Realizacja prawa dostępu do danych osobowych według EROD

Prawo dostępu do danych osobowych jest jednym z uprawnień przysługujących podmiotowi danych na gruncie RODO[1]. Praktyka pokazuje, że stosowanie tego prawa pociąga za sobą szereg trudności np. w jaki sposób zapewnić dostęp danych lub w jakim zakresie udostępnić dane. Z pomocą dla administratorów danych i podmiotów przetwarzających przyszła Europejska Rada Ochrony Danych (EROD), tworząc wytyczne w sprawie prawa dostępu do danych osobowych. Po przeprowadzeniu konsultacji publicznych Europejska Rada Ochrony Danych (EROD) 17 kwietnia 2023 ogłosiła ostateczną wersję wytycznych w sprawie praw osób, których dane dotyczą – prawo dostępu[2].

Celem niniejszego artykułu jest omówienie najważniejszych aspektów realizacji prawa dostępu do danych osobowych z uwzględnieniem najistotniejszych kwestii wynikających z treści wytycznych EROD.

Warto już na wstępie wskazać, że prawo dostępu do danych pełni niezwykle istotną funkcję, dając podmiotom danym możliwość pozyskania wiedzy na temat przetwarzania ich danych osobowych, co z kolei umożliwia im zarządzanie swoimi danymi i realizację pozostałych praw przysługujących im na gruncie RODO.

Treść prawa dostępu do danych

Prawo dostępu do danych osobowych obejmuje trzy różne elementy:

  • Potwierdzenie czy dane o osobie są przetwarzane, czy też nie,
  • Dostęp do tych danych osobowych i
  • Dostęp do informacji o przetwarzaniu, takich jak cel, kategorie danych i odbiorcy, czas przetwarzania, prawa osób, których dane dotyczą oraz wreszcie odpowiednie zabezpieczenia w przypadku przekazywania danych do państw trzecich.

Ponadto, w art. 15 ust. 3 RODO mowa jest o dostarczaniu kopii danych osobie, której dane dotyczą. To żądanie kopii danych odnosi się do drugiego komponentu tj. dostępu do danych osobowych.  Według EROD obowiązek dostarczenia kopii należy rozumieć jako sposób zapewnienia dostępu do danych, nie zaś dodatkowe prawo osoby, której dane dotyczą. Wymóg dostarczenia kopii powinien być szeroko interpretowany i oznacza podanie informacji o danych osobowych osoby składającej żądanie osobie, której dane dotyczą, w sposób umożliwiający osobie, której dane dotyczą, zachowanie wszystkich informacji i powrócenie do nich. Administrator jest zobowiązany zapewnić bezpłatną pierwszą kopię danych niezależnie od kosztu jej wydania.

Zasadą jest, że gdy administrator otrzymuje żądanie dostępu do danych powinien przekazać w całości podmiotowi danych wszystkie informacje wymagane w art. 15 RODO. Administrator musi zatem udzielić informacji wskazanych w art. 15 ust. 1 RODO, a gdy ma to zastosowanie to także informacji, o których mowa w art. 15 ust. 2 RODO[3].

Komunikacja z podmiotem danych

EROD w swoich wytycznych podkreśla, jak ważna jest zapewnienie przejrzystej, łatwej komunikacji z wnoszącym żądanie. Oznacza to w szczególności stworzenie przejrzystych kanałów, na pośrednictwem których podmiot danych może wnieść żądanie np. dedykowany adres e-mail, specjalny formularz etc.  Administrator nie może jednak wymagać, by osoba, której dane dotyczą, kierowała do niego swoje żądania wyłącznie za pośrednictwem wskazanych przez niego kanałów.

Nie należy zapominać o weryfikacji tożsamości osoby wnoszącej żądanie, która jest pierwszym krokiem jaki należy podjąć zanim dane zostaną udostępnione. Pominięcie tego kroku może prowadzić do konsekwencji w postaci ujawnienia danych osobie nieuprawnionej, to jest naruszenia ochrony danych osobowych.

Jeżeli administrator nie jest przekonany co do tożsamości wnoszącego żądanie, powinien zwrócić się o podanie dodatkowych informacji, które umożliwią zidentyfikowanie osoby. Należy jednak pamiętać, że zakres żądanych informacji powinien być proporcjonalny do danych już przetwarzanych przez administratora. Potwierdzenie tożsamości nie powinno prowadzić do gromadzenia przez administratora nadmiarowych danych osobowych.

 

Zakres i sposób realizacji żądania dostępu do danych

Jeśli chodzi o zakres realizacji prawa dostępu do danych osobowych należy wskazać, że według EROD prawo dostępu do danych dotyczy wszystkich danych osobowych wnioskodawcy, które są przetwarzane przez administratora – również tych poddanych pseudonimizacji. Zakres żądania dostępu do danych jest zdeterminowany definicją „danych osobowych” zawartą w RODO. Prawo dostępu odnosi się do danych osobowych osoby składającej żądanie. EROD wskazał, że nie należy tego interpretować zbyt restrykcyjnie tzn. zakresem prawa dostępu do danych mogą być objęte także dane osobowe innej osoby. Jako przykład podano historię komunikacji zawierającą wychodzące i przychodzące wiadomości.

EROD wskazuje, że jeżeli w żądaniu nie wskazano inaczej, prawo dostępu do danych dotyczy wszystkich danych osobowych wnioskującego zgromadzonych przez administratora. Administrator w pewnych sytuacjach jest jednak uprawniony do zwrócenia się o sprecyzowanie żądania, jeżeli ilość przechowywanych przez niego danych dotyczących wnioskującego jest znaczna.

Udzielenie dostępu do danych oraz informacji o ich przetwarzaniu powinno zapewniać przejrzystość. Główną metodą zapewnienia dostępu jest dostarczenie osobie, której dane dotyczą, kopii jej danych, ale można przewidzieć inne sposoby (takie jak informacje ustne i dostęp na stronie). Jeżeli dane osobowe przetwarzane przez administratora są w formie kodowej lub w postaci innego rodzaju „surowych danych”, administrator ma obowiązek zapewnić wyjaśnienie przekazywanych informacji w taki sposób, by były jasne dla wnioskodawcy. Jako jedno z rozwiązań w sytuacji, gdy administrator przetwarza dużą ilość danych, wskazano możliwość zastosowania podejścia warstwowego, które ułatwi osobie zrozumienie przekazywanych jej danych i informacji.

W przypadku, gdy podmiot danych wnosi żądanie drogą elektroniczną administrator ma obowiązek zrealizować żądanie w powszechnie stosowanej formie elektronicznej, chyba że udzielenia w inny sposób zażąda osoba, której dane dotyczą.

EROD wskazuje, iż możliwe jest również przekazanie kopii danych osobowych w formie transkrypcji lub zestawienia, jeżeli nie spowoduje to zmiany treści ani zawartości danych.

Żądanie powinno być zrealizowane bez zbędnej zwłoki, nie później niż w ciągu miesiąca od jego otrzymania. W wyjątkowych przypadkach z uwagi na skomplikowany charakter żądania lub liczbę żądań możliwe jest wydłużenie terminu na realizację żądania o dwa miesiące.

Wyjątki od realizacji prawa dostępu do danych

W swoich wytycznych EROD odniósł się także do wyjątków od realizacji prawa dostępu do danych osobowych. Zgodnie z art. 15 ust. 4 RODO prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób. EROD podnosi, że wyjątek ten należy jednak ujmować wąsko. Nie umożliwia on zupełnej odmowy realizacji prawa osoby, której dane dotyczą, ale może skutkować nieprzekazaniem części kopii przetwarzanych danych osobowych.

Ponadto administrator jest uprawniony do niewykonania prawa dostępu do danych w przypadku, gdy żądanie byłoby nadmierne lub ewidentnie nieuzasadnione albo do pobrania rozsądnej opłaty, uwzględniającej administracyjne koszty udzielenia informacji, prowadzenie komunikacji lub podjęcie żądanych działań (art. 12 ust. 5 RODO).

Podsumowując, prawo dostępu do danych osobowych jest jednym z kluczowych praw przysługujących osobie, której dane są przetwarzane, stąd administratorzy powinni być przygotowani na prawidłową realizację tego typu żądań. Omawiane w artykule wytyczne mogą stanowić ważny pomocniczy materiał w ramach zapewnienia zgodności z RODO procesu realizacji prawa dostępu do danych osobowych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

 

[2]Guidelines 01/2022 on data subject rights – Right of access – version 2.0.:  https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en

 

[3] Art. 15 ust. 2 RODO „Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.”

 

Profilowanie na Danych Osobowych

W dobie cyfrowego świata, gdzie życie przenosi się coraz bardziej do przestrzeni wirtualnej, profilowanie w sieci staje się nieodłącznym elementem codzienności. To proces zbierania, analizy i interpretacji danych o użytkownikach Internetu w celu tworzenia ich wirtualnych profili. Choć ma potencjał ułatwiania dostępu do spersonalizowanych usług czy reklam, rodzi również obawy związane z prywatnością.

Profilowanie w sieci może obejmować śledzenie aktywności online, preferencji zakupowych, a nawet analizę treści udostępnianej w mediach społecznościowych. Dla niektórych może to być narzędzie ułatwiające korzystanie z Internetu, ale dla innych stanowić może zagrożenie prywatności.

Organizacje wykorzystują profilowanie w celu lepszego zrozumienia swoich klientów, dostarczania spersonalizowanych treści czy reklam. Niemniej jednak, istnieje potrzeba zachowania równowagi pomiędzy korzyściami a zagrożeniami. Ochrona danych osobowych oraz transparentność procesów profilowania stają się kluczowe dla zapewnienia bezpieczeństwa użytkowników online.

Z uwagi na wzrost świadomości oraz konieczność zwiększenia ochrony danych osobowych przetwarzanych w sieci, temat profilowania, który nie doczekał się wcześniej regulacji, został zdefiniowany w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( „RODO”).

Profilowanie, zgodnie z definicją zawartą w RODO, to dowolna forma zautomatyzowanego przetwarzania danych osobowych w celu oceny niektórych czynników danej osoby fizycznej, zwłaszcza do analizy lub prognozy elementów dotyczących pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, zachowań, lokalizacji lub przemieszczania się.

Mówiąc o profilowaniu, należy rozróżnić profilowanie zwykłe (z udziałem czynnika ludzkiego) od kwalifikowanego (zautomatyzowanego, kończącego się wydaniem zautomatyzowanej decyzji), które zostało uregulowane przepisami RODO. Profilowanie polegające na zbieraniu danych anonimowych, następnie ich wykorzystywaniu czy analizowaniu nie będzie zatem stanowiło profilowania w myśl RODO. Musimy mieć do czynienia z personalizacją, a więc wykorzystaniem danych osobowych przetwarzanych w sposób  zautomatyzowany do analizy niektórych czynników osobowych, które finalnie doprowadzą do otrzymania spersonalizowanej oferty czy reklamy.

Profilowanie może być dokonywane w różnych celach, począwszy od badań statystycznych przez realizację umowy po cele marketingowe. RODO reguluje wyłącznie sytuacje, w których profilowanie wykorzystywane jest do zautomatyzowanego podejmowania decyzji. Należy zweryfikować, czy profilowanie zmierza do podjęcia decyzji i w rzeczywistości kończy się podjęciem decyzji. Jest to kluczowa informacja, stanowiąca podstawę do zastosowania regulacji z art. 22 RODO.

RODO nakłada na administratorów danych osobowych, szereg obowiązków związanych z profilowaniem.

Obowiązek informacyjny

administrator ma obowiązek udzielić informacji, czy dochodzi do profilowania, jakie są tego konsekwencje oraz czy mamy do czynienia z profilowaniem zautomatyzowanym. Informacja powinna również określać precyzyjnie cel profilowania oraz podstawę prawną.

W przypadku profilowania prowadzonego w sposób zautomatyzowany osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Powyższe nie dotyczy sytuacji, w której decyzja ta:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Powyższe wyłączenia dotyczą przetwarzania danych zwykłych. W przypadku, w którym mówimy natomiast o danych szczególnej kategorii, przetwarzanie danych osobowych w drodze profilowania zautomatyzowanego może mieć miejsce gdy:

  • jest ono niezbędne ze względów związanych z ważnym interesem publicznym na podstawie  prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do celu lub
  • osoba, której dane dotyczą wyraziła zgodę na takie profilowanie
  • istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Bezpieczeństwo danych osobowych

administrator jest zobowiązany do zapewnienia odpowiednich środków ochrony danych przetwarzanych w procesie profilowania.

Przejrzystość 

proces profilowania musi być transparentny. Osoba, której dane dotyczą, powinna być w stanie zrozumieć, jakie decyzje są podejmowane na podstawie jej profilu.

Minimalizacja danych osobowych

zgodnie z zasadą minimalizacji danych, administrator powinien ograniczać zbieranie i przetwarzanie danych osobowych do niezbędnego minimum w kontekście celu profilowania.

Prawo do sprzeciwu

RODO przewiduje prawo sprzeciwu wobec profilowania, co oznacza, że osoba, której dane dotyczą może sprzeciwić się przetwarzaniu jej danych w tym celu. Prawo do sprzeciwu odnosi się do każdej formy profilowania (nie tylko zautomatyzowanego).

Prawo dostępu do danych

osoba, której dane dotyczą ma prawo uzyskania dostępu do danych przetwarzanych do celów związanych z profilowaniem. Warto w tym miejscu wspomnieć o decyzji Prezesa Urzędu Ochrony Danych Osobowych z 07.10.2021 r. (ZSPR.440.331.2019.PR.PAM), w której to decyzji stwierdzono, iż profil marketingowy stanowi dane osobowe, z którymi ma prawo zapoznać się osoba, której te dane dotyczą. W konsekwencji Prezes UODO nakazał administratorowi udostępnienie informacji o kategoriach marketingowych (profilu behawioralnym) przypisanych podmiotowi danych na podstawie plików cookies, a także wskazanie jakie informacje dotyczące tej osoby zostały powiązane z informacjami wynikającymi z plików cookies.

Inspektor Ochrony Danych – wzmocnienie bezpieczeństwa przetwarzanych danych osobowych w organizacji

Zapraszamy na webinar:

Inspektor Ochrony Danych – wzmocnienie bezpieczeństwa przetwarzanych danych osobowych w organizacji.

W dobie dynamicznego rozwoju technologii oraz coraz bardziej zaawansowanych zagrożeń związanych z przetwarzaniem danych osobowych, funkcja Inspektora Ochrony Danych (IOD) staje się niezwykle istotnym elementem w zapewnianiu bezpieczeństwa przetwarzanych danych oraz przestrzeganiu przepisów dotyczących ochrony prywatności.

Podczas webinaru omówione zostaną rola i zadania IOD w kontekście jego relacji z administratorem danych oraz wskazane zostanie jak zadania IOD wpływają na skuteczną ochronę danych w organizacji. Uczestnictwo w webinarze pomoże Państwu lepiej zrozumieć jak można lepiej zadbać o dane osobowe pracowników, klientów, partnerów biznesowych i innych interesariuszy. Pomocne we właściwym kształtowaniu zadań, roli i pozycji Inspektora Ochrony Danych są wyniki badań przeprowadzonych przez Europejską Radę Ochrony Danych, z których rekomendacje zostaną Państwu przedstawione. Zostaną Państwu również zaprezentowane wyniki sprawozdania Urzędu Ochrony Danych Osobowych na temat badania kluczowych obowiązków administratorów w zakresie zapewnienia prawidłowego wykonywania funkcji IOD.

 


Data: Czwartek, 14 Marca 2024 r., godz. 11:00-12:30

Zarejestruj się bezpłatnie!


Spotkanie poprowadzi:

Krzysztof Gołaszewski

 Doświadczony menedżer z praktyką zdobytą w centralnej administracji państwowej oraz w dużych spółkach akcyjnych w sektorze telekomunikacyjnym, energetycznym i bankowym.
Jest ekspertem w dziedzinie ochrony danych osobowych, ładu korporacyjnego, zarządzania procesowego, audytu, compliance i etyki biznesu.
Jest certyfikowanym oficerem compliance, posiada certyfikat PRINCE-2. Uczestniczył w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów oraz opiniowania projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych. Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych.

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym.

Sztuczną inteligencję w UE będą regulować pierwsze na świecie kompleksowe przepisy dotyczące AI – Akt o sztucznej inteligencji (Regulation of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence – Artificial Intelligence Act).

Unijne rozporządzenie to przełomowy akt prawny, wykraczający poza skalę europejską. Na szczeblu międzynarodowym Organizacja Współpracy Gospodarczej i Rozwoju (OECD) przyjęła (niewiążące) zalecenie w sprawie sztucznej inteligencji w 2019 roku, UNESCO przyjęło zalecenia w sprawie etyki sztucznej inteligencji w 2021 roku, Rada Europy pracuje obecnie nad międzynarodową konwencją w sprawie AI.

W przestrzeni Unii Europejskiej prace toczą się od dłuższego czasu. I tak, Parlament Europejski wezwał Komisję Europejską do oceny wpływu sztucznej inteligencji i opracowania unijnych ram dla sztucznej inteligencji w swoich szeroko zakrojonych zaleceniach z 2017 roku w sprawie przepisów prawa cywilnego dotyczących robotyki. W 2019 roku Niezależna Grupa Ekspertów Wysokiego Szczebla do spraw Sztucznej Inteligencji przyjęła Wytyczne w zakresie etyki dotyczące godnej zaufania sztucznej inteligencji. W Białej księdze w sprawie sztucznej inteligencji z 2020 roku Komisja Europejska zobowiązała się do promowania wykorzystania sztucznej inteligencji i przeciwdziałania zagrożeniom związanym z niektórymi zastosowaniami tej nowej technologii. W 2020 i 2021 roku Parlament przyjął szereg rezolucji wzywających do przyjęcia przepisów UE w dziedzinie sztucznej inteligencji. W pierwszej rezolucji zwrócono się do Komisji aby ustanowiła ramy prawne zasad etycznych dotyczących opracowywania, wdrażania i wykorzystywania sztucznej inteligencji, robotyki i powiązanych technologii w Unii. W drugiej rezolucji wezwano do harmonizacji ram prawnych dotyczących roszczeń z tytułu odpowiedzialności cywilnej i nałożenia odpowiedzialności na operatorów systemów AI wysokiego ryzyka. Ponadto Parlament przyjął szereg zaleceń wzywających do wspólnego podejścia UE do AI w zakresie własności intelektualnej, prawa karnego, edukacji, kultury i obszarów audiowizualnych, a także w odniesieniu do cywilnych i wojskowych zastosowań AI.

14 czerwca 2023 roku Parlament Europejski uchwalił akt (przyjmując stanowisko negocjacyjne, w ramach trójstronnych negocjacji (tzw. trilogi, czyli negocjacje pomiędzy PE, Radą i Komisją Europejską). 9 grudnia 2023 roku doszło po prawie 15 godzinach negocjacji (które nastąpiły po prawie 24-godzinnej debacie poprzedniego dnia) do porozumienia między krajami UE a członkami Parlamentu Europejskiego. Europa tym samym zajęła pozycję pioniera normatywnego w obszarze AI, przy czym należy pamiętać, że akt przewiduje aż dwuletnie vacatio legis.

Podstawowe założenia aktu o sztucznej inteligencji

Ogólnym celem proponowanego aktu o sztucznej inteligencji, zaprezentowanego w kwietniu 2021 roku, jest zapewnienie prawidłowego funkcjonowania jednolitego rynku poprzez stworzenie warunków dla rozwoju i wykorzystywania godnych zaufania systemów sztucznej inteligencji w Unii.

W powszechnym odczuciu społecznym oczekuje się, że technologie sztucznej inteligencji przyniosą szeroki wachlarz korzyści ekonomicznych i społecznych w wielu sektorach gospodarki. Są one szczególnie przydatne do poprawy przewidywania, optymalizacji operacji i alokacji zasobów oraz personalizacji usług. Równocześnie zwraca się uwagę na wpływ systemów sztucznej inteligencji na prawa podstawowe (chronione chociażby na mocy Karty praw podstawowych UE). W szczególności systemy AI mogą zagrażać prawom podstawowym, takim jak prawo do niedyskryminacji, wolności słowa, godności ludzkiej, ochrony danych osobowych i prywatności. Politycy zobowiązali się do opracowania „humanocentrycznego” podejścia do sztucznej inteligencji, aby zapewnić Europejczykom możliwość korzystania z nowych technologii zgodnie z unijnymi wartościami i zasadami, w szczególności założono szereg celów szczegółowych: (i) zapewnienie, że systemy AI wprowadzane na rynek na rynek UE będą bezpieczne i zgodne z obowiązującym prawem UE, (ii) zapewnienie pewności prawa w celu ułatwienia inwestycji i innowacji, (iii) wzmocnienie zarządzania i skutecznego egzekwowania prawa UE w zakresie praw podstawowych i wymogów bezpieczeństwa, (iv) ułatwienie rozwoju jednolitego rynku dla zgodnych z prawem, bezpiecznych i godnych zaufania aplikacji AI oraz (v) zapobieganie fragmentacji rynku.

Nowe ramy AI, oparte na art. 1149 i art. 1610 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), w założeniu miały zawierać neutralną technologicznie definicję systemów sztucznej inteligencji, ustanowienie klasyfikacji systemów AI z różnymi wymogami i obowiązkami dostosowanymi do „podejścia opartego na ryzyku”. Systemy AI stwarzające „niedopuszczalne” ryzyko byłyby zakazane. Systemy AI „wysokiego ryzyka” byłyby dozwolone, ale podlegałby zestawowi wymogów i obowiązków. Te systemy sztucznej inteligencji, które stwarzałyby jedynie „ograniczone ryzyko” podlegałyby ograniczonym obowiązkom w zakresie przejrzystości.

Zakres regulacji aktu o sztucznej inteligencji

Przyjęte przepisy AI ACT dotyczą wszystkich podmiotów, które wprowadzają do obrotu lub oddają do użytku systemy (niezależnie od tego, czy mają swoją siedzibę w UE, a zatem np. Google Inc. w przypadku Barda), jeżeli skutki związane z wykorzystanie dostarczonych przez nich systemów powstają na terenie Unii. Rozporządzenie wprowadza kategoryzację systemów, na te stwarzające (i) niedopuszczalne ryzyko, (ii) wysokie ryzyko, (iii) ograniczone ryzyko oraz (iv) niskie lub minimalne ryzyko. I tak:

1. Niedopuszczalne ryzyko: zakazane praktyki AI

  • systemy, które wykorzystują szkodliwe manipulacyjne „techniki podprogowe”,
  • systemy, które wykorzystują określone grupy szczególnie wrażliwe (niepełnosprawność fizyczna lub umysłowa),
  • systemy wykorzystywane przez organy publiczne lub w ich imieniu do celów oceny społecznej,
  • zdalne systemy identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach na potrzeby do celów egzekwowania prawa, z wyjątkiem ograniczonej liczby przypadków;

2. Wysokie ryzyko: regulowane systemy SI wysokiego ryzyka

  • systemy wykorzystywane jako element bezpieczeństwa produktu lub objęte unijnym prawodawstwem harmonizacyjnym w zakresie zdrowia i bezpieczeństwa (np. zabawki, lotnictwo, samochody, urządzenia medyczne, windy),
  • systemy wdrożone w ośmiu konkretnych obszarach określonych w załączniku III, które Komisja mogłaby aktualizować w razie potrzeby za pomocą aktów delegowanych (art. 7):
  • identyfikacja biometryczna i kategoryzacja osób fizycznych,
  • zarządzanie infrastrukturą krytyczną i jej obsługa,
  • kształcenie i szkolenie zawodowe,
  • zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia,
  • dostęp do podstawowych usług prywatnych i publicznych oraz korzystanie z nich świadczeń,
  • egzekwowanie prawa;
  • zarządzanie migracją, azylem i kontrolą graniczną;
  • wymiar sprawiedliwości i procesy demokratyczne.

Wszystkie systemy sztucznej inteligencji wysokiego ryzyka podlegają zestawowi nowych obowiązków, w tym m.in. ocena zgodności ex ante działania takich systemów pod kątem wpływu na prawa podstawowe osób fizycznych, zarejestrowanie systemów w ogólnounijnej bazie danych zarządzanej przez Komisję przed wprowadzeniem ich na rynek lub do użytku. Systemy AI wysokiego ryzyka wykorzystywane do identyfikacji biometrycznej wymagałyby oceny zgodności przez „jednostkę notyfikowaną”. Oczywiście dostawcy systemów sztucznej inteligencji wysokiego ryzyka zobowiązani są wdrożyć odpowiednie środki bezpieczeństwa. Systemy muszą spełniać szereg wymogów w szczególności w zakresie zarządzania ryzykiem, testowania, solidności technicznej, szkolenia w zakresie danych i zarządzania danymi, przejrzystości, nadzoru ludzkiego i cyberbezpieczeństwa (art. 8-15). Dostawcy spoza UE muszą posiadać autoryzowanego przedstawiciela w UE, który będzie m.in, zapewniał ocenę zgodności, system monitorowania po wprowadzeniu do obrotu i w razie potrzeby podejmował działania naprawcze.

3. Ograniczone ryzyko: obowiązki w zakresie przejrzystości

Systemy AI stwarzające „ograniczone ryzyko”, takie jak systemy generatywne wchodzące w interakcje z ludźmi (tj. chatboty, jak np. ChatGPT), systemy rozpoznawania emocji, systemy kategoryzacji biometrycznej i systemy sztucznej inteligencji, które generują lub manipulują treściami graficznymi, audio lub wideo [jak np. sieci kontradyktoryjne (GANs), wariancyjne autoenkodery (VAEs), czy deepfakes], podlegałyby ograniczonemu zestawowi obowiązków w zakresie przejrzystości. Po interakcji z tymi aplikacjami użytkownik będzie mógł zdecydować, czy chce z nich dalej korzystać. Użytkownicy powinni być świadomi, że interakcja odbywa się ze sztuczną inteligencją. W każdym przypadku konieczne będzie informowanie użytkowników o tym, że mają oni do czynienia z treściami generowanymi przez AI.

4. Niskie lub minimalne ryzyko: brak obowiązków

Wszystkie inne systemy sztucznej inteligencji stwarzające jedynie niskie lub minimalne ryzyko mogą być opracowywane i wykorzystywane w UE bez konieczności spełniania rozbudowanych obowiązków prawnych. Rozporządzenie przewiduje możliwość stosowania kodeksów postępowania, aby zachęcić dostawców systemów sztucznej inteligencji nieobarczonych wysokim ryzykiem do dobrowolnego stosowania obowiązkowych wymogów dla systemów AI wysokiego ryzyka.

Akt nakłada na państwa członkowskie wymóg wyznaczenia jednego lub większej liczby właściwych organów, w tym krajowego organu nadzoru, którego zadaniem będzie nadzorowanie stosowania i wdrażania rozporządzenia, a także ustanawia Europejską Radę ds. Sztucznej Inteligencji (złożoną z przedstawicieli państw członkowskich i Komisji).

W przypadku uporczywego nieprzestrzegania przepisów państwa członkowskie mogą podjąć wszelkie odpowiednie środki w celu środki w celu ograniczenia, zakazania, wycofania lub wycofania z rynku danego systemu AI wysokiego ryzyka. Przewidziane kary administracyjne to od 7,5 mln euro lub 1,5% całkowitego rocznego światowego obrotu, do 35 mln euro lub 7% całkowitego rocznego światowego obrotu, w zależności od wagi naruszenia

Rozporządzenie przyznaje także osobom, których prawa zostały naruszone decyzją wydaną z wykorzystaniem systemu sztucznej inteligencji, do wniesienia skargi do właściwego organu państwowego, a także zaskarżenie do sądu.

Rozbieżności stanowisk / kontrowersje

Definicja sztucznej inteligencji

Prawna definicja systemów sztucznej inteligencji zawarta w rozporządzeniu została poddana ostrej krytyce. Niektórzy interesariusze podkreślają, że definicja systemów AI jest dość szeroka i może obejmować znacznie więcej niż to, co jest subiektywnie rozumiane jako AI, w tym najprostsze algorytmy wyszukiwania, sortowania i routingu, co w konsekwencji może prowadzić do „nadregulacji”.  Problem dotyczy też traktowania tzw. „wstępnych komponentów AI”. Brak jasności definicji może prowadzić do niepewności prawnej, zwłaszcza w przypadku niektórych systemów, które nie kwalifikowałyby się jako systemy AI, podczas gdy ich użycie może mieć wpływ na prawa podstawowe. Niektóre środowiska wzywają prawodawców UE do wyłączenia systemów sztucznej inteligencji opracowanych i wykorzystywanych do celów badawczych i oprogramowania open source (OSS) z regulacji. Inni komentatorzy kwestionują czy proponowana definicja jest rzeczywiście neutralna technologicznie ponieważ odnosi się przede wszystkim do oprogramowania, pomijając potencjalne przyszłe rozwiązania technologiczne w dziedzinie sztucznej inteligencji.

Ograniczenie rynku

Francja, Niemcy i Włochy sprzeciwiły się regulowaniu modeli podstawowych, argumentując, że hamowałoby to rozwój europejskich systemów AI. 18 listopada 2023 roku państwa te opublikowały wspólny dokument, tzw. non-paper, który odzwierciedla wspólne stanowisko trzech głównych gospodarek europejskich w kwestii modeli podstawowych.

Grupa biznesowa DigitalEurope skrytykowała przepisy, uznając je za kolejne obciążenie dla firm. Z kolei European Enterprises Alliance podkreśla, że istnieje ogólna niepewność co do ról i obowiązków różnych podmiotów w łańcuchu wartości AI (deweloperów, dostawców i użytkowników AI). Jest to szczególnie trudne dla firm dostarczających aplikacje i interfejsy programowania aplikacji ogólnego przeznaczenia lub modele AI typu open source, które nie są specjalnie przeznaczone dla systemów AI ale mimo to są wykorzystywane przez strony trzecie w sposób, który można uznać za obarczony wysokim ryzykiem. AlgorithmWatch podkreśla, że zastosowanie konkretnych zasad nie powinno zależeć od rodzaju technologii, ale od jej wpływu na jednostki i środowisko.

Biometria i scoring społeczny w AI

Niektóre zainteresowane strony (głównie organizacje – obrońcy praw człowieka) wzywają do wprowadzenia zakazu masowego dla arbitralnie ukierunkowanego wykorzystania danych biometrycznych w przestrzeni publicznej. Grupa AccessNow twierdzi, że przepisy dotyczące zakazanych praktyk AI są zbyt niejasne, i proponuje szerszy zakaz wykorzystywania sztucznej inteligencji do kategoryzowania ludzi na podstawie danych fizjologicznych, behawioralnych lub biometrycznych (w tym do rozpoznawania emocji, a także niebezpiecznych zastosowań w kontekście działań policyjnych, migracji, azylu i zarządzania granicami). Proponują zakazanie istniejących manipulacyjnych systemów sztucznej inteligencji (np. deepfake), scoringu społecznościowego i niektórych danych biometrycznych. Ponadto niektórzy podkreślają, że akt nie odnosi się do systemowych zagrożeń dla zrównoważonego rozwoju stwarzanych przez sztuczną inteligencję zwłaszcza w obszarze ochrony klimatu i środowiska.

Podejście oparte na ryzyku (Risk-based approach)

Co do zasady wszyscy z zadowoleniem przyjmują podejście oparte na ryzyku (znane chociażby z RODO, NIS czy DORA). Niemniej jedną z głównych obaw ekspertów jest to, że przepisy dotyczące  praktyk wysokiego ryzyka mogą okazać się nieskuteczne w rzeczywistości, ponieważ ocenę ryzyka pozostawia się samoocenie dostawcy usług, który może celowo ją dostosowywać (manipulować) do poziomu własnego interesu biznesowego.

Zarządzanie, egzekwowanie i sankcje dotyczące sztucznej inteligencji

Eksperci podnoszą obawy dotyczące nadmiernego delegowania uprawnień regulacyjnych na prywatne europejskie organizacje normalizacyjne, brak demokratycznego nadzoru, w tym braku możliwości wpływania przez interesariuszy (organizacje społeczeństwa obywatelskiego, stowarzyszenia konsumenckie) na opracowywanie norm oraz brak środków sądowych umożliwiających ich kontrolę po ich przyjęciu. Zalecają, aby rozporządzenie kodyfikowało zestaw prawnie wiążących wymogów dla systemów sztucznej inteligencji wysokiego ryzyka (np. zakazane formy dyskryminacji algorytmicznej).

Podsumowanie

Przyjęcie pierwszych regulacji prawnych w obszarze sztucznej inteligencji – rozumiane jako osiągnięcie trudnego konsensusu pomiędzy państwami, gospodarkami Unii Europejskiej – należy niewątpliwie uznać za sukces. Natomiast sama treść aktu i proponowane w nim rozwiązania już wzbudzają kontrowersję. Główna oś sporu rozgranicza zwolenników wolnego rynku (zarzucających „nadregulację” i ograniczanie swobody technologicznej, a w konsekwencji rynku i rozwoju) od obrońców praw obywatelskich (w szczególności prywatności) wskazujących na ryzyka i zagrożenia. Skuteczność rozwiązań normatywnych (np. kwestia dokonywania autooceny ex ante) – co jasne – zostanie zweryfikowana dopiero w praktyce. Przyjęcie aktu pozwala jednak (przy zastrzeżeniu długiego okresu vacatio legis) przejść z poziomu dyskusji na poziom normatywny funkcjonowania sztucznej inteligencji (ze wszystkimi z tego tytułu płynącymi konsekwencjami w warstwie jurysprudencji, orzecznictwa czy doktryny).

 

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r.

Czteroletnia kadencja pełniącego obecnie obowiązki Prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka minęła w maju ub. roku. Obecnie rozpoczął się wybór nowego Prezesa UODO. Prezesa Urzędu powołuje i odwołuje Sejm za zgodą Senatu.  W dniu 19 grudnia 2023 r. w Sejmie odbyła się debata z potencjalnymi kandydatami na ww. stanowisko. Spotkanie to  było dostępne dla organizacji społecznych i ekspertów, którym umożliwiono zadawanie merytorycznych pytań.  W wydarzeniu tym  wzięło udział 7 kandydatów. Spotkanie było transmitowane na żywo, z zapisem można się zapoznać na stronie internetowej Sejmu.

Sejm będzie dalej pracował nad oceną czterech kandydatur zgłoszonych przez kluby parlamentarne.  Jakuba Groszkowski   zgłoszony przez posłów z Klubu PIS, Konrad Komornicki i Andrzej Rybus-Tołłoczko zgłoszeni przez posłów z Klubu PSL – Trzecia Droga i Klubu Polska 2050 – Trzecia Droga. Czwartym kandydatem na fotel Prezesa UODO jest Mirosław Wróblewski zgłoszony przez posłów z Klubu Koalicja Obywatelska. Zgłoszeni kandydaci 9 stycznia br. staną przed Komisją  Sprawiedliwości i Praw Człowieka. Z harmonogramu najbliższego posiedzenia Sejmu, które rozpocznie się 10 stycznia posłowie zadecydują, który z kandydatów zostanie wskazany jako nowy Prezes  UODO.

Wybór i kompetencje Prezesa Urzędu Ochrony Danych Osobowych

Zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych Prezesa UODO powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Rzeczypospolitej Polskiej. Kadencja Prezesa Urzędu trwa 4 lata, licząc od dnia złożenia ślubowania. Prezes Urzędu po upływie kadencji wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu. Co istotne ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego. Prezes Urzędu nie może należeć do partii politycznej.

Na stanowisko Prezesa UODO może być powołana osoba, która: jest obywatelem polskim, posiada wyższe wykształcenie, wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych, korzysta z pełni praw publicznych, nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe, posiada nieposzlakowaną opinię.[1]

Zadania organu nadzorczego możemy podzielić na zadania o charakterze nadzorczym, doradczym, edukacyjnym, współpracy z innymi organami nadzorczymi. Na szczególną uwagę zasługuje art. 57 RODO, który enumeratywnie wskazuje co należy do zadań organu nadzorczego. Są to m.in.;

  • monitorowanie i egzekwowanie stosowania przepisów z zakresu ochrony danych osobowych;
  • upowszechnianie w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;
  • upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o ochronie danych osobowych;
  • rozpatrywanie skarg osób, których dane dotyczą;
  • współpraca z innymi organami nadzorczymi, w tym dzielenie się informacjami w celu zapewnienia spójnego stosowania i egzekwowania RODO;
  • prowadzenie postępowań w sprawie stosowania RODO;
  • zatwierdzanie wiążących reguł korporacyjnych.

Przed nowym Prezesem UODO czeka wiele wyzwań. W trackie debaty potencjalni kandydaci wskazywali między innymi na konieczność wzmocnienia roli UODO zarówno na poziomie krajowym,  jak i europejskim.

Rynek oczekuje, że nowy Prezes UODO zajmie  się także współpracą z inspektorami ochrony danych oraz  administratorami w celu wypracowania standardów i praktyk zmierzających do osiągniecia zgodności organizacji jakie oni reprezentują z RODO. Niewątpliwie niezbędne będą w tym zakresie akcje edukacyjne, spotkania branżowe, konferencje mające na agendzie zagadnienia nie ograniczające się wyłącznie do obszaru ochrony danych osobowych, ale i  bezpieczeństwo przetwarzanych informacji oraz rolę sztucznej inteligencji.

 

[1] Art. 34 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

 

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA

W dzisiejszym świecie, kiedy rynek jest coraz bardziej konkurencyjny, skuteczna komunikacja z potencjalnym klientem jest kluczowym elementem strategii marketingowej wielu firm. Jednym z narzędzi, które cieszy się ogromną popularnością w tym kontekście jest cold mailing. W niniejszym artykule wyjaśnimy, kiedy cold mailing wykonywany jest z poziomu Administratora Danych Osobowych, a kiedy z poziomu Procesora oraz jakie obowiązki i ryzyka występują po każdej ze stron.

Czym właściwie jest cold mailing?

Cold mailing to praktyka wysyłania niezamówionych wiadomości e-mail do osób lub przedsiębiorstw w celu nawiązania kontaktu biznesowego. Najprościej rzecz ujmując jest to narzędzie wykorzystywane do zdobycia nowych klientów lub partnerów biznesowych. Z powyższej definicji wynika, iż czynności podejmowane w ramach cold mailingu związane są ściśle zarówno z informacją handlową jak i marketingiem bezpośrednim. Aby korzystać z owego narzędzia zgodnie z prawem, należy zatem uwzględnić – poza przepisami dotyczącymi ochrony danych osobowych – również przepisy dotyczące legalnego prowadzenia marketingu bezpośredniego rozumianego jako przesyłanie informacji handlowej drogą elektroniczną. Na temat dopuszczalności narzędzia marketingowego jakim jest cold mailing oraz obowiązujących w tym zakresie przepisów prawa wspominaliśmy już wcześniej w publikacji:

Dopuszczalność cold calling i cold mailing na gruncie RODO

W niniejszym artykule chcielibyśmy się skupić na roli Administratora Ochrony Danych oraz Procesora w procesie cold mailingu.

Różnica pomiędzy Administratorem Danych Osobowych a Procesorem:

Aby zrozumieć rolę Administratora Danych Osobowych oraz Procesora w procesie cold mailingu, dla przypomnienia należy wskazać podstawową różnicę pomiędzy tymi dwiema rolami występującymi w procesie przetwarzania danych osobowych:

  1. Administrator Danych Osobowych: to podmiot, który określa cele i środki przetwarzania danych osobowych. Tym samym, Administrator decyduje o tym, dlaczego i jakie dane osobowe są przetwarzane.
  2. Procesor: jest podmiotem przetwarzającym dane osobowe w imieniu i na rzecz Administratora. Procesor działa zgodnie z instrukcjami Administratora.

Mając powyższe na uwadze, rozważmy kilka możliwych scenariuszy:

  1. przedsiębiorca samodzielnie realizuje cold mailing – w tej sytuacji podmiot występuje w roli Administratora Danych Osobowych. Odpowiada w szczególności za: legalność przetwarzanych danych (czy dane znajdujące się w bazie zostały pozyskane legalnie, również w przypadku zakupu bazy danych), prawidłowość spełnienia obowiązku informacyjnego oraz pozyskanie skutecznych i ważnych zgód. Wszelkie obowiązki wynikające z przetwarzania danych osobowych w ramach prowadzonego cold mailingu spoczywają na podmiocie, który go realizuje (w tym również obowiązek informacyjny, o którym mowa w art. 14 RODO, w przypadku zakupu bazy danych). 
  2. przedsiębiorca zleca cold mailing firmie zewnętrznej, przy czym cold mailing będzie realizowany w stosunku do podmiotów z bazy danych będących w posiadaniu wykonawcy – w takiej sytuacji to podmiot zewnętrzny odpowiada za legalność posiadanej bazy danych i spełnienie obowiązku informacyjnego. Jednakże, mając na uwadze fakt, iż kampania marketingowa prowadzona jest w imieniu i na rzecz podmiotu zlecającego, należy podkreślić, iż podmiot zlecający uzyska rolę Administratora Danych Osobowych, który będzie zobowiązany do spełnienia obowiązku informacyjnego i pozyskania ważnych zgód, celem prowadzenia komunikacji z potencjalnym klientem.
  3. przedsiębiorca zleca cold mailing podmiotowi zewnętrznemu, przy czym będzie on prowadzony w stosunku do adresatów z bazy danych podmiotu zlecającego – jesteśmy zobowiązani jako Administrator Danych Osobowych do zawarcia z podmiotem zewnętrznym umowy powierzenia przetwarzania danych osobowych zgodnie z przepisem art. 28 RODO. Jako Administrator Danych Osobowych ponosimy również pełną odpowiedzialność za legalność i prawidłowość prowadzonego cold mailingu.
  4. przedsiębiorca zleca cold mailing firmie zewnętrznej, przy czym baza danych adresatów będzie budowana przez wykonawcę, zgodnie z założeniami przekazanymi przez zlecającego, z danych dostępnych publicznie – Administratorem Danych Osobowych będzie podmiot zlecający, tym samym obowiązki z tego wynikające spoczywać będą właśnie na tym podmiocie. Jednakże jeśli po zrealizowaniu umowy, wykonawca będzie korzystał z utworzonej w ten sposób bazy danych również na potrzeby innych klientów, wówczas będzie musiał zweryfikować podstawę prawną swojego działania i określić swoją rolę. Warto w tym miejscu krótko omówić kwestie korzystania na potrzeby cold mailingu z danych dostępnych publicznie. Dane dostępne publicznie to dane, z którymi bez większego nakładu sił i środków może zapoznać się nieograniczony krąg osób. Niezależnie jednak o tego, że dane te zostały upublicznione, należy uznać je za dane osobowe ( o ile będą stanowiły informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej). W przypadku korzystania z danych dostępnych publicznie do celów marketingowych, należy przede wszystkim pamiętać o spełnieniu obowiązku informacyjnego, o którym mowa w art. 14 RODO. Jak wynika jasno z art. 14 ust. 2 lit f) RODO: administrator podaje osobie, której dane dotyczą informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą, w tym źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Sam fakt, iż dane adresatów zostały pozyskane ze źródeł dostępnych publicznie, nie zwalnia zatem Administratora z obowiązku spełnienia w stosunku do tych osób obowiązku informacyjnego.  

Rola Procesora w cold mailingu:

W sytuacji, w której zlecamy firmie zewnętrznej realizację strategii marketingowej w formie cold mailing, wówczas firma ta występuje w roli Procesora. Dzieje się tak dlatego, ponieważ to Administrator Danych Osobowych (firma, która inicjuje wysyłkę wiadomości) decyduje o celach i sposobach przetwarzania danych osobowych, podczas gdy podmiot realizujący tę wysyłkę wykonuje jedynie polecenie Administratora. Procesor nie ma kontroli nad listą adresową i nie może korzystać z niej do celów innych aniżeli określone przez Administratora.  

Podsumowanie:

Cold mailing może być skutecznym narzędziem biznesowym, ale musi być prowadzony z poszanowaniem obowiązujących przepisów, w tym w zakresie ochrony danych osobowych. Rozróżnienie roli Administratora oraz Procesora jest kluczowe i od tego należy zacząć decydując się na korzystanie z tej formy marketingu.

Przed przeprowadzeniem cold mailingu, podmiot musi zrozumieć swoją rolę i obowiązki wynikające z ochrony danych osobowych oraz dostosować swoje działania i środki, aby działać zgodnie z prawem i uniknąć ryzyka naruszenia danych osobowych.

 

 

Zasady naczelne RODO

Zasady ruchu drogowego, zasady współżycia społecznego, zasady wychowania to tylko niektóre z powszechnych znanych nam zasad. Jako zasadę określa się wszelkie normy i sposoby postępowania w określonych sytuacjach, w danej dziedzinie życia, odgórnie sankcjonowane przepisami prawa, których nieprzestrzeganie może powodować przykre konsekwencje.

Artykuł 5 RODO określa kilka podstawowych zasad przetwarzania danych osobowych. Stanowią one drogowskaz dla administratora i podmiotu przetwarzającego w jaki sposób traktować dane osobowe. Są to:

  1. Zgodność z prawem, rzetelność, przejrzystość – zgodnie z zasadą przetwarzanie danych osobowych powinno opierać się na jednej z podstaw prawnych wskazanych odpowiednio w art. 6 RODO bądź 9 RODO w zależności od tego z jakimi danymi osobowymi mamy do czynienia. W przypadku kiedy mówimy o podstawie przetwarzania danych zwykłych w grę wchodzą zgoda, niezbędność do wykonania umowy, obowiązek prawny, ochrona żywotnych interesów oraz prawnie uzasadniony interes administratora. Przetwarzanie danych szczególnych kategorii to oparcie na przesłankach wskazanych enumeratywnie w art. 9 ust 2 RODO. Należy pamiętać również, że nie samym RODO żyją procesy biznesowe. Administrator i podmiot przetwarzający powinni mieć na uwadze zarówno przepisy prawa krajowego jak i europejskiego. Dobrym przykładem zawsze są procesy związane z obsługą kadrową – płacową. Pracodawca jako administrator w przypadku przetwarzania danych osobowych pracowników musi brać pod uwagę nie tylko RODO, ale także przepisy Kodeksu pracy oraz akty z nim powiązane.
  2. Ograniczenie celu – zasada ta została zdefiniowana w art. 5 ust. 1 pkt e) RODO i stanowi dyrektywę nakazującą przechowywanie danych osobowych jedynie przez okres, w jakim przetwarzanie to jest niezbędne dla celów, dla których dane te są przetwarzane. W sytuacji gdy wszystkie cele przetwarzania danych uległy dezaktualizacji dane powinny zostać trwale usunięte. W tym zakresie administrator powinien przygotować i wdrożyć formalną procedurę retencji. Procedura retencji powinna wskazywać maksymalny czas przechowywania danych oraz sposób ich usunięcia.
  3. Minimalizacja danych – zgodnie z tą zasadą dane powinny być adekwatne czyli odpowiednie zgodne, stosowne. Innymi słowy administrator nie powinien zbierać danych osobowych „na zapas”, na przyszłość, bez jasno określonych potrzeb i dla czysto hipotetycznych celów. Z praktyki audytowej mogę powiedzieć, że zasada adekwatności często jest naruszana przez działy HR chociażby poprzez kserowanie dowodów tożsamości, praw jazdy czy legitymacji studenckich. Jest to praktyka nagminna, niestety. O ile niektórzy z odchodzą od tej praktyki na rzecz stosownych oświadczeń/notatek służbowych o tyle niektóry usilnie chcą przetwarzać ww. dokumenty opierając się chociażby o przesłankę zgody. Należy jasno wskazać, że zgoda w takim przypadku w żaden sposób nie uzdrowi takiego procederu.
  4. Prawidłowość – zasada ta jest dość często wykorzystywana przez podmioty danych składających żądania zmiany/aktualizacji danych w procesie obsługi żądań. Administrator powinien dbać o to by dane osobowe były aktualne i prawidłowe.
  5. Integralność i poufność – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Administrator powinien wprowadzić procedurę oceny ryzyka przetwarzania danych, zapewniającą uwzględnienie relewantnych czynników ryzyka oraz udokumentowanie faktu dokonania oceny. W przypadkach określonych w art. 37 RODO należy przeprowadzić ocenę skutków przetwarzania (DPIA).
  6. Rozliczalność – administrator zobowiązany jest być w stanie w dowolnym czasie wykazać, że realizowane przez niego operacje przetwarzania danych są zgodne z podstawowymi zasadami przetwarzania danych określonymi w RODO. Zasada rozliczalności nakłada zatem na administratora danych ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych[1]. Klienci często zadają pytania w jaki sposób mają zapewnić zasadę rozliczalności. Moje doświadczenie pokazuje, że zasada to może być zrealizowana poprzez:
  • wdrożenie dokumentacji RODO, dostosowanej do specyfiki działalności klienta;
  • systematyczne audyty ochrony danych osobowych, zakończone sprawozdaniem;
  • programy szkoleń podnoszących świadomość z zakresu ochrony danych osobowych;
  • powołanie inspektora ochrony danych osobowych i zespołu ochrony danych osobowych;
  • ocenę ryzyka, DPIA, LIA dla procesów przetwarzania opartych na przesłance prawnie uzasadnionego interesu administratora danych.

Niektórzy mówią, że zasady są po to, żeby je łamać. W przypadku naruszenie podstawowych zasad przetwarzania RODO przewiduje przykre konsekwencje, a mianowicie administracyjną karę pieniężną w wysokości do 20 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

[1] Decyzja Prezesa UODO ZSPU.421.3.2019

Dokumentacja z zakresu ochrony danych osobowych

Przygotowanie i wdrożenie właściwej dokumentacji jest jednym z podstawowych elementów wdrożenia systemu ochrony. Wdrożenie RODO jest procesem złożonym i wielowymiarowym. Obejmuje kilka etapów, które powinny być realizowane z uwzględnieniem specyfiki działalności organizacji, rodzaju i zakresu przetwarzanych danych osobowych oraz jej możliwości finansowych i organizacyjnych.

Wdrożenie RODO jest nie tylko spełnieniem obowiązku  prawnego, ale także wielką korzyścią dla organizacji. Pomaga w budowaniu zaufania i lojalności klientów i partnerów biznesowych, poprawia reputację i wizerunek organizacji oraz chroni ją przed negatywnymi skutkami naruszeń ochrony danych osobowych, takimi jak kary finansowe, roszczenia odszkodowawcze czy utrata konkurencyjności na rynku.

Odpowiedzialność za posiadanie prawidłowo sporządzonej dokumentacji w zakresie ochrony danych osobowych i wdrożenie zasad w niej wskazanych ponosi administrator. 

Należy podkreślić, iż przepisy RODO w swej treści wymieniają jedynie kilka dokumentów, których wdrożenie w organizacji jest obligatoryjne. Oznacza to, iż legislator pozostawił administratorom dużą dowolność w kwestii tworzenia dokumentacji dotyczącej ochrony danych osobowych.

Podejmując decyzję, jakie dokumenty wdrożyć w organizacji, należy mieć na uwadze zasadę rozliczalności opisaną w art. 5 ust. 2 RODO. Zgodnie bowiem z jej brzmieniem, administrator musi być w stanie wykazać przestrzeganie zasad:

  • zgodności z prawem, rzetelności i przejrzystości,
  • ograniczenia celu,
  • minimalizacji danych,
  • prawidłowości,
  • ograniczenia przechowywania,
  • integralności i poufności.

W RODO wskazano wprost dokumenty, jakie powinien posiadać administrator.

Do obowiązkowej dokumentacji można zaliczyć:

  • polityki ochrony danych (jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania) – art. 24 ust. 2 RODO;
  • prowadzenie rejestrów czynności przetwarzania danych osobowych i rejestrów kategorii czynności przetwarzania – art. 30 RODO;
  • prowadzenie rejestru naruszeń – art. 33 ust. 5 RODO;
  • sporządzanie raportu dokumentującego wyniki ocen skutków przetwarzania danych – art. 35 ust. 1.

 

Polityki ochrony danych

 

W myśl art. 24 ust. 2 RODO, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, odpowiednie środki techniczne i organizacyjne, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Z kolei zgodnie z motywem 78 RODO, aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Podkreślenia wymaga, iż przepisy RODO nie precyzują jak powinna wyglądać polityka ochrony danych oraz jakie powinna zawierać postanowienia, niemniej, podczas jej tworzenia należy mieć na uwadze zasadę rozliczalności.

Praktyka pokazuje, iż tworząc dokument polityki ochrony danych należy w jej treści uwzględnić takie kwestie, jak:

  1. zasady i cele polityki,
  2. zakres obowiązków i odpowiedzialności w procesie zarządzania bezpieczeństwem danych osobowych;
  3. procedura upoważniania do przetwarzania danych osobowych;
  4. procedura udostępniania i powierzania przetwarzania danych;
  5. realizacja obowiązku informacyjnego i żądania podmiotów danych;
  6. informacje dotyczące prowadzenia rejestry czynności przetwarzania i rejestru kategorii czynności przetwarzania;
  7. analiza ryzyka;
  8. procedura dotycząca realizacji polityki privacy by default, privacy by design oraz DPIA (ocena skutków dla ochrony danych);
  9. zasady wyboru podstawy przetwarzania oraz retencja danych;
  10. środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych;
  11. procedura dotycząca postępowania w przypadku incydentów bezpieczeństwa.

Rejestr czynności przetwarzania danych osobowych i rejestr kategorii czynności przetwarzania

Zgodnie z art. 30 ust. 1 RODO  każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Należy zwrócić uwagę, iż zgodnie z motywem 13 RODO, z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników.  Artykuł 30 ust. 5 RODO doprecyzowuje motyw 13. Stanowi on, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że, przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Grupa Robocza artykułu 29 ds. ochrony danych podkreśla, że brzmienie artykułu 30 ust. 5 RODO jasno przewiduje, że trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.

Rejestry mają formę pisemną, w tym formę elektroniczną.

Zgodnie z motywem 82 RODO, wyróżniamy dwa podstawowe cele prowadzenia rejestrów:

  • zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO;
  • umożliwienie organowi nadzorczemu monitorowania wszystkich procesów przetwarzania danych w organizacji.

Administratorzy lub podmioty przetwarzające oraz – gdy ma to zastosowanie – ich przedstawiciele — mają obowiązek udostępnić rejestry na każde żądanie organu nadzorczego.

Rejestry ułatwiają stałą weryfikację działalności w zakresie przetwarzania danych osobowych — systematyzują wykonywane czynności przetwarzania oraz pomagają w monitoringu prowadzonych operacji przetwarzania danych osobowych pod względem zgodności zarówno z wymaganiami prawnymi, jak i z celami biznesowymi. Informacje zebrane w rejestrach mogą posłużyć również administratorom i podmiotom przetwarzającym do oceny, czy powinni spełnić inne obowiązki wynikające z RODO, np. przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych.

Rejestr naruszeń ochrony danych osobowych

Zgodnie z art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu.

Grupa robocza art. 29 ds. ochrony danych w wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych na mocy RODO zwraca uwagę, iż rozporządzenie nie określa czasu przechowywania takiej dokumentacji. W przypadku, gdy rejestr zawiera dane osobowe, obowiązkiem administratora będzie określenie odpowiedniego okresu przechowywania zgodnie z zasadami dotyczącymi przetwarzania danych osobowych oraz spełnienie wymogów odnośnie podstawy prawnej przetwarzania. Administrator musi przechowywać dokumentację zgodnie z art. 33 ust. 5 RODO na wypadek, gdyby został wezwany do udowodnienia przed organem nadzorczym spełnienia wymogów zapisanych w tym artykule lub zgodności z zasadą rozliczalności. Jeżeli takie rejestry nie zawierają danych osobowych, wówczas zasada ograniczenia przechowywania zawarta w RODO nie ma zastosowania.

Grupa robocza art. 29 zaleca również dokumentowanie uzasadnienia decyzji podjętej w odpowiedzi na naruszenie. W szczególności należy udokumentować powody decyzji o niezgłoszeniu naruszenia. Należy także podać przyczyny, dla których administrator uważa, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.

Biorąc pod uwagę powyższe wytyczne i praktykę, w rejestrze należy ująć:

  • informacje o wystąpieniu zdarzenia i stwierdzeniu naruszenia (data i miejsce zdarzenia, data i źródło uzyskania informacji, data i godzina stwierdzenia naruszenia);
  • opis i okoliczności naruszenia (charakter naruszenia, kategoria osób, zakres danych, liczba osób, których naruszenie dotyczy);
  • skutki naruszenia (opis kategorii naruszenia);
  • środki naprawcze i zaradcze;
  • wynik oceny ryzyka naruszenia;
  • czy zgłoszono naruszenie do PUODO – data zgłoszenia, jeżeli nie to z jakich powodów;
  • czy poinformowano osoby, których dane dotyczą, jeśli tak, to w jaki sposób, jeśli nie, to dlaczego.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO.

Jak wskazuje art. 33 ust. 5 RODO, organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na zweryfikowanie przestrzegania RODO w zakresie tych obowiązków. Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Ocena skutków dla ochrony danych (DPIA)

Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Zatem, DPIA to proces, który prowadzi do oceny, czy przy przetwarzaniu danych osobowych występuje ryzyko naruszenia praw osób, których dane dotyczą.

Proces ten ma być realizowany przed przystąpieniem do przetwarzania danych (na etapie planowania) i dotyczy niektórych rodzajów przetwarzania, z którymi może wiązać się wysokie ryzyko.

Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO;
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ocena powinna zawierać co najmniej:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Praktyka pokazuje, że katalog dokumentacji RODO nie jest wystarczający, aby administrator mógł skutecznie wykazać, że jego działalność jest zgodna z przepisami dotyczącymi ochrony danych osobowych.

Doświadczenie, potrzeby organizacji, a także decyzje i wytyczne Prezesa UODO pozwalają zidentyfikować dokumenty, które są niezbędne do przestrzegania przepisów RODO oraz są narzędziami do skutecznego zarządzania procesami związanymi z ochroną danych osobowych.

Do dodatkowej dokumentacji, którą należy prowadzić mając na względzie zasadę rozliczalności, należą m.in.:

  • wzory rejestrów z zakresu ochrony danych osobowych: rejestr upoważnień, szkoleń, wniosków podmiotów danych, danych udostępnionych, które umożliwią wykazanie przestrzegania przepisów RODO;
  • wzory klauzul informacyjnych oraz klauzul zgód dostosowane do aktualnych potrzeb biznesowych, które zapewnią spełnienie obowiązku informacyjnego wobec podmiotu danych;
  • wytyczne dotyczące przeprowadzenia testu równowagi, w których zawarte będą informacje, w jaki sposób należy przeprowadzić test polegający na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych;
  • wzór umowy powierzenia, która będzie regulowała relacje pomiędzy administratorem i podmiotem przetwarzającym oraz rejestr umów powierzenia;
  • zasady weryfikacji podmiotu przetwarzającego na etapie wyboru oraz w toku realizacji umowy, które pomogą w spełnieniu obowiązku prawnego przed oraz trakcie powierzenia przetwarzania danych;
  • wewnętrzne procedury i instrukcje dotyczące oceny skutków dla ochrony danych, podejścia privacy by default i privacy by design, które pozwolą zapewnić, że dane osobowe będą chronione przez cały cykl istnienia określonego procesu biznesowego w organizacji, począwszy od fazy jego planowania, poprzez projektowanie, tworzenie, wdrożenie, stosowanie, aż po zakończenie działania danego procesu;
  • wzory upoważnień do przetwarzania danych osobowych i oświadczeń o zachowaniu danych w poufności, które są wymagane aby poszczególne osoby mogły przetwarzać dane osobowe w organizacji;
  • plan retencji danych osobowych, który będzie określał czas przetwarzania danych oraz zasady postępowania w zakresie ustalania czasu przetwarzania danych osobowych przez organizację;
  • polityka kontaktów z organem nadzorczym, która będzie opisywała zasady i tryb kontaktów administratora z organem nadzorczym;
  • dokumentacja dotycząca transferów danych poza EOG;
  • standardowe klauzule umowne;
  • dokumenty regulujące bezpieczeństwo danych osobowych (np. polityka bezpieczeństwa IT).

Wskazany wyżej katalog nie jest zamknięty, powinien być on dostosowany do potrzeb danej organizacji i ryzyk w niej występujących. To zakres działalności administratora wyznacza w dużej mierze obszar do regulacji w zakresie ochrony danych osobowych.

Należy podkreślić, iż ważne jest nie tylko posiadanie odpowiedniej dokumentacji, ale również jej wdrożenie i codzienne stosowanie. W związku z tym, dokumentacja dotycząca ochrony danych osobowych powinna wejść do zbioru regulacji wewnętrznych. Istotne jest również to, aby organy spółki, wszyscy pracownicy oraz współpracownicy zapoznali się z dokumentacją, a także wiedzieli jak ją stosować. Dokumentacja powinna być regularnie sprawdzana i aktualizowana, zarówno wtedy gdy w organizacji zmieniają się procesy, jak również wtedy gdy zmianie ulega stan prawny. 

Chat GPT i sztuczna inteligencja, a przepisy o ochronie danych osobowych

Co to jest Chat GPT? Poznaj możliwości sztucznej inteligencji w komunikacji

ChatGPT („Generative Pre-trained Transformer” czat) to narzędzie w formie aplikacji on-line, służące do komunikacji z wykorzystaniem sztucznej inteligencji. Narzędzie to, które stworzyło laboratorium badawcze OpenAI, opiera się na „wielkich modelach językowych” (LLM – Large Language Models), bazujących na tzw. „głębokim uczeniu” (deep learning) i służy generowaniu tekstu, który naśladuje język naturalny.

Algorytm, wykorzystujący LLM, został wyuczony na danych, pochodzących z tekstów zaczerpniętych ze stron internetowych, a także innych źródeł, takich jak artykuły prasowe, prace naukowe, książki, czasopisma czy treści pochodzące z mediów społecznościowych.

Zgodnie z rekomendacjami OECD, narzędzia AI (do których należy ChatGPT) opisano jako „systemy oparte na koncepcji maszyny, która może przewidywać, rekomendować oraz podejmować decyzje mające wpływ na środowisko rzeczywiste lub wirtualne”.

Jak działa Chat GPT?

Specjalny algorytm analizuje relacje, zachodzące między różnymi wyrazami i przekształca je w tzw. „modele prawdopodobieństwa”. Zadając algorytmowi pytanie udzielamy mu tzw. „podpowiedzi” (prompts), wymuszając jego odpowiedź, powstałą na bazie relacji słów, zapamiętanych w procesie wyuczania.

Dzięki technologii LLM użytkownik ma wrażenie, jakby rozmawiał z żywą osobą, która na zadane przez niego pytania (prompts) udziela skutecznych odpowiedzi.

Obecnie ChatGPT stanowi zamknięty model językowy, z bazą danych (w wersji bezpłatnej) aktualną na wrzesień 2021 r. Oznacza to, że model ten został wytrenowany na podstawie informacji dostępnych w sieci, i nie tylko, wyłącznie w tym właśnie okresie. Niewykluczone jednak, że następna jego wersja, bądź wersja płatna już istniejącego modelu, zostanie zintegrowana z wyszukiwarką internetową, co sprawi, że informacje i dane, stanowiące zasób językowy modelu, staną się aktualne na chwilę, w której użytkownik z niego korzysta; co więcej – wprowadzane w formie zapytań informacje mogą zostać do niego dołączane w sposób automatyczny.

Dane osobowe w systemach opartych na LLM

Niezależnie od powyższego, już teraz każde zapytanie użytkownika jest widoczne dla twórcy i właściciela ChatGPT. Każdy „prompt” jest bowiem zachowywany i może być wykorzystany do rozwoju modelu. Wobec powyższego należy bardzo ostrożnie formułować zapytania pod kątem zawartych w nich informacji, w szczególności należy zadbać o to, aby w zapytaniach do ChatGPT nie podawać informacji o charakterze danych osobowych, bądź informacji poufnych.

Z punktu widzenia bezpieczeństwa użytkownika takich narzędzi jak ChatGPT ważne jest, aby twórcy oprogramowania, wykorzystującego modele oparte na LLM wykonywali obowiązki wynikające z przepisów o ochronie danych osobowych, takie jak:

  • wskazanie podstawy prawnej do przetwarzania danych osobowych w celu trenowania algorytmów;
  • określenie swojej roli w procesie przetwarzania danych osobowych jako administratora, współadministratora bądź podmiotu przetwarzającego;
  • sporządzenie i udokumentowanie oceny skutków dla ochrony danych (DPIA) w celu oszacowania i ograniczenia możliwych zagrożeń związanych z ochroną danych;
  • spełnienie obowiązków informacyjnych wobec osób, których dane są przetwarzane, chyba że zastosowanie znajdują wyjątki, wskazane w art. 14 ust. 5 RODO;
  • zabezpieczenie przetwarzanych danych w celu minimalizacji ryzyka związanego z ich wyciekiem bądź cyberatakiem;
  • zapewnienie minimalizacji danych, tj. ograniczania ich przetwarzania do niezbędnego minimum;
  • wykonywanie obowiązków w zakresie obsługi żądań podmiotów danych na podst. art. 15 – 22 RODO;
  • udzielanie informacji dotyczących wykorzystywania modelu LLM do podejmowania zautomatyzowanych decyzji, w tym profilowania (art. 22 RODO);
  • zapewnienie ochrony danych osobowych w fazie projektowania (privacy by design) i domyślnej ochrony danych (privacy by default), określonych w art. 25 RODO.

Zgodnie z najnowszym stanowiskiem krajowego organu nadzorczego (UODO), „przetwarzanie danych osobowych z wykorzystaniem AI nie jest wykluczone, niemniej jednak algorytmy i systemy sztucznej inteligencji muszą zapewniać odpowiednio wysoki poziom bezpieczeństwa danych osobowych”. AI nie może bowiem godzić w prywatność i ochronę danych osobowych. Szczególny więc nacisk należy położyć na sporządzenie oceny skutków dla ochrony danych (DPIA). Administrator zaś, zamierzający korzystać z narzędzi, opartych o AI, winien stosować podejście oparte na ryzyku.

Komisja Europejska już od 2020 r. pracuje nad „Aktem w sprawie sztucznej inteligencji” (AI Act). Ten unijny dokument, który został ogłoszony w formie Rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii będzie pierwszym na świecie aktem prawnym, kompleksowo regulującym kwestie związane ze sztuczną inteligencją. Latem 2023 r. projekt powinien zostać zaprezentowany na forum sesji plenarnej Parlamentu Europejskiego, natomiast zakończenie prac zostało zaplanowane na koniec 2023 r. W projekcie aktu napisano, że AI jest „oprogramowaniem, opracowanym przy wykorzystaniu określonych technik i podejść, które może dla danego zestawu celów określonych przez człowieka generować wyniki (treści, przewidywania, zalecenia lub decyzje) wpływające na środowiska, z którymi wchodzi w interakcję”. Zgodnie z założeniami, przepisy unijne będą regulować funkcjonowanie AI w sposób ukierunkowany na człowieka.

We wrześniu 2022 r. francuski organ nadzorczy CNIL opublikował przewodnik, wraz z ankietą, umożliwiającą sprawdzenie, czy narzędzia AI, stosowane w systemach opartych na LLM, zapewniają zgodność z RODO. Do najważniejszych elementów, koniecznych do zweryfikowania przed wdrożeniem narzędzi AI, CNIL zaliczył:

  • konieczność stosowania podejścia, opartego na ryzyku (na etapie projektowania i rozwoju systemu);
  • konieczność sprawowania nadzoru nad automatycznym podejmowaniem decyzji;
  • konieczność zapewnienia, że system po wdrożeniu będzie spełniał wszystkie, założone wymogi operacyjne – zgodnie z projektem;
  • konieczność zapewnienia unikania przez algorytmy dyskryminacji;
  • konieczność minimalizacji ryzyka niestabilności systemu.

Rozwojowi AI przygląda się również Europejska Rada Ochrony Danych (EROD). W kwietniu br. EROD utworzyła specjalną grupę roboczą, której celem jest wspieranie współpracy i wymiany informacji związanych z, podejmowanymi przez europejskie organy nadzorcze, działaniami dotyczącymi egzekwowania prawa związanego z AI. Jednym z pierwszych zadań, postawionych przed tą grupą będzie dokonanie weryfikacji, czy ChatGPT nie narusza przepisów RODO, w szczególności dotyczących takich obszarów jak:

  • przetwarzanie danych, które trafiły do bazy danych, dzięki której system się „uczy”;
  • etykietowanie danych (pozwalających na identyfikację konkretnych podmiotów danych) w trakcie „uczenia” systemu;
  • odpowiedzialność za wykorzystanie cudzych danych;
  • zapisywanie i przechowywanie treści wprowadzonych przez użytkownika.

Powołanie tejże grupy roboczej związane było z decyzją włoskiego urzędu ds. ochrony danych osobowych (GARANTE) o czasowym zablokowaniu ChatGPT we Włoszech. Źródłem takiej decyzji było podejrzenie, iż aplikacja może nie posiadać „jakiejkolwiek podstawy prawnej, która uzasadniałaby masowe zbieranie i przechowywanie danych osobowych w celu uczenia modelu”.

 

W odpowiedzi na zarzuty, podniesione w w/ w decyzji, OpenAI zaproponował rozwiązania, zmierzające do spełnienia żądań organu w zakresie ochrony danych osobowych, polegające między innymi na podjęciu szeregu działań, zmierzających do usunięcia danych osobowych ze zbiorów szkoleniowych dla modelu. Podkreślono jednak, że działania te podejmowane będą wyłącznie tam, gdzie będzie to możliwe. OpenAI zobowiązał się ponadto do wykonywania praw, przysługujących podmiotom danych na mocy art. 15-22 RODO.

Sztuczna inteligencja oraz oparte na niej narzędzia technologiczne coraz dynamiczniej wdzierają się w nasze życie i proces ten wydaje się nie do zatrzymania. Po to, aby korzystanie z tych narzędzi było bardziej bezpieczne oraz nie narażało użytkowników na utratę prywatności konieczne jest współdziałanie wszystkich zainteresowanych oraz odpowiedzialnych za ochronę prywatności podmiotów, czego wyrazem będzie stworzenie adekwatnych ram prawnych, skutecznie regulujących rynek nowych technologii, czyniąc go miejscem bezpiecznym dla każdego z uczestników.




Wdrożenie RODO – oferta cenowa

Zewnętrzny Inspektor Ochrony Danych

Audyt RODO

Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO) a RODO – podstawowe różnice

RODO[i], jako akt prawa adresowany abstrakcyjnie, tj. do wszystkich, którzy przetwarzają dane osobowe na terytorium Unii Europejskiej, przewiduje w art. 2 ust. 2 wyłączenie (w konkretnych okolicznościach) tego aktu z stosowania wobec ściśle określonych podmiotów. Przepis stanowi, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych m.in.: przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom[ii],

Nie oznacza to jednak luki prawnej albowiem system ochrony danych adresowany do organów ściągania[iii]. reguluje dyrektywa 2016/680[iv], która do polskiego porządku prawnego została implementowana ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości[v] (zwaną też na wzór abrewiacji samego rozporządzenia: ustawą DODO). Zarówno RODO, jak i DODO stanowią niezależne od siebie podstawy prawne przetwarzania danych adresowane do innego kręgu podmiotów przetwarzających. Przy czym oba akty się przenikają[vi], a podmioty odpowiedzialne za ściganie i zwalczanie przestępczości są zobowiązane również do przestrzegania RODO[vii]. Podstawowe różnice pomiędzy RODO a DODO można przyporządkować do pięciu najważniejszych kategorii: (1) podstaw prawnych przetwarzania danych osobowych, (2) wymogów posiadania i prowadzenia dokumentacji, (3) prawa osób, których dane dotyczą, (4) obowiązku informacyjnego, oraz (5) konieczności wyznaczenia Inspektora Ochrony Danych, których ilustracją jest tabela jak następuje.

 

 

Ustawa DODO przewiduje także kary za przetwarzanie danych, gdy do ich przetwarzania podmiot nie jest uprawniony lub gdy udaremnia, lub istotnie utrudnia przeprowadzenie kontroli przez Prezesa UODO. Są nimi: grzywna, kara ograniczenia wolności albo pozbawienie wolności do dwóch lat. Jeżeli czyn dotyczy danych wrażliwych, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech[ix].


[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119 z 4.05.2016, s. 1-88.

[ii] W tym takie organy jak: Sąd Najwyższy, Sądy powszechne, Sądy administracyjne, Sądy wojskowe, Trybunał Konstytucyjny, Trybunał Stanu, Prokuratura, Instytut Pamięci Narodowej, Służba Ochrony Państwa, Policja, Centralne Biuro Śledcze Policji, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Prezes Urzędu Ochrony Konkurencji i Konsumentów, Inspekcja Drogowa, Straż Rybacka, Inspekcja Kontroli Skarbowej, Inspekcja Pracy, Inspekcja Handlowa, Państwowa Inspekcja Sanitarna, Inspekcja Weterynaryjna, Inspekcja Ochrony Środowiska, Państwowa Inspekcja Farmaceutyczna, przewoźnicy lotniczy, podmioty odpowiedzialne za bezpieczeństwo imprez masowych, czy komornik egzekwujący kary w postępowaniu karnym. Szerzej zob. S. Serafin, W. Szmulik, Organy ochrony prawnej RP, C.H. Beck, Warszawa 2010.

[iii] Ustawy nie stosuje się w sprawach danych przetwarzanych przez: Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne – w zakresie zapewnienia bezpieczeństwa narodowego.  Jak podkreśla się w doktrynie, ustawa – niezgodnie z dyrektywą 2016/680 – wyłącza swoje zastosowanie także do danych osobowych znajdujących się w aktach spraw lub czynności lub urządzeniach ewidencyjnych prowadzonych w postępowaniach: (a) w stosunku do nieletnich, (b) karnych, w tym karnych wykonawczych i karnych skarbowych, (c) wobec osób z zaburzeniami psychicznymi stwarzającymi zagrożenie dla życia, zdrowia lub wolności seksualnej i innych osób. Zob. P. Liwszic, T. Ochocki, Ł. Pociecha, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[iv] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (zwaną „dyrektywą policyjną”), Dz.Urz. UE L 119 z 4.05.2016, s. 89-131.

[v] Dz.U. z 2019 r., poz. 12

[vi] Przykładem mogą być definicje wprowadzone przez RODO, które analogicznie stosuje się do DODO jak: administrator danych, dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych. Nadto, oba akty prawne przewidują nadzór jednego organu, tj. Prezesa Urzędu Ochrony Danych.

[vii] We wszystkich sprawach, w których przetwarzanie danych osobowych odbywa się w jednym z wymienionych celów, mają zastosowanie przepisy wdrażające dyrektywę. Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO, np. rekrutacją pracowników czy prowadzeniem spraw kadrowych. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO. Szerzej zob. A. Grzelak, Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz, C.H. Beck, Warszawa 2019.

[viii] Administratorzy danych zobowiązani do wyznaczenia IOD na podstawie ustawy najczęściej będą równolegle zobowiązani do wyznaczenia IOD na gruncie RODO, a zatem będą mogli wyznaczyć IOD na gruncie dwóch regulacji: art. 46 ustawy DODO oraz art. 37 ust. 1 RODO.

[ix] Rozdział 8 ustawy z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r., poz. 125).