5 lat stosowania RODO – chat GPT i rekordowa kara dla Mety
Jarosław Peplinski – radca prawny
Dzisiaj, czyli 25 maja 2023 r., mija pięć lat od rozpoczęcia stosowania RODO. To naturalnie świetna okazja do podsumowań, co się zmieniło, a co jeszcze nas czeka w przyszłości. Nie zamierzam jednak tworzyć w tym artykule zestawienia tego, co wydarzyło się na przestrzeni lat.
Ograniczę się jedynie do naszych kancelaryjnych spostrzeżeń, jak to wygląda w praktyce audytowej, oraz do dwóch tematów, które w mojej ocenie są wartościowe i istotne.
Co się zmieniło?
Myślę, że zmieniło się sporo, choć skupię się na pozytywach. Przede wszystkim zmieniła się świadomość i przyzwyczajenia. Widać to po zmianach organizacyjnych w audytowanych placówkach. Polityki kluczy, czystego biurka i czystego ekranu – jakkolwiek nie zawsze idealne – to jednak weszły do codziennych nawyków.
Zmieniło się także podejście do udostępniania danych. RODO dodało zwątpienia, czy aby na pewno w każdym przypadku jest ono uprawnione. Zdecydowanie częściej niż przed jego stosowaniem otrzymujemy zapytania w tym zakresie. Odpowiedź przeważnie tkwi w przepisach prawa, choć oczywiście niektóre sytuacje są bardziej złożone i wymagają szerszej analizy.
Pozytywne zmiany obserwujemy także w podejściu do zabezpieczeń. Administratorzy wyposażyli się w środki ochrony danych, które pozwalają na pełniejszą ochronę danych. Szczególnie istotne jest to w wykorzystaniu urządzeń i systemów informatycznych. Internet jest pełen zagrożeń, by wspomnieć tylko phishing i ransomware. Zagrożeń, które podlegają ciągłym modyfikacjom i wymagają coraz to nowszych odpowiedzi na nie. Osobiście cieszy mnie, że coraz więcej ludzi rozumie, że antywirus to nie wszystko i konieczne jest zadbanie także o inne zabezpieczenia.
Wzrosła też świadomość administratorów w odniesieniu do identyfikowania i oceny naruszeń ochrony danych osobowych. Nie są już one bagatelizowane, jak było wcześniej. Być może przyczyniły się do tego decyzje wydawane przez Prezesa UODO, zwłaszcza te, które nakładały kary finansowe.
Na koniec natomiast wspomnę o rozliczalności, która przejawia się m.in. wdrożeniem skutecznych procedur, ale także ich udokumentowaniem. Na tym polu wciąż jest jeszcze sporo do zrobienia, bo choć administratorzy dysponują często dokumentacją, to niekoniecznie jest ona tworem żyjącym.
Jakie wyzwania w przyszłości?
Jednym z najważniejszych wyzwań jest z pewnością szybko rozwijająca się sztuczna inteligencja. Potencjał jej szerokiego wykorzystania jest niewątpliwie kuszący, wiąże się jednak z problemami dotyczącymi prywatności. Ze swojej natury sztuczna inteligencja wymaga danych – to na ich podstawie uczy się i może zwiększać swoją sprawność. Powstaje więc pytanie, jak ma się do tego ich ochrona.
Zwrócił na to uwagę włoski organ nadzorczy, blokując możliwość korzystania z Chat GPT właśnie z uwagi na niejasności związane z przetwarzaniem danych i zapewnieniem prywatności.
Kara dla Mety i sprawa Morele.net
Wreszcie informacja z ostatnich dni, bo choć decyzja została wydana już jakiś czas temu, to oficjalne jej ogłoszenie nastąpiło 22 maja. Decyzja wydana przez irlandzki organ nadzorczy nakłada karę na spółkę Meta, do której należą m.in. Facebook, Instagram, czy WhatsApp.
Poza rekordową karą finansową w wysokości 1,2 mld euro, nałożony został na spółkę nakaz dostosowania funkcjonowania do unijnych regulacji w ciągu sześciu miesięcy. Dopiero przyszłość pokaże, czy decyzja zostanie wyegzekwowana.
W Polsce natomiast dobiegła końca ciągnąca się niemal przez cały czas stosowania RODO sprawa dotycząca wycieku danych klientów sklepu internetowego Morele.net. W wyniku postępowania odwoławczego, NSA uchylił karę w wysokości 2,8 mln. zł, która została nałożona na spółkę przez Prezesa UODO.
Co dalej?
To już pokaże przyszłość. Wyzwań z pewnością nie zabraknie, ochrona prywatności i danych osobowych to temat, który odgrywa coraz większą rolę wraz ze wzrostem znaczenia wykorzystania Internetu oraz powstających narzędzi, jak wspomniany Chat GPT.
Z pewnością warto być na bieżąco, szczególnie prowadząc swoją działalność. Ochrona danych osobowych powinna stanowić znaczący punkt na liście zadań, niezależnie od obszaru działalności. Dane osobowe pojawiają się praktycznie w każdym przypadku, a szczególnie należy pamiętać o nich w działalności leczniczej, gdzie wykorzystywane są dane wrażliwe.
Skontaktuj się z nami!
Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.
Podstawą prawną Polityki jest RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).