Przetwarzanie danych osobowych w kontekście big data

Z prawnego punktu widzenia zagadnienie ochrony danych osobowych w kontekście big data jest dosyć złożone. Mając na uwadze podstawowe cechy analityki big data, niektóre spośród zasad i wymogów obowiązujących w tym zakresie mogą być trudne do zastosowania w odniesieniu do niej. W tym kontekście należy zauważyć, że „proces agregacji oznacza, że dane często łączone są z wielu różnych źródeł i wykorzystywane lub udostępniane przez wiele podmiotów w różnorodnych celach” ^[1]. Wskazana mnogość źródeł, podmiotów i celów nie zawsze może być pogodzona z wymogami prawnymi dotyczącymi ochrony danych osobowych. Niezależnie od zawiłości analizy prawnej, kluczowe jest dokładne zbadanie, w jaki sposób wymogi prawne mogą zostać wdrożone w praktyce.

Analiza prawna wymaga wzięcia pod uwagę nowo przyjętych w UE ram prawnych, w szczególności Ogólnego Rozporządzenia o Ochronie Danych (zwane dalej „RODO”), które obowiązuje we wszystkich krajach UE, w tym i w Polsce, od dnia 25 maja 2018 r. RODO wprowadziło szereg zmian do dotychczas obowiązującego w UE systemu ochrony danych osobowych. Podczas gdy niektóre z zasad, wymogów i praw dotyczących ochrony danych osobowych istniało już wcześniej, część z nich została przez RODO ulepszona. Ponadto, RODO wprowadziło dodatkowo nieznane dotychczas rozwiązania.

W dalszej części niniejszego artykułu nie będziemy zagłębiać się we wszystkie zagadnienia uregulowane przez RODO. Przeanalizujemy jednak te z podstawowych zasad, obowiązków i uprawnień, z którymi będzie musiało skonfrontować się wiele podmiotów działających w obszarze analityki big data na poziomie europejskim, w tym i na rynku polskim, wskazując jednocześnie jak trudne może być pogodzenie ich z nowo pojawiającymi się technologiami.

Z uwagi na fakt, że Urząd Ochrony Danych Osobowych nie wydał jeszcze wytycznych dotyczących przetwarzania danych osobowych w kontekście big data, w dalszej części artykułu odwołujemy się m.in. do stanowisk wyrażonych przez inne europejskie organy nadzorcze ds. ochrony danych osobowych.

Waga technologii sztucznej inteligencji została dostrzeżona przez polski rząd, który w dokumencie pt. "Założenia do strategii AI w Polsce" przewiduje, że "zastosowanie tej technologii znacznie zaważy w przyszłości na tempie wzrostu gospodarczego wielu państw" ^[3].

Ochrona danych osobowych w kontekście big data: wyzwania i możliwości

Pojęcie „danych osobowych” i „przetwarzania”

RODO ma zastosowanie do „przetwarzania” ^[4] „danych osobowych” ^[5]. Z uwagi na fakt, że obie definicje interpretowane są bardzo szeroko, wiele obowiązków wynikających z RODO będzie miało zastosowanie, gdy będą podejmowane czynności w ramach analityki big data.

Co więcej, w przypadku podejmowania takich czynności nie można wykluczyć, że analizowanie danych będzie obejmować także „dane sensytywne” ^[6], których przetwarzanie co do zasady jest ograniczone lub zabronione. Nie można także wykluczyć, że ww. czynności mogą mieć na te dane „wpływ powodujący ich przekształcenie”. Przykładowo, przetwarzanie zwykłych danych osobowych może prowadzić do generowania danych, które ujawniają sensytywne informacje o osobie (np. poprzez eksplorację danych) ^[7].

Szeroki zakres zastosowania RODO i możliwość przetwarzania danych sensytywnych, może powodować, że niezbędne będzie ograniczenie pewnych czynności przetwarzania lub wprowadzenie zmian technicznych, aby sprostać surowym wymogom przewidzianym w RODO.

Różne podmioty, role i obowiązki

W przypadku przetwarzania danych osobowych, tak jak to ma miejsce w przypadku analityki danych, istotne jest zbadanie każdej konkretnej sytuacji, aby dokładnie określić role odgrywane przez różne podmioty zaangażowane w takie przetwarzanie. Przewidziane w RODO pojęcia „administratora” i „podmiotu przetwarzającego” oraz zachodzące między nimi różnice i interakcje, mają ogromne znaczenie dla określenia odpowiedzialności tych podmiotów. Pojęcia te mają także istotne znaczenie dla określenia terytorialnego zakresu zastosowania RODO i kompetencji organów nadzorczych.

Prawidłowa kwalifikacja podmiotów i rozróżnienie między administratorem a podmiotem przetwarzającym może szybko okazać się problematyczną kwestią w kontekście big data. Kwestia ta jest jeszcze bardziej skomplikowana, gdy weźmiemy pod uwagę również inne pojęcia wprowadzone przez RODO, takie jak "współadministrator", czy "dalszy podmiot przetwarzający". Wynika to z faktu, że w łańcuch przetwarzania danych może być zaangażowanych wiele podmiotów, zaś jego zmapowanie może stanowić bardzo uciążliwe zadanie.

Dlatego też zalecane jest wcześniejsze przygotowanie wzorów umów, zgodnych z surowymi wymogami RODO, które będą wyjaśnić role, jakie odgrywają poszczególne podmioty zaangażowane w przetwarzanie danych w ramach big data.

Zasady ochrony danych osobowych

RODO przewiduje sześć zasad ochrony danych osobowych, które muszą zostać spełnione przy przetwarzaniu danych osobowych ^[8]. Większość z tych zasad stanowi jednak duże wyzwanie z punktu widzenia podstawowych cech analityki big data.

• Zasada “zgodności z prawem” oznacza, że każde przetwarzanie danych osobowych powinno być dokonywane w oparciu o podstawę prawną.
• Zasada „rzetelności i przejrzystości” oznacza, że administrator musi przekazywać osobom, których dane osobowe dotyczą, informacje na temat przetwarzania ich danych, chyba że osoby te posiadają już ww. informacje. Zasada przejrzystości w kontekście big data – gdzie złożoność analiz sprawia, że przetwarzanie danych jest nieprzejrzyste – może stanowić szczególnie trudne wyzwanie i wiąże się z tym, że „osoby muszą otrzymać jasne informacje o tym, jakie dane są przetwarzane, wliczając w to dotyczące ich dane zaobserwowane lub wywnioskowane; muszą być lepiej poinformowane o tym, w jaki sposób i w jakim celu wykorzystuje się ich dane, w tym o logice stosowanej w algorytmach do określania założeń i prognoz na ich temat” ^[9].
• Zasada „ograniczenia celu” wymaga gromadzenia i przetwarzania danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach. Przede wszystkim zaś najistotniejszym jest, aby przetwarzanie danych odbywało się w jasno określonym celu. Wymóg ten może być szczególnie trudny do realizacji w kontekście big data, ponieważ „w czasie gromadzenia danych osobowych nadal może być niejasne, w jakim celu dane będą później wykorzystywane. Krótkie jednak stwierdzenie, że dane osobowe gromadzone są w celach (możliwej) analityki big data, nie stanowi wystarczająco konkretnie określonego celu” ^[10].
• Zasada „minimalizacji danych” oznacza, że dane osobowe muszą być adekwatne, stosowne i ograniczone do tego co niezbędne do celów, w których są przetwarzane. Na pierwszy rzut oka pojęcia „minimalizacji danych” i big data stanowią przeciwieństwa. Faktycznie bowiem „postrzegane możliwości w zakresie big data stanowią zachętę do gromadzenia jak największej ilości danych i przechowywania ich tak długo, jak to możliwe na potrzeby przyszłych, jeszcze niezidentyfikowanych celów” ^[11].
• Dane osobowe muszą być także „prawidłowe” i w razie potrzeby uaktualniane. Podobnie jak w przypadku pozostałych zasad, zasada prawidłowości stanowi wyzwanie z punktu widzenia podstawowych cech analityki big data. W istocie bowiem „aplikacje big data zazwyczaj zbierają dane z różnych źródeł i bez dokładnej weryfikacji stosowności lub prawidłowości zebranych w ten sposób danych” ^[12].
• Zasada „ograniczenia przechowywania” wymaga by dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. RODO nie określa dokładnych okresów przechowywania danych, ponieważ są one zależne od kontekstu ich przetwarzania. Analityka big data stanowi dobry przykład możliwości przetwarzania danych osobowych przez dłuższy okres oraz trudności, jakie mogą pojawić się w tym zakresie w związku z realizacją tej zasady. Przykładowo, zasada ta może podważyć jedną z podstawowych możliwości, jakie daje analityka big data, tj. zdolność do prognozowania. Jeśli bowiem analityka big data umożliwia prognozowanie to właśnie dlatego, że algorytmy mogą porównać aktualne dane z danymi z przeszłości, aby określić co wydarzy się w przyszłości.

Z powyższych rozważań wynika, że podstawowe zasady ochrony danych osobowych są w znacznej mierze sprzeczne z niektórymi podstawowymi cechami analityki big data, a zatem trudno będzie je ze sobą pogodzić. Przemyślenie podejmowanych czynności przetwarzania i rozwijanie narzędzi IT może jednak pomóc w przestrzeganiu tych zasad, w szczególności poprzez zapewnienie posiadania danych, które są odpowiednio zarządzane, aktualne i prawidłowe. Ostatecznie, może to również wpłynąć na poprawę jakości tych danych, a tym samym przyczynić się do ich prawidłowej analizy.

Podstawy prawne przetwarzania danych osobowych

W każdym przypadku, gdy RODO ma zastosowanie, przetwarzanie danych osobowych musi odbywać się w oparciu o jedną z podstaw prawnych przewidzianych w art. 6 ust. 1 RODO. Innymi słowy, aby czynności przetwarzania były zgodne z prawem, od momentu ich rozpoczęcia oraz przez cały czas ich trwania, powinny być oparte na jednej z sześciu podstaw wskazanych w RODO ^[13]. Odnosząc powyższe do analityki big data, wydaje się, że tylko cztery z sześciu powyżej wskazanych podstaw mogą być brane pod uwagę.

• Zgoda: Chociaż „zgoda” jest pierwszą podstawą legitymizującą przetwarzanie danych osobowych, szybko może się okazać, że podstawa ta może być trudna do spełnienia w świetle jej definicji oraz wielu warunków, które w związku z jej stosowaniem muszą zostać spełnione. Zgoda uregulowana w RODO musi być bowiem dobrowolna, konkretna, świadoma i jednoznaczna ^[14]. Ponadto, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych. Administrator powinien także zapewnić możliwość wycofania zgody w dowolnym momencie ^[15]. Warunki te są rygorystyczne i mogą być trudne do spełnienia. Z tego też powodu, przetwarzanie danych osobowych na podstawie zgody w kontekście big data może być niepraktyczne lub nawet niemożliwe, zwłaszcza w przypadku bardziej złożonych aplikacji.
• Wykonanie lub zawarcie umowy: Administrator może oprzeć swoje działania na podstawie przewidzianej w art. 6 ust. 1 pkt a) RODO, w przypadku, gdy musi przetwarzać dane osobowe w celu wykonania umowy, której stroną jest osoba, której dane dotyczą lub w celu podjęcia, na jej żądanie, działań przed zawarciem umowy np. gdy osoba ta nabywa produkt lub usługę. Podstawa ta może być trudna do zastosowania w kontekście big data, ponieważ mało prawdopodobnym jest, że przetwarzanie danych osobowych w konkretnych celach analityki big data będzie „niezbędne” do wykonania umowy zawartej z tą osobą. W praktyce oznacza to, że chociaż analityka big data wiąże się ze skomplikowanym łańcuchem podmiotów zaangażowanych w przetwarzanie i wieloma umowami, to istnieje niewielka interakcja bezpośrednio z osobami, których dane dotyczą.
• Obowiązek prawny: Na podstawie art. 6 ust. 1 pkt c) RODO dopuszcza się przetwarzanie danych w przypadku, gdy jest to „niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Co do zasady, mało prawdopodobnym jest by przetwarzanie danych osobowych w kontekście analityki big data miało miejsce w celu wypełnienia „obowiązku prawnego”. Mimo to, Grupa Robocza Artykułu 29 (obecnie Europejska Rada Ochrony Danych) uważa, że podstawa ta nie powinna być automatycznie wykluczana w kontekście technologicznym.
• Uzasadniony interes: Ochrona danych osobowych nie jest absolutna i często wymaga ważenia interesów. Mając na uwadze trudności w zakresie zastosowania powyżej opisanych podstaw przetwarzania w kontekście big data, uzasadniony interes danej organizacji może stanowić dobrą alternatywę ^[16]. Na podstawie art. 6 ust. 1 pkt f) RODO zezwala na przetwarzanie danych osobowych, jeżeli jest to niezbędne „do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych”. Należy jednak wskazać, że w Opinii w sprawie ostatnich postępów w dziedzinie Internetu Rzeczy (zwanego dalej „IoT”), Grupa Robocza Artykułu 29 przestrzegała, że przetwarzanie danych osobowych w ramach IoT nie zawsze będzie uzasadnione samymi interesami gospodarczymi podmiotów zaangażowanych w takie przetwarzanie, a to ze względu na potencjalny dotkliwy wpływ takich działań na prywatność osób, których dane dotyczą ^[17]. Argumentacja ta powinna być zasadna także w kontekście big data. Z tego też powodu, w przypadku opierania przetwarzania danych osobowych na przesłance uzasadnionych interesów, niezwykle istotne jest przeprowadzenie starannego testu równowagi pomiędzy interesami podmiotów zaangażowanych w analitykę big data a osób, których dane dotyczą.

Mając powyższe na uwadze, znalezienie stosownej podstawy przetwarzania danych osobowych w celu dokonywania analityki big data może okazać się trudne. Rygorystyczne warunki wynikające z RODO mogą ograniczać lub zakazywać pewnych czynności przetwarzania. Niemniej jednak, dokonanie szczegółowej analizy, jak chociażby analizy wymaganej w ramach przesłanki uzasadnionego interesu, może pomóc w znalezieniu odpowiedniej podstawy przetwarzania, stanowiąc jednocześnie dowód, na podstawie którego administrator będzie mógł wykazać rozumowanie leżące u podstaw wybranej podstawy przetwarzania, zgodnie z zasadą rozliczalności ^[18].

Podstawowe obowiązki wynikające z RODO

Część z podstawowych obowiązków nałożonych przez RODO na administratorów i podmioty przetwarzające może być szczególnie istotna z punktu widzenia podmiotów zaangażowanych w analitykę big data. Z pewnością jest tak w przypadku wymogu przeprowadzenia oceny skutków dla ochrony danych (zwanej dalej „OCOD”) oraz wymogu wdrożenia środków ochrony danych w fazie projektowania i domyślnej ochrony danych, o których będzie mowa poniżej.

Przeprowadzenie OCOD jest wymagane tylko w przypadku, gdy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” ze względu na swój charakter, zakres, kontekst i cele. Należy wskazać, że art. 35 ust. 1 RODO wyraźnie wskazuje, że przetwarzanie „z użyciem nowych technologii” może powodować ww. wysokie ryzyko. Z kolei art. 35 ust. 3 i motyw 91 RODO zawierają niewyczerpujący katalog przypadków, w których OCOD jest wymagana. W przypadku natomiast innych czynności przetwarzania, każda organizacja samodzielnie musi ustalić, czy podejmowane przez nią działania mogą powodować wysokie ryzyko dla praw i wolności osób fizycznych. W tym kontekście pomocny może okazać się motyw 75 RODO, który przewiduje, w jakich przypadkach może zachodzić ryzyko naruszenia praw i wolności osób fizycznych. Jednocześnie, art. 35 ust. 4 RODO nakłada na krajowe organy nadzorcze obowiązek ustanowienia wykazu rodzaju operacji przetwarzania, które podlegają wymogowi przeprowadzenia OCOD („czarna lista”), podczas gdy art. 35 ust. 5 umożliwia krajowym organom nadzorczym przyjęcie wykazu rodzaju operacji przetwarzania, które nie podlegają takiemu wymogowi („biała lista”).

Analiza wykazów i wytycznych opublikowanych przez organy nadzorcze różnych krajów UE prowadzi do wniosku, że nowe technologie, a w szczególności analityka big data, będą niemalże systematycznie wymagać przeprowadzania OCOD. Jest to spowodowane tym, że niektóre podstawowe cechy analityki big data jednoznacznie kwalifikują się do bycia objętym tym obowiązkiem, jak np. „duża skala przetwarzania”, „systematyczne monitorowanie”, „automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku” lub „dopasowywanie lub łączenie zbiorów danych”.

W przyjętym przez Prezesa Urzędu Ochrony Danych Osobowych wykazie rodzajów operacji wymagających oceny skutków ^[19] wśród przykładów sytuacji, w których powinno nastąpić przeprowadzenie oceny wskazano m.in.:

• ocenę zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji i żądania ujawnienia danych niemających bezpośredniego związku z oceną zdolności kredytowej
• systemy monitoringu wykorzystywane do zarządzania ruchem lub przeciwdziałania zagrożeniom lub nadużyciom drogowym, umożliwiające szczegółowy nadzór nad każdym kierowcą oraz jego zachowaniem na drodze, w szczególności systemy pozwalające na automatyczną identyfikację pojazdów
• łączenie danych z różnych rejestrów państwowych lub publicznych.

Z kolei wymóg przyjęcia środków ochrony danych w fazie projektowania ^[20] oznacza, że administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych (np. pseudonimizacji) mających na celu prawidłowe stosowanie zasad ochrony danych osobowych (np. zasady minimizacji danych). Jeśli zaś chodzi o wymóg domyślnej ochrony danych ^[21], administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych by zapewnić, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne do realizacji konkretnego celu przetwarzania. Dotyczy to zarówno ilości zbieranych danych, jak i zakresu ich przetwarzania, okresu przechowywania i dostępności. Środki przyjęte przez administratora muszą gwarantować, że domyślnie dane osobowe nie będą udostępniane nieograniczonej liczbie osób bez ingerencji osoby, której dane dotyczą.

Powyższe wymogi dotyczące wdrożenia odpowiednich środków „zgodnie z projektem” i „domyślnie” są szczególnie istotne w środowisku IT, a zatem także w odniesieniu do big data. W praktyce, wymaga to od organizacji uwzględniania kwestii ochrony danych osobowych już na etapie projektowym, a następnie przez cały cykl istnienia systemu, usługi, produktu lub procesu. Wymogi te są więc daleko idące i odnoszą się do wszystkich systemów IT, usług, produktów i procesów związanych z przetwarzaniem danych osobowych. Wymagają one także przeanalizowania polityk, procesów, praktyk lub strategii obowiązujących w organizacji, które mają wpływ na prywatność osób fizycznych, jak również działań dotyczących udostępniania danych oraz przemyślenia, w jaki sposób niektóre produkty i usługi zostaną zaprojektowane. Ponadto, organizacje zobowiązane są do podjęcia odpowiednich środków technicznych realizujących oczekiwania osób fizycznych i w tym celu powinny wyraźnie określić, jakie dane osobowe będą przetwarzane w poszczególnych celach, przetwarzać wyłącznie dane niezbędne do realizacji celów, w których są zbierane, prawidłowo informować osoby fizyczne o przetwarzaniu i zapewniać im możliwość korzystania z przysługujących im praw. Administratorzy powinni także wdrożyć środki domyślnie zapobiegające publicznemu ujawnianiu danych osobowych.

W kontekście przekazywania osobom, których dane dotyczą, szczegółowych informacji o przetwarzaniu ich danych, warto wskazać na najnowsze zmiany wprowadzone do prawa bankowego ^[22], które dopuszczają możliwość podjęcia decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Uprawnienie to jest jednak ograniczone dodatkowymi wymogami, tj. obowiązkiem zapewnienia osobie, której decyzja dotyczy, prawa do otrzymania stosownych wyjaśnień, co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Przepisy precyzują także, że ww. decyzje mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytów. Dodatkowo, przepisy przewidują niewyczerpujący katalog danych, w oparciu o które decyzje te mogą być podejmowane.

Prawa przysługujące osobom fizycznym

Celem RODO jest ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych. W konsekwencji, RODO przyznaje im szereg praw ^[23]. RODO przewiduje także ścisłe procedury dotyczące odpowiadania na żądania osób, których dane dotyczą, w związku z realizowaniem przez te osoby przysługujących im praw. Uregulowane zostały przede wszystkim takie kwestie, jak czas odpowiedzi, jej forma oraz to, w jakich sytuacjach pobieranie za nią opłat jest dozwolone. RODO przyznaje także osobom fizycznym możliwość złożenia skargi do organu nadzorczego, prawo do skutecznej ochrony sądowej przeciwko organowi nadzoru, administratorowi lub podmiotowi przetwarzającemu, a także możliwość, aby osoby te upoważniły podmiot, organizację lub zrzeszenie o charakterze non-profit do złożenia skargi w ich imieniu.

Powyżej opisane prawa przyznane osobom fizycznym na podstawie RODO mogą stanowić szczególne wyzwanie w przypadku złożonych czynności przetwarzania. Prawa te mogą być niezwykle trudne do realizacji w kontekście analityki big data. Ważne zatem jest dokładne ich rozważenie i przewidzenie w jaki sposób mogą być one realizowane. Należy także wskazać, że technologia może przyczynić się do zapewnienia osobom fizycznym możliwości korzystania z przysługujących im praw w bardziej innowacyjny sposób np. poprzez zastosowanie technologii zwiększających ochronę prywatności.

Międzynarodowe transfery danych

RODO utrzymało ogólną zasadę, zgodnie z którą przekazywanie danych osobowych do dowolnego kraju spoza Europejskiego Obszaru Gospodarczego (zwanego dalej „EOG”)^[24] jest zabronione, chyba że państwo to zapewnia odpowiedni stopień ochrony prywatności. Przekazywanie danych do „krajów trzecich” (tj. krajów spoza EOG, które nie zapewniają odpowiedniego stopnia ochrony) jest ograniczone. W takich przypadkach przepływ danych może nastąpić wyłącznie w oparciu o konkretny instrument prawny dopuszczający taki przepływ, jak np. Standardowe (Modelowe) Klauzule Umowne (SCC) ^[25], wiążące reguły korporacyjne (BCR) ^[26], zatwierdzone kodeksy postępowania lub wyjątki uregulowane w RODO ^[27].

Świadczenie usług analityki big data może wymagać, by dane osobowe podlegające przetwarzaniu były przekazywane poza EOG. Może mieć to szczególnie miejsce w przypadku korzystania z usług chmurowych. W konsekwencji, wymogi dotyczące przekazywania danych osobowych poza EOG wynikające z RODO powinny być brane pod uwagę w celu określenia najodpowiedniejszego rozwiązania umożliwiającego taki międzynarodowy przepływ danych.

Tym samym, wszelkie przepływy danych zawsze powinny być dokładnie przeanalizowane i zmapowane, szczególnie w ramach weryfikowania poszczególnych podmiotów zaangażowanych w przetwarzanie, w celu określenia lokalizacji danych i przyjęcia odpowiednich (umownych) instrumentów.

Wnioski

Niniejszy artykuł przedstawia najbardziej problematyczne zagadnienia związane z przetwarzaniem danych osobowych w kontekście big data. Nie wyczerpuje on jednak tej jakże skomplikowanej tematyki. Jego celem jest m.in. pokazanie, że znalezienie równowagi pomiędzy różnymi interesami ma fundamentalne znaczenie. W tym zakresie należy mieć na uwadze motyw 4 RODO, zgodnie z którym prawo do ochrony danych osobowych nie jest prawem bezwzględnym i należy je postrzegać w kontekście jego funkcji społecznej oraz wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności.

W związku z powyższym, wszelkie wytyczne, decyzje administracyjne lub orzeczenia sądowe powinny uwzględniać wszystkie wchodzące w grę interesy. W przeciwnym wypadku, rozwój nowych technologii będzie istotnie utrudniony i uniemożliwione będzie powstanie prawdziwej gospodarki opartej na danych.

Autorzy:

Jasmien César, Julien Debussche, Simon Mortier

Niniejszy materiał jest tłumaczeniem artykułu Big Data & Issues & Opportunities: Privacy and Data Protection, z uwzględnieniem adaptacji do polskich realiów i obowiązujących przepisów prawa.

Kontakt:

Paulina Bełzak, associate w praktyce ochrony danych osobowych i prywatności

^[1] G. González Fuster, A. Scherrer, Big Data and Smart Devices and Their Impact on Privacy. Study for the LIBE Committee (European Parliament, Directorate-General for Internal Policies, Policy Department C Citizens' rights and constitutional affairs), Unia Europejska, Bruksela 2015, http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf, maj 2019, str. 20

^[2] Ministerstwo Cyfryzacji, Założenia do strategii AI w Polsce. Plan działań Ministerstwa Cyfryzacji, 2018, https://www.gov.pl/documents/31305/436699/Za%C5%82o%C5%BCenia_do_strategii_AI_w_Polsce_-_raport.pdf/a03eb166-0ce5-e53c-52a4-3bfb903edf0a, maj 2019

^[3] Ibidem, str. 2

^[4] Operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (Art. 4 pkt 2) RODO)

^[5] Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (Art. 4 pkt 1) RODO)

^[6] Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby (Art. 9 RODO)

^[7] G. González Fuster, A. Scherrer, Big Data and Smart Devices…, op. cit., str. 20

^[8] Zgodnie z art. 5 ust. 1 RODO zasady te są następujące: (i) zgodność z prawem, rzetelność i przejrzystość; (ii) ograniczenie celu; (iii) minimalizacja danych; (iv) prawidłowość; (v) ograniczenie przechowywania; oraz (vi) integralność i poufność

^[9] Europejski Inspektor Ochrony Danych, Opinion 7/2015. Meeting the challenges of big data. A call for transparency, user control, data protection by design and accountability, EDPS, Bruksela 2015, https://edps.europa.eu/sites/edp/files/publication/15-11-19_big_data_en.pdf, maj 2019, str. 4

^[10] N. Forgó, S. Hänold, B. Schütze, The Principle of Purpose Limitation and Big Data, w: M. Corrales, M. Fenwick, N. Forgó (red.), New Technology, Big Data and the Law, Springer Nature Singapore Pte Ltd. 2017

^[11] Europejski Inspektor Ochrony Danych, Opinion 7/2015…, op. cit., str. 8

^[12] Ibidem

^[13] Są to następujące podstawy: (i) zgoda osoby, której dane dotyczą; (ii) niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań przed zawarciem umowy; (iii) niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią; (iv) niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze; (v) niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej; oraz (vi) niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

^[14] Art. 4 pkt 11) RODO

^[15] Art. 7 RODO

^[16] “Prawnie uzasadniony interes może stanowić alternatywną podstawę przetwarzania, co pozwala zachować równowagę pomiędzy korzyściami handlowymi i społecznymi a prawami i interesami osób fizycznych." Information Commissioner's Office, Big data, artificial intelligence, machine learning and data protection, ICO 2017, https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf, maj 2019, str. 34

^[17] Grupa Robocza Artykułu 29, Opinion 8/2014 on the Recent Developments on the Internet of Things, WP223, 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf, maj 2019, str. 15

^[18] Art. 5 ust. 2 RODO: Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)

^[19] Prezes Urzędu Ochrony Danych Osobowych, Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, 2018, http://monitorpolski.gov.pl/MP/2018/827/, maj 2019

^[20] Art. 25 ust. 1 RODO

^[21] Art. 25 ust. 2 RODO

^[22] Zmiany zostały wprowadzone na podstawie Ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, wchodzącą w życie 4 maja 2019 r.

^[23] Prawa te obejmują: (i) prawo dostępu (art. 15 RODO); (ii) prawo do sprostowania danych (art. 16 RODO); (iii) prawo do usunięcia danych (art. 17 RODO); (iv) prawo do ograniczenia przetwarzania (art. 18 RODO); (v) prawo do przenoszenia danych (art. 20 RODO); (vi) prawo do sprzeciwu (art. 21 RODO); (vii) prawo do niepodlegania zautomatyzowanej decyzji, w tym profilowaniu (art. 22 RODO); oraz (viii) prawo do wycofania zgody (art. 7 ust. 3 RODO)

^[24] Europejski Obszar Gospodarczy obejmuje 28 krajów UE oraz Islandię, Lichtenstein i Norwegię

^[25] Jest to umowa pomiędzy przekazującym dane osobowe a odbierającym te dane, zawierająca wystarczające zabezpieczenia w zakresie ochrony danych

^[26] Jest to wiążący wewnętrznie kodeks postępowania zapewniający zabezpieczenia w zakresie ochrony danych, poprzez który międzynarodowe korporacje, organizacje międzynarodowe i grupy przedsiębiorstw mogą przekazywać dane w ramach swojej grupy, w skład której wchodzą członkowie mający siedziby poza EOG

^[27] Wyjątki te obejmują: (i) wyraźną zgodę; (ii) niezbędność do wykonania umowy; (iii) ważne względy interesu publicznego; (iv) roszczenia prawne; (v) żywotne interesy; oraz (vi) dane pochodzące z rejestrów publicznych.  RODO przewiduje także wyjątek zastrzeżony dodatkowymi wymogami, który może mieć zastosowanie, gdy przekazanie danych nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą, a administrator ocenił (i udokumentował) wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. W przypadku przekazywania danych w oparciu o tę podstawę, administrator zobowiązany jest do poinformowania o tym organu nadzorczego i osoby, której dane dotyczą.