Unia Europejska zapowiada uproszczenie przepisów. Część regulacji z ostatniej dekady krytykowano jako nadmiernie szerokie. Pośpiech grozi pójściem zbyt daleko i w sposób niespójny. Z przecieku wynika, iż Komisja Europejska planuje zmienić ogólne rozporządzenie o ochronie danych (RODO). Analiza opiera się na tym przecieku i może ulec zmianie, jeżeli ostateczny tekst będzie inny. Co jest wysoce prawdopodobne.
Niektóre propozycje są trafne: mogą ograniczyć niejasności i wyeliminować rozwiązania zbędne lub po prostu niefortunne. Jednocześnie zmiany są bardzo daleko idące. Obejmują choćby samą definicję danych osobowych, która od dekad stanowi filar europejskiej ochrony danych. Wydaje się, iż w pędzie do "upraszczania i deregulacji" Komisja zamierza osłabić ochronę danych w rdzeniu architektury RODO. Poniżej przedstawiam ocenę techniczną, polityczną i regulacyjną.Pełny przeciek jest tutaj.
[To druga cżęść wpisu z analizą sytuacyjną, tutaj kolejna]
Zmiana definicji DANYCH OSOBOWYCH
Artykuł 4 ust. 1. Definicja danych osobowych staje się zależna (relatywna) od konkretnego podmiotu.
„Informacje dotyczące osoby fizycznej nie muszą być danymi osobowymi dla wszystkich innego podmiotu wyłącznie dlatego, iż jakiś inny podmiot może zidentyfikować tę osobę. Informacje nie stanowią danych osobowych dla danego podmiotu, o ile ten podmiot nie może zidentyfikować osoby, której dane dotyczą, biorąc pod uwagę środki, których wykorzystanie jest przez ten podmiot rozsądnie prawdopodobne. Takie informacje nie stają się danymi osobowymi dla tego podmiotu tylko dlatego, iż kolejny odbiorca dysponuje środkami, których wykorzystanie jest rozsądnie prawdopodobne, aby zidentyfikować osobę, której dane dotyczą”.
Ma to doprecyzować, iż np. mały sklep czy restauracja nie muszą reagować na skrajnie hipotetyczne ryzyka, których nie przewidują ani nie mogą kontrolować. Z tezą „tylko dlatego, iż inny podmiot może zidentyfikować” trudno się spierać: fakt, iż jakaś „wszechmocna” jednostka potrafi kogoś zidentyfikować, nie czyni każdej informacji daną osobową. To, iż doszło do wycieku w innych systemach, nie musi dotykać odrębnych administratorów danych. Nie jest to jednak język orzecznictwa TSUE, które mówi o identyfikowalności „przy użyciu środków, których użycie jest rozsądnie prawdopodobne”, także „z pomocą innych osób”, przez administratora lub inną osobę (sprawa C-582/14).
Formuła relatywna, „zależna od podmiotu” zawęża zakres, ignorując środki osób trzecich, co osłabia ochronę. Innymi słowy, administrator mógłby argumentować, iż nie ma możliwości, które w istocie posiada.
Przykład. Platforma adtech otrzymuje zhashowane adresy e-mail, które brokerzy danych mogą trywialnie dopasować.
Dziś takie hashe są danymi osobowymi, jeżeli identyfikacja jest rozsądnie prawdopodobna przy użyciu środków dostępnych administratorowi lub innym podmiotom. W świetle aktualnego przecieku nowej wersji RODO platforma mogłaby uznać je za „nieosobowe”, powołując się na rzekomy brak własnych środków, choć dopasowanie jest łatwe dla partnerów lub nawet dla niej samej i to przy rozsądnym wysiłku. Ocena zależy tu od tego, w jakim stopniu uzna się dane środki za „rozsądne”. choćby przy unikalnych solach (salt) dane pozostają danymi osobowymi, jeżeli platforma może użyć tablic odwzorowań albo ponownie przetworzyć posiadane gdzie indziej surowe e-maile, by wygenerować ten sam hash i go dopasować. W „relatywnym” ujęciu nowego art. 4 platforma mogłaby twierdzić, iż te same hashe „nie są dla niej danymi osobowymi”, jeżeli patrzy wyłącznie na własne środki i ignoruje możliwości partnerów. Takie uzasadnienie administrator mógłby łatwo wygenerować, np. z wykorzystaniem narzędzi typu ChatGPT.
Obecnie w RODO/TSUE identyfikowalność uwzględnia również środki podmiotów trzecich. Ujawniona wersja „nowego” RODO czyni tę identyfikowalność relatywną. To zasadnicza różnica.
Dane o zdrowiu zawężone do bezpośredniego ujawnienia (art. 4 pkt 15)
Proponowana definicja: „‘dane dotyczące zdrowia’ oznaczają dane osobowe związane ze zdrowiem fizycznym lub psychicznym osoby fizycznej, w tym ze świadczeniem jej usług opieki zdrowotnej, które bezpośrednio ujawniają informacje konkretnie o jej stanie zdrowia”.
Obecnie brzmi: „…które ujawniają informacje o jej stanie zdrowia”.
Różnica jest istotna. Nowe brzmienie wymaga, by informacja „bezpośrednio i konkretnie” ujawniała stan zdrowia. Administratorzy mogliby twierdzić, iż sygnały o niskim poziomie szczegółowości nie spełniają progu, choć TSUE podkreśla szerokie rozumienie „danych dotyczących zdrowia”, niewymagające bezpośredniości. Skutki mogą być jeszcze dalej idące.
Przykład. Powtarzające się zakupy insuliny mogą implikować schorzenie. Dziś może to prowadzić do kwalifikacji jako szczególna kategoria (jeśli wniosek jest silny). Po zmianie grozi to wyłączeniem, o ile zapis sam w sobie nie ujawnia stanu „bezpośrednio i konkretnie”. Np. jeżeli po wejściu do apteki nie wyświetla się na zewnątrz wielki banner:
"🚨JAN KOWALSKI (PESEL: ...), KTÓRY WŁAŚNIE TU WSZEDŁ JEST CHORY NA CUKRZYCĘ OD 10 LAT🚨",
co byłoby naruszeniem zarówno obecnego jak RODO, jak i tego nowego którego tekst wyciekł
Podobnie wzmianki o niedosłuchu, wizyty u audiologa, używanie aparatów słuchowych czy korzystanie z tłumacza napisów – to dziś dane z kategorii szczególnych. Każda organizacja przetwarzająca je potrzebuje adekwatnej podstawy. Próby „degradacji” takich danych przez odwołanie do wymogu „bezpośredniego ujawniania” mogą się nie obronić.
Efekt: erozja ochrony dla sygnałów pośrednich i wnioskowań; w skrajnych przypadkach można by twierdzić, iż praktyki inferencyjne zostają zalegalizowane. To oczywiście otwiera nowe możliwości biznesowe.
Kategorie szczególne zawężone do bezpośredniego ujawnienia (art. 9 ust. 1)
Proponowane: „Przetwarzanie danych osobowych, które bezpośrednio ujawniają w odniesieniu do konkretnej osoby pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, członkostwo w związkach zawodowych, jej stan zdrowia (dane dotyczące zdrowia) lub życie seksualne bądź orientację seksualną oraz przetwarzanie danych genetycznych lub danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej jest zabronione”.
To przejście od „ujawniają” do „bezpośrednio ujawniają”, a obawy są podobne jak poprzednio. Tu jednak argument jest prostszy, ponieważ najwyższy sąd UE już orzekł, iż wnioskowania (pośrednie ujawnienie) mogą czynić dane wrażliwymi, choćby jeżeli pole źródłowe nie ujawnia danej cechy wprost. W praktyce dziś sprawa jest rozstrzygnięta w świetle obecnego orzecznictwa UE: „publikowanie (…) danych osobowych, które mogą pośrednio ujawnić orientację seksualną osoby fizycznej, stanowi przetwarzanie szczególnych kategorii danych osobowych”. Proponowane w wycieku brzmienie można byłoby odczytać jako dopuszczające takie przetwarzanie.
Szkolenie AI na danych szczególnych – dozwolone, JEŚLI…
„W przypadku przetwarzania [na potrzeby AI] wdraża się odpowiednie środki organizacyjne i techniczne, aby w jak największym stopniu unikać zbierania i innego przetwarzania szczególnych kategorii danych osobowych. o ile mimo wdrożenia takich środków administrator zidentyfikuje szczególne kategorie danych osobowych w zbiorach używanych do szkolenia, testowania lub walidacji albo w systemie czy modelu AI, administrator usuwa takie dane. o ile usunięcie wymagałoby nieproporcjonalnego wysiłku, administrator niezwłocznie i skutecznie chroni takie dane przed wykorzystaniem do generowania wyników oraz przed ich ujawnieniem lub innym udostępnieniem osobom trzecim”.
W praktyce powstaje tolerancja dla resztkowej obecności danych podlegającej szczególnej ochronie, czyli np. o zdrowiu, w zbiorach treningowych – pod warunkiem unikania ich gromadzenia, usuwania ich po wykryciu albo izolowania tam, gdzie usunięcie wymagałoby nieproporcjonalnego wysiłku. Kierunek zmian jest wyraźnie liberalizujący. Można trenować AI na danych wrażliwych.
Weryfikacja biometryczna pod wyłączną kontrolą (art. 9 ust. 2 lit. l)
„(l) przetwarzanie danych biometrycznych jest niezbędne do potwierdzenia tożsamości osoby, której dane dotyczą (weryfikacja), gdy dane biometryczne lub środki potrzebne do weryfikacji znajdują się pod wyłączną kontrolą tej osoby”.
Przetwarzanie na urządzeniu byłoby wprost dozwolone. To sensowna zmiana.
Pseudonimizacja wreszcie użyteczna (art. 41a)
„Artykuł 41a [Miejsce na mechanizm towarzyszący rozwojowi technik pseudonimizacji]”.
To obiecujące. Dziś pseudonimizacja w RODO jest mało atrakcyjna dla administratora, brakuje jakiejś wyraźnej zachęty do stosowania takich technologii ochrony. Ten przepis może wreszcie umożliwić rozwój i wdrażanie dojrzałych już technologii ochrony prywatności. Szczegóły wymagają doprecyzowania, ale to najciekawszy dodatek: pozwoli przetwarzać dane w sposób lepiej chroniący prywatność i odblokuje twórcze, zgodne z prawem sposoby wykorzystania danych.
Przetwarzanie AI w oparciu o uzasadniony interes
Uwaga: w dosłownym odczycie propozycji (art. 88c) szkolenie AI można oprzeć na uzasadnionym interesie, zatem bez zgody i bez świadomości osoby, której dane dotyczą. Można to pogodzić z ochroną prywatności, o ile będzie realnie respektowane i egzekwowane. Ale czy także wobec danych z kategorii szczególnych? To byłoby dalece idące. W obecnym RODO uzasadniony interes nie legalizuje przetwarzania danych szczególnych.
Podsumowanie
Bruksela deklaruje uproszczenie RODO. Wyciekły projekt w niektórych miejscach wygląda bardzo dobrze, w innych porządkuje materię. Błędów trzeba jednak uniknąć. Szkoda by było, gdyby UE nagle miała jedne ze słabszych w świecie zasad ochrony.
Wkrótce więcej analiz w tym obszarze.
Pytania, komentarze, a może oferty? Email: me@lukaszolejnik.com
