Dnia 5 lutego odbyło się zorganizowane przez Konfederację Lewiatan spotkanie z Europejskim Inspektorem Ochrony Danych, Wojciechem Wiewiórowskim. Wydarzenie w zamierzeniu miało dotyczyć wpływu rozwoju nowych technologii na ochronę prywatności w UE, jednak przy okazji zostało poruszonych wiele innych zagadnień związanych z ochroną danych, będących aktualnie „na tapecie”. Ze strony EIOD jak zwykle można było liczyć na zwięzłą i rzeczową informację.
Przy okazji spotkania EIOD przypomniał, że w przeciwieństwie do, mającego często miejsce, mylnego wyobrażenia o jego roli, nie jest on europejskim „super organem nadzorczym”, tylko organem nadzorczym dla instytucji UE, jak np. Parlament Europejski. Europejski Inspektor Ochrony Danych, wraz z przewodniczącymi jednego organu nadzorczego każdego państwa członkowskiego, tworzą Europejską Radę Ochrony Danych.
EIOD zwrócił uwagę, że na chwilę obecną 142 kraje mają prawo ochrony danych osobowych. Na gruncie europejskim reforma ochrony danych nie została jednak tak naprawdę zakończona przez brak rozporządzenia „ePrivacy”. Projekt prezydencji fińskiej nie zyskał ogólnej akceptacji, zaś Komisja Europejska wycofała tekst z dyskusji. EIOD nie uczestniczy jednak w pracach nad „ePrivacy”. W kwietniu 2020 r. przewidziana jest publikacja nowej wersji rozporządzenia „ePrivacy”.
Jedną z najważniejszych RODO-wieści jest to, że w 2020 roku nie będzie rewizji RODO. Mylnie się przyjmuje, że „review” to rewizja, zmiana, podczas gdy uwagi do RODO, które były zbierane dla grupy roboczej (DG JUST) w Komisji Europejskiej, są po aby ocenić co jest do poprawy i zastanowić się nad zmianami. Na razie jest za wcześnie na zmiany, zatem KE nie oczekuje propozycji zmian do RODO. Zmiany, jakie EIOD przewiduje na chwilę oceną, mają głównie dotyczyć tzw. one-stop shopu (zasadę podlegania jednemu organowi nadzorczemu na terenie całej UE, niezależnie od ilości państw, na terenie których działa podmiot) oraz przekazywania danych do państw trzecich, szczególnie tych, których dotyczą decyzje stwierdzające odpowiedni stopień ochrony (art. 45 RODO). Co do one-stop shopu Inspektor stwierdza, że stworzenie odpowiednich mechanizmów w tym obszarze jest utrudnione m.in. ze względu na przepisy o postępowaniu administracyjnym w poszczególnych państwach UE (lub nawet ich brak).
Pozostając jeszcze przez chwilę przy decyzjach o adekwatności wydawanych przez KE (tj. decyzji o odpowiednim stopniu ochrony z art. 45 RODO) EIOD wskazał, że da się zauważyć tendencję do zmiany podejścia do wydawania takiej decyzji w ten sposób, że jest ona bardziej traktowana jako swoisty „deal” pomiędzy KE a państwem trzecim, a nie jednostronna decyzja KE. Takie podejście można było zaobserwować przy okazji wydawania wspomnianej decyzji dla Japonii.
W zakresie podejścia Europejskiej Rady Ochrony Danych do spójności, tj. do zapewnienia jednolitego podejścia, EIOD wskazuje, że państwa członkowskie mają możliwość zgłaszania własnych rozwiązań w tej materii, i też wszystkie państwa UE je zgłosiły. Najtrudniej o harmonizację jest w obszarze HR. Inny przykład trudności w spójnym podejściu to kamery w samochodach, które np. w Czechach są dozwolone a w Austrii nie, zaś przekraczając granicę pomiędzy tymi krajami można nie zorientować się w porę, że łamie się przepisy.
EIOD zwrócił również uwagę na docelowych odbiorców wydawanych przez EROD wytycznych. W powszechnym mniemaniu są to firmy i inne instytucje mające obowiązek stosować RODO. Wbrew pozorom wytyczne nie są jednak skierowane do rynku, tylko do krajowych organów nadzorczych, zaś ich zadaniem jest harmonizacja działań tychże organów, tak aby orzekano podobnie w poszczególnych państwach.
Dość istotną kwestią, szczególnie dla marketingowców, jest zagadnienie tzw. monetyzacji danych, czyli płacenia danymi za jakiś produkt/usługę, który - najczęściej w zamian za wyrażenie zgody na otrzymywanie treści marketingowych - dostajemy bez konieczności uiszczania regularnej ceny. Jak podaje EIOD, jest to kolejny przykład obszaru, gdzie trudno o harmonizację. Nie jest zatem przewidywane wydanie w tym zakresie wytycznych.
Odnosząc się do możliwej regulacji sztucznej inteligencji (ang. AI) Europejski Inspektor Ochrony Danych wskazał, że EROD nie przewiduje swojej roli w tym obszarze, nie widzi też konieczności regulacji dodatkowej w zakresie AI. Przede wszystkim, EIOD zwraca uwagę na problemy z definicją AI. Nawet jednak jeśli przyjąć, że mamy do czynienia z „prawdziwym” AI, w ocenie EROD dane osobowe w ten sposób przetwarzane są już objęte istniejącymi regulacjami. Pozostaje do uregulowania kwestia odpowiedzialności cywilnej za szkody spowodowane przez algorytmy stworzone przez różne podmioty. Na razie KE stara się „mapować” co jest, a czego nam brakuje w związku z AI.
Odnosząc się do prac nad certyfikacją (art. 42 RODO) EIOD zaakcentował, że prace trwają i są już mocno rozwinięte, oraz że krajowe organy nadzorcze oczekują odpowiednich wskazówek ze strony EROD w tym zakresie. Istnieje jednak duży rozdźwięk pomiędzy oczekiwaniami rynku a organów nadzorczych, a nawet firm certyfikujących. W ocenie przedstawicieli krajowych organów nadzorczych bardziej zasadne jest certyfikowanie procesów (ewentualnie sprzętu), ale niekoniecznie już np. systemów informatycznych (czy całych firm), za zgodność z RODO. W tym drugim przypadku taka certyfikacja będzie bowiem fikcją, gdyż system informatyczny może być zaktualizowany następnego dnia po otrzymaniu certyfikacji i wówczas może już nie być zgodny z RODO. EIOD zwrócił też uwagę na niebezpieczeństwo łatwiejszego uzyskiwania certyfikatów w mniejszych krajach. Na dzień dzisiejszy certyfikacja właściwie nigdzie nie zaistniała w klasycznej wersji.
Podrzuć pracownikom
wartościowe e-szkolenia - bezpłatnie
Nic prostszego - skopiuj i prześlij im odpowiednie linki.
EIOD poruszył również temat kalkulacji kar, która pojawiła się w kilku miejscach np. w Niemczech (co zrozumiałe, gdyż w Niemczech funkcjonuje 18 organów ochrony danych osobowych). Pan Wiewiórowski nie jest jednak zwolennikiem ustalania taryfikatora ogólnego, z uwagi na zbyt dużą ilość zmiennych, jakie należy wziąć pod uwagę przy nakładaniu kar. Przypomnijmy, że EIOD ma prawo nakładania kar w stosunku do instytucji UE.
Odnośnie kontroli dotykających przetwarzania danych osobowych, a prowadzonych przez kilka organów, które „czują się” do tego kompetentne (np. UODO i UOKIK), pan Wiewiórowski zalecił, żeby przede wszystkim informować EROD o praktykach, kiedy to różne organy podchodzą do tego samego zagadnienia w różny sposób, tj. gdy różne organy kontrolują to samo i wysnuwają inne wnioski.
Na koniec warto wspomnieć, że dzięki wyborze Polaka na stanowisko Europejskiego Inspektora Ochrony Danych mamy, po pierwsze, łatwiejszy dostęp do informacji z pierwszej ręki o tym, co w ochronie danych na europejskim poziomie „piszczy”, a po drugie możemy liczyć na więcej „polskiej optyki” w działalności EROD.