Przepisy rozporządzenia RODO to temat, który zyskuje na znaczeniu w kontekście rozwoju cyfrowego i nowych technologii. RODO obowiązuje ponad siedem lat, więc poziom wiedzy o tych przepisach jest coraz wyższy. W praktyce oznacza: lepszą realizację nałożonych obowiązków przez firmy przetwarzające dane osobowe na terenie UE, bardziej świadomie korzystanie ze swoich rozszerzonych praw przez właścicieli danych osobowych.
Rozwój nowych technologii oraz wprowadzenie nowych rozwiązań prawnych wymaga jednak od organizacji szczególnej uwagi na zgodność z przepisami rozporządzenia RODO, bo utrata prywatności niesie znaczące konsekwencje.
Przedstawiamy tu najważniejsze problemy związane z nowymi przepisami i technologiami w kontekście RODO.
Sztuczna inteligencja (AI)
Większość systemów sztucznej inteligencji wiąże się z przetwarzaniem danych osobowych. Fascynacja sztuczną inteligencją narasta, natomiast nie zapominajmy, że zawsze w grę wchodzi RODO, bo AI cały czas nas obserwuje, analizuje, profiluje, podejmuje automatyczne decyzje czy przetwarza wizerunek.
Gdziekolwiek więc chcemy wprowadzić AI, to najpierw należy wykonać analizę ryzyka i ustalić podstawę przetwarzania danych. W tym przypadku będzie nią PUI – prawnie uzasadniony interes administratora oraz wynik przeprowadzonego testu równowagi. W niektórych przypadkach, z uwagi na naruszenie praw i wolności osób fizycznych konieczne też będzie przeprowadzenie DPIA – analizy skutków dla ochrony danych, np. zastosowanie modeli AI trenowanych z wykorzystaniem danych osobowych.
Unijny Akt w sprawie sztucznej inteligencji (AI ACT) wprowadza rygorystyczne podejście do regulacji systemów AI poprzez ich klasyfikację według różnych stopni ryzyka. Czy przyjęte mechanizmy okażą się skuteczne w praktyce? Odpowiedź na to pytanie przyniesie czas.
Podsumowując: zanim zachwycimy się AI, pamiętajmy, że jej wprowadzenie w firmie wymaga wiele przygotowań z zakresu przepisów RODO oraz zmian w prowadzonych obowiązkowych rejestrach.
Big Data i analityka
Big Data odnosi się do zbiorów danych, które są tak duże i złożone, że do przetwarzania wymagają nowych technologii, które umożliwią bardzo szybkie ich gromadzenie w czasie zbliżonym do rzeczywistości oraz analizowanie ich w celu uzyskania wniosków. Często są to dane pochodzące z różnych źródeł, np. dla GPS z milionów telefonów komórkowych.
Należy jednak zwrócić uwagę na występującą nierównowagę w poziomie posiadanych informacji pomiędzy użytkownikami a dostawcami usług cyfrowych. Dostawcy posiadają w tym zakresie znaczącą przewagę, co może spowodować, że preferencje, a nawet słabości, będą wykorzystywane dla korzyści handlowych lub politycznych – np. mocno targetowane reklamy budzą obawy co do możliwej manipulacji konsumentów, a zautomatyzowane oceny oparte na danych mogą oznaczać kategoryzację osób lub grup, co może prowadzić do wykluczenia ich np. z możliwości zawodowych lub ubezpieczenia medycznego.
Podsumowując: przetwarzanie dużych zbiorów danych wymaga zapewnienia odpowiednich środków bezpieczeństwa i transparentności. Konieczne jest uzyskanie odpowiednich zgód oraz informowanie osób o sposobach wykorzystania ich danych osobowych.
IoT (internet rzeczy)
IoT oznacza sieć obiektów wyposażonych w czujniki, oprogramowanie i inne technologie w celu łączenia się i wymiany danych z innymi urządzeniami i systemami za pośrednictwem internetu. Tymi obiektami są np. lodówki, pralki, suszarki, roboty sprzątające, opaski sportowe, smartwatche, samochody z systemami telematycznymi, maszyny produkcyjne czy systemy monitoringu miejskiego.
IoT to technologia, która pozwala na integrację urządzeń i procesów w różnych dziedzinach życia, co prowadzi do większej automatyzacji, efektywności i wygody. Jednak wiele urządzeń IoT korzysta ze słabych haseł, nie stosuje wieloskładnikowego uwierzytelniania, przesyła dane nieszyfrowane, stwarzając zagrożenie bezpieczeństwa, takie jak: nieautoryzowany dostęp, naruszenie danych czy ataki hakerskie, np. phishing, DDoS, malware.
Podsumowując: urządzenia IoT generują i przetwarzają duże ilości danych osobowych, co stanowi wyzwanie w zakresie bezpieczeństwa i prywatności. Konieczne jest zapewnienie, że dane osobowe są gromadzone i wykorzystywane zgodnie z zasadami RODO, oraz informowanie o tym właścicieli danych (klauzule informacyjne).
Bezpieczeństwo danych
Nowe technologie, takie jak blockchain, biometryczne systemy uwierzytelniania czy szyfrowanie, muszą spełniać wymogi RODO dotyczące bezpieczeństwa danych.
Obszary zastosowania blockchain to sektor finansowy, księgi rachunkowe, kryptowaluty, transfery międzynarodowe czy wymiana walut. Jest to technologia uważana za bezpieczną, ale już bezpieczeństwo aplikacji zbudowanych na niej może być różne. Wadą jest niska wydajność oraz brak możliwości modyfikacji raz wprowadzonych danych.
Podsumowując: chociaż jest to bezpieczna technologia, to użytkownicy muszą pamiętać o potencjalnych zagrożeniach i dbać o niezbędne zabezpieczenia, co oznacza obowiązkowe wdrożenie odpowiednich środków technicznych i organizacyjnych.
Sygnaliści
Unijny prawodawca już w motywie 83 dyrektywy o ochronie sygnalistów poczynił zastrzeżenie, że przetwarzanie danych osobowych powinno być dokonywane zgodnie z art. 5 i 25 rozporządzenia RODO.
Myśląc o sygnalistach, należy mieć na uwadze szeroki zakres osób, którymi należy się zaopiekować, a dokładnie ich danymi osobowymi. Czyje to dane? Przede wszystkim sygnalistów, ale również osób pomagających w zgłoszeniu, świadków, osób, których dotyczy zgłoszenie, osób pokrzywdzonych czy członków komisji prowadzącej postępowania wyjaśniające. To nie koniec, bo mogą to być też dane osobowe zabezpieczone w materiałach dowodowych, np. korespondencji e-mail czy z logów w systemach informatycznych.
Dlatego niezbędna jest aktualizacja dokumentacji RODO. Na pierwszy ogień RCP.
1. aktualizacja Rejestru Czynności Przetwarzania
- ustalenie celu przetwarzania, a więc wybór właściwej podstawy prawnej – art. 6 ust. 1 RODO,
- ustalenie rodzaju i zakresu danych oraz kategorii osób, których dane są przetwarzane,
- ustalenie prawidłowych okresów retencji.
2. spełnienie obowiązku informacyjnego – art. 13, 14 RODO,
3. przekazanie okresowych upoważnień i oświadczeń do przetwarzania danych,
4. weryfikacja umowy powierzenia, w przypadku realizacji obsługi zgłoszeń przez podmiot zewnętrzny lub przez aplikację zewnętrzną,
5. przestrzeganie zasad: Privacy by designe, Privacy by default,
6. stosowanie zasady minimalizacji,
7. ewentualne włączenie nowych zadań do obowiązków IOD lub KODO,
8. wykonanie analizy ryzyka – art. 32 RODO,
9. wykonanie DPIA – oceny skutków dla ochrony danych osobowych – art. 35.
Podsumowując: przepisy RODO w kontekście sygnalistów to proces nierozerwalny. Wdrożenie skutecznej procedury DPIA pozwala nie tylko zminimalizować ryzyka, ale także budować zaufanie właścicieli danych.
Legalnie i bezpiecznie
W dobie galopującego rozwoju technologii, globalnej informatyzacji umożliwiającej dokonywanie podstawowych czynności bez wychodzenia z domu, prostota i wygoda narzędzi, za pomocą których dokonujemy tych czynności, jednocześnie staje się istotnym zagrożeniem dla danych osobowych, a co za tym idzie, dla naszej prywatności.
Wdrożenie odpowiednich środków, transparentności oraz respektowanie praw osób, których dane dotyczą, są kluczowe dla legalnego i bezpiecznego korzystania z nowych przepisów oraz innowacyjnych rozwiązań.
Rozumienie zakresu odpowiedzialności administratora w ramach różnych ról ma, moim zdaniem, kluczowe znaczenie w projektach związanych z nowymi technologiami, ponieważ nawet niewielki błąd w tym zakresie zrodzi kaskadę kolejnych problemów.
Teresa Grabowska
TG-Doradztwo i Zarządzanie
