5 lat RODO: Dokąd zmierza ochrona prywatności?
Konferencja online
Wydarzenie odbyło się 24.05.2023
Wydarzenie odbyło się 24.05.2023
24 maja mieliśmy przyjemność organizować konferencję pt. 5 lat RODO: Dokąd zmierza ochrona prywatności? Była to okazja, aby uświetnić piąte urodziny RODO – regulacji, która jak nic wcześniej zmieniła rzeczywistość – nie tylko prawną – praktycznie całego świata. Goście oraz eksperci kancelarii GRC Legal podsumowali pierwsze lata obowiązywania rozporządzenia i podzielili się przemyśleniami na temat problemów, jakie czekają nas w przyszłości w obszarze privacy.
downloadPobierz ulotkę dot. wydarzenia
Pierwszym gościem na konferencji była p. Anna Mazgal, Executive Director w Wikimedia Europe. Opowiedziała m.in. o ryzykach wynikających z braku prawnego uregulowania rzeczywistości Web 4.0. Zwróciła uwagę, że groźba nieuchwalenia rozporządzenia ePrivacy, nad którym prace trwają od wielu lat, może rodzić problemy dla ochrony prywatności użytkowników internetu. Wynika to m.in. z rozwoju sztucznej inteligencji – na przykładzie Wikipedii p. Anna Mazgal wskazała, że uczenie maszynowe na zdjęciach dostępnych na zasadzie wolnej licencji jest wykorzystywane przez AI do zbiorowej inwigilacji. Kolejne zagrożenie to możliwość ustalenia tożsamości autorów treści publikowanych w Wikipedii – firma stawia na dużą autonomię edytorów i ochronę ich prywatności.
Dr Michał Czerniawski (Parlament Europejski, Komisja LIBE) zwrócił uwagę, że na poziomie unijnym prace nad niektórymi aktami prawnymi trwają latami (rozporządzenie ePrivacy), a z drugiej strony – powstają coraz to nowe rozporządzenia i dyrektywy w liczbie, która generuje uzasadnione pytania o ryzyko nadregulacji sektora cyfrowego. W ocenie prelegenta kilkanaście pozycji, w tym Data Act, NIS 2, DORA, Digital Markets Act, Digital Services Act czy AI Act, to tylko przykłady regulacji, które oficjalnie nie wpływają wprost na stosowanie RODO, jednak w praktyce zawierają różne modele egzekwowania prawa.
Akty te mogą m.in. powierzać nowo powstałym gremiom kompetencje, które powinny pozostać np. w obszarze działania Europejskiej Rady Ochrony Danych. Może to powodować wiele problemów praktycznych, np. sporów kompetencyjnych (co miało już miejsce w zakresie plików cookie).Liczba nowych regulacji jest ogromnym wyzwaniem dla organizacji, którym – gdy starają się zapewnić compliance – coraz trudniej nadążyć za skutkami prac prawodawców. Dr Michał Czerniawski zwrócił uwagę, że RODO nadal pozostaje fundamentem dla określania zasad ochrony prywatności, jednak nie można zapominać o bacznej obserwacji prac nad kolejnymi aktami legislacyjnymi, głównie na poziomie unijnym.Na koniec dr Czerniawski zwrócił uwagę na nowy trend tworzenia data spaces – po regulacjach dotyczących zdrowia możemy spodziewać się kolejnych, dotyczących transportu.
Po 5 latach stosowania RODO wiemy, że przedsiębiorcy przykładają mniejszą wagę niż Prezes UODO do analizy ryzyka, środków bezpieczeństwa oraz do faktycznego usuwania danych osobowych po upływie okresu retencji, na co polski organ nadzorczy również zwraca uwagę. To z pewnością sygnał ostrzegawczy dla polskiego biznesu. W innych obszarach – takich jak formalna zgodność organizacji, obsługa naruszeń, żądań podmiotów danych, zgodność stron internetowych i aplikacji mobilnych – zainteresowanie firm i polskiego organu utrzymywało się na podobnym poziomie w ostatnich 5 latach.
Świat technologii i legislacji rozwija się w wyjątkowym tempie i stawia przed nami coraz liczniejsze wyzwania. Zdaniem Piotra Kaliny i Pawła Tobiczyka w najbliższych latach tematami istotnie wpływającymi na prywatność i funkcjonowanie firm będzie przede wszystkim sztuczna inteligencja (AI), wykorzystywanie danych biometrycznych na powszechną skalę lub w dotychczas omijanych obszarach, a także technologie śledzące użytkowników w internecie (pliki cookie i pokrewne). Z pewnością nie dadzą o sobie zapomnieć zagrożenia cybernetyczne i interesujący jest sposób, w jaki rynek będzie sobie z nimi radził. Osobną uwagę należy poświęcić ochronie prywatności dzieci, która powinna stać się dla nas priorytetem, a także transferom danych, które są niezbędne do globalnego świadczenia usług.
Mec. Michał Bienias, Privacy Counsel w Google, opowiedział o działalności irlandzkiego organu nadzorczego i wyjaśnił m.in. zasady rozpatrywania spraw w modelu one-stop-shop. Niezwykle ciekawa wydaje się statystyka kończenia postępowań przez DPC – zakończył on już aż 92% spraw, które rozpoczęły się w 2018 r. Bardzo skuteczne okazuje się także polubowne rozwiązywanie spraw (Amicable Resolution Process ) – jak wynika z przywołanego przez prelegenta rocznego raportu irlandzkiego organu, aż 83% spraw transgranicznych zakończono w ten sposób.
Drugą formą działalności irlandzkiego organu nadzorczego, na którą zwrócił uwagę mec. Bienias, jest mniej formalna współpraca z organizacjami z sektora prywatnego i publicznego, aby wspólnie rozwiązywać ich problemy czy wątpliwości. To z pewnością kolejny przykład godny naśladowania dla innych organów nadzorczych.
Dr Daniel Szmurło, prawnik zajmujący się ochroną danych osobowych w dużej, międzynarodowej grupie kapitałowej wskazał, że mimo obowiązywania jednego rozporządzenia dotyczącego danych osobowych w całej Unii Europejskiej, nie jest ono niejednolicie stosowane w poszczególnych krajach. Prelegent przyczynę takiego stanu upatruje w przyczynach materialnych, wynikających z brzmienia przepisów (np. w zakresie braku precyzyjnego określenia środków ochrony, które powinny być stosowane przez administratorów), w niejednolitym orzecznictwie oraz różnej praktyce stosowania RODO.
Dr Szmurło wskazał także wiele ciekawych przykładów sytuacji, które komplikują proces utrzymywania zgodności w obszarze RODO poprzez stosowanie takich samych rozwiązań w poszczególnych krajach w ramach jednej grupy kapitałowej, m.in. różne podejście do oceny ryzyka procesów wykorzystujących numer identyfikujący danego człowieka (np. nr PESEL), różne podeście do konieczności konsultowania procesów przetwarzania danych pracowników ze związkami zawodowymi, odmienne określenia okresu retencji dla zebranych zgód marketingowych, czy nawet niejednolite traktowanie niektórych danych jako dane osobowe (np. numery tablic rejestracyjnych). To wszystko powoduje mniejszą pewność obrotu gospodarczego, utrudniony compliance w obszarze ochrony danych osobowych w organizacji oraz konieczne zwiększone wsparcie lokalnych zespołów prawnych. Na koniec wystąpienia wskazano, że w związku z tymi problemami rekomendowana jest zwiększona aktywność EROD oraz podejmowanie zharmonizowanych działań przez organy nadzorcze.
Milena Wilkowska oraz Monika Gierałtowska – Karpowicz na tle barwnej historii niewielkiego biznesu opowiedziały o tym, przed jak wieloma wyzwaniami w obszarze zapewnienia compliance, stanęliw ostatnich 5 latach, przedsiębiorcy działający on-line, niezależnie od rozmiarów prowadzonej działalności. Poza RODO, musieli oni zmierzyć się m. in. z nowymi wymogami wynikającymi z ustawy o świadczeniu usług drogą elektroniczną, implementacji Dyrektywy Omnibus oraz dostosować swój biznes do wytycznych regulatorów takich jak (UODO, UOKIK).
Wielość i różnorodność, momentami przenikających się, regulacji przyjętych w tym obszarze doprowadza do sytuacji, której coraz głośniej możemy mówić o wyodrębnieniu nowej, niezależnej specjalizacji prawa, jaką jest biznes on – line.
Mec. Damian Karwala zwrócił uwagę, że w ciągu ostatnich lat, w tym w związku z uchwaleniem RODO, przeszliśmy ewolucję mechanizmów transferowych. Zmniejszyły się np. wymogi biurokratyczne i nie ma już konieczności uzyskiwania dodatkowej zgody organu nadzorczego w przypadku wykorzystywania klauzul modelowych do legalizacji transferu. Z drugiej strony, pojawiły się nowe obowiązki jak konieczność samodzielnej oceny legalności transferu obejmującej stan prawny w państwie trzecim. Dzięki przepisom RODO możemy korzystać też z nowych instrumentów transferowych jak certyfikacja czy kodeksy dobrych praktyk.
Rewolucja odbywa się natomiast w zakresie praktycznego stosowania tych przepisów. Rekordowa kara nałożona przez DPC na META na nowo otwiera dyskusję w zakresie odpowiednich gwarancji dla ochrony danych w Stanach Zjednoczonych. W ocenie tego zagadnienia nie ma jednolitości pomiędzy instytucjami unijnymi, co umacnia niepewność biznesu co do możliwości korzystania z usług globalnych na rzecz regionalizacji usług.Transfery danych osobowych to z pewnością obszar, w którym jeszcze wiele się może wydarzyć.
Dr Paweł Rzeszuciński podzielił się z nami refleksją na temat relacji pomiędzy danymi, organizacją i czynnikiem ludzkim w kontekście zachodzących na świecie zmian. Jego zdaniem na naszą pracę wpływają nie tylko kwestie merytoryczne, ale również społeczne. Pandemia i deficyt spotkań ze współpracownikami mogły niekorzystnie wpłynąć na samoocenę personelu w wielu firmach. Każdy człowiek potrzebuje kontaktu z ludźmi i docenienia jego wysiłków – to obecnie duże wyzwanie dla liderów. Powinniśmy też być świadomi, że podejmowanie nowatorskich działań wymaga zainteresowania odpowiedniej grupy osób w organizacji, przede wszystkim tzw. innowatorów i pierwszych naśladowców. Skupienie ich uwagi pomoże z biegiem czasu zaangażować pozostałą część organizacji, gdy zauważy pierwsze efekty.
Kolejne wystąpienie na konferencji dotyczyło wyzwań dla ochrony prywatności związanych ze sztuczną inteligencją. Eksperci kancelarii Rymarz Zdort Maruta oraz GRC Legal omówili wyzwania regulacyjne w tym obszarze. Michał Nowakowski pokazał perspektywę AI Act, które będzie stosowane najprawdopodobniej od 2026 r., a Sławomir Kowalski wyjaśnił, w jaki sposób wykorzystanie AI już teraz regulują przepisy RODO. W konkluzji prelegenci zauważyli, że mimo braku obowiązujących, dedykowanych rozwiązań prawnych sztuczna inteligencja jest już mocno regulowana. Podkreślili, że chociaż AI Act jeszcze nie obowiązuje, wyznacza standard postępowania z systemami AI, którym już teraz warto się kierować.
Dr Maciej Kawecki przewiduje wzrost znaczenia technologii opartej o sztuczną inteligencję w wyszukiwaniu informacji oraz pracy naukowej. Na konferencji stwierdził, że „kończy się era Google jako źródła informacji, Chat GPT staje się pierwotnym źródłem wiedzy”.Nasz gość zwrócił uwagę na problemy związane ze stosowaniem technologii czatów AI. Choć ich popularyzacja ograniczy zasób danych osobowych gromadzonych przez wyszukiwarki internetowe, to zwiększy zasób danych gromadzonych przez czaty.
Ponadto wyzwaniem będzie rozróżnienie wyników wyszukiwania pomiędzy danymi naturalnymi (wytworzonymi przez człowieka), a danymi syntetycznymi pochodzącymi z wyników pracy AI na podstawie naszych zapytań oraz zasobów internetu, w tym na podstawie danych naturalnych. Świat musi sobie poradzić również z etycznym aspektem przetwarzania danych przez technologię AI.