Konferencja odbyła się w czwartek 23 stycznia w Urzędzie Ochrony Danych Osobowych (UODO).

- Nasze rozumienie ryzyka w sensie cyberbezpieczeństwa czy bezpieczeństwa w ogóle, w tym ochrony danych, mocno odbiega od tego, co cię rozumie w życiu potocznym jako ryzyko. Przypomnę, że ryzyko potocznie to jest możliwość niepowodzenia, porażki, straty, przedsięwzięcie, czyn, którego wynik jest niepewny, wątpliwy – mówił w swoim referacie dr hab. Arwid Mednis, członek Społecznego Zespołu Ekspertów przy prezesie UODO.

Ryzyko na gruncie RODO

Naukowiec przybliżył dwa podejścia do definicji ryzyka: podejście negatywne (ryzyko wystąpienia straty, szkody, problemu) oraz podejście neutralne (ryzyko jako każde zdarzenie, które odbiega od stanu oczekiwanego, tak więc w naukach ekonomicznych ryzykiem może być zysk).

- Wydawało się, że w kontekście RODO mówimy o ryzyku w tym pierwszym ujęciu, czyli tym negatywnym. Ale na przykład ENISA (Agencja UE ds. Cyberbezpieczeństwa) w swoich różnych opracowaniach wskazuje, że jeżeli porównuje się rozmaite normy - w szczególności normy ISO - i różne regulacje z zakresu szeroko rozumianego bezpieczeństwa, to okazuje się, że też tutaj nie mamy jednolitego podejścia - wskazywał Arwid Mednis.

Prelegent jako istotne przedstawił pytanie o co, co właściwie jest ryzykiem na gruncie RODO. Ma to wpływ na realizację temat podstawowego obowiązku wynikającego z tego rozporządzenia, jakim jest ocena skutków dla ochrony danych.

Nowość

-10%

Nowość

Prawo ochrony danych osobowych i prawo do informacji publicznej. Zarys wykładu

Elżbieta Gudowska-Natanek, Grzegorz Kuca

Sprawdź  

Ocena skutków - różne podejścia a kontrola UODO

 - Tu też widać różne podejście w metodykach. Niektórzy mówią, że jest to ocena skutków tylko dla ochrony danych osobowych. A więc skutkiem jest tylko wyciek danych albo zagubienie danych. Inni mówią natomiast, że administrator na tym poziomie powinien oceniać skutek dalszy, jakimi jest naruszenie praw i wolności – mówił dr hab. Arwid Mednis. -  Zwolennicy pierwszej tezy mówią „ja nie jestem w stanie ocenić, co może być skutkiem tego wycieku, dlatego zatrzymuję ocenię na poziomie samego zdarzenia”. Szczerze powiedziawszy, jestem zwolennikiem podejściu drugiego: że ocena skutków powinna wskazywać na skutek sferze naruszeń praw podstawowych. Z drugiej strony, rzeczywiście czasami trudno nam sobie uzmysłowić, jakie te skutki mogą być. Czy gdy nastąpi kradzież tożsamości, to efektem będzie na przykład kradzież pieniędzy z rachunku bankowego? To jest bardzo ciekawa dyskusja i ma przełożenie praktyczne. W przypadku kontroli ze strony prezesa UODO, jaki jest zakres tej oceny skutków, tzn. co powinienem zidentyfikować jako potencjalne ryzyka? Czy tylko właśnie zdarzenie (wyciek danych), czy powinienem pójść dalej i wskazać ryzyko w sferze praw i wolności? - kontynuował prelegent.

Naukowiec ocenił, że już generalny inspektor ochrony danych osobowych (organ istniejący do 2018 r. – red.) opowiadała się za szerszą perspektywą. Inne podejście do ryzyka wynika natomiast z prawa ochrony środowiska, jak i w szeroko rozumianym prawie żywnościowego, w których pojęcie ryzyka również występuje, a skutki obejmują tylko bliższe zdarzenia.

- Przykładowo, na gruncie prawa ochrony środowiska jako ryzyko należy wskazać zanieczyszczenie powietrza, a nie to, że się zatrujemy i będziemy chorzy – wyjaśnił dr hab. Arwid Mednis. - Jako osoby zajmujące się RODO musimy zapożyczać siatkę pojęciową z innych przepisów, bo w RODO definicji po prostu nie ma – wytłumaczył naukowiec.

Zwrócił też uwagę, że w RODO w ogóle nie jest poruszona kwestia ryzyka systemowego. - Ona znajduje źródło szczególnie w sektorze finansowym i bankowym. Jest o tyle istotna, że prawodawca coraz częściej sięga do tego pojęcia. Może to mieć znaczenie dla nas, praktyków ochrony danych osobowych. Generalnie ryzyko systemowe jest rozumiane jako ryzyko dla całego państwa albo dla znaczącej części społeczeństwa. Dlatego mówimy o ryzyku systemowym jako takim ryzyku o większym zasięgu.

Czytaj także: Pan Michał wysłał faktury księgowym, jego dane dostali marketingowcy

Zobacz w LEX: Ochrona wizerunku a ochrona danych osobowych > >

Regulacja oparta na ryzyku (RBR)

Pojęcie regulacji opartych na ryzyku (RBR - Risk-Based Regulation) przybliżył dr hab. Maciej Pichlak, prof. Uniwersytetu Wrocławskiego.

 - Kluczowe dla zrozumienia istoty RBR jako nowego czy szczególnego podejścia do regulacji jest zrozumienie nowej roli, w jakiej ryzyko zaczyna występować. Ryzyko było przecież od zawsze i jest nadal przedmiotem regulacji w każdym możliwym podejściu. RBR wyróżnia to, że ryzyko staje się już nie tylko przedmiotem regulacji czy problemem do rozwiązania, ale sposobem podejścia do regulacji czy sposobem zarządzania działalnością regulacyjną przez regulatora – mówił naukowiec. Prelegent przybliżył  rys historyczny RBR począwszy od lat 90. XX w., aż po unijne regulacje RODO i AI Act.

Zobacz również w LEX: AI w praktyce prawniczej – krok w nowoczesność czy skok w przepaść? > >

- W ramach samego nurtu RBR pojawia się dyskusja krytyczna. Dyskusja ta nie prowadzi jednak do odejścia od idei odejścia od samej idei regulacji opartych na ryzyku, ale raczej nazwałbym to pewnym dojrzewaniem tego nurtu – wskazał. - Kluczowym wyzwaniem, z którym dzisiaj ten nurt musi się mierzyć, to nie tyle ryzyka nadmiernego utechniczenia, jak to było w początkach ruchu, co ryzyka nadmiernego upolitycznienia decyzji regulacyjnych i decyzji co do priorytetów w obszarze regulacji. Pewnym symbolicznym wymiarem może być dzień zaprzysiężenia Donalda Trumpa na nowego prezydenta Stanów Zjednoczonych i jego słowa na temat tego, dlaczego TikTok nie jest problemem: bo przetwarza tylko dane dzieci.

Konferencja "Ocena ryzyka a ochrona danych osobowych"

Kolejne panele były poświęcone zarządzaniu ryzykiem w obszarze cyberbezpieczeństwa oraz różnym aspektom ryzyka w obszarze ochrony danych osobowych. Konferencja zorganizowali: prezes UODO wraz ze Społecznym Zespołem Ekspertów, we współpracy z dziekanem Wydziału Prawa i Administracji Uniwersytetu Warszawskiego.

Wydarzenie odbyło się pod patronatem Prawo.pl.

Konferencja była rejestrowana, UODO ma umożliwić późniejsze wysłuchanie wszystkich referatów.

Czytaj również w LEX: Akt w sprawie sztucznej inteligencji > >