RODO – czy BIG DATA powinna się bać?

Jak powszechnie wiadomo, od 25 maja 2018 r. obowiązywać będzie nowy system ochrony danych osobowych. Wiele firm zajmujących się BIG DATA obawia się wpływu RODO na ich biznes – w naszym artykule stawiamy tezę, iż w większości przypadków nie ma powodów do obaw, a ewentualne ryzyka można łatwo zminimalizować.

O co chodzi z RODO?
W dniu 25 maja 2018 r. zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), które zmieni dość poważnie zasady ochrony danych osobowych. Warto tu zaznaczyć, iż w Polsce zmiany te nie będą tak znaczne jak w niektórych innych państwa członkowskich UE, które miały dotąd o wiele łagodniejsze wymogi niż polska ustawa o ochronie danych osobowych.

Z punktu widzenia BIG DATA najistotniejsze jest to, czy RODO co do zasady obejmie wszystkie usługi związane z BIG DATA, czy też nie dotyczy takich usług w ogóle, ewentualnie jedynie w pewnym zakresie.

O co chodzi z BIG DATA w kontekście ochrony danych osobowych?
Na potrzeby tego artykułu przyjęliśmy (z uwagi na brak powszechnie przyjętej definicji, czym jest BIG DATA), iż usługi BIG DATA mogą dotyczyć:
a) przetwarzania danych konkretnych osób fizycznych (np. w przypadku profilowania konkretnej osoby fizycznej w związku z jej wnioskiem kredytowym – jeśli firma przetwarza dane „Jana Kowalskiego”), jak i
b) przetwarzania danych zaszyfrowanych lub ukrytych pod pseudonimem, względnie innym oznaczeniem nieidentyfikującym konkretnej osoby fizycznej (np. „Janowi Kowalskiemu” podmiot zbierający dane nadał losowo przydzielony identyfikator YT55sf i w takiej formie przekazał firmie świadczącej usługi BIG DATA).

Dla jasności dalszej części artykułu założyliśmy, że usługi z punktu a) („usługi na danych”) są w naszym kraju rzadsze niż usługi z punktu b) („usługi anonimowe”).

Wszystko zależy od tego, kto i o co pyta
W związku z powyższym trzeba zaznaczyć, iż RODO dotyczy wyłącznie przetwarzania danych osobowych, którymi są informacje, na podstawie których można zidentyfikować osobę fizyczną. Są nimi w szczególności:
• imię i nazwisko,
• adres,
• numer NIP i PESEL.

Zgodnie z motywem 26 Preambuły RODO:
1) aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej;
2) aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.

„Pseudonimizacja” i „anonimizacja”
Jednocześnie RODO posługuje się pojęciem „pseudonimizacji”, co oznacza przetworzenie danych osobowych w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo one należą bez dostępu do innych informacji przechowywanych bezpiecznie w innym miejscu. W założeniu proces pseudonimizacji jest odwracalny, co oznacza, że dane, które zostały “zaszyfrowane” można odszyfrować za pomocą odpowiedniego klucza. Anonimizacja jest z kolei procesem nieodwracalnym.

Grupa Robocza Art. 29 sporządziła opinię, która wymienia metody pseudonimizacji danych osobowych, z których najczęściej korzystają przedsiębiorcy. Wśród nich wskazano między innymi: szyfrowanie kluczem tajnym, tokenizację, skracanie. Grupa Robocza wskazała również na najczęstsze błędy, które na gruncie RODO mają być wychwytywane i eliminowane przez organy kontrolne. Są nimi: stosowanie tych samych kluczy do szyfrowania wielu baz danych, stosowanie różnych kluczy do szyfrowania różnych zbiorów użytkowników (np. jeden klucz do pseudonimizacji kilkunastu wpisów o jednym użytkowniku), co generuje ryzyko wystąpienia “wzorca”. Poważnym błędem jest również przechowywanie klucza służącego do odszyfrowania danych razem z tymi danymi lub niewłaściwe zabezpieczenie tego klucza.

Profilowanie
Dodatkowo, nie można pominąć wprowadzonego po raz pierwszy na gruncie RODO pojęcia „profilowania”.- Zgodnie z art. 4 ust. 4 RODO, profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystywaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy i/lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, lokalizacji lub przemieszczania się.

Zgodnie z motywem 71 Preambuły RODO, profilowanie stanowi jedną z form przetwarzania danych, polegającą na ocenie niektórych tylko aspektów danych życia osobistego w ramach wyłącznie zautomatyzowanego przetwarzania danych. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą w oparciu o dane zebrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. RODO zawiera zamknięty katalog przypadków, w których profilowanie (według definicji przywołanej powyżej) jest dozwolone i wówczas nie istnieje możliwość uchylenia się od decyzji wydanej na podstawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach.

Co więcej, decyzje podejmowane w odniesieniu do konkretnych podmiotów nie mogą dotyczyć danych wrażliwych, danych genetycznych, ani biometrycznych, chyba że osoba, której powyższe dane dotyczą, wyraziła na to odrębną zgodę lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, zaś podejmowane działania są proporcjonalne do wyznaczonego celu. Ponadto, profilowanie jako czynność związana z przetwarzaniem danych nie powinno dotyczyć dzieci.

A contrario, nie powinno być profilowaniem:
a) tworzenie profili osób fizycznych, które nie jest oparte na zautomatyzowanym przetwarzaniu danych (brak decyzji wydanej na podstawie zautomatyzowanego przetwarzania danych w indywidualnych przypadkach – np. w wyniku interwencji czynnika ludzkiego w proces decyzyjny),
b) analiza zachowań szerokiej grupy osób w sposób uniemożliwiający ustalenie ich tożsamości, a nie odnosząca się do konkretnego użytkownika.

W kontekście wprowadzonych przez RODO regulacji, o profilowaniu możemy mówić jedynie wtedy, gdy ma miejsce automatyczne przetwarzanie danych, którego efektem jest zbudowanie profilu. Profil jest następnie wykorzystywany przy podejmowaniu decyzji wywołujących skutki prawne względem podmiotu, którego dane dotyczą lub ma podobny znaczący wpływ na ten podmiot, np. przyznanie kredytu, odrzucenie wniosku o udzielenie kredytu, przyznanie ubezpieczenia w określonej kwocie. Profilowaniem w świetle RODO nie będzie zatem monitorowanie zachowania klientów sklepu internetowego.

Zwracamy uwagę, że zgodnie z motywem 72 RODO, kwestia podstaw prawnych profilowania oraz zasad ochrony użytkowników, których dane są przetwarzane, ma zostać sprecyzowana przez Europejską Radę Ochrony Danych, która ma możliwość wydawania wskazówek w tym zakresie. Obecnie nie wiadomo jeszcze czy i w jakiej formie Europejska Rada Ochrony Danych będzie udzielała wskazówek w zakresie profilowania. Podkreśla się jednak, że po upływie terminu na dostosowanie działalności przedsiębiorców do wymogów RODO (25 maja 2018 roku), profilowanie ma stać się jawne, przejrzyste i zrozumiałe dla konsumentów. Przedsiębiorcy powinni zatem przeprowadzić audyt procesów przetwarzania danych osobowych w swoich firmach, pod kątem ustalenia:
a) czy te procesy stanowią profilowanie w rozumieniu definicji zawartej w RODO,
b) jakie są cele i kryteria profilowania,
c) koniecznych do wprowadzenia mechanizmów wyrażania zgody na profilowanie przez konsumentów,
d) czy ewentualnie stosowane procesy decyzyjne oparte na zautomatyzowanym przetwarzaniu danych osobowych powinny zostać dostosowane do nowych przepisów.

BIG DATA – czy RODO to problem?
W konsekwencji zatem, usługi BIG DATA oparte wyłącznie na danych anonimowych (po pseudonimizacji lub anonimizacji), zanonimizowanych w sposób wykluczający możliwość przypisania rzeczywistych tożsamości konkretnym osobom fizycznym powinny zostać uznane za usługi niepodlegające, co do zasady, regulacji RODO.

Jeśli jednak dany przedsiębiorca świadczy usługi BIG DATA oparte o dane osobowe, to wtedy musi w odniesieniu do takich usług stosować RODO. Jeśli zaś usługi takie nie tylko odnoszą się do danych osobowych, ale zawierają jeszcze element profilowania, konieczne będzie zastosowanie się przez takiego przedsiębiorcę do surowszych reguł odnoszących się do profilowania. Oczywiście wniosek taki zakłada, iż dane osobowe mogą być przetwarzane na poziomie zbierających dane będące później podstawą usługi BIG DATA (np. sklep internetowy zbierający ankiety od klientów z ich danymi osobowymi, a następnie zlecający śledzenie aktywności już zanonimizowanych profili użytkowników Internetu).

W konsekwencji uważamy, iż dla większości firm z branży BIG DATA wejście w życie RODO nie powinno wiele zmienić. Niemniej wskazana jest uważna analiza, czy konkretna usługa, wskutek specyficznych kryteriów obróbki danych (np. w przypadku bardzo małej bazy danych), nie prowadzi w istocie do przetwarzania danych osobowych.

Nie można też zapominać o tym, że władze UE pracują nad kolejnymi przepisami, które mogą zmienić sytuację branży (projekt rozporządzenia UE w sprawie prywatności i łączności elektronicznej, „rozporządzenie ePrivacy”)– jeśli przepisy te zostaną przyjęte w kształcie zgodnym z radykalnymi postulatami, branżę czeka o wiele większa zmiana.

Barbara Tomczyk
Aplikant adwokacki

Przemysław Wierzbicki
Partner

Prawnicy z praktyki Nowych Technologii z Kancelarii KKLW Kurzyński Łyszyk Wierzbicki Sp. k.