Browsing Tag

dane osobowe

nowe technologie prawo IT sztuczna inteligencja

Internet rzeczy wyprzedza prawo

31 sierpnia 2021

Technologia nie jest już tylko sektorem gospodarki, ale jej kręgosłupem. Technologie teleinformatyczne stanowią bowiem dynamiczną dziedzinę, która odgrywa istotną rolę w życiu oraz napędzaniu gospodarki. Jednym z najszybciej rozwijających się trendów technologicznych jest Internet rzeczy. (ang. Internet of Things,dalej również jako: „IoT”). Status prawny IoT wciąż jednak stoi pod znakiem zapytania. Obecnie ani w Polsce, ani na świecie nie ma aktu prawnego kompleksowo regulującego wszystkie kwestie i problemy prawne związane z IoT. Zauważalny brak szczegółowych regulacji tworzy potrzebę odniesienia do licznych aktów prawnych, takich jak m.in. RODO, prawo telekomunikacyjne, akt o cyberbezpieczeństwie (Dz.Urz. UE L Nr 151 z 7.06.2019 r., s. 15) czy też zagadnień z prawa własności intelektualnej. Obowiązujące przepisy prawa nie są jednak wystarczające dla nowoczesnych rozwiązań technologicznych. Rozwój Internetu rzeczy znacznie bowiem wyprzedza normy prawne dotyczące bezpieczeństwa, prywatności oraz odpowiedzialności za produkt, a tym samym stanowi wyzwanie dla ustawodawcy, jak również dla środowisk prawniczych odpowiedzialnych za adaptację prawa do zmieniających się warunków.

Co to jest Internet rzeczy?

Internet rzeczy opisuje sieć „rzeczy”, tj. obiektów fizycznych, które są osadzone w czujnikach, oprogramowaniu i innych technologiach w celu łączenia i wymiany danych z innymi urządzeniami i systemami przez Internet. Urządzenia te służą przede wszystkim do poprawy jakości życia codziennego, jak inteligentne oświetlenie pokojowe obsługiwane z poziomu aplikacji mobilnej, głośniki Google Home czy Amazon Echo wyposażone w asystenta głosowego, urządzenia przenośne noszone na ciele użytkownika celem monitorowania stanu zdrowia (ang. wearables), ale również stanowią istotny element przemysłu. Wówczas mówimy o Industrial Internet of Things (w skrócie: IIoT), który w głównej mierze obejmuje roboty, czujniki i sztuczną inteligencję. Celem rozwoju IIoT jest większa elastyczność, automatyzacja zadań i optymalizacja procesów przemysłowych. A przez to zwiększenie produktywności i zmniejszenie kosztów. Na szerszą skalę IoT można zastosować do sieci transportowych w ramach tzw. „inteligentnych miast”, które mogą pomóc nam zmniejszyć ilość odpadów i poprawić zużycie energii.

Jak wynika z raportu ABI Research „Connected & protected: The vulnerabilities and opportunities of IoT security” – Internet rzeczy na świecie to obecnie 8,6 miliarda połączeń, jednakże do 2026 r. ich liczba ma wzrosnąć na świecie prawie trzykrotnie – do 23,6 miliarda.

Zgodnie z raportem GUS na temat społeczeństwa informacyjnego w Polsce w 2020 r., w odniesieniu do sektorowego zastosowania, IoT najczęściej występowało w przedsiębiorstwach zajmujących się dostawą wody, gospodarowaniem ściekami i odpadami (45,2%), a najrzadziej w sektorze gastronomii i zakwaterowania (6,6%). Ponadto jako najczęściej wykorzystywany sposób korzystania z IoT w ubiegłym roku wskazano na łączność za pośrednictwem czujników monitorujących stan techniczny maszyn urządzeń i pojazdów (12,7%)[1].

Nowa forma przetwarzania danych

Z samej istoty IoT wynikają procesy związane z przekazywaniem, udostępnianiem oraz przetwarzaniem danych oraz konieczność interakcji z innymi urządzeniami jako ich funkcja integralna, na zasadzie interoperacyjności[2]. Przedmioty podłączane do sieci są personalizowane, dopasowywane do potrzeb ich użytkowników, nie tylko na poziomie smartfonów, ale nawet w postaci np. szczoteczek do zębów. Tym sposobem powstaje globalna infrastruktura, w ramach której przedmioty są połączone i mogą przekazywać dane innym systemom, z którymi są zintegrowane przy minimalnej interwencji człowieka. W efekcie połączone urządzenia wytwarzają ogromne ilości danych, które są następnie gromadzone przez producenta lub inny podmiot. Dane te mogą przybierać różne formy, ale często zawierają prywatne informacje o konsumencie (użytkowniku). Do najważniejszych problemów związanych z ochroną danych osobowych IoT należy zatem zaliczyć niekontrolowane rozpowszechnianie danych, które są wykrywane lub śledzone na urządzeniu IoT i przekazywane automatycznie między urządzeniami bez wiedzy danej osoby.

Wobec tego, zastosowanie znajdzie w szczególności tzw. „miękkie prawo unijne”, w tym akty prawne wyrażające stanowisko organów Unii Europejskiej wobec IoT oraz obszarów pokrewnych. Jest to przede wszystkim opinia Europejskiej Rady Ochrony Danych nr 1/2020 dotycząca przetwarzania danych osobowych w kontekście pojazdów połączonych i aplikacji związanych z mobilnością oraz opinia Grupy Roboczej art. 29 nr 8/2014 w sprawie najnowszych osiągnięć w zakresie Internetu przedmiotów, przyjęta w dniu 16 września 2014 r. (WP 223).

IoT jako sposób na zintegrowanie technologii

Jedną z cech definiujących IoT jest przede wszystkim przesyłanie komunikatów w trybie M2M (ang. machine to machine), czyli maszyna-maszyna, a więc nadawcą i odbiorcą poszczególnych komunikatów nie będzie zawsze człowiek, tak jak przewiduje to przykładowo reżim prawa telekomunikacyjnego[3]. Powyższy proces w zasadzie nie wymaga dodatkowego zaangażowania osób fizycznych.

Oczekuje się, że Internet rzeczy zintegruje technologie związane z automatycznym wykrywaniem sieci i ustalaniem połączeń (automatic networking), eksploracją danych (data mining), podejmowaniem decyzji, ochroną bezpieczeństwa i prywatności oraz chmurami obliczeniowymi (cloud computing)[4]. Warto więc zwrócić uwagę na zagadnienie certyfikacji produktów oraz cyfrowych usług – IoT niewątpliwie wymaga uwzględnienia aspektów cyberbezpieczeństwa. Co do zasady, w zgodzie z aktem o cyberbezpieczeństwie, certyfikacja pozostaje dobrowolna. Wskazuje się jednak na możliwość wprowadzenia certyfikacji obligatoryjnej, koniecznej dla oferowania wybranych produktów lub usług.

Odpowiedzialność za szkodę

W polskim prawie nie występują obecnie przepisy, które ściśle określają odpowiedzialność producenta urządzenia czy dostawcy rozwiązań IoT. W odniesieniu do ochrony danych, odpowiedzialność wynika przede wszystkim z reżimu RODO, zasadne jest także odwołanie do ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Istotnym zagadnieniem jest odpowiedzialność dostawców rozwiązań IoT za potencjalne szkody wynikające z używania przedmiotów. Odwołanie do przepisów dotyczących odpowiedzialności za szkodę wywołaną przez produkt niebezpieczny, uregulowane ustawą z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 z późn. zm.) (dalej jako: „KC”) okazuje się kwestią problematyczną.

Zgodnie z brzmieniem art. 4491 § 2 KC, przez produkt niebezpieczny należy rozumieć rzecz ruchomą. Z uwagi na nieodłączne powiązanie przedmiotów z łącznością elektroniczną i wyposażeniem ich w oprogramowanie, powyższe implikuje wyłączenie dostawców aplikacji IoT spod wskazanego reżimu odpowiedzialności. Ograniczenie odpowiedzialności do szkody na mieniu występuje tylko wówczas, gdy rzecz zniszczona lub uszkodzona należy do rzeczy zwykle przeznaczanych do osobistego użytku i w taki przede wszystkim sposób korzystał z niej poszkodowany (art. 4492 KC). Powyższe nie znajdzie zatem zastosowania do naruszeń związanych z bezpieczeństwem informacyjnym czy prywatnością użytkowników narzędzi IoT.

Działalność Grupy Roboczej ds. Internetu rzeczy

Wraz z postępującą cyfryzacją życia codziennego oraz rozwojem nowych technologii potrzeba regulacji IoT przybiera na znaczeniu. W Polsce powołano w 2018 r. Grupę Roboczą ds. Internetu Rzeczy przy Ministerstwie Cyfryzacji na potrzeby tworzenia rekomendacji tych działań, które przyczynią się do stworzenia odpowiednich warunków dla upowszechnienia technologii IoT tak, aby mogła ona mieć realny wpływ na wzrost gospodarczy naszego kraju. Warto przy tym wskazać na opublikowany przez Ministerstwo Cyfryzacji raport z kwietnia 2019 r. pt. „IoT w Polskiej gospodarce. Raport Grupy Roboczej do spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji”. Od stycznia 2020 r. Grupa zajęła się natomiast pracą przy realizacji projektów z zastosowaniem IoT, między innymi w obszarze ochrony zdrowia czy w inteligentnym transporcie.

Jak wskazywano we wstępie, obecnie nie ma jednego aktu prawnego uszczegóławiającego problematykę IoT, zatem regulacja tego obszaru jest fragmentaryczna. Cyfrowa rewolucja wymaga odpowiednich dostosowań w sferze prawnej, a zgodnie z postulowanymi przez Grupę Roboczą zmianami prawnymi, wymagane są nowelizacje m.in. w prawie telekomunikacyjnym, prawie zamówień publicznych, prawie podatkowym, administracyjnym czy w regulacji ochrony danych osobowych.

W świetle prawa kontraktowego, Grupa Robocza zidentyfikowała przy tym kilka dalszych problemów prawnych. Jest to między innymi niejednoznaczność występująca w toku łączeniu usług oraz przekazywania danych w przypadku wielu ich możliwych odbiorców. Poza tym, w obrębie prawa własności intelektualnej i z uwagi na specyfikę IoT, powstaje pytanie o możliwość rozporządzania takimi urządzeniami. Korzystanie przez nabywcę urządzenia IoT z oprogramowania zainstalowanego w zbywanym przedmiocie należy powiązać z tzw. zasadą wyczerpania prawa.

Obiecujące perspektywy mimo wyzwań dla prawa

Internet Rzeczy jest niewątpliwie technologią przyszłości. Oddziałuje na produkcję, logistykę, usługi, wymuszając na przedsiębiorcach nieustanną gotowość do obserwowania rynku i sięgania po innowacyjne rozwiązania. IoT może stać się perspektywicznym rynkiem szczególnie dla dostawców usług telekomunikacyjnych i ubezpieczeniowych. Rozsądnym krokiem będzie ujednolicanie terminologii powiązanej z tym obszarem, co staje się nie lada wyzwaniem z uwagi na dynamiczny rozwój nowych technologii. Wymagane jest przy tym stałe udostępnianie danych pomiędzy urządzeniami celem ich płynnego współdziałania, a wobec tego wiąże się z przetwarzaniem danych na szeroką skalę i zwiększonym ryzykiem naruszenia prywatności. Niemniej, obecne środowisko prawne jest niezupełne, krępujące dla potencjału IoT, którego narzędzia niewątpliwie będą odgrywały coraz większą rolę w poprawie jakości życia codziennego. Bez odpowiedniego uregulowania obszarów należących do kompetencji ustawodawcy dotrzymanie kroku największym technologicznym potentatom będzie niemożliwe. Aktywność Grupy Roboczej ds. Internetu Rzeczy z pewnością pozwoli przyspieszyć rozwój IoT i zapewnić jego ciągłość przez dziesięciolecia.

Autorki wpisu: Maria Czaińska i Kinga Sasimowska


[1] Główny Urząd Statystyczny, Społeczeństwo informacyjne w Polsce w 2020 r., grudzień 2020 r.: https://stat.gov.pl/download/gfx/portalinformacyjny/pl/defaultaktualnosci/5497/1/14/1/spoleczenstwo_informacyjne_w_polsce_w_2020_r..pdf (dostęp: 08.07.2021 r.).

[2] Ministerstwo Cyfryzacji, IoT w polskiej gospodarce. Raport Grupy Roboczej do spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji, kwiecień 2019 r.: https://www.gov.pl/web/cyfryzacja/grupa-robocza-ds-internetu-rzeczy-internet-of-things-iot (dostęp: 15.06.2021 r.).

[3] X. Konarski, Rozporządzenie o e-Prywatności jako regulacja sektorowa względem ogólnego rozporządzenia o ochronie danych osobowych (RODO) [w:] Dodatek do MoP nr 20/2017, Legalis.

[4] E. Kwiatkowska, Rozwój Internetu rzeczy – szanse i zagrożenia (w:) Internetowy Kwartalnik Antymonopolowy i Regulacyjny nr 8(3)/2014, s. 62.

dobra osobiste

Ślepy pozew kontra anonimowy hejter

25 sierpnia 2021

Naruszenie dóbr osobistych w Internecie

Do naruszeń dóbr osobistych za pośrednictwem Internetu dochodzi coraz częściej. Wolność wypowiedzi na forach internetowych z uwagi na pozorną anonimowość użytkowników często prowokuje niepohamowane wypowiedzi, które przeradzają się w mowę nienawiści naruszającą dobra osobiste osób trzecich.

Dochodząc swoich praw przed sądem, musimy  zidentyfikować osobę, której zarzucamy bezprawny czyn. W aktualnym stanie prawnym, w pozwie należy wskazać m.in. imię i nazwisko, miejsce zamieszkania oraz adres pozwanego[1]. Staje się to jednak skomplikowane, gdy pozwanym ma być osoba posługująca się anonimowym nickiem czy fałszywymi danymi.

Aktualne trudności z ustaleniem danych sprawcy

W celu uzyskania prawdziwej tożsamości takiej osoby można skorzystać ze ścieżki przewidzianej przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) tj. wystąpić do administratora portalu o udostępnienie numeru IP, imienia i nazwiska czy adresu e-mail użytkownika, który naruszył nasze dobra osobiste (art. 6 pkt 1 ppkt f RODO). W przypadku spotkania się z odmową ze strony administratora, można wystąpić do Prezesa Urzędu Ochrony Danych Osobowych o wydanie decyzji nakazującej mu wydanie takich danych (art. 60 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych w zw. z art. 58 ust. 2 RODO), a w dalszej kolejności wstąpić na drogę postępowania sądowoadministracyjnego. Ewentualnie można żądać ustalenia tożsamości sprawcy na drodze postępowania karnego. Obie drogi są jednak złożone i niejednokrotnie wymagają sporego nakładu czasowego.

Ustawa o wolności słowa w internetowych serwisach społecznościowych – czyli jak pozwać, gdy nie wiemy kogo

Powyższym problemom zaradzić miałby tzw. ślepy pozew. Nie jest to pomysł nowy, bowiem kilka lat temu o wprowadzenie tej instytucji wnioskował ówczesny RPO Adam Bodnar. W tym roku, sprawa stała się głośna na skutek przygotowanego przez Ministerstwo Sprawiedliwości projektu ustawy o ochro­nie wol­no­ści sło­wa w in­ter­ne­to­wych ser­wi­sach spo­łecz­no­ścio­wych[2] (dalej: „ustawa o wolności słowa”).

Zgodnie z założeniami ustawy o wolności słowa, zamiast danych personalnych i adresowych w pozwie wystarczy zamieścić informacje pozwalające ustalić osobę, która dopuściła się naruszenia, w szczególności nazwę profilu lub login użytkownika.

Ślepy pozew

Ponadto pozew powinien zawierać:

  1. wniosek  o  zabezpieczenie  powództwa  poprzez  zobowiązanie  usługodawcy do wskazania danych pozwanego określonych  w art.  18  ust.  1-5  ustawy  z  dnia  18  lipca  2002  r.  o  świadczeniu usług  drogą elektroniczną w oparciu o podane przez powoda informacje;
  2. wskazanie  publikacji,  w  szczególności  komunikatów  pisemnych,  zdjęć,  nagrań  audio oraz wideo, naruszających dobra osobiste, z podaniem adresu URL  zasobu danych internetowych, na którym zostały opublikowane, daty i godziny  publikacji oraz nazwy profilu lub loginu użytkownika, o ile będzie to możliwe;
  3. oświadczenie  powoda,  że  podjął  próbę  powiadomienia  pozwanego  o  zamiarze wytoczenia  przeciwko  niemu  powództwa  albo  oświadczenie,  że  powiadomienie takie nie było możliwe, wraz z podaniem przyczyny.

Jeżeli sąd nie stwierdzi oczywistej bezzasadności roszczenia, to zobowiąże serwis społecznościowy do przekazania konkretnych danych. Należy jednak pamiętać, że dostawca usług telekomunikacyjnych obowiązany jest zatrzymywać i przechowywać dane generowane w sieci telekomunikacyjnej lub przetwarzane przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć (art. 108a ust. 1 pkt 2 Prawa telekomunikacyjnego). Ustawa nie przewiduje wydłużenia tego okresu. W związku z tym, sądy musiałyby podejmować czynności zmierzające do zidentyfikowania pozwanego w okresie krótszym niż 12 miesięcy, przy jednoczesnym założeniu, że osoba dochodząca swoich praw niezwłocznie się o nie zatroszczy.

Zgodnie z założeniem projektu, sąd z mo­cy pra­wa umo­rzy po­stę­po­wa­nie, je­że­li usłu­go­daw­ca nie na­de­śle da­nych iden­ty­fi­ku­ją­cych ano­ni­mo­we­go na­ru­szy­cie­la w ter­mi­nie 3 mie­się­cy. Natomiast nienadesłanie danych, bez usprawiedliwionego powodu, będzie wiązać się z nałożeniem kary grzywny do 3 000 zł.

Projekt ustawy oczekuje na wpis do wykazu prac legislacyjnych Rady Ministrów.

Autor wpisu: Aleksandra Rudzińska


[1] W przypadku osób prawnych odpowiednio nazwę pozwanego oraz adres i siedzibę. Ponadto, pod rygorem zawieszenia postępowania, powód ma obowiązek wskazać dane niezbędne do ustalenia przez sąd numerów, odpowiednio: PESEL, NIP lub KRS (art. 177 § 1 pkt 6 w zw. z art. 2081 k.p.c.).

[2] Projekt ustawy dostępny pod linkiem: https://www.gov.pl/web/sprawiedliwosc/zachecamy-do-zapoznania-sie-z-projektem-ustawy-o-ochronie-wolnosci-uzytkownikow-serwisow-spolecznosciowych.

cyberbezpieczeństwo nowe technologie ochrona danych osobowych sztuczna inteligencja

Sztuczna inteligencja pod lupą europejskich organów ochrony danych osobowych

17 sierpnia 2021

Sztuczna inteligencja, jakkolwiek wielu z nas kojarzy się bardziej z filmami z gatunku science fiction niż z rzeczywistością, powoli wkracza w wiele obszarów naszego życia – od systemów zawartych w smartfonach i samochodach po urządzenia obrazowania termicznego znajdujące się na lotniskach.

Projekt unijnego rozporządzenia w sprawie sztucznej inteligencji

Tempo zmian technologicznych i wyzwania jakie stawia rozwój techniki prawodawstwom skłonił Komisję Europejską do uregulowania kwestii sztucznej inteligencji na poziomie formalnym, co skutkowało publikacją w 2018 r. europejskiej strategii na rzecz sztucznej inteligencji, zaś w 2020 r. białej księgi w sprawie sztucznej inteligencji. Z kolei w dniu 21 kwietnia 2021 r., po przeprowadzeniu wielomiesięcznych konsultacji, opublikowano wniosek w sprawie projektu ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji).

Przy tworzeniu projektu rozporządzenia z jednej strony brano pod uwagę potrzebę ochrony praw podstawowych uregulowanych w Karcie praw podstawowych Unii Europejskiej oraz interesów publicznych i prywatnych, z drugiej zaś strony – ustanowiono mechanizmy pozwalające na rozwój i wdrażanie sztucznej inteligencji w Unii. Intencją Komisji było zbudowanie zaufania do systemów sztucznej inteligencji, poprzez wyważenie potrzeb pomiędzy coraz częstszym jej wykorzystywaniem a ryzykiem jakie niesie ona ze sobą dla wielu dziedzin naszego życia.

Projekt rozporządzenia określa m. in. zasady stosowania systemów sztucznej inteligencji wysokiego ryzyka, zasady stosowania systemów rozpoznawania emocji (służących do rozpoznawania lub odgadywania emocji lub zamiarów osób na podstawie danych ich biometrycznych), systemów kategoryzacji biometrycznej (służących do przypisywania osób do określonych kategorii, takich jak płeć, wiek, kolor włosów, tatuaże, pochodzenie etniczne lub orientacja seksualna bądź polityczna, na podstawie ich danych biometrycznych), obowiązki dostawców i użytkowników systemów oraz zasady certyfikacji systemów. Wprowadzono także wysokie kary za nieprzestrzeganie przepisów rozporządzenia.

Dane osobowe a sztuczna inteligencja

Jedną z kwestii, która od początku budziła szczególne zainteresowanie, była kwestia ochrony danych osobowych osób fizycznych w kontekście ich przetwarzania w systemach sztucznej inteligencji. Jak wiemy, ochrona danych osobowych, od czasu wejścia w życie RODO, zyskała szczególne znaczenie. Nie dziwi więc zainteresowanie europejskich organów ochroną danych osobowych w systemach sztucznej inteligencji.

W projekcie rozporządzenia przesądzono m. in., że:

  • wszelkie dane osobowe przetwarzane w systemach znajdować się muszą w funkcjonalnie wyodrębnionym, odizolowanym, kontrolowanym i chronionym środowisku, a dostęp do nich posiadać mogą wyłącznie upoważnione osoby;
  • żadne przypadki przetwarzania danych osobowych nie mogą prowadzić do wdrożenia środków lub podjęcia decyzji wywierających wpływ na osoby, których dane dotyczą;
  • wprowadzono zakaz stosowania systemów wykorzystujących techniki podprogowe będące poza świadomością danej osoby w celu istotnego zniekształcenia zachowania tej osoby w sposób, który powoduje lub może powodować u niej lub u innej osoby szkodę fizyczną lub psychiczną;
  • wprowadzono zakaz wykorzystywania do celów egzekwowania prawa, z wyjątkiem zamkniętej listy trzech sytuacji, systemów do zdalnej identyfikacji biometrycznej osób fizycznych „w czasie rzeczywistym” w przestrzeni publicznej.

Systemy, o jakich mowa w ostatnim z ww. punktów, to systemy służące do rozpoznawanie danych np. twarzy, chodu, odcisków palców, DNA, głosu i innych sygnałów biometrycznych lub behawioralnych i służące do identyfikacji osób fizycznych na odległość, poprzez porównanie danych biometrycznych takiej osoby z danymi zgromadzonymi w rejestrze. Działanie systemów „w czasie rzeczywistym” oznacza że pobranie danych, porównanie i identyfikacja osoby następują niemalże natychmiast, a w każdym razie bez znacznego opóźnienia. Gdzie takie systemy mogą być wykorzystywane? Wyobraźmy sobie chociażby możliwość niemalże natychmiastowego ustalenia sprawcy przestępstwa na podstawie nagrania z kamery przesyłowej, po porównaniu cech jego twarzy lub chodu z danymi w rejestrze. Z drugiej strony – możliwość ustalenia tożsamości uczestników pokojowego zgromadzenia i wykorzystania tych informacji w celach politycznych. Dlatego też, oprócz pozytywnego efektu w zakresie walki z przestępczością, zastosowanie takich systemów może mieć ogromny wpływ na życie prywatne każdego z nas, poprzez wywoływanie poczucia stałego nadzoru i zniechęcania np. do korzystania z wolności zgromadzeń. W konsekwencji zastosowanie tychże systemów ograniczono do trzech przypadków, m. in. poszukiwania ofiar przestępstw, w tym zaginionych dzieci, zapobiegania zagrożeniu życia lub bezpieczeństwa osób lub atakowi terrorystycznemu.

Rekomendacje EROD i EIOD

W związku z trwającymi konsultacjami projektu rozporządzenia, w dniu 18 czerwca 2021 r. głos w jego sprawie zabrały Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD), wydając wspólną opinię w sprawie projektu rozporządzenia. Jakkolwiek  uznano projekt rozporządzenia za dobry krok, wezwano jednocześnie do kategorycznego wprowadzenia zakazu wykorzystywania sztucznej inteligencji do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej, w jakimkolwiek kontekście. Wyrażono wręcz opinię, że wdrożenie takich systemów w przestrzeni publicznej oznaczać będzie koniec anonimowości.

W opinii zalecono także wprowadzenie zakazu stosowania systemów sztucznej inteligencji wykorzystujących dane biometryczne do podziału osób na grupy ze względu na pochodzenie etniczne, płeć, poglądy polityczne lub orientację seksualną, czy z innych względów, które mogą prowadzić do niesprawiedliwej dyskryminacji.

EROD i EIOD uznały także, że wykorzystywanie systemów sztucznej inteligencji do odgadywania emocji osób powinno być zabronione, z wyjątkiem kilku ściśle określonych przypadków, takich jak niektóre cele zdrowotne, gdzie istotna jest diagnoza stanu emocjonalnego pacjenta. Za szczególnie niepożądane uznano wykorzystywanie sztucznej inteligencji do wszelkiego rodzaju oceny punktowej zachowań społecznych.

Konsultacje wniosku w zakresie projektu rozporządzenia nadal trwają.

Treść opinii EROD i EIOD pokazuje, że zabrały one ważny i potrzebny głos w sprawie dyskusji nad sztuczną inteligencją.

Autor wpisu: Marta Pasztaleniec

ochrona danych osobowych

Kara 35 mln euro nałożona na H&M za naruszenie RODO

15 października 2020

Komisarz ds. ochrony danych osobowych i wolności informacji w Hamburgu (the Hamburg Commissioner for Data Protection and Freedom of Information) nałożył grzywnę w wysokości ponad 35 mln euro na szwedzką sieć odzieżową H&M (Hennes & Mauritz Online Shop A.B. & Co KG). Powodem nałożenia (jednej z najwyższych, jak do tej pory) kary było naruszenie RODO.

Stan faktyczny:

Co najmniej od roku 2014 część pracowników H&M Service Center w Norymberdze było inwigilowanych pod kątem ich życia prywatnego, a następnie te dane były utrwalane i przechowywane na dyskach wewnętrznych spółki.

Spółka rejestrowała wiele informacji na temat swoich pracowników dotyczących urlopów, zwolnień lekarskich, sytuacji rodzinnej, czy też kwestii związanych z przekonaniami religijnymi. Dane były zbierane podczas rozmów z pracownikami przeprowadzanych np. zaraz po powrocie do pracy po urlopie, ale także podczas zwykłych rozmów towarzyskich z przełożonymi. Kadra kierownicza wykorzystywała informacje do profilowania pracowników, a na tej podstawie prowadzono ich ocenę. Dane mogły prawdopodobnie służyć do oceny czy dany pracownik będzie odpowiedni do objęcia wyższego stanowiska, czy jego sytuacja rodzinna lub wyznanie może wpłynąć na jego wydajność w danym okresie itp.

Sprawa ujrzała światło codziennie w momencie awarii systemów komputerowych. W toku postępowania okazało się, że spółka zebrała dane o pracownikach o objętości 60 GB.

RODO:

W niniejszej sprawie organ uznał, że doszło w szczególności do naruszenia art. 5 i 6 RODO. Zgodnie z art. 5 ust. 1 RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zgodnie zaś z treścią art. 6 RODO, aby przetwarzanie danych osobowych było zgodne z prawem musi być spełniony co najmniej jeden z wymienionych w przepisie warunków m.in. warunek wyrażenia zgody przez osobę, której dane dotyczą.

Wysokość administracyjnej kary pieniężnej:

Wysokość nałożonej kary uwarunkowana jest indywidualną oceną konkretnej sprawy. Organ nadzorczy poddając analizie daną sprawę musi brać pod uwagę szereg istotnych kwestii, które wpływają na wysokość kary m.in.: charakter, waga, czas trwania danego naruszenia, kategorie danych osobowych, to czy administrator pozyskując dane działania działał umyślnie itp.

W przedmiotowej sprawie organ nadzorczy nałożył na H&M karę pieniężną, która odpowiada wysokości do 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.