Streszczenie opinii Europejskiego Inspektora Ochrony Danych pt. "Sprostanie wyzwaniom związanym z dużymi zbiorami danych: wezwanie do zapewnienia przejrzystości, kontroli użytkownika i ochrony danych już w fazie projektowania, a także rozliczalności".

Dzienniki UE

Dz.U.UE.C.2016.67.13

Akt nieoceniany
Wersja od: 20 lutego 2016 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych pt. "Sprostanie wyzwaniom związanym z dużymi zbiorami danych: wezwanie do zapewnienia przejrzystości, kontroli użytkownika i ochrony danych już w fazie projektowania, a także rozliczalności"

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)

(2016/C 67/05)

(Dz.U.UE C z dnia 20 lutego 2016 r.)

"Prawo do bycia pozostawionym w spokoju jest bowiem początkiem wszelkiej wolności" 1 .

Duże zbiory danych, pod warunkiem że sporządzane w sposób odpowiedzialny, mogą być źródłem znacznych korzyści oraz poprawy efektywności dla społeczeństw i jednostek, nie tylko w dziedzinie zdrowia, badań naukowych, środowiska i innych szczególnych obszarach. Istnieją jednak poważne obawy co do rzeczywistego lub potencjalnego wpływu, jaki przetwarzanie ogromnych ilości danych może wywierać na prawa i wolności jednostek, w tym prawo do prywatności. Wyzwania i ryzyko związane z dużymi zbiorami danych wymagają zatem skuteczniejszej ochrony danych.

Technologia nie powinna narzucać nam wartości i praw, ale też propagowania innowacyjności i zachowywania praw podstawowych nie należy postrzegać jako obszarów niemożliwych do pogodzenia. Nowe modele biznesowe wykorzystujące nowe możliwości w zakresie masowego zbierania danych, natychmiastowego przesyłu danych, łączenia i ponownego wykorzystywania danych osobowych do nieprzewidzianych celów tworzą nowy kontekst dla stosowania zasad ochrony danych, który wymaga dokładnego zbadania.

Europejskie przepisy o ochronie danych ustanowiono w celu ochrony naszych podstawowych praw i wartości, w tym prawa do prywatności. Kwestią wymagającą rozstrzygnięcia nie jest to, czy należy stosować przepisy o ochronie danych do dużych zbiorów danych, lecz raczej to, w jaki sposób stosować je w sposób innowacyjny w nowych kontekstach. Obowiązujące zasady ochrony danych, w tym zasada przejrzystości, proporcjonalności i celowości, stanowią punkt odniesienia potrzebny w celu zapewnienia bardziej dynamicznej ochrony naszych praw podstawowych w świecie dużych zbiorów danych. Zasady te należy jednak uzupełnić o "nowe" zasady, które opracowywane były przez lata, na przykład o zasadę rozliczalności i uwzględniania ochrony prywatności już w fazie projektowania, a także domyślnej ochrony prywatności. Oczekuje się, że unijny pakiet reform dotyczących ochrony danych posłuży wzmocnieniu i modernizacji ram regulacyjnych 2 .

Unia Europejska zmierza do maksymalnego zwiększenia wzrostu i konkurencyjności poprzez wykorzystywanie dużych zbiorów danych. Niemniej jednak jednolity rynek cyfrowy nie może bezkrytycznie importować technologii opartych na danych oraz modeli biznesowych, które przeniknęły do głównego nurtu praktyk gospodarczych w innych częściach świata. Konieczne jest natomiast objęcie roli przewodniej w dziedzinie rozwijania systemów odpowiedzialnego przetwarzania danych osobowych. Rozwój internetu spowodował, że nadzór - śledzenie zachowań obywateli - uznawany jest za nieodzowny model dochodów dla części najlepiej prosperujących przedsiębiorstw. Zmiana ta wymaga krytycznej oceny i poszukania rozwiązań alternatywnych.

W każdym razie, niezależnie od wybranych modeli biznesowych, organizacje przetwarzające duże ilości danych osobowych muszą zachować zgodność z obowiązującymi przepisami prawa w zakresie ochrony danych. Europejski Inspektor Ochrony Danych (EIOD) uważa, że odpowiedzialny i zrównoważony rozwój dużych zbiorów danych musi być realizowany w oparciu o cztery istotne elementy:

-
organizacje muszą cechować się większą przejrzystością w zakresie sposobu przetwarzania danych osobowych,
-
muszą przyznawać użytkownikom większy stopień kontroli odnośnie do sposobu, w jaki wykorzystywane są ich dane,
-
muszą zaprojektować przyjazne dla użytkownika rozwiązania w zakresie ochrony danych zastosowane w produktach i usługach, oraz
-
muszą stać się bardziej odpowiedzialne za to, co robią.

Co się tyczy przejrzystości, jednostki muszą otrzymywać jasne informacje odnośnie do tego, jakiego rodzaju dane są przetwarzane, w tym dane zaobserwowane lub domniemane w odniesieniu do tych jednostek; powinny być lepiej poinformowane w kwestii sposobu i celu wykorzystywania ich danych, w tym w kwestii logiki stosowanej w algorytmach służących dokonywaniu założeń i przewidywań na ich temat.

Kontrola użytkownika pomoże zapewnić, by jednostki dysponowały większymi uprawnieniami w zakresie skuteczniejszego wykrywania nieuczciwych odchyleń i eliminowania błędów. Pomoże to w zapobieganiu wtórnemu wykorzystywaniu danych dla celów, które nie są zgodne z ich uzasadnionymi oczekiwaniami. Dzięki kontroli użytkownika nowej generacji jednostki uzyskają, w stosownych przypadkach, możliwość dokonania bardziej rzeczywistego i świadomego wyboru oraz więcej możliwości lepszego wykorzystania swoich danych osobowych.

Wzmocnione prawo dostępu i prawo do przenoszenia danych oraz skuteczne mechanizmy opt-out mogą służyć za warunek wstępny dla przyznania użytkownikom większej kontroli nad swoimi danymi, a także mogą przyczynić się do rozwoju nowych modeli biznesowych oraz skuteczniejszego i bardziej przejrzystego wykorzystywania danych osobowych.

Poprzez włączanie ochrony danych do systemów i procesów, a także dostosowanie ochrony danych w celu umożliwienia bardziej rzeczywistej przejrzystości i kontroli użytkownika, odpowiedzialni administratorzy danych będą także mogli czerpać z korzyści związanych z dużymi zbiorami danych, zapewniając jednocześnie poszanowanie godności i wolności jednostek.

Ochrona danych to jednak tylko częściowa odpowiedź na wyzwania. Unia Europejska musi przyjąć bardziej spójną metodę wdrożenia nowoczesnych narzędzi, jakie dostępne są w dziedzinie ochrony konsumentów, przeciwdziałania praktykom antykonkurencyjnym, a także w dziedzinie badań i rozwoju, aby zapewnić gwarancje i możliwości wyboru na rynku, na którym mogą rozwijać się usługi sprzyjające ochronie prywatności.

Aby odpowiedzieć na wyzwania, jakie stawiają duże zbiory danych, należy umożliwić innowacyjność, przy jednoczesnej ochronie praw podstawowych. Rolą przedsiębiorstw i innych organizacji, które wkładają znaczny wysiłek w znalezienie innowacyjnych sposobów wykorzystywania danych osobowych, jest teraz zastosowanie tego samego innowacyjnego podejścia przy wdrażaniu przepisów prawa w zakresie ochrony danych.

W oparciu o uwagi zgłaszane wcześniej przez przedstawicieli środowisk naukowych, a także wiele organów regulacyjnych i zainteresowanych stron Europejski Inspektor Ochrony Danych pragnie wywołać nową, otwartą i świadomą dyskusję w ramach UE i poza nią, poprzez skuteczniejsze angażowanie społeczeństwa obywatelskiego, projektantów, przedsiębiorstw, przedstawicieli środowisk naukowych, organów publicznych i regulacyjnych odnośnie do sposobów na jak najlepsze wykorzystanie potencjału twórczego tej branży w celu wdrożenia przepisów prawa i zagwarantowania poszanowania naszej prywatności i innych praw podstawowych w najlepszy możliwy sposób.

6.
Kolejne kroki: wprowadzenie zasad w życie

Aby odpowiedzieć na wyzwania, jakie stawiają duże zbiory danych, należy umożliwić innowacyjność, przy jednoczesnej ochronie praw podstawowych. Realizacja tego założenia wymaga zachowania utrwalonych zasad europejskich przepisów prawa w zakresie ochrony danych i zastosowania ich w nowy sposób.

6.1.
Rozporządzenie zorientowane na przyszłość

Negocjacje w sprawie wniosku dotyczącego ogólnego rozporządzenia o ochronie danych wkroczyły w końcowy etap. Wezwaliśmy prawodawców UE do przyjęcia pakietu dotyczącego reform przepisów prawnych w zakresie ochrony danych, który wzmocni i zmodernizuje ramy regulacyjne, tak aby zapewnić ich skuteczność w dobie dużych zbiorów danych dzięki wzmocnieniu zaufania i pewności jednostek korzystających z internetu i uczestniczących w jednolitym rynku cyfrowym 3 .

W opinii nr 3/2015, do której załączono zalecenia w sprawie pełnego tekstu wniosku dotyczącego rozporządzenia, jasno stwierdzono, że nasze obecne zasady ochrony danych, w tym zasada konieczności, proporcjonalności, minimalizacji danych, celowości i przejrzystości, muszą być nadal traktowane jako zasady kluczowe. Stanowią one punkt odniesienia potrzebny w celu zapewnienia ochrony naszych praw podstawowych w świecie dużych zbiorów danych 4 .

Jednocześnie zasady te muszą zostać wzmocnione i zastosowane z większą skutecznością i w sposób bardziej nowoczesny, elastyczny, twórczy i innowacyjny. Należy także uzupełnić je o nowe zasady, takie jak zasada rozliczalności i ochrony danych, jak również o zasadę uwzględnienia ochrony prywatności już w fazie projektowania i zasadę domyślnej ochrony prywatności.

Większa przejrzystość, wzmocnione prawo dostępu i prawo do przenoszenia danych oraz skuteczne mechanizmy opt-out mogą służyć za warunek wstępny dla przyznania użytkownikom większej kontroli nad swoimi danymi, a także mogą przyczynić się do rozwoju bardziej efektywnych rynków danych osobowych, z korzyścią zarówno dla konsumentów, jak i przedsiębiorstw.

Wreszcie rozszerzenie zakresu unijnych przepisów prawa dotyczących ochrony danych poprzez uwzględnienie organizacji, których grupą docelową są osoby fizyczne w UE, i wyposażenie organów ochrony danych w odpowiednie środki prawne, w tym, jak przewiduje wniosek dotyczący rozporządzenia, w możliwość nałożenia skutecznych kar, także będzie kluczowym wymogiem dla skutecznego egzekwowania naszych przepisów na arenie międzynarodowej. Najważniejszą rolę odgrywa w tym względzie proces reform.

Aby zapewnić skuteczne egzekwowanie przepisów, niezależne organy ochrony danych muszą posiadać nie tylko prawnie umocowane kompetencje i silne instrumenty, lecz także zasoby wymagane w celu dostosowania ich zdolności do rozwoju opartych na danych obszarów działalności gospodarczej.

6.2.
Jaki będzie wkład Europejskiego Inspektora Ochrony Danych w tę debatę?

Dobre przepisy, choć konieczne, już nie wystarczają. Przedsiębiorstwa i inne organizacje inwestujące w poszukiwanie innowacyjnych sposobów wykorzystania danych osobowych powinny zastosować to samo nowoczesne podejście do wdrażania zasad dotyczących ochrony danych. Z kolei organy ochrony danych powinny egzekwować i nagradzać zachowanie rzeczywistej zgodności z przepisami oraz unikać niepotrzebnej biurokracji i papierkowej roboty.

Zgodnie z założeniami strategii EIOD na lata 2015-2019 celem Europejskiego Inspektora Ochrony Danych jest wniesienie wkładu w działania sprzyjające realizacji tych wysiłków.

Planujemy utworzenie zewnętrznej grupy doradczej ds. etyki, złożonej z uznanych i niezależnych ekspertów, łączącej doświadczenie tych osób zdobyte w wielu dziedzinach, której zadaniem będzie "badanie relacji pomiędzy prawami człowieka, technologią, rynkami i modelami biznesowymi w XXI w.", pogłębiona analiza wpływu dużych zbiorów danych, ocena zmian zachodzących w związku z tym w naszych społeczeństwach oraz pomoc we wskazaniu kwestii, które należy rozpatrzyć w ramach procesu politycznego 5 .

Opracujemy także model na rzecz rzetelnej polityki informacyjnej dla organów UE, zapewniający usługi online służące rozwijaniu dobrych praktyk dla wszystkich administratorów.

Wreszcie będziemy także ułatwiać debatę, na przykład w celu wskazania, zachęcenia do stosowania i propagowania dobrych praktyk, aby zwiększyć przejrzystość i kontrolę użytkownika, jak również w celu odkrywania możliwości lub przeglądania zasobów danych osobowych, a także możliwości przenoszenia danych. Europejski Inspektor Ochrony Danych planuje zorganizowanie warsztatu z zakresu ochrony dużych zbiorów danych adresowanego do osób odpowiedzialnych za wyznaczanie kierunków polityki i przetwarzających duże ilości danych osobowych w instytucjach UE oraz zewnętrznych ekspertów, a także wskazanie obszarów wymagających przedstawienia dalszych wytycznych, jak również wspieranie prac sieci Internet Privacy Engineering Network ("IPEN") jako interdyscyplinarnego ośrodka wiedzy dla inżynierów i ekspertów w dziedzinie prywatności danych.

Sporządzono w Brukseli dnia 19 listopada 2015 r.

Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
1 Public Utilities Commission przeciwko Pollak, 343 U.S. 451, 467 (1952) (Sędzia William O. Douglas, zdanie odrębne).
2 W dniu 25 stycznia 2012 r. Komisja Europejska przyjęła pakiet dotyczący reform europejskich ram prawnych w zakresie ochrony danych. Pakiet ten obejmuje (i) "komunikat" (COM(2012) 9 final), (ii) wniosek dotyczący ogólnego "rozporządzenia o ochronie danych" ("wniosek dotyczący rozporządzenia") (COM(2012) 11 final), oraz (iii) wniosek dotyczący "dyrektywy" w sprawie ochrony danych w dziedzinie egzekwowania prawa karnego (COM(2012) 10 final).
3 Opinia Europejskiego Inspektora Ochrony Danych nr 3/2015.
4 Chcąc dostosować się do postrzeganej potrzeby luźniejszego podejścia regulacyjnego w kontekście dużych zbiorów danych, musimy oprzeć się pokusie złagodzenia obecnego poziomu ochrony. Ochrona danych musi nadal znajdować zastosowanie do przetwarzania w ujęciu całościowym, obejmującego nie tylko wykorzystywanie danych, ale także ich gromadzenie. Ponadto nie ma uzasadnienia dla ogólnych wyjątków stosowanych do przetwarzania danych pseudonimicznych lub do przetwarzania danych dostępnych publicznie. Definicja danych osobowych powinna pozostać w niezmienionym brzmieniu, jednak dodatkowe wyjaśnienia można by uwzględnić w tekście samego rozporządzenia. Musi ona bowiem obejmować wszelkie dane dotyczące jakiejkolwiek osoby, która jest zidentyfikowana, wyodrębniona lub może być zidentyfikowana lub wyodrębniona - przez administratora danych lub jakikolwiek inny podmiot.
5 Opinia Europejskiego Inspektora Ochrony Danych nr 4/2015.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .