, i proaktywnie zajmują się możliwym wykorzystaniem rozwiązań ICT w takiej sytuacji.

Punkt ten opiera się na obecnych zmianach w państwach członkowskich wynikających z doświadczeń związanych z wyborami przeprowadzonymi podczas pandemii COVID19. Proaktywne zajęcie się wyzwaniami związanymi z organizacją wyborów, jeżeli podobne sytuacje wystąpią w przyszłości jest niezbędne, a celem będzie uniknięcie pośpiesznego wprowadzania TIK w krótkim czasie. Należy przygotować się z wyprzedzeniem na takie ewentualne zastosowanie i zorganizować je zgodnie z wytycznymi.

Ostatecznie, Sekretariat przeszedł do ogólnej dyskusji. Gos zabrał Pan Wenda z pozytywną opinią, że format wytycznych pozwala na to, by były one zarówno ogólne, jak i ciągle praktyczne. Kolejno, Pan Micallef wspomniał o cyber-bezpieczeństwie podczas wyborów, wnioski oraz jego projekty są dostępne i mogą być pomocne przy dalszej pracy. Następnie Pani Cianciosi zwróciła uwagę na fakt, że powinno się rozważyć zapewnienie, że dana osoba może głosować raz w sposób cyfrowy, ale nie za jakiś czas w sposób tradycyjny. Rozwiązanie w postaci portfela z identyfikatorem obywatela jako metoda rejestracji czy podpis elektroniczny wydają się być wystarczające. Tożsamość cyfrowa staje się istotnym tematem we wszystkich rządach/sektorach i musimy zastanowić się, co to oznacza również dla technologii wyborczych i rejestracyjnych. Pani Jaspers wróciła do trzeciej wytycznej, mówiąc, że trudno jest znaleźć odpowiedni personel z odpowiednimi kompetencjami, może warto wydać swego rodzaju listę konkretnych, pożdanych kompetencji pracowników.

Na koniec Pan Popescu gratulował postępów Komisji, wyrażając nadzieję, że prace zostaną zakończone do końca roku. Sekretariat zaznaczył, że to ciągle początek procesu, wdzięczny za otrzymany wkład, potrzebna jest refleksja i kontynuacja współpracy z organami wyborczymi. Komentarze pisemne mogą być przesyłane na adres e-mail CDDG, planuje się utworzenie ograniczonej przestrzeni internetowej, gdzie dokumenty będą mogły być udostępniane i komentowane. Przewodniczący Almir Sachovic wspomniał, że Komisja to doskonały przykład synergii wszystkich organów wyborczych ze wszystkich zaangażowanych państw członkowskich i podziękował Sekretariatowi za doskonałą organizację tego spotkania.