Będziemy mieć unijną chmurę obliczeniową? Strategia KE ws. danych osobowych
Ponieważ jest to forma planowanych inicjatyw legislacyjnych warto przyjrzeć się niektórym propozycjom Komisji. Na wstępie zaznaczam, że nie jest to pełne opracowanie wszystkich zagadnień uwzględnionych w Strategii.
W Strategii znajdujemy ważne konkluzje dotyczące wpływu danych na rozwój wielu obszarów, w tym spersonalizowanch rozwiązań medycznych (m.in. Apple Health, choć to może nienajlepszy przykład) czy tzw. new mobility.
Ilość danych generowanych przez osoby fizyczne stale rośnie i dlatego – zdaniem Komisji – najważniejsze jest zapewnienie najwyższej ochrony tym osobom. Tutaj nie należy oczekiwać zmiany. Nadal będziemy „panami naszych danych”, ale ma być nam też łatwiej nimi zarządzać.
Czytaj także: RODO a cyberbezpieczeństwo: pseudonimizacja wg ENISY
Komisja identyfikuje problemy
Część z nich jest w tym raporcie Komisji (UE) dla sektora finansowego. Część z nich jest „nowa”. Znajdziemy więc tutaj kwestię dostępności danych, w szczególności w kontekście sztucznej inteligencji.
W Strategii jest więc postulat otwarcia danych publicznych dla biznesu i nie chodzi tutaj tylko o zakres, ale również to w jaki sposób te dane są udostępniane.
Dobrym rozwiązaniem mogłyby być API, które nie są jeszcze tak popularne w przypadku organów publicznych, w tym ministerstw (spójrzmy np. na białą listę podatników VAT).
Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?
Innym dużym wyzwaniem jest stworzenie odpowiednich rozwiązań w zakresie dzielenia się danymi osobowymi (data sharing). To, na co zwracają uwagę autorzy Strategii, to nie kwestia ograniczeń prawnych, choć te również pojawiają się w przypadku dopuszczalności przetwarzania, np. w kontekście Internetu Rzeczy – IoT, ale brak wyraźnych zachęt do dzielenia się danymi (np. w obawie o utratę pozycji – dobrym przykładem jest tutaj (not)open banking). Czy też obawy o prawidłowe wypełnienie wszystkich obowiązków umownych i pozaumownych.
Kolejnym problemem-wyzwaniem jest brak standaryzacji danych (lack of interoperability and quality). To realny problem dotykający również sektor bankowy, o czym wspominała już m.in. EBA w swoim niedawnym raporcie w sprawie Big Data.
To, na co zwraca uwagę Strategia, to konieczność wypracowania pewnych standardów agregacji danych i ich publikowania, aby łatwiejsze było ich wykorzystanie m.in. w przypadku AI.
Latamy w chmurach
Chmura. Przewija się nie tylko w sektorze finansowym, ale konkluzje zawarte w Strategii mogą posłużyć jako argument za dalszym liberalizowaniem wykorzystania cloud computing.
Autorzy Strategii wskazują, że cyfrowa transformacja gospodarki UE jest uzależniona od dostępności bezpiecznych, energetycznie efektywnych (np. przejście wyłącznie na „zielone” źródła energii), jakościowo najlepszych metod przetwarzania danych, w tym poprzez chmurę obliczeniową.
I tutaj zła wiadomość dla dostawców z siedzibami poza UE. Unia Europejska chce uniezależnić się (w jakimś stopniu) od tych dostawców. Dla Komisji bezpieczeństwo danych to lokalizacja w UE, a zależność od zewnętrznych dostawców − to również pewne zagrożenie.
Czytaj także: Bank z umową na chmurę obliczeniową w egzotycznym kraju? Co na to komunikat KNF?
Mogę zarządzać swoimi danymi
Komisja chce, aby osoby fizyczne mogły łatwiej zarządzać swoimi danymi, coś na zasadzie „włącznika danych”. Powinny powstawać narzędzia, które umożliwiają wykonywanie wszelkich praw związanych z tymi danymi (Rozporządzenie 2016/679). Muszą to być jednak narzędzia proste w obsłudze.
Takie rozwiązania mogą przyczynić się do zwiększenia zainteresowania rozwiązaniami w zakresie zdrowia, finansów osobistych, ale także pozytywnie wpływać na ślad węglowy czy dostęp do sensownych usług pochodzących z sektora publicznego.
Czytaj także: EBA o Big Data i Machine Learning w sektorze bankowym. Report on Big Data and Advanced Analytics
Czego możemy się spodziewać?
Zapowiada się ciekawy (trudny?) czas dla osób zajmujących się ochroną danych osobowych.
Komisja zamierza zaproponować m.in.:
− rozwiązania legislacyjne dla tzw. data spaces (przestrzenie danych), istotne m.in. z punktu widzenia data mining (koniec 2020 r.);
− ITSy w zakresie tzw. high-value data sets, które to zbiory danych mają być dostępne w całej UE za darmo, w formacie zrozumiałym dla algorytmów oraz dostępne za pomocą API (początek 2021 r.);
− Data Act (2021 r.), który obejmowałby takie obszary jak:
dzielenie się danymi przez sektor publiczny z sektorem prywatnym;
bardziej sensowne wykorzystanie tzw. co-generated data, które mogą pojawiać się w przypadku IoT;
− tworzenie data pools;
− możliwość obowiązkowego wykorzystania danych (w pewnych warunkach).
Ciekawe, ale Komisja nie zamierza na tym poprzestać. Urzędnicy z Brukseli zamierzają zainwestować w tzw. High Impact Project on European data spaces and federated cloud infrastructures.
W praktyce oznacza to, że Komisji marzy się „zagłębie” dostawców chmurowych o unijnym rodowodzie, którzy będą świadczyć swoje usługi w sposób niezagrażający środowisku. Na inicjatywę może być przeznaczone nawet 6 mld euro.
Czytaj także: Zielone finanse: mimo ryzyka banki nie mają alternatywy
Komisja chce również stworzyć swoiste ekosystemy data-sharing dla konkretnych sektorów (zakładam, że również finansowego), które mają pozwolić na przezwyciężenie barier technicznych dla organizacji, które zamierzają skorzystać z danych.
Takie ekosystemy miałyby zawierać m.in. różne narzędzia ułatwiające przetwarzanie i efektywne wykorzystanie danych, czy też stworzenie standardów w tym zakresie.
To oczywiście nie wszystko, bo mamy jeszcze takie obszary jak edukacja czy współpraca międzynarodowa. Powyższe założenia wydają mi się jednak najciekawsze w kontekście sektora finansowego. Zobaczymy, na ile powyższe postulaty zostaną zrealizowane w terminie. Ja czekam z niecierpliwością.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.