rodo
43

RODO to kaganiec dla firm i prezent dla Chin oraz USA

RODO stało się jedną z najczęściej omawianych dyrektyw unijnych i to niezwykłe osiągnięcie udało się goroz zaliczyć. Od jej wprowadzenia minęło trochę czasu, więc przyszedł moment na pierwsze podsumowanie. Co RODO oznacza dla firm i czy przypadkiem Unia Europejska nie ogranicza potencjału firm z obszaru Big Data, jednocześnie oddając pole konkurentom z Chin i USA?

Prawdziwy europejski viral

Już w zeszłym roku liczba wiadomości o RODO zaczęła drastycznie rosnąć. Widać było, że ten temat zajmie pierwsze miejsce na Starym Kontynencie i tak też się stało Cel na pewno należy uznać za szczytny. Unia Europejska chce dbać o swoich obywateli, ich prywatność, ochronę danych i przeciwdziałać jakimkolwiek nadużyciom oraz potencjalnemu brakowi równouprawnienia.

Regulacje związane z RODO, na poziomie unijnym, mają charakter ogólny. W gestii państw członkowskich pozostaje doprecyzowanie przepisów oraz dostosowanie do lokalnej specyfiki. Niestety, często państwa członkowskie nie przygotowały na czas odpowiednich zmian legislacyjnych pod kątem zgodności z RODO. Nie inaczej jest w przypadku Polski. Z tego wszystkiego wynikają nieporozumienia, niejasności oraz mnogość interpretacji ogólnych zapisów „unijnego” RODO.

rodo

Z perspektywy osoby prywatnej RODO ma swoje zalety. Po pierwsze mamy większą kontrolę nad swoimi danymi. Wiemy jaki podmiot, kiedy i w jakim celu je gromadzi oraz przetwarza. Po drugie możemy liczyć na większą prywatność. Moim zdaniem jednak liczba minusów przewyższa plusy. Przykładem może być zwykła aktywność w internecie. Konieczność wielokrotnego akceptowania zgód i przeklikiwania  się przez kolejne  okienka informacyjne, powoduje, że dostęp do www przestaje być przyjazny a dodatkowo automatycznie zgadzamy się na wszystko! W efekcie i tak udostępniamy swoje dane dodatkowo irytując się coraz bardziej. Zresztą, udostępnianie danych może nam się po prostu opłacać i nie musi być z gruntu złe. Możliwość otrzymywania sprofilowanych ofert adekwatnych do potrzeb? Informacja na poczcie o wydarzeniach kulturalnych w okolicy? Czas jest w cenie, a w ten sposób możemy go zaoszczędzić.

Co z tymi danymi? Zostawić czy usunąć?

Prowadzimy firmę. Pewnego dnia przychodzi do nas pracownik z pismem, w którym prosi nas o usunięcie jego danych powołując się na RODO i prawo do zapomnienia. Teoretycznie powinniśmy to zrobić, jednak w praktyce musimy dane osobowe pracowników gromadzić i przetwarzać chociażby w celu opłacenia należnych składek ZUS, wypłaty wynagrodzenia, przeprowadzenia wymaganych szkoleń np. BHP. Przedstawiony scenariusz jest ściśle restrykcyjny i za pewne nie ziści się w rzeczywistości, ale… Może jednak powinniśmy maksymalnie ograniczyć dostęp do danych do ściśle wyselekcjonowanych osób, a może ograniczyć zakres gromadzonych i przetwarzanych danych? A może dane powinny być zanonimizowane i dostępne jedynie na wyraźne żądanie uprawnionych osób i/lub podmiotów zewnętrznych?

rodo

Problem polega jednak na tym, że taki proces wcale nie należy do łatwych. Mnogość systemów informatycznych, procesów biznesowych i osób w nie zaangażowane powoduje, że często problemem jest określenie jakie dane i w jakim systemie są gromadzone i w jakim celu.

Europa chełpi się swoimi ideałami, a USA i Chiny się cieszą

Wraz z implementacją RODO pojawiają się głosy wskazujące na negatywne skutki wprowadzanych regulacji, np. ograniczenie możliwości rozwoju firm z obszaru sztucznej inteligencji oraz Big Data.

RODO zwiększa obciążenie administracyjne. Wymaga od firm zupełnie innego podejścia do danych ale co najważniejsze ogranicza w znacznym stopniu potencjalny rozwój w obszarze sztucznej inteligencji. Dodatkowo, niektóre usługi, powszechne na innych kontynentach, nie będą w UE w ogóle dostępne. Niepewność prawna i ryzyko narażenia się na horrendalne kary może skłonić międzynarodowe koncerny do wycofania się lub ograniczenia skali działania na terytorium UE.

rodo

Dla porównania Chiny czy USA podchodzą do gromadzenia i przetwarzania danych bardziej liberalnie. Ośrodki naukowe i prywatne firmy będą więc pracować nad szeroko rozumianą sztuczną inteligencją, a dokonania w tym obszarze znajdą zastosowanie w codziennym życiu ludzi, medycynie, ale też wojskowości. Co to oznacza dla Europy? Czy w imię ochrony wartości i idei nie skazujemy się na bycie w drugim szeregu? Czy globalna rywalizacja nie zmusi nas do zweryfikowania podejścia?

RODO – brak konkretów i prawdziwy mętlik

W mojej ocenie RODO zostanie wyłączone lub mocno ograniczone przez państwa członkowskie UE w konkretnych obszarach. Po prostu miejscami stanowi przesadne ograniczenie, które trudno w jakikolwiek sposób usprawiedliwić ochroną praw obywateli.

O komentarz poprosiłem również ekspertów. Poniżej zapoznacie się z wypowiedzią Michała Koziary, Prezesa Zarządu 3Soft, firmy specjalizującej w tworzeniu oprogramowania oraz rozwiązań z obszaru Big Data:

Po pierwsze RODO jest mocno niesprecyzowane. Mamy obecnie rozporządzenie Unii Europejskiej, która stała się obowiązującym prawem we wszystkich państwach członkowskich, które nie uregulowały tych kwestii na poziomie krajowym. Nasz ustawodawca przespał sprawę i uregulował kwestie RODO jedynie pod kątem procedur oraz organów, mających kontrolować,  sprawdzać i karać za naruszenia w zakresie ochrony danych osobowych. Nie ma jednak przepisów dostosowujących RODO do rzeczywistości gospodarczej i społecznej w poszczególnych obszarach. Podobno prace nad nimi są zaawansowane, ale kiedy wejdą w życie, nie wiadomo.

Z jednej strony idea jest szczytna. Kiedy myślimy o państwie nietotalitarnym, w którym chroni się prywatność jednostki, to oczekujemy wręcz prawa regulującego w praktyce obowiązki, przywileje oraz sankcje dla podmiotów naruszających wyznawane przez nas wartości.

Z perspektywy Unii Europejskiej RODO ma charakter ogólny i co więcej, musi taki mieć. Przepisy RODO traktowane jednak zbyt dosłownie stają się nieżyciowe i bardzo ograniczają jakąkolwiek działalność związaną z gromadzeniem i przetwarzaniem danych. Problemy mogą pojawić się nawet w obszarze ochrony zdrowia czy małych firm i prowadzonych przez nie kadr i płac. Na ten moment ustawodawca zadbał o instytucje państwowe, wyłączając je z pełnego działania dyrektywy, co jednak z podmiotami prywatnymi?

Z moich obserwacji wynika, że zarządzający dużymi firmami, czy właściciele mniejszych biznesów, generalnie chcą działać lege artis i z poszanowaniem prawa. Co jednak, gdy interpretacja prawa jest niejednoznaczna? Jak je wtedy stosować?

Opinie prawników odnośnie konkretnych życiowych sytuacji w kontekście RODO bywają skrajnie różne.

 Trudno zatem stwierdzić co jest dozwolone i co należy zrobić by działać zgodnie z prawem. Przepisy szczególne nakazują przechowywanie danych przez określony czas, ale niektórzy interpretują RODO w taki sposób, że powinno się je anonimizować. Uprawniony organ, np. urząd skarbowy czy prokurator będzie miał zapewniony do nich dostęp w określonych sytuacjach jednak na co dzień pozostają niedostępne. Takie podejście rodzi liczne problemy. Duże firmy nie są w stanie odpowiedzieć na pytanie, w jakich systemach informatycznych, czyje dane, w jakim zakresie i celu są gromadzone i przetwarzane. Dodatkowo przez lata wygenerowano setki czy tysiące raportów w Excel’u i PDF’ach wysłano niezliczoną ilość maili.  

Niektórzy z kolei twierdzą, że RODO nic nie zmienia i po prostu porządkuje to, co było od zawsze standardem, jeżeli chodzi o ochronę danych Najgorsza dla biznesu zawsze jest niepewność. W tym przypadku niepewność prawna. Która teza jest prawdziwa? Co jest dozwolone a co zabronione? Czy kosztowne i pracochłonne modyfikacje systemów informatycznych pod kątem RODO, są wystarczające czy też mogą być uznane za niewystarczające i w efekcie przedsiębiorstwo zostanie zmuszone do zapłaty gigantycznych kar? Przepisy na poziomie krajowym powinny regulować te kwestie szczegółowo i dać czas przedsiębiorcom do przygotowania się do nowych warunków.

Również z punktu widzenia osoby prywatnej RODO rodzi wiele wątpliwości. Osobiście uważam, że zbyt restrykcyjne przepisy uniemożliwiają korzystanie z technologii i ograniczają rozwój usług. W moim interesie jest udostępnienie danych, na podstawie których będę mógł otrzymywać spersonalizowaną ofertę adekwatną do moich potrzeb. Zamawiając jedzenie w internecie, wykazując zainteresowanie takimi czy innymi treściami zostawiam swój ślad. Na podstawie tego śladu można określić moje preferencje zakupowe, oczekiwania, potrzeby. Chciałbym otrzymać informację o restauracji w okolicy, o której nic nie wiedziałem albo o koncercie w mieście obok ulubionego wykonawcy. Jeśli nie wykażę się aktywnością i nie wpiszę w wyszukiwarkę „wydarzenia sportowe śląsk sierpień” to może ominąć mnie ciekawy amatorski turniej  tenisa rozgrywany w weekend na kortach 10 min od mojego domu. Dzisiejsza technologia, nauka w obszarze sztucznej inteligencji i realia biznesowe mogłyby wyjść moim oczekiwaniom naprzeciw. Obawiam się jednak, że RODO może skutecznie to uniemożliwić a przynajmniej ograniczyć.

Rozumiem oczywiście, że w sytuacji gdy możliwe jest niekontrolowane gromadzenie dużych ilości danych, może dojść do nadużyć. Przykładowo firma ubezpieczeniowa mogłaby nie zawrzeć polisy ubezpieczeniowej na życie z osobą, której aktywność w internecie wskazuje, że uprawia sporty ekstremalne a więc ryzyko odszkodowawcze rośnie. Albo pracodawca nie zatrudni kandydata nie ze względu na brak kwalifikacji, lecz ryzyko obciążenia genetycznymi chorobami występującymi w rodzinie. Są niewątpliwie takie sfery życia, na przykład kwestie seksualne, wyznaniowe, preferencji politycznych, i inne, gdzie powinniśmy bardziej chronić prywatność po to, by czuć się wolnymi ludźmi. Gdzie jest jednak granica między ochroną podstawowych praw a popadaniem w paranoję?

Podobno część firm amerykańskich zamiast dostosować się do RODO, wycofała się z biznesu na terenie Unii Europejskiej. W Stanach wolno im więcej a Europa nie jest dla nich kluczowym rynkiem. Brak przepisów na poziomie krajowym dodatkowo rodzi niepewność prawną, co dodatkowo komplikuje całą sytuację. Nie dziwię się więc takiemu podejściu, bo jest po prostu racjonalne.

Z drugiej strony, hołdowanie idei wolności jednostki i ochronie wszelkich praw może mieć negatywne skutki społeczne. Myślę, że przykładem mogą być badania genetyczne, abstrahując nawet od samego RODO. Jeżeli w świecie zachodnim uważamy je za etycznie wątpliwe i dążymy do ich zakazania, a w innej części świata, np. w Azji, w ogóle nie jest to uregulowane albo nie jest zakazane, to nie trzeba być geniuszem, żeby przewidzieć co to oznacza. Tam, gdzie będzie to zakazane, nie będzie rozwijana ta dziedzina nauki stymulowana przez państwa lub duży biznes. Można zatem sobie wyobrazić, że za 10 czy 30 lat wynalazki i patenty w tej dziedzinie będą domeną Azji, a nie Starego Kontynentu.

Uważam, że RODO jest wyrazem pewnego światopoglądu dominującego w Europie a może mieć duże negatywne skutki ekonomiczne i społeczne z punktu widzenia tego, gdzie będzie Europa za kilkadziesiąt lat. Patrząc globalnie, Europa konkuruje z Stanami Zjednoczonymi, Chinami, Rosją, Brazylią i obawiam się, że w imię szczytnych idei skazujemy się na odległe miejsce w ogólnoświatowym wyścigu.

Miało być pięknie

Często zdarzają się takie sytuacje, że ktoś chciał dobrze, ale z jego wysiłków nie wynikło nic dobrego. W przypadku RODO dochodzi jednak zwykłe opóźnienie w reakcji samych państw członkowskich. Tu pozostaje mieć nadzieję, że stosowne przepisy regulujące zostaną jak najszybciej wprowadzone. Bez tego mamy niby tą piękną oraz wspaniałą prywatność, ale okupioną poważnym kosztem i nie dającą szans na korzystanie z najnowszych narzędzi usprawniających nasze życie. Niektóre aplikacje analizujące są w stanie oszczędzić nasz czas i pokazać coś idealnie dopasowanego do naszych potrzeb. Wartość dodana w najlepszej postaci.

Jak Wy oceniacie RODO? Jesteście przeciw, a może za? Jestem ciekaw Waszych opinii i czekam na nie w komentarzach.