fbTrack
REKLAMA
REKLAMA

Firma

RODO: o skutkach zgubienia firmowego smartfona, algorytmach black box i ePrivacy

Adobe Stock
Miniony rok był czasem na „pracę u podstaw" w firmach, czyli dostosowanie do przepisów RODO lub w większości przypadków napisanie od początku procedur i wzorów dokumentów, poradników, informatorów.

Teraz przychodzi czas na sprawy zasadnicze i bardziej skomplikowane takie jak: ochrona praw osób fizycznych w relacji z podmiotami przetwarzającymi dane na ogromną skalę, wypracowanie przez organy kontrolne, sądy i naukę prawa stabilnej i jednoznacznej wykładni pojęć i instytucji wprowadzonych przez RODO.Przykładami takich pojęć i instytucji, co do których nie ma jednomyślności, choć wydawać by się mogły oczywiste, są zagadnienia: kiedy w ogóle mamy do czynienia z początkiem przetwarzania danych oraz szeroko rozumiany monitoring.

Kluczem do zakorzenienia się tematu ochrony danych osobowych na stałe w świadomości ludzi, a nie tylko na parę miesięcy, jest skoordynowane, przemyślane i konsekwentne działanie urzędów centralnych i administracji rządowej w celu stworzenia takich narzędzi wsparcia ze strony właściwych instytucji, które doprowadzą do zwiększenia świadomości na temat bezpieczeństwa danych wśród obywateli oraz – a może przede wszystkim – wśród przedsiębiorców. Edukacja dotycząca bezpieczeństwa w sieci w dobie społeczeństwa informacyjnego i szerzej bezpieczeństwa naszych danych w ogóle, powinna zaczynać się już w szkole na lekcjach WOS. Już teraz na pochwały zasługują działania podejmowane przez Ministerstwo Cyfryzacji i Urząd Ochrony Danych Osobowych zwłaszcza te edukacyjne i informacyjne. Na szczególne podkreślenie zasługuje także powołanie Grupy Roboczej ds. Ochrony Danych Osobowych w Ministerstwie Cyfryzacji, której celem jest wsparcie ministerstwa w propagowaniu wiedzy na temat danych osobowych, m.in. przez przygotowywanie kolejnych poradników RODO dedykowanych dla różnych branż biznesu.

Czytaj też:

Czego trzeba się nauczyć

Każdy z nas, jako dysponent swoich i nie tylko swoich danych osobowych, powinien nauczyć się dwóch rzeczy – intuicyjnego chronienia swoich danych i asertywności w relacjach z firmami, które chcą te dane pozyskać. Kto ma w swoim telefonie ustawioną blokadę ekranu zabezpieczoną hasłem składającym się z więcej niż 4 cyfr? Złamanie czterocyfrowego hasła zajmuje hakerowi niecałą sekundę. A wystarczy zastosować 8 znaków, a najlepiej hasło mieszane – składające się z liter, cyfr i znaków specjalnych – aby praktycznie uniemożliwić jego złamanie.

Gdy prowadzi się działalność gospodarczą, zagubienie nieodpowiednio zabezpieczonego telefonu, np. 4-cyfrowym hasłem, może być uznane w świetle RODO za potencjalne naruszenie bezpieczeństwa danych osobowych. Taki incydent, wiąże się z obowiązkiem zgłoszenia go Urzędowi Ochrony Danych Osobowych, a w niektórych przypadkach także poinformowaniem wszystkich osób, których dane osobowe znajdowały się w zgubionym telefonie. A kto pamięta, jakie dokładnie dane ma w telefonie? Chociaż każdy przedsiębiorca, zgodnie z zasadą rozliczalności wynikającą z RODO, powinien umieć taką informację uzyskać w każdych okolicznościach, także po zgubieniu telefonu. Straszne? Nie. Wymaga tylko zmiany podejścia do tych zagadnień. Rozwiązania techniczne, właściwie darmowe, bo często wbudowane systemowo w urządzenia, istnieją. Trzeba tylko nauczyć się z nich korzystać.

AI to już nie science-fiction

Jedną z najważniejszych rzeczy, nad którymi przyjdzie się pochylić prawodawcom i wszystkim ludziom w nadchodzących latach, jest sztuczna inteligencja (AI – od angielskiego artificial intelligence) i jej wpływ na nasze życie. Rozwój sztucznej inteligencji pozwala tworzyć coraz sprawniejsze urządzenia (np. komputery, telefony komórkowe) oraz aplikacje pomagające w codziennym życiu i pracy (np. translator Google). Jest ona wspaniałą zdobyczą nauki i techniki, która zmieni świat. Z drugiej strony, pojawia się coraz więcej dylematów etycznych w związku z jej wykorzystywaniem, m.in. do analizy naszych zachowań oraz gromadzenia danych o naszej aktywności. Dlatego tak ważne staje się ustalenie prawnych zasad ochrony wszystkich danych, nie tylko tych osobowych, przed niekontrolowanym dostępem ze strony systemów komputerowych, aplikacji, internetu rzeczy, a de facto firm i ludziom za nimi stojących.

Kwestia uregulowanego, przejrzystego i kontrolowalnego przez człowieka rozwoju sztucznej inteligencji była i jest podnoszona przez wielu wybitnych naukowców i przedsiębiorców zajmujących się nowymi technologiami. Choć w swoich projektach i badaniach wykorzystywali oni i rozwijali systemy AI, to od kilku lat nawołują do kontrolowania sztucznej inteligencji, a rządzących do wprowadzenia regulacji prawnych zabezpieczających ludzi przed zagrożeniami ze strony sztucznej inteligencji. Trudno jednoznacznie ocenić, na ile te obawy są uzasadnione. Jednak fakt, że sami naukowcy i informatycy pracujący nad samouczącymi się algorytmami (ang.: deep learning alghoritms) i uczeniem się maszynowym (ang.: machine learning) przestają rozumieć, a właściwie nie są w stanie śledzić i odwzorowywać wszystkich procesów zachodzących wewnątrz tzw. „czarnej skrzynki" powoduje, że tym ważniejsza staje się konieczność zapewnienia transparentności i etyczności prac nad sztuczną inteligencją. Ponieważ sztuczna inteligencja jest wykorzystywana w pracy nad wieloma ważniejszymi sferami naszego życia, t.j. autonomiczne samochody, medycyna lub przemysł obronny, to obawy związane z brakiem kontroli nad nimi są całkowicie zrozumiałe. Ludzie muszą mieć pewność, że rozumieją jak działa ta technologia i w jaki sposób podejmuje decyzje. Skoro sztuczna inteligencja uczy się sama, a jej twórcy nie są w stanie kontrolować procesów zachodzących w jej korowej części, zwanej przez ten brak wglądu „czarną skrzynką", to skąd mamy wiedzieć, jaką decyzję podejmie komputer pokładowy naszego pojazdu autonomicznego – czy w sytuacji kolizyjnej będzie ratować życie pasażera czy grupy pieszych, stojących na poboczu, tak jak to miało miejsce niedawno? Należąca do Google firma DeepMind, opracowała system sztucznej inteligencji Alpha Go Zero, który nauczył się grać w Go bez interwencji człowieka, znając na początku jedynie reguły gry. Całość wiedzy pozyskał on grając przeciwko sobie – przez trzy dni rozegrała prawie 5 milionów gier z samym sobą, aż nauczył się przewidywać własne ruchy i rozpoznawać ich wpływ na wynik gry. Dzięki temu w bardzo krótkim czasie system rozwinął umiejętności potrzebne do pokonania najlepszego na świecie gracza Go. Podobna maszyna uczona zasad gry w Go przez ludzi nie miała już tak dobrych wyników. To daje do myślenia.

W wielu krajach pojawiają się głosy, że należy ograniczyć stosowanie algorytmów "black box", ponieważ bez prawdziwej jasności, co do sposobu ich działania, nie może być mowy o odpowiedzialności za decyzje podejmowane z ich wykorzystaniem, a które mają wpływ na ludzi. Oznacza to konieczność wprowadzenia regulacji analogicznych jak w przypadku badań i eksperymentów naukowych, genetycznych, klonowania czy produkcji broni.

Co z drugą nogą

Drugim istotnym zagadnieniem wiążącym się z RODO jest ePrivacy. Dysponenci danych, czyli wszyscy, powinni mieć w ramach podstawowych ustawień każdej aplikacji czy przeglądarki internetowej zapewnioną maksymalną prywatność, czyli ograniczenie do minimum zakresu wykorzystywania naszych danych osobowych przez firmy dostarczające tych narzędzi. Taka gwarancja prywatności wynika wprost z przepisów RODO, ale w praktyce niestety nie wszyscy dostawcy aplikacji i urządzeń komunikacyjnych respektują ten obowiązek. Widać to wyraźnie w wykorzystywaniu cookies przez witryny internetowe i tego, jak trudno przeciętnemu użytkownikowi wyłączyć śledzenie aktywności w internecie.

Zgodnie z RODO, ochrona danych osobowych powinna być domyślnie wbudowana w każdą działalność, a mimo ogromnego szumu wokół RODO, tak nadal nie jest. W efekcie zalewają nas targetowane reklamy foteli z hydro masażem, bo niefortunnie otworzyliśmy artykuł na temat zdrowego kręgosłupa. Tym, co może niepokoić osoby walczące o ochronę i poszanowanie prywatności w sieci są zmiany, jakie pojawiły się pod koniec 2018 r. w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej („rozporządzenie ePrivacy"). Zamiast zakazu zapisywania na urządzeniach plików cookies bez naszej zgody, projekt uznaje takie działanie za niezbędne do świadczenia usługi społeczeństwa informacyjnego. Nowy zapis jest na tyle nieprecyzyjny i szeroki, że w praktyce zalegalizuje on sytuację, w której korzystanie z darmowego internetu bez zezwolenia na śledzenie naszej aktywności w nim, będzie praktycznie niemożliwe. Jedynym wyjściem będzie korzystanie z płatnych serwisów, które będą dawały taką możliwość. Niestety, każdy taki wyłom w projekcie rozporządzenia ePrivacy, który w założeniu miał być drugim filarem ochrony danych osobowych w UE skierowanym do branży internetowej i social media, osłabia wysokie standardy wprowadzone przez RODO. ?

Wojciech Wyrozębski radca prawny w Kancelarii Ożóg Tomczykowski

Dzięki RODO podniosła się świadomość społeczna na temat potrzeby ochrony danych osobowych, a wielu przedsiębiorców uświadomiło sobie, że o dane swoich klientów i kontrahentów trzeba dbać tak, jak o własne. Oczywiście jest jeszcze wiele do zrobienia w tym obszarze i ogrom pracy przed nami. Tym bardziej trudno zrozumieć decyzję unijnych polityków w zakresie ePrivacy. Pozostaje mieć nadzieję, że ten błąd zostanie szybko poprawiony i będziemy mogli zrobić kolejny krok w ochronie danych osobowych. Druga połowa 2018 r. upłynęła bez wątpienia pod hasłem „RODO". Ten akronim w corocznym plebiscycie na słowo roku zajął 2. miejsce, zaraz po słowie Konstytucja. Niestety, też nie miał dobrej prasy. Straszono nim w radio i telewizji, żartowano sobie z niego, był bohaterem setek memów, zalewano nas natłokiem informacji, z mediów docierały informacje o dokonywanych wyłudzeniach. Na szczęście, zdarzyło się też coś bardzo dobrego. Dzięki wejściu w życie przepisów RODO w Polsce i na całym świecie, nie wyłączając Stanów Zjednoczonych i Chin, przypomniano sobie o ochronie danych osobowych i aktualnie w wielu krajach zastanawia się nad podobnymi rozwiązaniami. Tylko w pierwszych dniach obowiązywania RODO, austriacka organizacja pozarządowa „noyb" złożyła do organów ochrony danych osobowych w 4. krajach Unii Europejskiej skargi przeciwko Google i Facebook, zarzucając im naruszenie przepisów RODO. Jak podaje na swojej stronie internetowej francuski organ ds. ochrony danych osobowych (CNIL), w dniu 21 stycznia 2019 r. nałożył on karę pieniężną w wysokości 50 mln euro na GOOGLE LLC, za naruszenie RODO, a w tym brak przejrzystości, niewystarczające informacje i brak prawidłowych zgód odnośnie personalizacji reklam. Decyzja nie jest prawomocna. Przebieg tych postępowań i ewentualne kary finansowe, które zdaniem autorów skarg mogą sięgnąć wielu miliardów euro, z pewnością odbiją się szerokim echem w mediach. Czy chcemy tego czy nie, ekonomia kar finansowych wpłynie na konieczność poważniejszego zajęcia się ochroną danych osobowych na świecie. Z korzyścią dla wszystkich. ?

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA