Rozmowa z Mariolą Więckowską, administratorem ochrony danych spółki Allegro.

Jak administrator danych w spółce Allegro przygotowuje się do RODO?
RODO to nie jest alert na 25 maja 2018 r. Dla mnie rozporządzenie unijne oznacza zmianę procesów, adaptację podejścia opartego na ryzyku, ochronę danych w fazie projektowania i domyślną ochronę danych. RODO nie jest niczym nowym, unowocześnia i uszczegóławia wymagania względem ochrony danych i prawa podmiotów danych. My zaczęliśmy przygotowania już dwa lata temu i zastanawiamy się, jak dalej zautomatyzować wypełnianie praw podmiotów danych wymaganych przez rozporządzenie po 25 maja.

Czyli co muszą zrobić firmy po 25 maja?
Muszą przygotować analizę ryzyka, która ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa zarówno z perspektywy ochrony praw i wolności osób widzenia użytkownika, jak i spółki, czyli potencjalnej utraty reputacji czy grożących kar.

Zatem chodzi o ochronę praw i wolności osób, których dane przedsiębiorstwo przetwarza. Na czym to ma się opierać w praktyce?
Wyobraźmy sobie, że ktoś nieuprawiony ma dostęp do moich danych, np. medycznych - jakie mogą być skutki upublicznienia tych danych. Jak wynika z badań, 25 proc. skradzionych danych to dane medyczne. Informacje o chorobie aktualnej czy przeszłej, o stanie zdrowia organów i dane genetyczne to łakomy kąsek dla osób zajmujących się handlem organami do przeszczepów. Nieoficjalnie mówi się, iż najdroższa jest siatkówka oka, która kosztuje 300 tys. zł. Wykorzystanie takich skradzionych danych może spowodować różne konsekwencje, np. podpisanie umowy czy wzięcie kredytu. Jako przedsiębiorca muszę wyważyć mój interes i skutki dla użytkownika, którego dane przetwarzam.

Czytaj: Pseudonimizacja i szyfrowanie danych osobowych>>

Wykorzystanie zwykłego czatu może nieść potencjalne ryzyko naruszenia praw i wolności podmiotów danych?
Tak, czat to przykład z życia wzięty. Czat w firmie, to nie nowa technologia, jeśli będziemy stosować odpowiednią retencję danych, szyfrowanie lub pseudonimizację, to stosujemy adekwatne środki bezpieczeństwa wynikające z art. 32 RODO. Analiza ryzyka ogólnego i stosowanych środków bezpieczeństwa wykaże, że ryzyko dla prywatności w tym przypadku jest na poziomie niewysokiego „ryzyka” . W związku z tym nie musimy przeprowadzać zgodnie z art. 35 RODO oceny skutków dla ochrony danych.

Czytaj też RODO: ochrona danych już od fazy projektowania

Jeśli jednak wykorzystywać będziemy algorytmy, które w oparciu o sztuczną inteligencję pozwalającą wywnioskować na podstawie słów w trakcie czatowania, jak czuje się osoba, która to pisze, aby wywnioskować, czy jest zadowolona, czy zdenerwowana, czy jest wesoła, czy smutna, to w takim przypadku mamy już do czynienia z „wysokim ryzykiem”, które musi być poddane ocenie skutków dla ochrony danych i analizie ryzyka naruszenia praw i wolności osób, których dane dotyczą.
W czasie czatu, to maszyna sygnalizuje poziom napięcia użytkownika. Użycie tego rozwiązania wymaga zastanowienia się, jak wykorzystanie tej technologii wpłynie na osoby, przez to jak i kto wykorzysta te dane. Najważniejsze w tym jest, jakie będą podjęte decyzje na podstawie danych. Jeśli ktoś np. będzie obrażał drugą stronę lub używał wulgarnych słów, to czy konwersacja zostanie zablokowana automatycznie, a może automatycznie nastąpi blokada konta?

https://www.profinfo.pl/ochrona-danych-osobowych-zmiany
 

RODO pozwala na automatyczne blokowanie konta?
Pozwala, ale musi wystąpić czynnik ludzki. Maszyna nie może decydować "samodzielnie" o zablokowaniu. Jeśli dana osoba będzie używała czatu niezgodnie z regulaminem, to administrator może zdecydować o konsekwencjach, np. zablokowaniu konta.

A zatem, czy trzeba eliminować działanie maszyn w Internecie, przy przetwarzaniu danych?
Dopóki nie ma pewności czy automatyczne wnioskowanie jest prawidłowe i czy ludzie są tego świadomi, tak. Dlatego potrzebna jest ocena skutków dla ochrony danych, która po analizie wpływu na prywatność danej osoby oraz ryzyka naruszenia jej praw i wolności pozwoli wybrać najlepsze rozwiązania dla zapewnienia jej prywatności. Ważne jest, aby zapewnić możliwość wypowiedzenia się takiej osoby przed np. decyzją o zablokowaniu jej konta.

Rozmawiała: Katarzyna Żaczkiewicz-Zborska

Czytaj: Anonimizacja w ochronie danych osobowych>>