RODO w branży teleinformatycznej: jakie rozwiązania w sprawie sztucznej inteligencji i Blockchain
– Dlatego w rok od wejścia w życie rozporządzenia postanowiliśmy sprawdzić, jak wygląda stosowanie RODO w branży teleinformatycznej. Z jakimi problemami spotykają się przedsiębiorcy w tym zakresie, jak rozporządzenie wpisało się w stosowane w naszym kraju od ponad 20 lat sektorowe i ogólne przepisy dotyczące ochrony danych osobowych, a także jakie mamy doświadczenia i wyzwania w tym zakresie – powiedział Xawery Konarski Wiceprezes PIIT
Ochrona prawna danych osobowych i prywatności w sieciach teleinformatycznych zawsze stanowiła istotny element prowadzenia działalności przez podmioty z sektora teleinformatycznego. Regulacje te bezpośrednio bowiem wpływają na architekturę tworzonych aplikacji i systemów, jak również realizowane procesy biznesowe przez firmy z tego sektora. Wejście w życie RODO uświadomiło jeszcze bardziej potrzebę znajomości przepisów prawnych z tego zakresu.
Polska Izba Informatyki i Telekomunikacji (PIIT) działa jako platforma do współtworzenia fundamentów cyfrowego rozwoju Polski. Każda z ponad 130 firm zrzeszonych w PIIT dostosowała się do wymogów rozporządzenia RODO, które weszło w życie 25 maja 2018 r.
– W ciągu ostatnich lat w Polsce branże zaawansowane cyfrowo miały tempo wzrostu prawie 3 razy większe niż inne branże na polskim rynku. Sektor teleinformatyczny stanowi łącznie ok. 8% polskiego PKB. Pracuje w nim 430 tys. osób, a liczba pracowników rośnie o ok. 6% rocznie. Sektor teleinformatyczny w Polsce odnotowuje największy wzrost obrotów w Europie, który wynosi ok. 9% rocznie. Ochrona danych osobowych stanowi ważny aspekt naszej pracy i mam poczucie że w tym zakresie nasza branża także bardzo dobrze sobie radzi – powiedział Andrzej Dulka Prezes PIIT
W ramach Polskiej Izby Informatyki i Telekomunikacji od lat działa Komitet Ochrony Danych Osobowych i Zarządzania Informacją (KODO). Jego celem jest z jednej strony formułowanie uwag i stanowisk do projektów aktów prawnych z zakresu ochrony informacji, a z drugiej wypracowywanie wśród członków PIIT wykładni przepisów RODO i – docelowo – dobrych praktyk w zakresie stosowania tego prawa. Od 2018 r. w ramach KODO prowadzone są prace nad Kodeksem postępowania i dobrych praktyk w zakresie ochrony danych osobowych, który – po jego zatwierdzeniu przez regulatora – powinien stanowić ważny mechanizm compliance.
System ochrony danych osobowych
Na całość sytemu przepisów RODO składają się nie tylko przepisy Rozporządzenia, ale również wydanych w związku z nim ustaw krajowych. Ma to istotne znaczenie prawne, ponieważ naruszeniem przepisów Rozporządzenia, skutkującym między innymi możliwością nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych wysokich kar pieniężnych jako sankcji administracyjnych będzie również naruszenie przepisów ustaw krajowych, doprecyzowujących RODO.
– Poprzednie prawo było już przestarzałe. W realiach informatyki regulacja unijna z 1995 roku jest równie przystająca do obecnych warunków jak kodeks Hammurabiego – powiedział Xawery Konarski Z PIIT. Podkreśla jednocześnie, że podobnego problemu nie będzie z nowym Rozporządzeniem. – RODO bywa nazywane „inteligentnym aktem prawnym”, gdyż jego zapisy nie są zależne od nowej technologii. W akcie prawnym, inaczej niż poprzednio, nie ma np. wymagań dotyczących długości haseł czy kluczy szyfrujących. Zamiast tego są jasno opisane wymagania formalne
78 stron konkretów
W swoim raporcie Izba przedstawia cały ekosystem prawny, który kryje się za wdrożeniem RODO w Polsce.
– Cechą rozporządzenia jest konieczność uzupełnienia jego zapisów poprzez odpowiednie prawodawstwo krajowe. Dla branży ICT szczególne znaczenie mają przepisy Prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną. Istotne znaczenie ma również tzw. ustawa policyjna, która określa zasady przetwarzania danych osobowych na potrzeby czynności śledczych.
Nowe prawo zostało w raporcie przeanalizowane pod kątem wpływu na branżę ICT.
Odpowiedzieć za chmurę
Raport szczegółowo omawia wpływ nowej dyrektywy na wiodące technologie takie jak blockchain, sztuczna inteligencja czy internet rzeczy. Wskazane są również obowiązki jakich dopełnić musza spółki technologiczne w zależności od swojej działalności.
Jedną z najważniejszych zmian jest wprowadzona w nowym prawie odpowiedzialność zlecającego przetwarzanie danych osobowych za niedopatrzenia podmiotów, którym dane zostały powierzone.
– W praktyce to prawo zdecydowanie zniechęca do korzystania z niesprawdzonych podmiotów oraz prób obejścia wymogów RODO poprzez migrację zasobów danych osobowych – komentuje Xawery Konarski z Izby. Jego zdaniem firmy będą znacznie mniej chętne, by korzystać z usługodawców wobec których mają wątpliwości odnośnie zapewnienia standardów bezpieczeństwa. Ryzyko jest za duże.
– W latach 2013-2014 wyciekło ponad miliard rekordów z bazy danych klientów Yahoo. Firma starała się zamieść temat pod dywan i nie informowała poszkodowanych nawet gdy pracownicy już wiedzieli, że dane zostały ukradzione – komentuje Mariusz Busiło z PIIT. – Gdyby obowiązywało RODO firma, oprócz już teraz sięgających milionów odszkodowań musiałaby zapłacić również gigantyczne kary.
Sztuczna Inteligencja bez danych osobowych
Zmiany odczuje sektor sztucznej inteligencji, gdzie dane, przed przetwarzaniem, często powinny zostać pozbawione wszelkich oznaczeń, które umożliwią zidentyfikowanie poszczególnych użytkowników.
– Jeśli firma np. przygotowuje model przetwarzający dane klientów własnym sumptem, sprawa jest znacznie prostsza. Jednak anonimizacja oznacza zubożenie danych, co z perspektywy uczenia maszynowego jest niekorzystne – komentuje Barbara Sawina z PIIT.
-Warto wspomnieć, że ochronie podlegają nie tylko dane klientów, ale również pracowników. Według niektórych z interpretacji kandydat może poprosić o pokazanie notatek robionych na jego CV podczas rozmowy kwalifikacyjnej, gdyż jest to bezpośrednia ingerencja w nośnik z jego danymi osobowymi, a on ma prawo do wglądu i modyfikacji tych informacji. Co więcej, firmy technologiczne intensywnie rekrutują i często wracają z propozycjami pracy do wcześniej zatrudnionych kandydatów. W praktyce każdego z nich trzeba spytać o zgodę na dalsze trzymanie i przetwarzanie jego danych.
Podobnie nieoczywiste wyzwania wiążą się z technologią Blockchain
– Jednym z podstawowych wymagań narzucanych przez RODO jest możliwość modyfikacji i usunięcia swoich danych osobowych z bazy danych firmy. W tradycyjnych systemach nie jest to problemem, jednak fundamentem technologii blockchain jest brak możliwości modyfikacji starych zapisów – tłumaczy Barbara Sawina z Izby. – Dzięki temu znacznie trudniej jest przeprowadzić lub ukryć oszustwo. Jednak każda informacja, która wpadnie w rozproszoną bazę danych zostaje tam na zawsze. W najbardziej ortodoksyjnej interpretacji przepisów RODO całkowicie delegalizuje technologię blockchain na terenie Unii Europejskiej.
Spośród nowych, innowacyjnych technologii, Blockchain („łańcuch bloków”) niewątpliwie stanowi największe wyzwanie z punktu widzenia zapewnienia zgodności z wymogami RODO. Jego istotą jest bowiem zdecentralizowany charakter, co szczególnie w przypadku tzw. Blockchaina publicznego, w którym każdy może wziąć bierny lub czynny udział w budowie tej sieci, utrudnia dokonanie rozliczalności przetwarzania danych i przypisanie roli administratora (współadministratora) danych. To samo dotyczy realizacji praw podmiotów danych. W sieciach zdecentralizowanych nie ma bowiem konkretnego podmiotu przechowującego dane i sprawującego kontrolę nad nim, w tym między innymi w zakresie ich usuwania (np. w ramach realizacji żądania prawa do bycia zapomnianym).
Twarde prawo
– Część przedsiębiorców podeszła do Rozporządzenia o Ochronie Danych Osobowych jako do kolejnego martwego przepisu. Pierwsi już mieli okazję się zdziwić – komentuje Xawery Konarski.
W marcu jedna z polskich spółek została ukarana grzywną w wysokości 943 tys. złotych za brak realizacji obowiązku informacyjnego. – RODO to jeden z najważniejszych aktów prawnych dla branży teleinformatycznej. To, czy jest bardziej szansą czy zagrożeniem zależy wyłącznie od przedsiębiorców i powagi z jaką podejdą do bezpieczeństwa danych w swojej firmie.