Horyzonty Bankowości 2019: Niejasności i pułapki w określaniu danych osobowych
Konrad Świderek
inspektor ochrony danych w Związku Banków Polskich
Swoisty kod kreskowy
W 2006 r. firma Netflix publikuje w internecie preferencje filmowe 500 tys. swoich klientów. Stanowi to wyzwanie dla zainteresowanych naukowców i niezależnych specjalistów w celu opracowania jak najlepszego algorytmu rekomendacji tytułów dla użytkowników platformy. Z bazy danych usunięto lub zamieniono na nieprawdziwe dane osobowe (adresy e-mail itp.) zostawiając jedynie historię oglądalności filmów z ocenami i znacznikami czasu. Okazało się to niewystarczającą anonimizacją. Naukowcy z University of Texas w Austin – Arvind Narayanan i Vitaly Shmatikov – udowodnili, że zestawiając pozornie anonimowe dane Netflixa z innymi otwartymi bazami danych filmów i seriali (np. IMDb), można wskazać wprost personalia osoby będącej użytkownikiem Netflixa.
W 2012 r. analitycy firmy Target wyszczególniają katalog produktów (np. bezzapachowe kremy i środki czystości), które jeśli pojawią się w koszyku klientek sugerują, że nastąpiło poczęcie dziecka. Na tej podstawie zaczynają przygotowywać strategię marketingową w wysyłanych gazetkach reklamowych, umieszczając tam produkty dla dzieci i młodych matek. Jedna z takich gazetek trafia do nastolatki uczęszczającej do szkoły średniej. Niezadowolony ojciec dziewczyny krytykuje firmę za promowanie macierzyństwa wśród nieletnich. Kilka dni później przeprasza firmę za niesłuszne oskarżenia – okazuje się, że nastoletnia córka spodziewa się dziecka, a skrypt analityczny prawidłowo ją sprofilował na podstawie zmiany strategii zakupowej.
Wszystkie przytoczone historie pokazują, jak poglądy, cechy lub preferencje danej osoby układają się w swoisty zindywidualizowany kod kreskowy, który – biorąc pod uwagę skalę danych znajdujących się w przestrzeni internetu oraz osiągnięcia informacyjne i technologiczne współczesnego społeczeństwa – pozwala niezwykle często (i to niejednokrotnie przy niewielkim nakładzie pracy), wprost wskazać konkretnego człowieka. Dlatego samo określenie, czy mamy w danym przypadku do czynienia z danymi osobowymi, a w dalszej kolejności ich zanonimizowanie lub pseudozanonimizowanie w taki sposób, aby nie można było przy racjonalnym nakładzie środków odwrócić tego procesu, stanowi niejednokrotnie niebagatelne wyzwanie dla administratorów danych osobowych w ich działalności.
Dane osobowe według RODO
Obowiązująca w Unii Europejskiej definicja danych osobowych (art. 4 pkt. 1 RODO1) ma bardzo szeroki zakres znaczeniowy i obejmuje wszelkie informacje dotyczące danej osoby fizycznej – poczynając od imienia i nazwiska oraz innych numerycznych identyfikatorów (np. numer PESEL lub NIP), a na danych dotyczących wynagrodzenia czy zainteresowań kończąc.
Definicja z art. 4 pkt 1 RODO rozpatrywana dodatkowo z Motywem 26 RODO2 staje się jeszcze bardziej płynna. Przywołany motyw uzupełnia podane kryteria w zakresie możliwości zidentyfikowania ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI