W ostatnim Raporcie Rzeczpospolitej, poświęconym prawnym aspektom blockchaina i jego zastosowań, w kilku słowach opisałem wyzwania, jakie technologia ta stawia dla prawa ochrony danych osobowych. Okazuje się bowiem, że blockchain przynajmniej potencjalnie podważa fundamentalne założenia i metody regulacji przyjęte w RODO.
Kategoria: ochrona prywatności/danych osobowych
Private enforcement RODO
Nowe rozporządzenie o ochronie danych osobowych wprowadza surowe kary administracyjne za jego nieprzestrzeganie. Jak jednak wiadomo, nie surowość, lecz nieuchronność kary decyduje o jej skuteczności. Choć urząd ochrony danych osobowych został wyposażony w szerokie kompetencje, ma jednak niewystarczające środki, aby z nich korzystać. Uzupełnieniem tej luki może być wbudowany w rozporządzenie mechanizm tzw. private enforcement. Pozwala on na to, aby każda osoba której dane zostały naruszone, samodzielnie dochodziła ochrony sądowej.
Mechanizm private enforcement coraz częściej uzupełnia publicznoprawny mechanizm egzekwowania przepisów regulacyjnych. Takie rozwiązanie wprowadzono ostatnio w sprawach dotyczących odpowiedzialności odszkodowawczej za naruszenie prawa konkurencji (o czym pisaliśmy tutaj). Takie rozwiązanie przewiduje także RODO.
DSRC – rozmawiające ze sobą samochody a ochrona naszych danych osobowych
Dedicated Short Range Communication to system pozwalający na wymianę informacji pomiędzy samochodami (V2V) oraz samochodami a infrastrukturą drogową (V2I). Z założenia technologia ta ma służyć przepływowi zanonimizowanych informacji dotyczących warunków jazdy. Nie wiadomo jednak, czy funkcjonowanie DSRC nie będzie się też wiązać z gromadzeniem i przetwarzaniem danych osobowych.
Jak wyłączyć RODO
Na spotkaniu podsumowującym konsultacje społeczne w zakresie projektu ustawy wdrażającej RODO Ministerstwo Cyfryzacji potwierdziło, że w toku prac legislacyjnych zaakceptowana została poprawka wprowadzająca istotne wyłączenia spod zastosowania RODO, którą zgłosiło jeszcze w październiku zeszłego roku Ministerstwo Rozwoju. Projektowane wyłączenie jest ciekawym przykładem tego, jak trudno zaprojektować przepisy dobrze odpowiadające cyfrowej gospodarce.
Powiadomienia na smartfonie zamiast regulaminów
Grudzień 2017 r. przyniósł dwa nowe dokumenty Grupy Roboczej Art. 29 wyjaśniające, jak rozumieć przepisy RODO dotyczące zgody, którą należy uzyskać i informacji, które należy przekazać klientom w celu przetwarzania ich danych osobowych. Są to Wytyczne w sprawie zgody i Wytyczne w sprawie przejrzystości. Nowe dokumenty wskazują, że mija czas obszernych regulaminów pisanych drobnym drukiem. Administratorzy danych, którzy chcą zadbać o zgodność z RODO, lepiej zrobią, stawiając na system krótkich i łatwych do zrozumienia pytań oraz powiadomień.
Dane nie do końca anonimowe
Ponieważ anonimizacja danych wydaje się główną metodą ucieczki spod restrykcyjnego reżimu RODO, warto mieć świadomość, co i komu grozi, jeśli nie uda się jej przeprowadzić, wystawiając objęte nią zasoby danych na ryzyko wtórnego przyporządkowania do konkretnych osób. Czy firmy, które trenują sztuczną inteligencję na zanonimizowanych danych, powinny liczyć się z odpowiedzialnością, jeśli okaże się, że dane, z których korzystają, jednak nie przeszły trwałej anonimizacji, tylko możliwą do odwrócenia pseudonimizację?