BIG data vs. regulacje prawne
Transkrypt
BIG data vs. regulacje prawne
Big data a regulacje prawne Dr Arwid Mednis, radca prawny 26 listopada 2014 r. 2 Prawo do prywatności • • wskazanie sfer prywatności: • prywatność informacyjna (informacje o osobie) • tajemnice świata wewnętrznego jednostki • osobista przestrzeń i nietykalność cielesna • sfera autonomii zachowania Prawo do prywatności jest dobrem osobistym chronionym przepisami kodeksu cywilnego 3 Big data – rewolucja czy stary towar w nowym opakowaniu? Entuzjaści: • zmiana paradygmatu metodologicznego w nauce (odejście od klasycznych metod statystycznych) i praktyce (decyzje podejmowane w warunkach całkowitej pewności) • dane „mówią” same, nie szukajmy związków przyczynowych Sceptycy: • dzisiejsze big data jutro będą „small data” • nigdy nie będziemy mieli wszystkich danych niezbędnych do podjęcia prawidłowej decyzji • istotny jest algorytm 4 Big data - cechy • high volume (ilość) • high velocity (zmienność, przyrost) • high variety (różnorodność) • veracity (wiarygodność) • value (wartość) 5 Big data a prywatność • dane osobowe jako element wielkich zbiorów danych • potencjalne problemy: naruszenie zasady celowości przetwarzania danych, kwestia obowiązku informacyjnego, podstawa prawna przetwarzania danych (aspekt prywatności informacyjnej) • „wynik” może być naruszeniem prywatności, predictive analysis może naruszać prywatność informacyjną, tajemnice świata wewnętrznego jednostki oraz sferę autonomii zachowania (przykłady: marketing, opieka społeczna, przestępczość, sądownictwo). 6 Zasada celowości w ustawie o ochronie danych osobowych Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2; 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 7 Zasada celowości w ustawie o ochronie danych osobowych 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych; 2) z zachowaniem przepisów art. 23 i 25. [podstawa prawna + obowiązek informacyjny] 8 Podstawy prawne przetwarzania danych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 9 Obowiązek informacyjny Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych; 3) źródle danych; 4) prawie dostępu do treści swoich danych oraz ich poprawiania; 5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. [sprzeciw, żądanie zaprzestania przetwarzania danych] 10 Autonomia woli jednostki • Art. 47 Konstytucji: „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.” • Autonomia woli jako dobro osobiste według przepisów kodeksu cywilnego. • Art. 26a UODO: „1. Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym. 2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, albo jeżeli zezwalają na to przepisy prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą.” 11 Big data a tajemnice sektorowe • Tajemnice sektorowe wzmacniają poziom ochrony prywatności i danych osobowych • Przykłady: tajemnica bankowa, tajemnica telekomunikacyjna, tajemnica ubezpieczeniowa • Czy tajemnica sektorowa w zakresie osób fizycznych obejmuje tylko dane, które dotyczą osób zidentyfikowanych lub identyfikowalnych? • W praktyce tworzone są odrębne jednostki biznesowe np. w telekomunikacji, zajmujące się obróbką i sprzedażą big data 12 Tajemnica telekomunikacyjna Tajemnica telekomunikacyjna obejmuje: 1) dane dotyczące użytkownika; 2) treść indywidualnych komunikatów; 3) dane transmisyjne (dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne); 4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku; 5) dane o próbach uzyskania połączenia między zakończeniami sieci. Użytkownik to niekoniecznie osoba fizyczna. Czy dane objęte tajemnicą to tylko te dane, które identyfikują użytkownika? 13 Tajemnica bankowa Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Stroną czynności bankowej nie musi być osoba fizyczna. Czy dane objęte tajemnicą to tylko te dane, które identyfikują stronę czynności bankowej? 14 Tajemnica ubezpieczeniowa Zakład ubezpieczeń i osoby w nim zatrudnione lub osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Stroną lub beneficjentem umowy ubezpieczenia nie musi być osoba fizyczna. Czy dane objęte tajemnicą to tylko te dane, które identyfikują ubezpieczającego lub ubezpieczonego? 15 Istota tajemnic sektorowych/zawodowych Tajemnice sektorowe/zawodowe mogą podnosić poziom ochrony prywatności ale ich istotą jest ochrona zaufania pomiędzy podmiotem świadczącym daną usługę a klientem. Podobnie: tajemnica lekarska, adwokacka, radcy prawnego , dziennikarska, itp. Istnieje zatem wątpliwość czy zgodne z prawem jest wykorzystywanie dla celów innych niż określone w ustawie lub umowie danych i informacji objętych tajemnicą, nawet gdy dane te nie identyfikują konkretnego podmiotu? Ponadto, czy dane „zanonimizowane” nie pozwalają w pewnych warunkach na identyfikację? 16 Podsumowanie • Procesy związane z big data niosą zagrożenie dla kilku aspektów prywatności (prywatność informacyjna, tajemnica świata wewnętrznego jednostki, sfera autonomii zachowania). • Big data wpływa na niektóre obowiązki z zakresu ochrony danych osobowych. • Wątpliwości co do swobodnego wykorzystania danych objętych tajemnicami sektorowymi. 17 Arwid Mednis Wierzbowski Eversheds Sp. k. 18 www.eversheds.pl