BIG data vs. regulacje prawne

Big data
a regulacje prawne
Dr Arwid Mednis, radca prawny
26 listopada 2014 r.
2
Prawo do prywatności
•
•
wskazanie sfer prywatności:
•
prywatność informacyjna
(informacje o osobie)
•
tajemnice świata wewnętrznego
jednostki
•
osobista przestrzeń i nietykalność
cielesna
•
sfera autonomii zachowania
Prawo do prywatności jest dobrem osobistym
chronionym przepisami kodeksu cywilnego
3
Big data – rewolucja czy stary
towar w nowym opakowaniu?
Entuzjaści:
• zmiana paradygmatu metodologicznego
w nauce (odejście od klasycznych metod statystycznych)
i praktyce (decyzje podejmowane w warunkach całkowitej
pewności)
• dane „mówią” same, nie szukajmy związków przyczynowych
Sceptycy:
• dzisiejsze big data jutro będą „small data”
• nigdy nie będziemy mieli wszystkich danych
niezbędnych do podjęcia prawidłowej decyzji
• istotny jest algorytm
4
Big data - cechy
•
high volume (ilość)
•
high velocity (zmienność, przyrost)
•
high variety (różnorodność)
•
veracity (wiarygodność)
•
value (wartość)
5
Big data a prywatność
•
dane osobowe jako element
wielkich zbiorów danych
•
potencjalne problemy: naruszenie zasady
celowości przetwarzania danych, kwestia
obowiązku informacyjnego, podstawa prawna
przetwarzania danych (aspekt prywatności informacyjnej)
•
„wynik” może być naruszeniem prywatności, predictive
analysis może naruszać prywatność informacyjną, tajemnice
świata wewnętrznego jednostki oraz sferę autonomii
zachowania (przykłady: marketing, opieka społeczna,
przestępczość, sądownictwo).
6
Zasada celowości w ustawie o ochronie
danych osobowych
Art. 26. 1. Administrator danych przetwarzający dane powinien
dołożyć szczególnej staranności w celu ochrony interesów osób,
których dane dotyczą, a w szczególności jest obowiązany zapewnić,
aby dane te były:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i
niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z
zastrzeżeniem ust. 2;
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia
celu przetwarzania.
7
Zasada celowości w ustawie o ochronie
danych osobowych
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały
zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby,
której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub
statystycznych;
2) z zachowaniem przepisów art. 23 i 25. [podstawa prawna +
obowiązek informacyjny]
8
Podstawy prawne przetwarzania danych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1)
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących jej danych;
2)
jest to niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisu prawa;
3)
jest to konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4)
jest niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego;
5)
jest to niezbędne dla wypełnienia prawnie
usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolności osoby, której dane dotyczą.
9
Obowiązek informacyjny
Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby,
której one dotyczą, administrator danych jest obowiązany
poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych,
o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy
administratorem danych jest osoba fizyczna - o miejscu swojego
zamieszkania oraz imieniu i nazwisku;
2)
celu i zakresie zbierania danych, a w szczególności o odbiorcach
lub kategoriach odbiorców danych;
3)
źródle danych;
4)
prawie dostępu do treści swoich danych oraz ich poprawiania;
5)
o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
[sprzeciw, żądanie zaprzestania przetwarzania danych]
10
Autonomia woli jednostki
• Art. 47 Konstytucji: „Każdy ma prawo do ochrony prawnej życia
prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o
swoim życiu osobistym.”
• Autonomia woli jako dobro osobiste według przepisów kodeksu
cywilnego.
• Art. 26a UODO: „1. Niedopuszczalne jest ostateczne rozstrzygnięcie
indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest
wyłącznie wynikiem operacji na danych osobowych, prowadzonych w
systemie informatycznym.
2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte
podczas zawierania lub wykonywania umowy i uwzględnia wniosek
osoby, której dane dotyczą, albo jeżeli zezwalają na to przepisy prawa,
które przewidują również środki ochrony uzasadnionych interesów
osoby, której dane dotyczą.”
11
Big data a tajemnice sektorowe
•
Tajemnice sektorowe wzmacniają poziom ochrony
prywatności i danych osobowych
•
Przykłady: tajemnica bankowa, tajemnica telekomunikacyjna,
tajemnica ubezpieczeniowa
•
Czy tajemnica sektorowa w zakresie osób fizycznych
obejmuje tylko dane, które dotyczą osób zidentyfikowanych
lub identyfikowalnych?
•
W praktyce tworzone są odrębne jednostki
biznesowe np. w telekomunikacji,
zajmujące się obróbką i sprzedażą
big data
12
Tajemnica telekomunikacyjna
Tajemnica telekomunikacyjna obejmuje:
1) dane dotyczące użytkownika;
2) treść indywidualnych komunikatów;
3) dane transmisyjne (dane przetwarzane dla celów przekazywania
komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za
usługi telekomunikacyjne, w tym dane lokalizacyjne);
4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające
poza dane niezbędne do transmisji komunikatu lub wystawienia
rachunku;
5) dane o próbach uzyskania połączenia między zakończeniami sieci.
Użytkownik to niekoniecznie osoba fizyczna.
Czy dane objęte tajemnicą to tylko te dane, które identyfikują
użytkownika?
13
Tajemnica bankowa
Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem
bank wykonuje czynności bankowe, są obowiązane zachować
tajemnicę bankową, która obejmuje wszystkie informacje
dotyczące czynności bankowej, uzyskane w czasie negocjacji, w
trakcie zawierania i realizacji umowy, na podstawie której bank
tę czynność wykonuje.
Stroną czynności bankowej nie musi być osoba fizyczna.
Czy dane objęte tajemnicą to tylko te dane, które identyfikują stronę
czynności bankowej?
14
Tajemnica ubezpieczeniowa
Zakład ubezpieczeń i osoby w nim zatrudnione lub osoby i podmioty,
za pomocą których zakład ubezpieczeń wykonuje czynności
ubezpieczeniowe, są obowiązane do zachowania tajemnicy
dotyczącej poszczególnych umów ubezpieczenia.
Stroną lub beneficjentem umowy ubezpieczenia nie musi być osoba
fizyczna.
Czy dane objęte tajemnicą to tylko te dane, które identyfikują
ubezpieczającego lub ubezpieczonego?
15
Istota tajemnic sektorowych/zawodowych
Tajemnice sektorowe/zawodowe mogą podnosić poziom ochrony
prywatności ale ich istotą jest ochrona zaufania pomiędzy podmiotem
świadczącym daną usługę a klientem.
Podobnie: tajemnica lekarska, adwokacka, radcy prawnego ,
dziennikarska, itp.
Istnieje zatem wątpliwość czy zgodne z prawem jest
wykorzystywanie dla celów innych niż określone w ustawie lub
umowie danych i informacji objętych tajemnicą, nawet gdy
dane te nie identyfikują konkretnego podmiotu?
Ponadto, czy dane „zanonimizowane” nie pozwalają w pewnych
warunkach na identyfikację?
16
Podsumowanie
•
Procesy związane z big data niosą zagrożenie dla kilku
aspektów prywatności (prywatność informacyjna,
tajemnica świata wewnętrznego jednostki, sfera
autonomii zachowania).
•
Big data wpływa na niektóre obowiązki
z zakresu ochrony danych osobowych.
•
Wątpliwości co do swobodnego
wykorzystania danych objętych
tajemnicami sektorowymi.
17
Arwid Mednis
Wierzbowski Eversheds Sp. k.
18
www.eversheds.pl