Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Transkrypt

1 Prawne aspekty Big data w sektorze bankowym 22 maja 2017 Karolina Gałęzowska Prawnik, TMT

2 Dane osobowe Definicja Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Definicja danych osobowych ulega rozszerzeniu: Sprawa C-582/14, Breyer vs. Niemcy (dynamiczne IP) 2

3 Podstawowe zagrożenia wynikające z profilowania Naruszenie prywatności, wykorzystanie danych osobowych Zagrożenie dla autonomii woli jednostki Dyskryminacja Kwestia przewagi konkurencyjnej 3

4 Profilowanie w obowiązujących przepisach Brak definicji legalnej Profilowanie nie jest celem przetwarzania danych, profilowanie jest rodzajem (czynnością) przetwarzania danych Nie ma definicji ustawowej ani szczególnych regulacji prawnych dotyczących profilowania Prawa podmiotu danych (sprzeciw, żądanie zaprzestania przetwarzania danych) Zakaz podejmowania zautomatyzowanych decyzji Brak sankcji za naruszenia 4

5 Rekomendacja CM/Rec (2010) 13 Definicje Profil oznacza zestaw danych charakteryzujący kategorię osób, który ma zostać zastosowany odniesieniu do danej osoby. Tworzenie profili oznacza automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie profilu w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw. Compupics.com 5

6 Rodzaje profilowania Grupa robocza art. 29 dyrektywy 95/46: profilowanie predykcyjne (wnioskowanie o nieznanych cechach) vs. Profilowanie jednoznaczne (ocena na podstawie danych) Projekt FIDIS: profilowanie bezpośrednie (oparte na danych o podmiocie profilowanym) vs. Profilowanie pośrednie (oparte w znacznej mierze na danych o innych osobach) Profilowanie pośrednie i wynikające z niego decyzje mogą naruszać autonomię woli jednostki (kto będzie kontrolował ten aspekt?) Wierzbowski Eversheds Sutherland 22/05/2017 Rozporządzenie ogólne UE w sprawie ochrony danych osobowych 6

7 Profilowanie Definicja w RODO Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 7

8 Profilowanie wyjaśnienie z preambuły Zastosowanie odpowiednich procedur Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt. 8

9 Prawo sprzeciwu Ograniczone zastosowanie Artykuł 21 Prawo do sprzeciwu 1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw z przyczyn związanych z jego indywidualną sytuacją wobec przetwarzania dotyczących niej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) [zadania realizowane w interesie publicznym lub w usprawiedliwionym celu], w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. 9

10 Zautomatyzowane decyzje Skutki prawne lub istotny wpływ Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2. Ust. 1 nie ma zastosowania, jeżeli dana decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem; b) jest dozwolona prawem Unii lub prawem krajowym, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. 0 1

11 Profilowanie pod rządami RODO Nowe obowiązki Obowiązki informacyjne zasady profilowania i podejmowania zautomatyzowanych decyzji informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą Dostęp do danych informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz przynajmniej w tych przypadkach istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Ocena skutków 1 1

12 Źródła danych osobowych Ograniczenia pozyskiwania i udostępniania Pozyskiwanie i udostępnianie jako czynności z zakresu przetwarzania danych muszą mieć podstawę prawną (art. 23 ust. Ustawy o ochronie danych osobowych, art. 6 ust. 1 RODO): Zgoda osoby Ochrona żywotnych interesów Umowa Zadania publiczne Przepis prawa Prawnie uzasadniony interes Ograniczenia wynikające z tajemnic prawnie chronionych czy można udostępnić dane anonimowe? 2 1

13 Zasada celowości Ograniczenie dla analityki? Jeżeli dane przetwarzane są w celu innym niż cel, w którym dane zostały zgromadzone i nie odbywa się to na podstawie zgody podmiotu danych, Administrator jest zobowiązany ustalić: Wszelkie związki między celami gromadzenia danych Kontekst, w którym zgromadzono dane Charakter danych osobowych Ewentualne konsekwencje dalszego przetwarzania dla podmiotów danych Istnienie odpowiednich gwarancji np. pseudonimizacja Ponadto Administrator informuje podmiot danych o przetwarzaniu danych w innym celu niż cel, w którym dane zostały zebrane. 3 1

14 Bezpieczeństwo danych osobowych Podejście oparte na ocenie ryzyka Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (24.1). 4 1

15 Bezpieczeństwo danych osobowych Podejście oparte na ocenie ryzyka Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 5 1

16 Anonimizacja w RODO Definicja Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej 6 1

17 Anonimizacja w RODO Brak definicji Motyw 26 Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. 7 1

18 Kontakt: Karolina Gałęzowska Prawnik T: E: Wierzbowski Eversheds Sutherland Centrum Jasna ul. Jasna 14/16A Warszawa eversheds-sutherland.pl Informacje zawarte w tym dokumencie nie stanowią porady prawnej. Osoby zainteresowane uzyskaniem porady prawnej lub bardziej szczegółowych informacji prosimy o bezpośredni kontakt ze wskazanym wyżej prawnikiem. This information pack is intended as a guide only. Whilst the information it contains is believed to be correct, it is not a substitute for appropriate legal advice. Wierzbowski Eversheds Sutherland can take no responsibility for actions taken based on the information contained in this pack. Wierzbowski Eversheds Sutherland All rights reserved. Wierzbowski Eversheds Sutherland jest członkiem Eversheds Sutherland (Europe) Limited Wierzbowski Eversheds Sutherland is a member of Eversheds Sutherland (Europe) Limited