Branża teleinformatyczna rok po RODO

30-05-2019, 19:18

RODO nie narzuca jednego standardu postępowania. Określa ogólne zasady, jakich trzeba przestrzegać i wskazuje, aby administratorzy podchodzili do ochrony danych jak do ciągłego procesu. Należy nieustannie czuwać, testować rozwiązania i dostosowywać je do zmieniającej się rzeczywistości technologicznej, zjawisk oraz zagrożeń. Rok od wejścia w życie rozporządzenia sprawdzono, jak wygląda jego stosowanie w branży teleinformatycznej.

Na całość systemu przepisów RODO składają się nie tylko przepisy Rozporządzenia, ale również wydanych w związku z nim ustaw krajowych. Ma to istotne znaczenie prawne, ponieważ naruszeniem przepisów Rozporządzenia, skutkującym między innymi możliwością nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych wysokich kar pieniężnych jako sankcji administracyjnych będzie również naruszenie przepisów ustaw krajowych, doprecyzowujących RODO.

Xawery Konarski z Polskiej Izby Informatyki i Telekomunikacji (PIIT) stwierdza, że poprzednie prawo było już przestarzałe. Jego zdaniem, w realiach informatyki regulacja unijna z 1995 roku jest równie przystająca do obecnych warunków jak kodeks Hammurabiego. Zauważa też, że RODO bywa nazywane „inteligentnym aktem prawnym”, gdyż jego zapisy nie są zależne od nowej technologii. W akcie prawnym, inaczej niż poprzednio, nie ma np. wymagań dotyczących długości haseł czy kluczy szyfrujących. Zamiast tego są jasno opisane wymagania formalne

78 stron konkretów

W swoim nowym raporcie PIIT przedstawia cały ekosystem prawny, który kryje się za wdrożeniem RODO w Polsce. Nowe prawo zostało w raporcie przeanalizowane pod kątem wpływu na branżę ICT. W tekście szczegółowo omawia się wpływ nowej dyrektywy na wiodące technologie, takie jak blockchain, sztuczna inteligencja czy internet rzeczy. Wskazane są również obowiązki jakich dopełnić muszą spółki technologiczne w zależności od swojej działalności. 

Jedną z najważniejszych zmian jest wprowadzona w nowym prawie odpowiedzialność zlecającego przetwarzanie danych osobowych za niedopatrzenia podmiotów, którym dane zostały powierzone.

Konarski zauważa, że w praktyce to prawo zdecydowanie zniechęca do korzystania z niesprawdzonych podmiotów oraz prób obejścia wymogów RODO poprzez migrację zasobów danych osobowych. Jego zdaniem firmy będą znacznie mniej chętne, by korzystać z usługodawców, wobec których mają wątpliwości odnośnie zapewnienia standardów bezpieczeństwa. Ryzyko jest za duże. 

Sztuczna Inteligencja bez danych osobowych

Zmiany odczuje sektor sztucznej inteligencji, gdzie dane, przed przetwarzaniem, często powinny zostać pozbawione wszelkich oznaczeń, które umożliwią zidentyfikowanie poszczególnych użytkowników.

Barbara Sawina z PIIT, zauważa, że jeśli firma przykładowo przygotowuje model przetwarzający dane klientów własnym sumptem, sprawa jest znacznie prostsza. Jednak anonimizacja oznacza zubożenie danych, co z perspektywy uczenia maszynowego jest niekorzystne.

Warto wspomnieć, że ochronie podlegają nie tylko dane klientów, ale również pracowników. Według niektórych z interpretacji kandydat może poprosić o pokazanie notatek robionych na jego CV podczas rozmowy kwalifikacyjnej, gdyż jest to bezpośrednia ingerencja w nośnik z jego danymi osobowymi, a on ma prawo do wglądu i modyfikacji tych informacji. Co więcej, firmy technologiczne intensywnie rekrutują i często wracają z propozycjami pracy do wcześniej zatrudnionych kandydatów. W praktyce każdego z nich trzeba spytać o zgodę na dalsze trzymanie i przetwarzanie jego danych.

Nieoczywiste wyzwania związane z technologią Blockchain

Jednym z podstawowych wymagań narzucanych przez RODO jest możliwość modyfikacji i usunięcia swoich danych osobowych z bazy danych firmy. W tradycyjnych systemach nie jest to problemem, jednak fundamentem technologii blockchain jest brak możliwości modyfikacji starych zapisów, co tłumaczy Barbara Sawina z Izby. Ekspertka zauważa, że dzięki temu znacznie trudniej jest przeprowadzić lub ukryć oszustwo. Jednak każda informacja, która wpadnie w rozproszoną bazę danych zostaje tam na zawsze. W najbardziej ortodoksyjnej interpretacji przepisów RODO całkowicie delegalizuje technologię blockchain na terenie Unii Europejskiej.

Spośród nowych, innowacyjnych technologii, Blockchain („łańcuch bloków”) niewątpliwie stanowi największe wyzwanie z punktu widzenia zapewnienia zgodności z wymogami RODO. Jego istotą jest bowiem zdecentralizowany charakter, co szczególnie w przypadku tzw. Blockchaina publicznego, w którym każdy może wziąć bierny lub czynny udział w budowie tej sieci, utrudnia dokonanie rozliczalności przetwarzania danych i przypisanie roli administratora (współadministratora) danych. To samo dotyczy realizacji praw podmiotów danych. W sieciach zdecentralizowanych nie ma bowiem konkretnego podmiotu przechowującego dane i sprawującego kontrolę nad nim, w tym między innymi w zakresie ich usuwania (np. w ramach realizacji żądania prawa do bycia zapomnianym).

Źródło: PIIT


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy