Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO – mówi Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych.

Publikacja: 10.04.2023 11:09

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

Foto: mat. prasowe

Szymon Cydzik

W lutym Komisja Europejska przyjęła wytyczne dla wyszukiwarek i platform internetowych w sprawie publikowania numerów użytkowników w UE. Jakie to ma znaczenie dla ochrony danych osobowych?

Przede wszystkim pozwoli to na przeciwdziałanie zagrożeniom w internecie, tworząc bezpieczniejszą przestrzeń cyfrową dla użytkowników i zapewniając im ochronę praw. Nałożenie na platformy internetowe nowych istotnych obowiązków zapewni także ich przejrzystość i rozliczalność, chociażby przez ograniczenie możliwości wyłudzania nieświadomej zgody użytkownika na przetwarzanie jego danych osobowych, czy wykorzystywania jego danych do rekomendowania sprofilowanych treści.

W tym roku ma zostać przyjęta tzw. dyrektywa NIS2. Co ona zmieni i w jaki sposób ma zwiększyć poziom cyberbezpieczeństwa?

Niezwykle istotne z puntu widzenia cyberbezpieczeństwa jest fakt, że firmy objęte dyrektywą będą zobligowane do regularnego przedstawiania informacji na temat prowadzenia polityki cyberbezpieczeństwa, przeprowadzonej oceny ryzyka czy audytów bezpieczeństwa, a w przypadku zaobserwowania wszelkich nieprawidłowości będą musiały powiadomić o tym fakcie władze i niezwłocznie podjąć działania, które pozwolą na usunięcie zagrożenia. Na podmioty, które nie wywiążą się z nałożonych obowiązków, może zostać nałożona kara finansowa.

Czytaj więcej

Dane osobowe

Zakaz profilowania także przez firmy prywatne. Stanowisko rzecznika TSUE

Rzecznik generalny TSUE twierdzi, że ocenianie zdolności kredytowej oparte na algorytmach narusza RODO.

W 2023 r. wejdzie też w życie rozporządzenie ws. zarządzania danymi. Jakie będą skutki tej regulacji?

Ma ona na celu m.in. zwiększenie zaufania do wymiany danych dając obywatelom możliwość większej kontroli w kwestii ich udostępniania i wykorzystywania. Zasady i ramy prawne wynikające z rozporządzenia umożliwią opracowanie i dostosowanie regulacji obejmujących wymianę i udostępnianie danych w poszczególnych sektorach. Odpowiednie zarządzanie danymi pozwoli na rozwój innowacyjnych rozwiązań (opartych na uczeniu maszynowym), z poszanowaniem europejskich praw, i umożliwi obywatelom czerpanie korzyści z dobrodziejstw nowych i innowacyjnych technologii.

Jakie zagrożenia dla prywatności powodują coraz popularniejsi „wirtualni asystenci głosowi”?

Wytyczne EROD 02/2021 w tej sprawi zwracają uwagę na szereg aspektów, które powinny być brane pod uwagę przez twórców takich rozwiązań, ale i przez ich użytkowników, którzy nie zawsze są świadomi tego, do jak wielu danych o nas mają dostęp takie rozwiązania. Takie aplikacje mogą być cały czas aktywne, nawet gdy z nich na co dzień nie korzystamy, np. w smartfonach. Człowiek może nawet nie wiedzieć, że jego dane są przetwarzane w sytuacji przypadkowego wydania polecenia asystentowi głosowemu. Taka funkcjonalność nie powinna być domyślnie uruchomiona, jedynie sam użytkownik mógłby ją włączyć. Usługi tego rodzaju często korzystają z danych zapisanych w naszych telefonach czy łączą się z kolejnymi aplikacjami, w których również są dane na temat naszej aktywności, lokalizacji, historii wyszukiwania czy planowanych spotkań, ale też umówionych wizyt lekarskich. Takie narzędzie ma więc nie tylko dostęp do bardzo wielu informacji, ale i przetwarza je na serwerach twórcy takiego oprogramowania. Ponadto te dane może przetwarzać nawet kilka podmiotów współpracujących z dostawcą – np. projektant usługi czy programista. A to oznacza, że realizacja naszych praw wynikających z RODO może być utrudniona, gdy pytania czy żądania kierujemy tylko do jednego podmiotu. Z każdą nową funkcjonalnością zakres przetwarzanych danych będzie się jeszcze bardziej rozrastać, a oprogramowanie może też rejestrować głos osób postronnych. A pamiętajmy, że RODO wymaga, by informacje na ten temat były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie.

Na ile rozwój sztucznej inteligencji będzie stanowił wyzwanie dla ochrony prywatności?

Większość obecnych systemów SI oparta jest na automatycznym wyszukiwaniu zależności pomiędzy ogromną ilością danych, co może prowadzić do dyskryminacji, szczególnie w sytuacji, kiedy analizie zostały poddane niekompletne lub niewystarczające dane. Niejednokrotnie błędnie identyfikuje płeć oraz osoby o innym kolorze skóry niż biały, przez co może dojść do naruszenia prywatności, co w konsekwencji może zostać odebrane jako dyskryminacja ze względu na płeć czy pochodzenie etniczne. Konieczne jest więc, aby proces był kontrolowany przez człowieka w celu wychwycenia potencjalnych błędów i ich ewentualnej korekty. Systemy sztucznej inteligencji, które wykorzystują dane osobowe do podejmowania decyzji, muszą być przejrzyste i rozliczalne, aby zapewnić, że nie podejmują niesprawiedliwych lub stronniczych decyzji.

Systemy sztucznej inteligencji, które wykorzystują dane osobowe do podejmowania decyzji, muszą być przejrzyste i rozliczalne, aby zapewnić, że nie podejmują niesprawiedliwych lub stronniczych decyzji.

Jakub Groszkowski

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO, w tym minimalizacji danych, prawidłowości czy integralności. Ponadto istotne jest, aby nieustannie zwiększać świadomość społeczeństwa na temat zagrożeń, konsekwencji, zabezpieczeń i praw przysługujących w związku z przetwarzaniem danych osobowych, również w kontekście AI.

Rząd wycofał się z poprawek do prawa komunikacji elektronicznej, rozszerzających obowiązek retencji danych na dostawców komunikatorów. Czy jednak nie należało by pójść o krok dalej i usunąć też obowiązek retencji dla telekomów, który wielokrotnie był uznany za bezprawny przez TSUE?

Problematyka retencji danych telekomunikacyjnych od wielu lat jest przedmiotem szczególnego zainteresowania organu nadzorczego. W przeszłości formułował on wiele uwag ws. regulacji odnoszących się do retencji danych telekomunikacyjnych – zarówno na etapie ich projektowania, jak i np. po orzeczeniach TSUE odnoszących się do tej tematyki (w pismach do właściwych ministerstw). W opinii UODO brak kontroli nad dostępem do danych powinien mieć miejsce jedynie w wyjątkowych sytuacjach, gdy zachodzi potrzeba natychmiastowego działania służb. Zdajemy sobie sprawę, że w określonych sytuacjach taki dostęp do danych telekomunikacyjnych jest służbom niezbędny, jednakże decyzja ta powinna być poprzedzona analizą.

Czy są szanse, że w tym roku zostanie stworzona Zintegrowana Platforma Analityczna i jakie z niej wynikają korzyści?

Przepisy dotyczące Zintegrowanej Platformy Analitycznej już funkcjonują. Trzeba powiedzieć, że organ nadzorczy zgłaszał na każdym etapie prac legislacyjnych uwagi do tego rozwiązania. Wskazywał np., że mogą one budzić zastrzeżenia dotyczące gwarancji ochrony danych osobowych i poszanowania zasad przetwarzania przewidzianych w RODO. Funkcjonowanie tej platformy zakłada przetwarzanie danych obywateli na wielką skalę, a przepisy te prowadzą do łączenia zbiorów danych, co rodzi wątpliwości co do zgodności z określonymi w RODO zasadami minimalizacji danych i ograniczenia celu, a w konsekwencji także zasady zgodności z prawem. Przepisy dotyczące ZPA są bardzo ogólne, a wiele czynności i zasad związanych z przetwarzaniem danych w tym ich przekazywaniem ma być określona w rozporządzeniu i porozumieniach między podmiotami publicznymi. Należy mieć na uwadze, że akt rangi podustawowej i porozumienia wewnętrzne pomiędzy administratorami nie powinny regulować kluczowych procesów przetwarzania danych osobowych i to danych szczególnych kategorii, objętych także tajemnicami prawnie chronionymi, ukształtowanymi w odrębnych ustawach bez uprzednich zmian w tychże aktach.

Jakie są sporne kwestie dotyczące dopuszczalności reklamy behawioranej?

UODO z dużą ostrożnością podchodzi do praktyk reklamy behawioralnej, czyli takiej, która opiera się na śledzeniu zachowań użytkowników w internecie, takich jak przeglądane strony internetowe, wyszukiwane hasła, aktywność na portalach społecznościowych itp., w celu personalizacji reklam. Najbardziej sporna w przypadku przetwarzania danych do takich celów jest podstawa, na jakiej się to dokonuje, oraz przejrzystość z tym związana. Dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczące cech behawioralnych osoby fizycznej należą do danych biometrycznych, a więc do szczególnych kategorii danych osobowych. Przetwarzanie ich co do zasady jest zabronione – możliwe jedynie w drodze wyjątków, o których mowa w art. 9 RODO. Jednym z nich jest np. zgoda osoby, której dane dotyczą. Taka reklama może naruszać prywatność użytkowników, gdyż zbierane są informacje o ich zachowaniach i preferencjach w sposób, który nie zawsze jest przez nich świadomy i na który nie dali oni wyraźnej zgody.

A jak się do tego podchodzi w innych krajach?

W 2022 r. belgijski organ nadzorczy stwierdził naruszenie zasad ochrony danych osobowych przez IAB Europe m.in. w związku ze stosowaniem technologii reklamy behawioralnej i ukarał tę spółkę karą pieniężną w wysokości 250 tys. EUR. Wskazał m.in. na niewłaściwą podstawę przetwarzania danych. Również irlandzki organ nadzorczy w następstwie wiążących decyzji EROD w sprawie rozstrzygania sporów nałożył kary pieniężne na administratora Facebooka i Instagrama, (tj. spółkę Meta IE) za brak podstawy prawnej do przetwarzania danych do celów reklamy behawioralnej. Za Facebooka – 210 mln euro, za Instagrama – 180 mln. Chodziło o to, że Meta IE niewłaściwie powołała się na umowę jako podstawę prawną do przetwarzania danych osobowych w kontekście warunków świadczenia usług Facebooka i warunków korzystania z Instagrama do celów reklamy behawioralnej.

Niedawno NSA uznał, że prawo do bycia zapomnianym (art. 17 RODO) stosuje się także do archiwalnych materiałów prasowych. Czy to nie rodzi zagrożenia dla wolności prasy?

Zdaniem sądu udostępnienie przez wydawcę publikacji archiwalnej nie stanowi działalności prasowej korzystającej z wyłączenia wynikającego z klauzuli prasowej. Udostępnianie archiwalnych materiałów prasowych nie jest również niezbędne do korzystania z prawa do wolności wypowiedzi, gdyż te zostało zrealizowane pierwotną publikacją. Z orzeczenia wynika więc, że organ administracji publicznej powinien, zgodnie z art. 17 ust. 3 lit. a RODO, ocenić czy przetwarzanie danych osobowych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Ocena braku niezbędności nie powoduje sama z siebie konieczności nakazania przez organ usunięcia danych, a dopiero otwiera drogę do oceny czy zaistniały okoliczności uzasadniające ich usunięcie wskazane art. 17 ust. 1 rozporządzenia 2016/679. Są to w szczególności sytuacje, gdy: dane nie są niezbędne do celów, dla których zostały zebrane; były przetwarzane niezgodnie z prawem; lub istnieje przepis prawa zobowiązujący administratora do usunięcia tych danych.

Czytaj więcej

Dane osobowe

Wydawcy pod ścianą po wyroku NSA. Prawo do bycia zapomnianym działa wstecz

Naczelny Sąd Administracyjny pcha nas w kierunku przepisywania historii. Najnowszy wyrok dotyczący prawa do bycia zapomnianym jest niebezpieczny dla wolności wypowiedzi – ostrzega prof. Grzegorz Sibiga.

Czyli wszystko pozostaje w gestii UODO?

W kompetencji organu pozostaje wyłącznie badanie tego, czy osoba, której dane dotyczą, może skorzystać z prawa do zapomnienia. Niestety w wyroku nie znajdujemy konkretnych wytycznych, na jakiej podstawie prawnej organ administracji publicznej ma ocenić zaistnienie przesłanek uzasadniających nakazanie usunięcia danych. Sąd zdaje się nie zauważać, że organ może dokonać oceny legalności przetwarzania tzw. danych zwykłych w oparciu o przesłanki określone w art. 6 ust. 1 rozporządzenia 2016/679. Nie może natomiast oceniać czy publikacja określonych informacji jest prawdziwa. Podobnie rolą organu nie jest wydawanie wiążących ocen, czy w konkretnym przypadku dane były niezbędne dla sporządzenia i przygotowania materiału prasowego. W tym zakresie właściwe są przepisy prawa prasowego. Roszczenia mogą być dochodzone na zasadach ogólnych. Orzeczenie ma ogromne znaczenie dla praktyki ze względu na delikatną materię, której dotyka. Z jednej strony chodzi o zachowanie swobody prasy, poszanowania tajemnicy dziennikarskiej, wolności wyrażania opinii i krytyki, z drugiej – poszanowania prawa do ochrony danych. Istnieje ryzyko nadużywania przepisów RODO w celu usunięcia danych z publikacji prasowych przez osoby niezadowolone z poruszonych w nich kwestii. Niebagatelne znaczenie ma również kwestia tajemnicy dziennikarskiej.

Jakie są główne cele i wyzwania, które stawia sobie UODO na rok 2023?

W ramach planu kontroli sektorowych na ten rok zweryfikujemy sposób przetwarzania danych osobowych przy użyciu internetowych oraz mobilnych aplikacji. Zdajemy sobie sprawę z tego jak bardzo przyspieszyła cyfryzacja społeczeństwa i rozpowszechniły się z e-usługi. Ale widzimy też zagrożenia naruszania przepisów RODO przez podmioty, które przetwarzają dane użytkowników aplikacji. Biorąc pod uwagę nowe regulacje unijne, rozwój sztucznej inteligencji, decyzja o obszarach kontroli sektorowej nie mogła być inna. Kolejne wyzwanie na ten rok to ujednolicenie podejścia do ochrony danych osobowych i prawa do prywatności, zarówno przez ustawodawcę jak i sądownictwo. Niepokoją nas choćby różne podejścia do samego faktu uznania danych osobowych. Przykładem mogą być wyroki ws. związanych z numerem telefonu czy numerem rejestracyjnym pojazdu, a także odnoszące się do przetwarzania danych osobowych po zakończeniu dokonywania oceny zdolności kredytowej i analizy, gdy nie doszło do zawarcia umowy kredytu. Niestety bywa, że zapadające wyroki są niespójne, a w uzasadnieniu brak jest jasnych wskazówek dla organu.

Transatlantyckie Ramy Ochrony Danych Osobowych to nowe porozumienie między Unią Europejską a USA ws. przekazywania danych. Czym różnią się one od „Tarczy Prywatności”, którą mają zastąpić?

Nowy mechanizm zakłada szereg rozwiązań, których brakowało w Tarczy Prywatności, m.in. wprowadzenie wymogów dotyczących zasad konieczności i proporcjonalności w odniesieniu do gromadzenia danych osobowych przez amerykańskie służby wywiadowcze oraz nowych ulepszonych procedur odwoławczych dla obywateli Unii Europejskich, które zapewniają większą niezależność organu, wprowadzają skuteczniejsze mechanizmy usuwania naruszeń oraz dodatkowe zabezpieczenia dla osób, których dane dotyczą.

Jednak część wątpliwości związanych z odpowiednią ochroną danych i prywatności Europejczyków pozostaje aktualnych. Dotyczą w szczególności dalszego przekazywania danych, zakresu wyłączeń prawa dostępu do nich, braku kluczowych definicji i szczegółowych zasad dotyczących zautomatyzowanego podejmowania decyzji i profilowania, tymczasowego masowego gromadzenia danych oraz praktycznego funkcjonowania mechanizmu odwoławczego. EROD rekomenduje w swojej opinii z lutego uzależnienie nie tylko wejścia w życie, ale również przyjęcia decyzji o odpowiednim poziomie ochrony od przyjęcia przez wszystkie amerykańskie agencje wywiadowcze zaktualizowanych polityk i procedur służących wdrożeniu rozporządzenia wykonawczego. W rozporządzeniu wprowadzono pojęcia konieczności i proporcjonalności w odniesieniu do gromadzenia danych przez wywiad amerykański. Ponadto, EROD podkreśla, że poziom ochrony nie może być osłabiony przez dalsze przekazywanie danych. Dlatego też zwraca uwagę Komisji, że zabezpieczenia nałożone przez pierwotnego odbiorcę na importera w państwie trzecim muszą być skuteczne w świetle prawodawstwa państwa trzeciego przed dalszym transferem.

Rozmawiał Szymon Cydzik

Technologie Sztuczna Inteligencja Dane Osobowe Internet Urząd Ochrony Danych Osobowych (UODO)

Podatki

Jak ojciec pójdzie do banku, to darowizna będzie zwolniona z podatku

Darowizna od rodzica nie musi być przelana z rachunku na rachunek. Może ją wpłacić na konto dziecka w banku. I ulga nie przepadnie.

Materiał Promocyjny

Z kartą Simplicity można zyskać nawet 1100 zł, w tym do 500 zł już przed świętami

Eksperci od handlu wskazują, że coraz popularniejszy wśród konsumentów w Polsce staje się trend kupowania z odroczonymi płatnościami.

Podatki

Podatkowa ulga dla frankowiczów jeszcze przez dwa lata

Umorzona przez bank część kredytu frankowego jest przychodem kredytobiorcy. Ale nie trzeba płacić od niego podatku. I nadal tak będzie, przynajmniej do końca 2026 r.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Przewodniczący komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii Bartłomiej Pejo (Konfed

Prawo w Polsce

Firma nie ukryje stosowania AI? Związkowcy triumfują, biznes się niepokoi

Pracodawcy mają informować związkowców o stosowanych systemach sztucznej inteligencji. Biznes się obawia, że wyciekną tajemnice przedsiębiorstw.

Materiał Promocyjny

Strategia T-Mobile Polska zakładająca budowę sieci o najlepszej jakości przynosi efekty

Mobilna Sieć T-Mobile w Polsce w 2024 roku została uznana za najlepszą pod względem prędkości i niezawodności przez międzynarodową firmę Ookla.

Rondo należy traktować jako "zwykłe" skrzyżowanie - stwierdził w uzasadnieniu sąd.

Prawo drogowe

Jak używać kierunkowskazu na rondzie? Jest nowy wyrok sądu

Wojewódzki Sąd Administracyjny w Krakowie rozstrzygnął kwestię, która od wielu lat wzbudza duże wątpliwości wśród kierowców. Chodzi o używanie kierunkowskazu podczas wjeżdżania, przejeżdżania i zjeżdżania z ronda.

Materiał Promocyjny

Nowy Lexus LBX. Od 790 zł netto/mc w Najmie KINTO ONE. Doskonały rocznik i rata.

Kraj

W Warszawie o sztucznej inteligencji i jej zastosowaniach w chmurze

6 listopada 2024 roku na PGE Narodowym odbędzie się Google Cloud Summit Poland 2024. To jedno z największych wydarzeń w Polsce i naszej części Europy poświęcone technologiom chmurowym i sztucznej inteligencji.

Elektroenergetyka

Centra danych pochłaniają gigantyczne ilości energii

Świat idzie w kierunku sztucznej inteligencji, cyfryzacji procesów, systemów pamięci masowej. Wszystko to wymaga budowy coraz większej liczby centrów danych, które zużywają ogromne ilości energii elektrycznej i wody niezbędnej do chłodzenia urządzeń. Nowe inwestycje w tym obszarze coraz częściej spotykają się z niechęcią mieszkańców.

Bunt programistów i analityków danych w wydawnictwie, w przededniu wyborów prezydenckich, może zakoń

Globalne Interesy

Sztuczna inteligencja łamistrajkiem. Może zastąpić protestujących pracowników

Strajkujący pracownicy techniczni dziennika „New York Times” liczyli na większą skuteczność akcji rozpoczętej tuż przed wyborami w USA. Mogą się jednak przeliczyć, bo pojawiła się oferta zastąpienia ich sztuczną inteligencją.

Coraz więcej firm produkują roboty, także humanoidalne. Wkrótce będą bardziej inteligentne i zdolne

Globalne Interesy

Roboty mają zyskać „mózgi”. Wspólna inwestycja amerykańskich gigantów

Założyciela koncernu Amazon Jeff Bezos oraz firma OpenAI, twórca ChatGPT, pompują miliony dolarów w innowacyjny projekt start-upu Physical Intelligence. Chodzi o zintegrowanie zaawansowanym systemów sztucznej inteligencji z robotyką.

Mark Zuckerberg zdecydował, że Meta udostępni modele Llama amerykańskim agencjom rządowym „celem zap

Globalne Interesy

Zemsta Marka Zuckerberga na Chinach. Meta odda AI w ręce służb specjalnych USA

Władze Chin nielegalnie wykorzystały zaawansowaną technologię Mety, właściciela Facebooka, do stworzenia broni. W efekcie sztuczna inteligencja firmy, która nieoczekiwanie zwiększyła potencjał chińskiej armii, teraz zostanie użyta przez Waszyngton.

PRO

Sztuczna inteligencja rozpycha się w finansach. Czy zastąpi ludzi?

Inwestowanie, bankowość, ubezpieczenia, audyt, doradztwo – to tylko przykłady obszarów, w których coraz większą rolę odgrywają zaawansowane algorytmy. Zmieniają też mocno pracę kontrolerów finansowych.

Biznes

AI może pomóc w sporach prawnoautorskich

Sztuczna inteligencja dotyka wielu obszarów naszego życia. A czy może także zmienić strategię procesową w części sporów prawnoautorskich, tzn. czy poprzez zastosowanie AI można skutecznie bronić się przed zarzutem naruszenia praw autorskich?

Nowatorskie preparaty uniwersyteckiego spin-offu zredukują użycie syntetycznych nawozów. I to – jak

Biznes Ludzie Startupy

Zadbają o plony jak hinduska bogini. Polska firma odnowi ziemię

Start-up wydzielony z Uniwersytetu Warszawskiego stworzył innowacyjną linię mikrobiologicznych preparatów na bazie grzybów i bakterii. Mają pomóc rolnikom i ogrodnikom.