Temat numeru: Pamiętliwy komputer czyli prawo do zapomnienia w nowoczesnej gospodarce

BANK 2017/10

Jednym z zadań, wynikających z RODO, jest zagwarantowanie osobie, której dane dotyczą, prawa do niezwłocznego ich usunięcia, czyli prawa do zapomnienia. Jak banki mogą rozwiązać to zadanie?

Krzysztof D. Kowalski

Dlaczego prawo do zapomnienia jest ważne

Po pierwsze dlatego, że prawo to jest w Europie jednym z fundamentów ochrony danych osobowych oraz ochrony prywatności już od 1995 r. 1 i obecnie zostało wzmocnione przez zapis art. 17 RODO. Po drugie dlatego, że prawo do zapomnienia ogranicza liczbę przetwarzanych rekordów danych osobowych, a tym samym zmniejsza koszty przechowywania danych (koszty utrzymania systemów klasy „Storage”), ogranicza ewentualne skutki „wycieku danych” i jest zgodne z zasadą domyślnej ochrony danych osobowych (vide art. 25 RODO). Po trzecie dlatego, że realizacja prawa do zapomnienia zmniejsza ryzyko wynikające z zastosowania przez osobę, której dane dotyczą, prawa „do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, jeżeli taka osoba uzna, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone (vide art. 79 RODO). Ten ostatni argument jest szczególnie ważny w kontekście słabnącej koniunktury na rynku tzw. kancelarii odszkodowawczych2, które będą poszukiwać nowych źródeł przychodu.

Uwarunkowania prawne

W większości krajów Europy od kilku dekad powszechnie stosowane są procedury prawne w zakresie ochrony prywatności i ochrony dóbr osobistych3. W Unii Europejskiej istotne dla praktycznego stosowania prawa do zapomnienia były m.in. sprawy Google Spain przeciwko AEPD (hiszpański odpowiednik GIODO) i Mario Costeja Gonzalez4 oraz Facebook przeciwko Irlandzkiemu odpowiednikowi GIODO. W pierwszej z nich Mario Gonzalez domagał się wykasowania prezentowanych przez wyszukiwarkę wyników, które opisywały go w niekorzystnym świetle. Druga sprawa polegała na tym, że Max Schrems poprosił firmę prowadzącą portal społecznościowy o przekazanie wszystkich danych osobowych, jakie zebrał on w powiązaniu z jego osobą. W odpowiedzi otrzymał dokument w formacie .pdf liczący 1222 strony5. Te, i wiele innych spraw z zakresu prawa do zapomnienia, dotyczy przede wszystkim danych ogólnie dostępnych, przetwarzanych przez portale społecznościowe lub informacji podawanych do publicznej wiadomości o wyrokach, egzekucjach komorniczych lub kryminalnej przeszłości6, zatem ich przydatność w bankowości może być na tym etapie ograniczona.

Tradycja ochrony prywatności w Europie umożliwia korzystanie z wypracowanych mechanizmów równoważenia prawa do zapomnienia z prawem do swobodnej wypowiedzi i prawem do informacji. Należy pamiętać, że prawo do zapomnienia nie jest prawem absolutnym i powinno mieć jasno określone granice, indywidualnie dla każdej zgłaszanej przez osobę, której dane dotyczą, sprawy7. W uzasadnieniu należy przywołać fragment motywu 65 do RODO: „dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym (…), do celów archiwalnych w interesie publicznym, (…) lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń”. Ponadto art. 105a ust. 4 Prawa bankowego wskazuje, że po rozwiązaniu umowy z klientem bank jest zobowiązany do przetwarzania danych swoich dotychczasowych klientów wyłącznie dla realizacji celów archiwalnych i statystycznych8. W tym kontekście należy nadmienić, że zgodnie z art. 105a ust. 7 tryb usuwania informacji zbieranych w procesie oceny zdolności kredytowej określi minister właściwy do spraw instytucji finansowych9. Implementacja RODO do krajowego prawa będzie wymagać aktualizacji obecnie istniejących aktów normatywnych (np. Kodeksu pracy) lub napisania nowych (np. Ustawa o ochronie danych osobowych).

Środowisko bankowe może wykorzystać możliwości, jakie daje art. 23 i za pomocą pozytywnego lobbingu ograniczyć prawo do zapomnienia w taki sposób, aby zachować ideę ochrony prywatności, jednocześnie dostosowując warunki realizacji tego prawa do realiów prowadzenia biznesu bankowego.

Uwarunkowania biznesowe

Realizacja prawa do zapomnienia jest kwestionowana, szczególnie w kontekście danych publicznie dostępnych, w otwartych systemach/repozytoriach. Zablokowanie linku do wyniku wyszukiwania w Europie nie zadziała w USA czy Kanadzie. Jednak realizacja tego samego prawa w zamkniętych systemach bankowych może być skuteczna. Efektem jest ochrona wizerunku banku jako instytucji szanującej podstawowe prawa człowieka. W praktyce chodzi o to, aby klient, pracownik lub były pracownik, który skorzystał z prawa do zapomnienia, nie stał się obiektem telemarketingu lub innej formy przetwarzania danych osobowych, która będzie ingerować w prywatność osoby, której dane dotyczą.

Uwarunkowania organizacyjne

Podstawą RODO jest zasada rozliczalności (vide art. 5 ust. 2 RODO). W tym celu należy zadbać o stosowanie aktualnych polityk, standardów i procedur, aby udowodnić i udokumentować realizację prawa do zapomnienia. Jeśli bank dysponuje jasnymi instrukcjami, co robić, jak robić i czym robić, to zapewne ma możliwość zademonstrowania odpowiednich mechanizmów kontrolnych przed organem nadzorującym lub osobą, której dane dotyczą.

Po drugie, niezbędne jest posiadanie wiedzy nt. prowadzonych czynności przetwarzania (vide: art. 30 RODO „Rejestr czynności przetwarzania danych osobowych”), przeprowadzenie analizy ryzyka, w tym oceny skutków przetwarzania dla ochrony danych osobowych (vide: art. 35 RODO) oraz stosowanie odpowiednich środków technicznych i organizacyjnych (vide art. 32 RODO). Inwentaryzacja, analiza, klasyfikacja i indeksacja danych – czyli wprowadzenie porządku w zarządzaniu informacją – pomaga w odnalezieniu zestawu danych podlegającego prawu do zapomnienia, a także wspiera retencję rekordów. W ten sposób bank na bieżąco usuwa dane, które nie są potrzebne do realizacji celu biznesowego lub które narażają go na ryzyko. Plan retencji danych osobowych (kasowania, archiwizowania, etc.) winien być określony na etapie budowania modelu bazy danych czy architektury aplikacji. Analiza ryzyka powinna być ukierunkowana na sytuacje naruszające ochronę danych osobowych oraz prawa i wolności człowieka. Przedmiotem analizy jest ryzyko dla osoby fizycznej, której dane są przetwarzane, a nie ryzyko dla firmy, która przetwarza dane.

Innymi słowy – aby chronić dane, w tym prawidłowo je kasować, należy wiedzieć, jakie dane, jak i dlaczego przetwarzamy. Wyzwaniem finansowym może być automatyzacja i utrzymanie centralnego repozytorium rekordów danych osobowych (zaciąganych zarówno z baz danych, jak i repozytoriów danych nieustrukturyzowanych), zebranie w jednym repozytorium danych audytowych z różnych części systemu informatycznego banku oraz automatyzacja i centralizacja stosowania polityk retencji w skali całej instytucji dla wszystkich lub większości aplikacji biznesowych przetwarzających dane osobowe. Wyzwaniem kompetencyjnym, w celu inwentaryzacji i wyszukiwania danych, może być zastosowanie technik przetwarzania języka naturalnego, np. przy wykorzystaniu narzędzia OpenNL.

Uwarunkowania techniczne

Można wyróżnić trzy metody zapominania/kasowania danych: 1) odmowa dostępu do danych, 2) zmiana „lokalizacji” danych, 3) zmiana danych na nieczytelne. Dobór metody jest zależny od oceny ryzyka i analizy danych (np. czy są to dane wrażliwe). W tym celu należy rozróżnić określone sposoby zapominania w systemach informatycznych: a) zmiana uprawnień, np. tylko do zapisu; b) brak odpowiedniego uwierzytelnienia, aby uzyskać dostęp do danych; c) modyfikacja rezultatów w zależności od treści zapytania; d) usunięcie znaczników wskazujących „lokalizację” danych w systemie klasy Storage; e) przeniesienie danych do inne „lokalizacji”; f) zniszczenie nośnika danych; g) zniszczenie danych; h) celowa zmiana danych. Konkretne technologie służące do realizacji prawa do zapomnienia, to: kryptografia, nadpisywanie, „distributed hash tables” lub sieciowe modele systemów Storage, np. „Parastatic Data Storage”10.

Wnioski

Człowiek z natury zapomina. Komputer z automatu zapamiętuje. Prawem do zapomnienia organ nadzorujący chce, aby komputery nauczyły się zapominać wg kryteriów podobnych do tych, jakimi posługuje się ludzki umysł. Są to: a) czas, jaki upłynął od momentu powstania rekordu danych osobowych; b) znaczenie informacji, w tym zautomatyzowana analiza semantyczna; c) regularność powtarzania informacji w systemie, która może być kryterium stosowania określonych polityk retencji; d) pojemność w GB, jaką zajmuje dany rekord. Dotychczasowy paradygmat działania zewnętrznych pamięci transakcyjnych, których rolą jest „pochłanianie” coraz większych ilości danych, zmienia się. Rozwój sztucznej inteligencji i przetwarzania języka naturalnego będzie wspierać realizację prawa do zapomnienia.

Tymczasem środowisko bankowe może wykorzystać możliwości, jakie daje art. 23 i za pomocą pozytywnego lobbingu ograniczyć prawo do zapomnienia w taki sposób, aby zachować ideę ochrony prywatności jednocześnie dostosowując warunki realizacji tego prawa do realiów prowadzenia biznesu bankowego.

1 http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:31995L0046&from=pl

2 http://www.rp.pl/Finanse/309109921-Trudne-czasy-dla-kancelarii-odszkodowawczych.html

3 Rolf H. Weber. The Right to Be Forgotten: More Than a Pandora’s Box?. 2 (2011) JIPITEC 120, para.1

4 http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf

5 M. M. Vijfvinkel. Technology and the Right to be Forgotten. Radboud University Nijmegen, July, 2016

6 Rolf H. Weber. The Right to Be Forgotten: More Than a Pandora’s Box?. 2 (2011) JIPITEC 120, para.1

7 http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf

8 http://www.giodo.gov.pl/pl/332/3320

9 Dz.U. 1997 Nr 140 poz. 939 USTAWA z dnia 29 sierpnia 1997 r. Prawo bankowe

10 M. M. Vijfvinkel. Technology and the Right to be Forgotten. Radboud University Nijmegen, July, 2016