GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Recenzja: Prawo ochrony danych osobowych wobec profilowania osób fizycznych

recenzja książki: " ochrona danych osobowych w kwestii profilowania osób fizycznych:

Prawo ochrony danych osobowych wobec profilowania osób fizycznych – pozycja reklamowana jako pierwsza w Polsce prawnicza monografia dotycząca zjawiska profilowania ludzi. 388 stron w twardej oprawie. Czy publikacja odbiega od szeregu generycznych tomików poświęconych tematyce RODO?

W ciągu ostatnich dwóch lat zalała nas fala lepszych i gorszych publikacji z zakresu ochrony danych osobowych, część to obszerne komentarze, część praktyczne poradniki, jeszcze inne stanowiły próbę podciągnięcia RODO pod każdą możliwą branżę i działalność. Spokojnie oczekiwać możemy zatem na „RODO dla filatelistów” czy „RODO dla surferów i fryzjerów”. Z masy tej wyodrębniały się pozycje podchodzące do zagadnienia problemowo, których autorzy podejmowali trud rzetelnej analizy przepisów i ich praktycznego zastosowania w danym obszarze. Książka Arwida Mednisa wydaje się należeć do tej ostatniej kategorii, chociaż autor nie ustrzegł się kilku błędów swoich poprzedników.

Publikacja składa się z 6 rozdziałów poświęconych tematyce: profilowania w praktyce, skutkom w sferze praw jednostki, celom, zakresowi i skuteczności prawa ochrony danych osobowych, profilowaniu w prawie ochrony danych osobowych, obowiązkom administratora w związku z profilowaniem, a także skuteczności prawa ochrony danych wobec profilowania.

Na ogromy plus zaliczyć trzeba rozdział 1, stanowiący zarazem najciekawszą część książki, czyli profilowanie w praktyce. Tekst czyta się jak dobrą powieść, pełną barwnych anegdot i ciekawostek z pogranicza prawa i nowych technologii. Książka zwalnia tempo w rozdziale drugim by następnie wprowadzić czytelnika w medytacyjny nastrój problematyką skuteczności prawa oraz ewolucji regulacji dotyczących profilowania. Dynamika wraca na etapie wyjaśniania pojęć oraz zastosowania profilowania przy podejmowania zautomatyzowanych decyzji (sektor bankowy, zapobieganie i wykrywanie przestępstw). Rozdział 5 stanowi rzetelne omówienie zasad przetwarzania, podstaw prawnych, kwestii realizacji praw osób i obowiązków administratora. W części tej podejście naukowe (które jasno deklaruje autor) przeważa nieco nad praktycznym i pojawia się pewien niedosyt, co do realizacji części przepisów np. jak w praktyce dokonać ograniczenia przetwarzania w złożonych systemach informatycznych bazujących na rozbudowanych algorytmach, czy jak sprawdzić poprawność danych, czy też dokonać ich aktualizacji? Bardzo oszczędnie pod względem treści podszedł również autor do tematu współadministrowania, który sam w sobie budzi sporo wątpliwości, a w zestawieniu z profilowaniem wymaga terapii muzyką klasyczną.

Wnioskom dotyczącym skuteczności prawa ochrony danych osobowych wobec negatywnych konsekwencji profilowania poświecono w końcowej części książki jedynie 20 stron, mimo, że autor na 350 poprzedzających tę część kartach zdołał wzbudzić w czytelniku liczne obawy i wątpliwości, z których nie wszystkie zostały tu szerzej omówione.

W tekście można znaleźć drobne nieścisłości np. a apropos definicji czynności przetwarzania i kategorii czynności przetwarzania zdaniem autora „Żaden z wymienionych organów [MC i GIODO/UODO – przy. redakcji] nie zaznacza jednak wyraźnie, czym jest czynność”. Jednak rozwiązanie tej zagadki mogliśmy już znaleźć w poradniku UODO pn. Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO („W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane” natomiast „Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzani”).

Całość jest jednak dobrze przemyślana i ustrukturyzowana, rzetelnie zrealizowana, a co najważniejsze napisana w sposób przejrzysty i przystępny dla czytelnika. Z przykrością odnotować trzeba fakt, że nie o wszystkich publikacjach z zakresu ochrony danych osobowych można powiedzieć to samo.