Internet kipi aktywnością. W ciągu 60 sekund użytkownicy i użytkowniczki wysyłają 187 milionów e-maili, ściągają 375 tysięcy aplikacji mobilnych, generują 3,7 miliona wyszukiwań w Google. Przy okazji zostawiają w sieci dziesiątki, często wrażliwych, danych osobowych. Jak polskie prawo reguluje kwestię zbierania i przetwarzania danych osobowych przez systemy komputerowe symulujące ludzkie myślenie (AI)? Czy RODO faktycznie chroni dane osobowe? – wyjaśnia prawnik dr Michał Rudy.
Redakcja Uniwersytetu SWPS: Jak polskie prawo reguluje kwestię zbierania i przetwarzania danych osobowych przez systemy komputerowe symulujące ludzkie myślenie (AI)?
dr Michał Rudy: W pierwszej kolejności należy zwrócić uwagę na fakt, że kwestia ochrony danych zależy od tego, z jaką kategorią danych mamy do czynienia. Oczywiście za najbardziej wrażliwe uznaje się dane osobowe. Dane osobowe to nic innego jak informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Są to wszelkiego rodzaju informacje, dzięki którym możliwe jest dookreślenie tożsamości danej osoby, a m.in.: imię i nazwisko, numer PESEL, seria i numer dowodu osobistego, adres zameldowania i inne. Proszę pamiętać, że czasami za dane osobowe będą uznane informacje, których łączne posiadanie wpływa na możliwość dookreślenia tożsamości danej osoby.
Jakie to informacje?
Na przykład płeć, zawód, miejsce wykonywania pracy, zakres wykonywanych czynności (np. mężczyzna, wykładowca Szkoły Prawa Uniwersytetu SWPS, kierownik merytoryczny studiów podyplomowych Prawo o żywności). Wówczas identyfikacja osoby może okazać się nad wyraz łatwa, a zatem z pozoru błahe informacje podczas ich gromadzenia na wielu płaszczyznach stają się w zasadzie nieograniczonym źródłem wiedzy, co jest szczególnie znamienne, jeżeli mówimy o możliwości zbierania danych przez różnego rodzaju aplikacje mobilne.
Pewnie dlatego w maju 2018 roku weszły w życie nowe standardy dotyczące ochrony danych osobowych – rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (potocznie zwane RODO). Są to przepisy stosowane bezpośrednio (a zatem wiążące każdego), można powiedzieć już nie najnowsze, a zatem zarówno przedsiębiorcy, jak i osoby prywatne, mieli czas do zastosowania się do wprowadzonych regulacji, a w zamian było sporo (m.in. bezpośrednia odpowiedzialność przetwarzającego dane, zgłaszanie naruszeń, wzmocnienie praw obywateli, ograniczenie profilowania i inne). System ochrony wraz z licznymi instrumentami zatem mamy, czy skuteczny okaże się zapewne w przyszłości.
Czy RODO reguluje również czas przechowywania danych zebranych przez np. aplikacje mobilne?
W zasadzie trudno odpowiedzieć na pytanie dotyczące czasu przechowywania danych. Zgodnie z przepisami RODO dane osobowe są przechowane w formie, która umożliwia identyfikację danej osoby, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Co to w praktyce oznacza – obowiązek stałego monitorowania przez administratora danych osobowych do celów, w jakich gromadzi on informacje.
Najłatwiej wytłumaczyć to na przykładzie. Wyobraźmy sobie, że korzystamy z sklepu internetowego, który zostaje zlikwidowany. W momencie jego likwidacji ustaje cel przetwarzania danych osobowych. Użytkownik nie będzie mógł już robić zakupów, administrator danych powinien zatem w bezpieczny sposób usunąć dane osobowe gromadzone np. w trakcie korzystania z indywidualnego konta (ewentualnie po upływie czasu w jakim przysługuje gwarancja lub rękojmia na dany produkt); po zakończeniu procesu rekrutacji, tj. wyłonieniu pracownika, powinniśmy usunąć dane kandydatów itd. Tak samo powinno to działać w przypadku aplikacji mobilnych, w momencie likwidacji konta nie widzę już potrzeby przetwarzania i przechowywania danych osobowych.
Przeczytaj także: Wirtualni asystenci a dane osobowe
Czy można gromadzić dane osobowe „na zapas”, „na wszelki wypadek”?
Dane osobowe nie mogą być zbierane „na zapas”, lecz adekwatnie do celu. Nie ma żadnego racjonalnego powodu, żeby w hotelu lub wypożyczalni sprzętu żądano od państwa dowodu osobistego do skopiowania. Chociaż niedawno byłem u operatora jednej z sieci komórkowych i dowiedziałem się, że mam prawo nie dać dowodu do skopiowania, ale wówczas nie przysługują mi żadne zniżki czy rabaty. Faktem jednak jest, że ten operator wprowadził specjalne „koszulki” do kopiowania, które zasłaniają dane najbardziej wrażliwe.
Co prawda RODO nie zabrania kopiowania dowodów osobistych, aczkolwiek administrator nie może przetwarzać danych dowolnie przez siebie wybranych, musi być ono zatem ograniczone do minimum, a dowód osobisty, w tym konkretnym przypadku, zawiera zbyt wiele informacji. W przypadku aplikacji mobilnych takich jak np. asystent Google dużo trudniej określić zakres potrzebnych danych, gdyż tak naprawdę to od użytkownika zależy, w jakich codziennych czynnościach będzie wykorzystywał asystenta.
A sprzedaż danych osobowych innym podmiotom?
Oczywiście jest to możliwe, aczkolwiek muszą na to wyrazić zgodę osoby, których dane dotyczą – konieczna jest zatem zgoda na udostępnienie danych. Jako użytkownicy musimy być tego świadomi i z uwagą korzystać z nowych technologii.
dr Michał Rudy – radca prawny z dużym doświadczeniem zawodowym, wspólnik w Kancelarii Prawnej Result Witkowski Woźniak Mazur i Wspólnicy Spółka Komandytowa. Specjalizuje się w opiniowaniu projektów aktów administracyjnych i regulacji wewnętrznych. Posiada wieloletnie doświadczenie zarówno we współpracy z administracją publiczną, jak i przedsiębiorstwami, w tym sektora spożywczego. Był dyrektorem Biura Organizacyjno-Prawnego, a następnie dyrektorem Biura Prawnego Głównego Inspektoratu Weterynarii. Kierował również kilkoma międzynarodowymi projektami z zakresu administracji weterynaryjnej i prawa weterynaryjnego. Pełnił także obowiązki zastępcy dyrektora Departamentu Emisyjno-Skarbcowego w Narodowym Banku Polskim, w którym był odpowiedzialny między innymi za emisję znaków pieniężnych Rzeczypospolitej Polskiej oraz gospodarowanie ich zapasem. Opublikował wiele prac dotyczących krajowego i wspólnotowego prawa administracyjnego, w tym z zakresu prawa weterynaryjnego i sanitarnego. Za współautorstwo podręcznika akademickiego dla studentów medycyny weterynaryjnej otrzymał nagrodę Ministra Nauki i Szkolnictwa Wyższego. Został wyrózniony odznaką Zasłużony dla rolnictwa nadawaną przez Ministra Rolnictwa i Rozwoju Wsi.
Interesujesz się przetwarzaniem danych? Zapraszamy do lektury tekstu „Big Data – szanse i zagrożenia”. Na Strefie Zarządzania trwa cykl tematyczny „Cyfrowa rewolucja w biznesie”.