Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO – mówi Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych.

Publikacja: 10.04.2023 11:09

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

Foto: mat. prasowe

W lutym Komisja Europejska przyjęła wytyczne dla wyszukiwarek i platform internetowych w sprawie publikowania numerów użytkowników w UE. Jakie to ma znaczenie dla ochrony danych osobowych?

Przede wszystkim pozwoli to na przeciwdziałanie zagrożeniom w internecie, tworząc bezpieczniejszą przestrzeń cyfrową dla użytkowników i zapewniając im ochronę praw. Nałożenie na platformy internetowe nowych istotnych obowiązków zapewni także ich przejrzystość i rozliczalność, chociażby przez ograniczenie możliwości wyłudzania nieświadomej zgody użytkownika na przetwarzanie jego danych osobowych, czy wykorzystywania jego danych do rekomendowania sprofilowanych treści.

W tym roku ma zostać przyjęta tzw. dyrektywa NIS2. Co ona zmieni i w jaki sposób ma zwiększyć poziom cyberbezpieczeństwa?

Niezwykle istotne z puntu widzenia cyberbezpieczeństwa jest fakt, że firmy objęte dyrektywą będą zobligowane do regularnego przedstawiania informacji na temat prowadzenia polityki cyberbezpieczeństwa, przeprowadzonej oceny ryzyka czy audytów bezpieczeństwa, a w przypadku zaobserwowania wszelkich nieprawidłowości będą musiały powiadomić o tym fakcie władze i niezwłocznie podjąć działania, które pozwolą na usunięcie zagrożenia. Na podmioty, które nie wywiążą się z nałożonych obowiązków, może zostać nałożona kara finansowa.

Czytaj więcej

Zakaz profilowania także przez firmy prywatne. Stanowisko rzecznika TSUE

W 2023 r. wejdzie też w życie rozporządzenie ws. zarządzania danymi. Jakie będą skutki tej regulacji?

Ma ona na celu m.in. zwiększenie zaufania do wymiany danych dając obywatelom możliwość większej kontroli w kwestii ich udostępniania i wykorzystywania. Zasady i ramy prawne wynikające z rozporządzenia umożliwią opracowanie i dostosowanie regulacji obejmujących wymianę i udostępnianie danych w poszczególnych sektorach. Odpowiednie zarządzanie danymi pozwoli na rozwój innowacyjnych rozwiązań (opartych na uczeniu maszynowym), z poszanowaniem europejskich praw, i umożliwi obywatelom czerpanie korzyści z dobrodziejstw nowych i innowacyjnych technologii.

Jakie zagrożenia dla prywatności powodują coraz popularniejsi „wirtualni asystenci głosowi”?

Wytyczne EROD 02/2021 w tej sprawi zwracają uwagę na szereg aspektów, które powinny być brane pod uwagę przez twórców takich rozwiązań, ale i przez ich użytkowników, którzy nie zawsze są świadomi tego, do jak wielu danych o nas mają dostęp takie rozwiązania. Takie aplikacje mogą być cały czas aktywne, nawet gdy z nich na co dzień nie korzystamy, np. w smartfonach. Człowiek może nawet nie wiedzieć, że jego dane są przetwarzane w sytuacji przypadkowego wydania polecenia asystentowi głosowemu. Taka funkcjonalność nie powinna być domyślnie uruchomiona, jedynie sam użytkownik mógłby ją włączyć. Usługi tego rodzaju często korzystają z danych zapisanych w naszych telefonach czy łączą się z kolejnymi aplikacjami, w których również są dane na temat naszej aktywności, lokalizacji, historii wyszukiwania czy planowanych spotkań, ale też umówionych wizyt lekarskich. Takie narzędzie ma więc nie tylko dostęp do bardzo wielu informacji, ale i przetwarza je na serwerach twórcy takiego oprogramowania. Ponadto te dane może przetwarzać nawet kilka podmiotów współpracujących z dostawcą – np. projektant usługi czy programista. A to oznacza, że realizacja naszych praw wynikających z RODO może być utrudniona, gdy pytania czy żądania kierujemy tylko do jednego podmiotu. Z każdą nową funkcjonalnością zakres przetwarzanych danych będzie się jeszcze bardziej rozrastać, a oprogramowanie może też rejestrować głos osób postronnych. A pamiętajmy, że RODO wymaga, by informacje na ten temat były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.

Na ile rozwój sztucznej inteligencji będzie stanowił wyzwanie dla ochrony prywatności?

Większość obecnych systemów SI oparta jest na automatycznym wyszukiwaniu zależności pomiędzy ogromną ilością danych, co może prowadzić do dyskryminacji, szczególnie w sytuacji, kiedy analizie zostały poddane niekompletne lub niewystarczające dane. Niejednokrotnie błędnie identyfikuje płeć oraz osoby o innym kolorze skóry niż biały, przez co może dojść do naruszenia prywatności, co w konsekwencji może zostać odebrane jako dyskryminacja ze względu na płeć czy pochodzenie etniczne. Konieczne jest więc, aby proces był kontrolowany przez człowieka w celu wychwycenia potencjalnych błędów i ich ewentualnej korekty. Systemy sztucznej inteligencji, które wykorzystują dane osobowe do podejmowania decyzji, muszą być przejrzyste i rozliczalne, aby zapewnić, że nie podejmują niesprawiedliwych lub stronniczych decyzji.

Systemy sztucznej inteligencji, które wykorzystują dane osobowe do podejmowania decyzji, muszą być przejrzyste i rozliczalne, aby zapewnić, że nie podejmują niesprawiedliwych lub stronniczych decyzji.

Jakub Groszkowski

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO, w tym minimalizacji danych, prawidłowości czy integralności. Ponadto istotne jest, aby nieustannie zwiększać świadomość społeczeństwa na temat zagrożeń, konsekwencji, zabezpieczeń i praw przysługujących w związku z przetwarzaniem danych osobowych, również w kontekście AI.

Rząd wycofał się z poprawek do prawa komunikacji elektronicznej, rozszerzających obowiązek retencji danych na dostawców komunikatorów. Czy jednak nie należało by pójść o krok dalej i usunąć też obowiązek retencji dla telekomów, który wielokrotnie był uznany za bezprawny przez TSUE?

Problematyka retencji danych telekomunikacyjnych od wielu lat jest przedmiotem szczególnego zainteresowania organu nadzorczego. W przeszłości formułował on wiele uwag ws. regulacji odnoszących się do retencji danych telekomunikacyjnych – zarówno na etapie ich projektowania, jak i np. po orzeczeniach TSUE odnoszących się do tej tematyki (w pismach do właściwych ministerstw). W opinii UODO brak kontroli nad dostępem do danych powinien mieć miejsce jedynie w wyjątkowych sytuacjach, gdy zachodzi potrzeba natychmiastowego działania służb. Zdajemy sobie sprawę, że w określonych sytuacjach taki dostęp do danych telekomunikacyjnych jest służbom niezbędny, jednakże decyzja ta powinna być poprzedzona analizą.

Czy są szanse, że w tym roku zostanie stworzona Zintegrowana Platforma Analityczna i jakie z niej wynikają korzyści?

Przepisy dotyczące Zintegrowanej Platformy Analitycznej już funkcjonują. Trzeba powiedzieć, że organ nadzorczy zgłaszał na każdym etapie prac legislacyjnych uwagi do tego rozwiązania. Wskazywał np., że mogą one budzić zastrzeżenia dotyczące gwarancji ochrony danych osobowych i poszanowania zasad przetwarzania przewidzianych w RODO. Funkcjonowanie tej platformy zakłada przetwarzanie danych obywateli na wielką skalę, a przepisy te prowadzą do łączenia zbiorów danych, co rodzi wątpliwości co do zgodności z określonymi w RODO zasadami minimalizacji danych i ograniczenia celu, a w konsekwencji także zasady zgodności z prawem. Przepisy dotyczące ZPA są bardzo ogólne, a wiele czynności i zasad związanych z przetwarzaniem danych w tym ich przekazywaniem ma być określona w rozporządzeniu i porozumieniach między podmiotami publicznymi. Należy mieć na uwadze, że akt rangi podustawowej i porozumienia wewnętrzne pomiędzy administratorami nie powinny regulować kluczowych procesów przetwarzania danych osobowych i to danych szczególnych kategorii, objętych także tajemnicami prawnie chronionymi, ukształtowanymi w odrębnych ustawach bez uprzednich zmian w tychże aktach.

Jakie są sporne kwestie dotyczące dopuszczalności reklamy behawioranej?

UODO z dużą ostrożnością podchodzi do praktyk reklamy behawioralnej, czyli takiej, która opiera się na śledzeniu zachowań użytkowników w internecie, takich jak przeglądane strony internetowe, wyszukiwane hasła, aktywność na portalach społecznościowych itp., w celu personalizacji reklam. Najbardziej sporna w przypadku przetwarzania danych do takich celów jest podstawa, na jakiej się to dokonuje, oraz przejrzystość z tym związana. Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczące cech behawioralnych osoby fizycznej należą do danych biometrycznych, a więc do szczególnych kategorii danych osobowych. Przetwarzanie ich co do zasady jest zabronione – możliwe jedynie w drodze wyjątków, o których mowa w art. 9 RODO. Jednym z nich jest np. zgoda osoby, której dane dotyczą. Taka reklama może naruszać prywatność użytkowników, gdyż zbierane są informacje o ich zachowaniach i preferencjach w sposób, który nie zawsze jest przez nich świadomy i na który nie dali oni wyraźnej zgody.

A jak się do tego podchodzi w innych krajach?

W 2022 r. belgijski organ nadzorczy stwierdził naruszenie zasad ochrony danych osobowych przez IAB Europe m.in. w związku ze stosowaniem technologii reklamy behawioralnej i ukarał tę spółkę karą pieniężną w wysokości 250 tys. EUR. Wskazał m.in. na niewłaściwą podstawę przetwarzania danych. Również irlandzki organ nadzorczy w następstwie wiążących decyzji EROD w sprawie rozstrzygania sporów nałożył kary pieniężne na administratora Facebooka i Instagrama, (tj. spółkę Meta IE) za brak podstawy prawnej do przetwarzania danych do celów reklamy behawioralnej. Za Facebooka – 210 mln euro, za Instagrama – 180 mln. Chodziło o to, że Meta IE niewłaściwie powołała się na umowę jako podstawę prawną do przetwarzania danych osobowych w kontekście warunków świadczenia usług Facebooka i warunków korzystania z Instagrama do celów reklamy behawioralnej.

Niedawno NSA uznał, że prawo do bycia zapomnianym (art. 17 RODO) stosuje się także do archiwalnych materiałów prasowych. Czy to nie rodzi zagrożenia dla wolności prasy?

Zdaniem sądu udostępnienie przez wydawcę publikacji archiwalnej nie stanowi działalności prasowej korzystającej z wyłączenia wynikającego z klauzuli prasowej. Udostępnianie archiwalnych materiałów prasowych nie jest również niezbędne do korzystania z prawa do wolności wypowiedzi, gdyż te zostało zrealizowane pierwotną publikacją. Z orzeczenia wynika więc, że organ administracji publicznej powinien, zgodnie z art. 17 ust. 3 lit. a RODO, ocenić czy przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Ocena braku niezbędności nie powoduje sama z siebie konieczności nakazania przez organ usunięcia danych, a dopiero otwiera drogę do oceny czy zaistniały okoliczności uzasadniające ich usunięcie wskazane art. 17 ust. 1 rozporządzenia 2016/679. Są to w szczególności sytuacje, gdy: dane nie są niezbędne do celów, dla których zostały zebrane; były przetwarzane niezgodnie z prawem; lub istnieje przepis prawa zobowiązujący administratora do usunięcia tych danych.

Czytaj więcej

Wydawcy pod ścianą po wyroku NSA. Prawo do bycia zapomnianym działa wstecz

Czyli wszystko pozostaje w gestii UODO?

W kompetencji organu pozostaje wyłącznie badanie tego, czy osoba, której dane dotyczą, może skorzystać z prawa do zapomnienia. Niestety w wyroku nie znajdujemy konkretnych wytycznych, na jakiej podstawie prawnej organ administracji publicznej ma ocenić zaistnienie przesłanek uzasadniających nakazanie usunięcia danych. Sąd zdaje się nie zauważać, że organ może dokonać oceny legalności przetwarzania tzw. danych zwykłych w oparciu o przesłanki określone w art. 6 ust. 1 rozporządzenia 2016/679. Nie może natomiast oceniać czy publikacja określonych informacji jest prawdziwa. Podobnie rolą organu nie jest wydawanie wiążących ocen, czy w konkretnym przypadku dane były niezbędne dla sporządzenia i przygotowania materiału prasowego. W tym zakresie właściwe są przepisy prawa prasowego. Roszczenia mogą być dochodzone na zasadach ogólnych. Orzeczenie ma ogromne znaczenie dla praktyki ze względu na delikatną materię, której dotyka. Z jednej strony chodzi o zachowanie swobody prasy, poszanowania tajemnicy dziennikarskiej, wolności wyrażania opinii i krytyki, z drugiej – poszanowania prawa do ochrony danych. Istnieje ryzyko nadużywania przepisów RODO w celu usunięcia danych z publikacji prasowych przez osoby niezadowolone z poruszonych w nich kwestii. Niebagatelne znaczenie ma również kwestia tajemnicy dziennikarskiej.

Jakie są główne cele i wyzwania, które stawia sobie UODO na rok 2023?

W ramach planu kontroli sektorowych na ten rok zweryfikujemy sposób przetwarzania danych osobowych przy użyciu internetowych oraz mobilnych aplikacji. Zdajemy sobie sprawę z tego jak bardzo przyspieszyła cyfryzacja społeczeństwa i rozpowszechniły się z e-usługi. Ale widzimy też zagrożenia naruszania przepisów RODO przez podmioty, które przetwarzają dane użytkowników aplikacji. Biorąc pod uwagę nowe regulacje unijne, rozwój sztucznej inteligencji, decyzja o obszarach kontroli sektorowej nie mogła być inna. Kolejne wyzwanie na ten rok to ujednolicenie podejścia do ochrony danych osobowych i prawa do prywatności, zarówno przez ustawodawcę jak i sądownictwo. Niepokoją nas choćby różne podejścia do samego faktu uznania danych osobowych. Przykładem mogą być wyroki ws. związanych z numerem telefonu czy numerem rejestracyjnym pojazdu, a także odnoszące się do przetwarzania danych osobowych po zakończeniu dokonywania oceny zdolności kredytowej i analizy, gdy nie doszło do zawarcia umowy kredytu. Niestety bywa, że zapadające wyroki są niespójne, a w uzasadnieniu brak jest jasnych wskazówek dla organu.

Transatlantyckie Ramy Ochrony Danych Osobowych to nowe porozumienie między Unią Europejską a USA ws. przekazywania danych. Czym różnią się one od „Tarczy Prywatności”, którą mają zastąpić?

Nowy mechanizm zakłada szereg rozwiązań, których brakowało w Tarczy Prywatności, m.in. wprowadzenie wymogów dotyczących zasad konieczności i proporcjonalności w odniesieniu do gromadzenia danych osobowych przez amerykańskie służby wywiadowcze oraz nowych ulepszonych procedur odwoławczych dla obywateli Unii Europejskich, które zapewniają większą niezależność organu, wprowadzają skuteczniejsze mechanizmy usuwania naruszeń oraz dodatkowe zabezpieczenia dla osób, których dane dotyczą.

Jednak część wątpliwości związanych z odpowiednią ochroną danych i prywatności Europejczyków pozostaje aktualnych. Dotyczą w szczególności dalszego przekazywania danych, zakresu wyłączeń prawa dostępu do nich, braku kluczowych definicji i szczegółowych zasad dotyczących zautomatyzowanego podejmowania decyzji i profilowania, tymczasowego masowego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu odwoławczego. EROD rekomenduje w swojej opinii z lutego uzależnienie nie tylko wejścia w życie, ale również przyjęcia decyzji o odpowiednim poziomie ochrony od przyjęcia przez wszystkie amerykańskie agencje wywiadowcze zaktualizowanych polityk i procedur służących wdrożeniu rozporządzenia wykonawczego. W rozporządzeniu wprowadzono pojęcia konieczności i proporcjonalności w odniesieniu do gromadzenia danych przez wywiad amerykański. Ponadto, EROD podkreśla, że poziom ochrony nie może być osłabiony przez dalsze przekazywanie danych. Dlatego też zwraca uwagę Komisji, że zabezpieczenia nałożone przez pierwotnego odbiorcę na importera w państwie trzecim muszą być skuteczne w świetle prawodawstwa państwa trzeciego przed dalszym transferem.

Rozmawiał Szymon Cydzik

W lutym Komisja Europejska przyjęła wytyczne dla wyszukiwarek i platform internetowych w sprawie publikowania numerów użytkowników w UE. Jakie to ma znaczenie dla ochrony danych osobowych?

Przede wszystkim pozwoli to na przeciwdziałanie zagrożeniom w internecie, tworząc bezpieczniejszą przestrzeń cyfrową dla użytkowników i zapewniając im ochronę praw. Nałożenie na platformy internetowe nowych istotnych obowiązków zapewni także ich przejrzystość i rozliczalność, chociażby przez ograniczenie możliwości wyłudzania nieświadomej zgody użytkownika na przetwarzanie jego danych osobowych, czy wykorzystywania jego danych do rekomendowania sprofilowanych treści.

Pozostało 96% artykułu
Podatki
Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA
Prawo w Polsce
Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Praca, Emerytury i renty
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Prawo karne
Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach