GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wyzwania nowoczesnych technologii dla prywatności

Wyzwania nowoczesnych technologii dla prywatności

Wiek technologii informacyjnej

Era cyfrowa, czyli wiek technologii informacyjnej, charakteryzuje się powszechnością korzystania z komputerów, Internetu i technologii cyfrowych. Nowe rodzaje komunikacji i  formy informacji spowodowały, że coraz więcej danych jest gromadzonych i rejestrowanych[i]. Początkowo żadna technologia nie była w stanie analizować lub wyciągać z nich użytecznych wniosków. Dane były po prostu zbyt liczne, aby móc je ocenić, zbyt złożone, słabo zorganizowane i szybko zmieniające się, by móc przy ich pomocy zidentyfikować społeczne trendy i zwyczaje.

Rozwój technologii analitycznych i predykcyjnych

Szybko jednak pojawiły się rozwiązania, dzięki którym cyfrowe ślady pozostawione praktycznie po każdym naszym działaniu, mogły być nie tylko zbierane, ale także dalej przetwarzane i analizowane, w celu wyszukiwania wzorców lub podejmowania decyzji na podstawie zautomatyzowanych algorytmów. Nastał czas bezprecedensowego wglądu w ludzkie zachowanie i prywatne życie[ii] oraz wykorzystanie tego typu informacji w nieprzewidywanym do tej pory zakresie.

Jednocześnie ludzie zaczęli zadawać sobie pytania, jaki wpływ mają tego typu rozwiązania na codzienne życie. Z jednej strony gromadzenie, przechowywanie i analiza dużych ilości informacji do identyfikacji wzorców i przewidywania jak ludzie będą się zachowywać – może mieć dużą wartość dla społeczeństwa, zwiększając jego produktywność, wydajność sektora publicznego i uczestnictwo w życiu społecznym[iii]. Z drugiej strony stanowią one ogromne wyzwanie dla prywatności, ponieważ automatycznie gromadzone są coraz większe ilości danych osobowych, które są przetwarzane w złożony i skomplikowany sposób.

Duże zbiory danych czyli big data

Pojęcie „big data” obejmuje rosnącą zdolność technologiczną do zbierania, przetwarzania informacji i wyodrębniania nowej wiedzy predykcyjnej z dużej objętości, prędkości i różnorodność danych. Istnieje wiele źródeł, które mogą być wykorzystywane do takich analiz. Są to dane techniczne (np. odczyty czujników monitorujących środowisko lub zdjęcia satelitarne terenów miejskich), ale wiele z tych informacji to dane osobowe takie jak imiona i nazwiska, zdjęcia osób, dane adresowe (pocztowe i elektroniczne) i bankowe, ale także zapisy przebytych tras przez GPS, posty na portalach społecznościowych, informacje medyczne oraz adresy IP komputera lub modele używanego sprzętu.

Big data to również przetwarzanie, a w szczególności analiza i ocena danych w celu uzyskania użytecznych informacji na potrzeby kolejnych analiz. Oznacza to, że każdy rodzaj danych (transakcje finansowe, zdolność kredytowa, przebieg leczenia, konsumpcja prywatna, aktywność zawodowa) może być łączony w nowe zbiory, które są ponownie analizowane dla celów innych niż pierwotnie zamierzone.

Sztuczna inteligencja

Sztuczna inteligencja (AI) odnosi się do urządzeń działających jako inteligentni agenci, którzy postrzegają swoje środowisko oraz podejmują zautomatyzowane decyzje. Używa się w nich algorytmów czyli procedur obliczania, przetwarzania danych, oceniania, automatycznego wnioskowania i podejmowania decyzji. Pojęcie AI jest też stosowane wobec urządzeń i oprogramowania naśladującego funkcje poznawcze – takie jak uczenie się i rozwiązywanie problemów – które normalnie wiąże się z osobami fizycznymi[iv].

Podobnie jak w przypadku analityki big data, sztuczna inteligencja i podjęte przez nią zautomatyzowane decyzje wymagają kompilacji i przetwarzania bardzo dużych ilości danych. Mogą one pochodzić z samego inteligentnego urządzenia (np. temperatura hamulców, zużycie paliwa w samochodzie) lub z jego zewnętrznego środowiska (np. temperatura i wilgotność powietrza, stan drogi) i być wykorzystywane do innych niż pierwotnie zamierzone cele.

Korzyści ze stosowania nowoczesnych technik przetwarzania

Nowoczesne techniki analityczne są w stanie nie tylko przetwarzać duże ilości danych, ale też szybko importować nowe dane oraz zapewniać uzyskanie w bardzo krótkim czasie odpowiedzi, nawet w przypadku złożonych zapytań. Są one też zdolne do przyjmowania jednocześnie wielu zapytań i analizowania różnego rodzaju informacji (zdjęcia, teksty lub dane numeryczne) w czasie rzeczywistym.

Dzięki zautomatyzowanym analizom statystycznym przeprowadzonym na dużych zbiorach danych, w badawczych dyscyplinach, w których do tej pory była możliwa tylko manualna ocena na ograniczonych zestawach informacji, można teraz uzyskać wiele nowych spostrzeżeń.  Wzorce, pozyskane z połączenia istniejących już źródeł i zestawów danych, umożliwiają wyciągnięcie nowych wniosków w dziedzinach takich jak medycyna, bezpieczeństwo żywności, inteligentne systemy transportu, efektywna energia lub planowanie urbanistyczne.

Korporacje mają też nadzieję, że big data pozwoli im uzyskać przewagę nad konkurencją, wygenerować potencjalne oszczędności i tworzyć nowe obszary biznesowe poprzez bezpośrednią, zindywidualizowaną obsługę klienta. Agencje rządowe widzą zastosowanie w zakresie wymiaru sprawiedliwości w sprawach karnych.

Zagrożenia związane z nowymi technologiami

Pomimo wielu korzyści, nowe technologie wywołują poważne obawy w kontekście zagrożeń dla prywatności, demokracji i wolności słowa. Uważa się, że globalne systemy monitorowania, zdolne do zbierania i przetwarzania szerokiej gamy informacji o pojedynczej osobie, a także dostęp to tych informacji praktycznie bez żadnych ograniczeń geograficznych, mają ujemny wpływ na prawo do prywatności dla wielu ludzi.

Monitorowanie może także mieć negatywne skutki dla kultury politycznej, kreatywności i innowacji. Świadomość, że państwo stale śledzi i analizuje działania i zachowanie swoich obywateli może zniechęcać do wyrażania swoich poglądów oraz wywoływać  poczucie strachu i zagrożenia[v]. Techniki przetwarzania danych mogą mieć również wpływ na procesy demokratyczne, na przykład przez „mikro-manipulowanie” dostępem do informacji dla wyborców.

Przetwarzanie danych osobowych jest również potężnym narzędziem w rękach biznesu, przynoszącym realne skutki dla osób fizycznych. Może ono ujawnić szczegółowe informacje np. na temat stanu zdrowia lub sytuacji finansowej danej osoby, które następnie zostaną wykorzystane do podjęcia ważnych decyzji (ustalenie wyższej składki na ubezpieczenie na życie, ocenienie zdolności kredytowej na niższym poziome, niezatrudnienie osoby niepełnosprawnej lub chronicznie chorej).

Kwestie związane z ochroną danych osobowych

Kiedy bardzo duże ilości danych osobowych lub informacji o zachowywaniu się osób są gromadzone, a następnie analizowane i oceniane, ich wykorzystanie może prowadzić do poważnych naruszeń podstawowych praw i wolności wykraczających poza prawo do prywatnościRODO co prawda zawiera przepisy dotyczące prawa indywidualnej osoby do sprzeciwu wobec automatycznego podejmowaniu decyzji, w tym profilowania[vi] ale realizacja tego prawa może być bardzo utrudniona.

Niemożliwym do wykonania może być manualna ingerencja w automatyczny proces decyzyjny. Gdy algorytmy są zbyt skomplikowane, a ilość danych jest zbyt duża, może być utrudnione podanie uzasadnienia dla podejmowanych zautomatyzowanych decyzji lub udzielenie informacji osobie, której dane dotyczą w celu uzyskania świadomej zgody na przetwarzanie danych.

Identyfikacja administratorów i procesorów oraz ich odpowiedzialność

Duże zbiory danych i sztuczna inteligencja rodzą też pytania na temat odpowiedzialności za naruszenia mające wpływ na prywatność osób, w przypadkach kiedy nie można z całą pewnością przypisać do jednego podmiotu przetwarzanych danych, ze względu na złożoność procesu i ilość aktorów. Gdy dane są przetwarzane przez inteligentne urządzenia i oprogramowanie, kto jest ich faktycznym administratorem, a kto procesorem? Jakie są dokładne obowiązki każdego podmiotu w tego typu zbiorowym przetwarzaniu oraz do jakich konkretnych celów mogą być używane duże zbiory danych?

Kwestia ustalenia odpowiedzialności jest jeszcze trudniejsza kiedy sztuczna inteligencja podejmuje decyzje oparte na procesach przetwarzania, które sama opracowała. RODO określa ramy prawne odpowiedzialności administratora danych i procesora, którzy ponoszą odpowiedzialność za bezprawne przetwarzanie danych osobowych. Ponieważ AI i algorytmy big data są traktowane jako produkty, istnieje luka prawna pomiędzy odpowiedzialnością podmiotów fizycznych i prawnych, która jest regulowana przez RODO i odpowiedzialnością produktu, która nie jest regulowana przez te przepisy[vii]. Dla wypełnienia tej luki konieczne jest ustalenie zasad odpowiedzialności produktów robotyki i sztucznej inteligencji, w tym także dla zautomatyzowanego podejmowania decyzji[viii].

Wpływ nowych technologii na zasady przetwarzania danych

Zasada minimalizacji danych wymaga, aby dane osobowe były adekwatne, poprawne i ograniczone tylko do tych, które są niezbędne do celów, dla których są przetwarzane. Model biznesowy big data jest antytezą dla tej zasady, ponieważ wymaga on coraz więcej danych, często przetwarzanych bez określonej podstawy prawnej.

To samo dotyczy zasady ograniczenia celu, która wymaga aby dane były przetwarzane tylko dla określonych celów i nie wykorzystywane do innych, które są niezgodne z pierwotnym celem, chyba że takie przetwarzanie jest oparte na ważnej podstawie prawnej (np. zgody osoby, której dane dotyczą).

Duże zbiory danych podważają również zasadę prawidłowości danych, ponieważ aplikacje analityczne  zbierają dane z wielu różnych źródeł, zwykle bez możliwości weryfikacji i zachowania poprawności zebranych danych[ix].

Mechanizmy ochrony danych i indywidualna kontrola

Złożoność i brak przejrzystości w analizie dużych zbiorów danych  może wymagać przemyślenia mechanizmów ochrony danych. Powinny one być dostosowane do kontekstu społecznego i technologicznego oraz brać pod uwagę poziom wiedzy indywidualnych osób w tym zakresie. Mechanizmy te muszą także zapewniać kontrolę indywidualnej osoby nad swoimi danymi osobowymi, która powinna wynikać z procesu szacowania ryzyka i oceny skutków związanego z wykorzystaniem danych[x].

Przypisy

[i] European Commission, Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions towards a thriving data economy COM(2014) 442 final, Brussels, 2 July 2014

[ii] European Parliament (2017), Resolution on fundamental rights implications of big data: privacy, data protection, non-discrimination, security and law enforcement (P8_TA-PROV(2017)0076, Strasbourg, 14 March 2017

[iii] Council of Europe, Consultative Committee of Convention 108, Guidelines on the protection of individuals with regard to the processing of personal data in a world of big data, T-PD(2017)01, Strasbourg, 23 January 2017

[iv] Stuart Russel and Peter Norvig, Artificial Intelligence: A Modern Approach (2nd ed.), 2003, Upper Saddle River, New Jersey: Prentice Hall, pp. 27, 32–58, 968–972; Stuart Russel and Peter Norvig, Artificial Intelligence: A Modern Approach (3rd ed.), 2009, Upper Saddle River, New Jersey: Prentice Hall, p. 2.

[v] UN, General Assembly, Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism, Ben Emmerson, A/69/397, 23 September 2014, para. 59.

[vi] RODO, Art. 22.1  (Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa)

[vii] European Parliament, European Civil Law Rules in Robotics, Directorate-General for Internal Policies, (October 2016), p. 14.

[viii] Speech of Roberto Viola at the Media seminar on European Law on Robotics at the European Parliament. (SPEECH 16/02/2017); European Parliament announcement on the request to the Commission for a proposal on Civil liability Rules for robotics and AI.

[ix] EDPS (2016), Coherent enforcement of fundamental rights in the age of Big Data, Opinion 8/2016, 23 September 2016, p. 8

[x] Council of Europe, Consultative Committee of Convention 108, Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data, T-PD(2017)01, Strasbourg, 23 January 2017.

Autorką artykułu jest: Monika Adamczyk

Posiada wieloletnie doświadczenie w zakresie technologii informatycznych, prywatności, ochrony danych osobowych, bezpieczeństwa informacji i analizy ryzyka.

Aktualnie pracuje jako ekspert w Ministerstwie Cyfryzacji, gdzie pełni funkcję lidera zespołu zarządzania zasobami informacyjnym w projekcie Zintegrowanej Platformy Analitycznej. Poprzednio pracowała w Urzędzie Ochrony Danych Osobowych jako główny specjalista w zespole Analiz i Strategii, gdzie między innymi brała udział w pracach Podgrupy Technologicznej Europejskiej Rady Ochrony Danych Osobowych. Pracowała też w przeszłości dla Narodowego Centrum Badań Jądrowych (NCBJ) jako inspektor ochrony danych oraz jako specjalista informatyk i kierownik projektów dla Międzynarodowej Agencji Energii Atomowej w Wiedniu, dla agencji rządu federalnego USA oraz dla wielu komercjalnych organizacji. Jest też niezależnym ekspertem oceniającym wnioski grantowe w ramach programów Komisji Europejskiej finansujących innowacje MŚP.

Absolwent studiów drugiego stopnia (Master of Science) na Northeastern University, Boston MA w Stanach Zjednoczonych. Posiada też ukończone studia podyplomowe z Audytu i Kontroli Wewnętrznej (Uniwersytet Warszawski), z Wykonywania Funkcji Inspektora Ochrony Danych (Instytut Nauk Prawnych, Polska Akademia Nauk) i z Energetyki Jądrowej (Politechnika Warszawska).