Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.

Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.

Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie

Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.

W teorii odpowiedź na to pytanie jest prosta, ale w praktyce okazuje się, że warto jednak zastanowić się nad tym zagadnieniem. W przepisach RODO odpowiedzi należy szukać w artykule 7, zgodnie z którym zgoda jest wyrażona poprzez dobrowolne i świadome działanie (oświadczenie woli). Natomiast nie określono w nim ograniczenia czasowego zgody, a jedynie warunki jej wycofania. W praktyce można zatem przyjąć, że zgoda jest ważna aż do momentu jej wycofania, czyli bezterminowo. Tym samym osoba, której dane dotyczą nie musi „odświeżać” swojej zgody, jeżeli przetwarzanie danych w oparciu o zgodę jest długotrwałe i stałe. Można w oparciu o raz wyrażoną zgodę przetwarzać dane latami. Dopiero jej wycofanie zastopuje proces.

Przetwarzanie może zakończyć się także z powodu ustania celu przetwarzania, np. administrator postanawia przestać wysyłać informacje marketingowe lub kończy swoją działalność.

Stąd w klauzulach informacyjnych pojawia się określenie, że dane będą przetwarzane do czasu wycofania zgody lub jej wyrażenia.

Takie podejście zazwyczaj będzie poprawne. Jednak warto zwrócić uwagę, że nie uwzględnia bardzo ważnego czynnika, jakim jest „świadomość” wyrażania zgody, a także przetwarzanie przez czas niezbędny do osiągnięcia celu, w jakim zgoda została wyrażona.

Czy wiesz, że korzystasz z AI już od bardzo dawna? Algorytmy sztucznej inteligencji były tworzone i rozwijane przez lata, dla różnych aplikacji. Dzięki nim możliwe było otwarcie sklepów Amazon Fresh, w których bierze się produkty z półek i po prostu z nimi wychodzi, a system sam podliczy wartość zakupów i obciąży nasz rachunek. Testowaliśmy skuteczność algorytmu podczas ostatniej wizyty w USA, gdzie autonomiczne sklepy są naprawdę duże, więc naliczanie zakupów stanowi niezłe wyzwanie. W praktyce algorytm radził sobie świetnie, gdy wchodziła jedna osoba i brała pierwszy produkt z półki. Natomiast miał problemy, gdy wybieraliśmy produkt, który był głębiej na półce lub rozdzielaliśmy się i każde z nas wrzucało produkty do swojego koszyka (weszliśmy i wyszliśmy razem). W takich wypadkach ewidentnie była potrzebna ingerencja człowieka, który sprawdził nagrania i poprawnie naliczył należności. Jednak ani razu nie zostaliśmy błędnie obciążeni. Naprawdę genialne, jeśli ktoś nie lubi stać w kolejkach. Warto w tym miejscu wskazać, że w polskich Żabkach wdrażaliśmy podobne rozwiązania i że ich autorami były polskie firmy technologiczne. Myślę, że autonomiczne sklepy to przyszłość, bo nikt nie lubi stać w kolejkach.

Jeśli korzystasz ze smartfona, to są na nim aplikacje, które od dawna czerpią z AI garściami. Chociażby nawigacje (np. Google Maps). Przecież „coś” musi analizować Twoją trasę, natężenie ruchu, preferencje dotyczące drogi, aby dobrze pokierować do celu. Warto zauważyć jak ciekawy jest chociażby sposób obliczania czasu, który pozostał do celu. Jeśli się nad tym zastanowić, to nie jest proste i bez AI, pewnie byłoby niemożliwe. Podobnie działają wszelkiego rodzaju elektroniczni asystenci (np. smartwach, który może oceniać jakość snu lub aktywność fizyczną).

Skąd zatem to zamieszanie wokół AI, skoro jest ono z nami już od dawna? To nie jest kwestia tego, że „w końcu udało się wymyślić sztuczną inteligencję”, tylko nowych aplikacji, które dzięki AI mają „niesamowite” możliwości. Umożliwiają nie tylko wyszukiwanie (tak – wyszukiwarki też od dawana korzystają z AI), ale są w stanie generować gotowe odpowiedzi. Tu do oceny, na ile to dobrze – wyszukiwarka daje możliwość porównania wielu źródeł, podczas gdy AI generuje konkretne rozwiązanie (subiektywne). Potrafi „tworzyć” wypracowania, artykuły, sentencje orzeczeń sądowych. Należy jednak uważać na efekty pracy algorytmu, gdyż mogą być bardzo odtwórcze i naruszać prawa autorskie. Pod koniec 2023 r. wydawca New York Times pozwał OpenAI oraz Microsoft, ponieważ uważa, że naruszono prawa autorskie, ucząc algorytm na jego treściach. Ponadto jego zdaniem, AI zapytany o aktualne wydarzenia, zamiast generować nowe treści, przetwarza te już gotowe, naruszając prawa autorskie NYT. Bardziej obrazowo, praca magisterska wytworzona przez AI może nie przejść pozytywnie przez algorytmy weryfikujące plagiat, bo zbyt wyraźnie bazuje na cudzych treściach.

W 2018 roku na blogu ukazał się test wiedzy, dzięki któremu można było weryfikować znajomość przepisów o ochronie danych osobowych swoją lub swoich pracowników.

Test jest prosty i skupia się na podstawowych zagadnieniach, jednak co jakiś czas do niego wracacie. Uznałam zatem, że jest potrzeba odświeżenia tego materiału i zaktualizowałam jego treść.

Test do pobrania dostępny jest tutaj.

Odpowiedzi są tutaj:

Dobrej zabawy!