Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

RODO: prawo do bycia zapomnianym narazi firmy na duże straty

123RF
Przedsiębiorcy najczęœciej nie majš œwiadomoœci, że gigantyczne kary grożš za - wydawałoby się - niegroŸne przewinienia, oraz że wprowadzone przez rozporzšdzenie regulacje dotyczš nie tylko cyfrowej dokumentacji – towarzyszšce RODO „prawo do bycia zapomnianym” nakazuje na proœbę wyrażajšcego takš wolę usunięcie wszystkich jego danych personalnych zarówno z cyfrowych baz danych, jak i papierowych noœników typu wydruki e-maili a nawet luŸnie notatki.

Prawo do bycia zapomnianym to rezultat sprawy wytoczonej przez Mario Costeja Gonzaleza hiszpańskiemu GIODO i hiszpańskiemu oddziałowi Google. Mario Costejo Gonzalez domagał się, aby z wyników wyszukiwania Google usunięte zostały linki do stron internetowych zawierajšcych jego dane osobowe. Sprawa doszła aż do najwyższego sšdu UE – Trybunał Sprawiedliwoœci Unii Europejskiej. Trybunał rozpoznajšc sprawę uznał Google za administratora danych osobowych i nakazał Google usunšć wyniki wyszukiwania. Prawo do bycia zapomnianym to takie uprawnienie, które pozwala na usunięcie informacji personalnych z baz danych zgromadzonych przez różne podmioty dysponujšce danymi osobowymi.

Na bazie sprawy Mario Costeja Gonzaleza, w RODO wprowadzono art. 17 zatytułowany „Prawo do usunięcia danych („prawo do bycia zapomnianym")". - Na mocy tego przepisu, Osoba, której dane dotyczš, ma prawo żšdania od administratora niezwłocznego usunięcia dotyczšcych jej danych osobowych, a administrator ma obowišzek bez zbędnej zwłoki je usunšć. Obowišzek ten powstaje, gdy zachodzi jedna z poniższych sytuacji: dane te nie sš już administratorowi niezbędne, została cofnięta zgoda na ich przetwarzanie, osoba, której dane dotyczš wnosi sprzeciw co do ich przetwarzania bšdŸ były one przetwarzane niezgodnie z prawem – tłumaczy Jacek Grzyb z firmy teamLeaders, zajmujšcej się dostarczaniem rozwišzań kognitywnych wykorzystujšcych przetwarzanie języka naturalnego.

„Analogowe" rekordy

Jedna z warszawskich firm w paŸdzierniku tego roku organizuje dużš konferencję dla potencjalnych klientów. Aby zapewnić jak najwyższš frekwencję, stworzyła dużš bazę danych goœci, korzystajšc zarówno z własnych, jak i zewnętrznych baz danych. Jednym z zaproszonych goœci jest pan X, który jak się okazuje, nie jest zainteresowany tematykš konferencji i żšda usunięcia swoich danych z listy mailingowej. Dzisiaj wystarczy, że firma usunie go z bazy i tym samym spełni wymogi ustawy o ochronie danych osobowych. Za rok to jednak nie wystarczy, co więcej, firma może być narażona na gigantyczne kary. Dlaczego?

- Zgodnie z zapisami RODO, firma musi na żšdanie danej osoby, usunšć jej dane. Mało kto jednak wie o tym, że dotyczy to wszystkich dokumentów, na których widniejš dane. To więc nie tylko elektroniczne bazy danych, ale także pliki, maile, luŸne wydruki, ankiety i dokumenty, które być może leżš spakowane w kartonach lub leżš na półce. Jeżeli zawierajš dane osobowe, to podlegajš ochronie – przekonuje Jacek Grzyb z teamLeaders.

Warto podkreœlić, że przepisy nakazujšce wykreœlenie na żšdanie danych osobowych z firmowych rejestrów, zawarte w Ustawie o Ochronie Danych Osobowych obowišzujš już dzisiaj – problem w tym, iż nikt dotychczas nie analizował czy po cofnięciu zgody na ich dalsze gromadzenie i przetwarzanie przez danš osobę, zostały one usunięte ze skanów, plików tekstowych czy nagrań, które również stanowiš „noœniki" informacji personalnych. Podobnie, jak dokumenty w klasycznej, papierowej formie. - W praktyce, zwykle nikt nie weryfikuje, czy na skanach bšdŸ wydrukach znajdujš się informacje klasyfikowane jako dane osobowe – w przypadku, gdy w jakikolwiek sposób „wypłynš" one poza organizację – niezależnie od tego czy w formie cyfrowej czy też papierowej – a zawierajš dane osób, które skorzystały z prawa do bycia zapomnianym, mogš narazić firmę na wielomilionowe straty finansowe z tytułu kar przewidzianych w RODO – dodaje Jacek Grzyb.

Nazwisko czy dzień tygodnia?

Ręczna weryfikacja baz danych oraz dokumentów tekstowych, także tych w formie papierowej, pod kštem zlokalizowania na nich danych osobowych byłaby niezwykle trudna oraz czasochłonna. Wystarczy wyobrazić sobie liczbę rekordów administrowanych przez firmy od wielu lat oraz dynamikę ich przyrostu każdego dnia. Dostosowanie się do wymogów RODO wymaga zatem zatrudnienia dodatkowych osób wpierajšcych proces wdrażania wytycznych rozporzšdzenia. BšdŸ alternatywnie, inwestycji w odpowiedniš technologię.

Z pomocš przychodzi automatyzacja, czyli rozwišzania pozwalajšce na detekcję przeskanowanych plików pod kštem mogšcych się tam znajdować rekordów personalnych, jak m.in. imiona i nazwiska, adresy, maile czy loginy. Problem w tym, iż w dokumentach przechowywanych przez przedsiębiorstwa zwykle nie występujš one w ustrukturyzowanych zbiorach i często należy je wychwycić z plików tekstowych zawierajšcych szereg innych informacji, niebędšcych danymi osobowymi.

- Na rynku sš dostępne narzędzia potrafišce wyszukać konkretne frazy, okreœlane jako analizatory składniowe bšdŸ tzw. persery. Niestety, ich funkcjonalnoœć ogranicza się do reagowania na słowa klucze, co powoduje, że firma wczeœniej musi wiedzieć jakie dane wrażliwe może posiadać w swoich zbiorach. Co jednak w przypadku, gdy nie jest w stanie tego okreœlić? Rozwišzanie może stanowić inteligentna platforma potrafišca „czytać" tekst ze zrozumieniem i rozpoznajšca szerszy kontekst w jakim użyto danš frazę. Dzięki złożonej analizie dokumentu, potrafi ona ocenić czy poszczególne wyrazy sš danymi osobowymi i w zależnoœci od kontekstu potraktować np. frazę „poniedziałek" jako dzień tygodnia, nie stanowišcy wrażliwej danej, bšdŸ jako nazwisko, automatycznie klasyfikujšc ten element tekstu jako wrażliwa informacja, podlegajšca ochronie – tłumaczy Jacek Grzyb z teamLeaders.

Wyjštki od zapomnienia

Jeżeli zatem dana osoba zgłasza żšdanie dotyczšce zapomnienia swoich danych osobowych, to dotyczy to wszystkich powišzanych z niš informacji, niezależnie od sposobu ich przechowywania. Trzeba jednak wspomnieć, iż także tutaj znajdziemy szereg wyjštków od koniecznoœci egzekwowania prawa do bycia zapomnianym.

To, co pozwala zatrzymać te dane do dalszego przetwarzania, to prawnie uzasadniona potrzeba wynikajšca z innych aktów, np. prawa telekomunikacyjnego. Inny przykład stanowić mogš akta pracownicze, podlegajšce potrzebie gromadzenia przez 50 lat. Obowišzek ten wynika jednak zwykle z innych przepisów i tylko wtedy żšdanie klienta może nie zostać spełnione.

Czasu coraz mniej

Niepokojšcym pozostaje fakt, iż œwiadomoœć przedsiębiorców dotyczšca RODO wcišż jest niewielka. Według zeszłorocznego badania firmy Dell, ponad 80 proc. ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporzšdzenia lub ma o nim szczštkowš wiedzę. Zaledwie 3 proc. osób bioršcych udział w badaniu zadeklarowało, że ich firma ma stosowny plan oraz dysponuje procedurami spełnienia wytycznych RODO.

ródło: rp.pl

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL