Relacja z Legal aspects of personal data protection in cyber space

przez

Mia­łem wczo­raj nie­wąt­pli­wą przy­jem­ność wygło­sić wykład otwie­ra­ją­cy kon­fe­ren­cję Legal aspects of per­so­nal data pro­tec­tion in cyber spa­ce, któ­ra odby­ła się pod patro­na­tem Pre­ze­sa Urzę­du Ochro­ny Danych Oso­bo­wych na Wydzia­le Pra­wa i Admi­ni­stra­cji w Poznaniu.

W ten spo­sób ofi­cjal­nie roz­po­czę­ła się ELSA Poznań Law Scho­ol on Cyber Law. Jest to orga­ni­zo­wa­na co roku, już od 5 lat, mają­ca miej­sce w Pozna­niu, szko­ła let­nia doty­czą­ca praw wła­sno­ści inte­lek­tu­al­nej. Być może pamię­tasz, że dwa lata temu w ramach 3 edy­cji tej wła­śnie szko­ły let­niej prze­pro­wa­dzi­łem warsz­tat doty­czą­cy naj­częst­szych błę­dów popeł­nia­nych przez star­tu­py na grun­cie GDPR/RODO. W tego­rocz­nej edy­cji bio­rą udział stu­den­ci z całe­go świa­ta, a co cie­szy mnie szcze­gól­nie – wśród słu­cha­czy dzi­siej­szej kon­fe­ren­cji było cał­kiem spo­ro poznań­skich (i nie tyl­ko) adwo­ka­tów oraz rad­ców praw­nych. Całość natu­ral­nie odby­wa się w języ­ku angiel­skim. Kon­fe­ren­cję otwo­rzył Pro­rek­tor UAM – prof. dr hab. Ryszard Naskręc­ki, a całość pro­wa­dzi­ła kol. Anna Mrozowska.

tak wyglą­da­ła sala 15 sekund przed moim wystąpieniem (:

Zaszczyt wygło­sze­nia pierw­sze­go wystą­pie­nia przy­padł mi :-). Faj­nie, bo jestem chy­ba jedy­ną oso­bą aktyw­ną nauko­wo na UAM, któ­ra przy­go­to­wa­ła wystą­pie­nie pod­czas tej edy­cji szko­ły let­niej. W krót­kim wykła­dzie pod tytu­łem Rela­ti­vism, tech­no­lo­gi­cal neu­tra­li­ty & risk based appro­ach – foun­da­tions of GDPR sta­ra­łem się poru­szyć bar­dzo waż­ne i nie­ste­ty mało popu­lar­ne w prak­ty­ce zagad­nie­nia doty­czą­ce zre­for­mo­wa­ne­go pra­wa ochro­ny danych. Wykład poru­szał kon­kret­ne zagad­nie­nia i nie obja­śniał pod­staw, zatem wyma­gał pew­nej pod­sta­wo­wej wie­dzy nt. pra­wa ochro­ny danych. Co cie­szy naj­bar­dziej – było spo­ro pytań, któ­rych auto­rzy zda­wa­li się tą wie­dzą wykazywać! 🙂

Następ­nie głos zabra­ła Agniesz­ka Stobiecka-Kuik, któ­ra na co dzień pra­cu­je w Służ­bie Praw­nej Komi­sji Euro­pej­skiej. Wystą­pie­nie oma­wia­ło rolę tej służ­by w pro­ce­sie sta­no­wie­nia i kon­sul­ta­cji regu­la­cji praw­nych w Par­la­men­cie Euro­pej­skim. Padły kon­kret­ne licz­by doty­czą­ce ska­li dzia­łań oraz pre­zen­ta­cji Komi­sji Euro­pej­skiej przed sąda­mi. W dal­szej czę­ści pre­le­gent­ka sku­pi­ła się na pró­bie podą­ża­nia za tym co obec­nie dzie­je się w pra­wie ochro­ny danych oraz nie­co omó­wi­ła insty­tu­cję Euro­pej­skie­go Inspek­to­ra Ochro­ny Danych. Przy oka­zji wspo­mnia­ła, że w ramach zadań doty­czą­cych RODO-GDPR Służ­bie Praw­nej zda­rza się ana­li­zo­wać rów­nież pra­wo dość egzo­tycz­nych Państw – np. Maro­ka (tak – mają tam swo­je pra­wo ochro­ny danych!).

Kolej­ny wykład (Most impor­tant requ­ire­ments ari­sing from GDPR) wygło­sił Daniel Siciń­ski. Daniel powie­dział trosz­kę o zało­że­niach refor­my, zesta­wia­jąc zakres jej zasto­so­wa­nia z dotych­cza­so­wą dyrek­ty­wą. Omó­wił zmia­ny doty­czą­ce defi­ni­cji poję­cia danych oso­bo­wych oraz poszcze­gól­ne obo­wiąz­ki – noty­fi­ka­cyj­ny, zabez­pie­cze­nia danych, nakaz zacho­wa­nia roz­li­czal­no­ści, inte­gral­no­ści i pouf­no­ści danych, ogra­ni­cze­nie ich prze­cho­wy­wa­nia, zagad­nie­nie zgod­no­ści z pra­wem prze­twa­rza­nia, wyra­ża­nie zgo­dy, omó­wił tak­że pra­wa pod­mio­tów danych z art. 12–22 RODO-GDPR, obo­wiąz­ki zwią­za­ne z podej­ściem opar­tym na ryzy­ku i ochro­ną pry­wat­no­ści na eta­pie pro­jek­to­wa­nia, insty­tu­cją inspek­to­ra ochro­ny danych
oraz naj­bar­dziej nośne z zagad­nień – sank­cje moż­li­we do nało­że­nia na grun­cie RODO-GDPR (czy­li słyn­ne 20 milio­nów euro oraz 4% rocz­ne­go świa­to­we­go obrotu).

Ten blok kon­fe­ren­cji zamknę­ła swo­im wystą­pie­niem pt. Data pro­tec­tion by design and by default: impos­si­ble to atta­in?” prof. dr Jean­ne Pia Mifsud Bon­ni­ci z Uni­wer­sy­te­tu w Gro­nin­gen (Holan­dia). Na wstę­pie omó­wi­ła zabaw­ki tech­no­lo­gicz­ne takie jak: inte­li­gent­na szczo­tecz­ka do zębów (wska­zu­ją­ca w jaki spo­sób popra­wić tech­ni­kę mycia zębów oraz wysy­ła­ją­ca dane na temat regu­lar­no­ści mycia do sto­ma­to­lo­ga), inte­li­gent­ny eks­pres do kawy (parzy kawę kil­ka sekund po tym gdy się obu­dzi­my), zna­ne­go i lubia­ne­go iRo­bo­ta Room­ba (zabój­ca kla­sycz­nych odku­rza­czy), inte­li­gent­na lodów­kę (przy­po­mni nam cze­go kon­kret­nie bra­ku­je do jedze­nia, a nawet zamó­wi zaku­py) i smart opa­ski – czy­li popu­lar­ne smart­ban­dy. Po czę­ści dość tech­no­lo­gicz­nej poja­wi­ło się zasad­ni­cze pyta­nie doty­czą­ce wystą­pie­nia – co się dzie­je z tymi wszyst­ki­mi dany­mi? W RODO-GDPR mamy dla takich wyna­laz­ków prze­wi­dzia­ny obo­wią­zek pri­va­cy by design (ochro­na pry­wat­no­ści na eta­pie pro­jek­to­wa­nia – pisa­łem o tym na blo­gu w 2016 r.) – czy jed­nak mamy jaką­kol­wiek szan­sę na to by fak­tycz­nie go zre­ali­zo­wać? Autor­ka w cie­ka­wy spo­sób odwo­ła­ła się do pro­ce­su pro­jek­to­wa­nia samo­cho­dów. Żaden samo­chód nie miał począt­ko­wo pasów bez­pie­czeń­stwa – dopie­ro na sku­tek tego co dzia­ło się w latach ’70 i ’80 wpro­wa­dzo­no przy­mus fabrycz­nej insta­la­cji pasów w pojaz­dach. To dzię­ki nie­mu teraz muszą one być insta­lo­wa­ne by design. Dość podob­nie obo­wią­zek ten tra­fił do pra­wa ochro­ny danych. Co cie­szy – autor­ka wska­za­ła na fak­tycz­ny, kana­dyj­ski rodo­wód tego obo­wiąz­ku. Bar­dzo cie­ka­wa była tak­że reflek­sja mówią­ca o pew­nych man­ka­men­tach kon­cep­cji pri­va­cy by design – nie mogę jed­nak do koń­ca zgo­dzić się ze stwier­dze­niem, że kazus apli­ka­cji Stra­va (ujaw­nie­nie poło­że­nie ame­ry­kań­skich baz woj­sko­wych w USA) prze­czy idei pri­va­cy by design. Raczej wyda­je się nie do koń­ca z nią kore­spon­do­wać. Nie­mniej muszę zgo­dzić się z autor­ką, że sam pro­ces ochro­ny danych na eta­pie pro­jek­to­wa­nia to dzia­ła­nie bar­dzo pra­co­chłon­ne. Co chy­ba znaj­du­je potwier­dze­nie w mojej prak­ty­ce praw­nej, któ­ra w dużej mie­rze obej­mu­ję pra­cę z pro­gra­mi­sta­mi mają­cą na celu reali­za­cję wyżej opi­sy­wa­ne­go obo­wiąz­ku pod­czas two­rze­nia apli­ka­cji i innych roz­wią­zań IT.

Dru­gi blok kon­fe­ren­cji roz­po­czął się wystą­pie­niem mec. Mał­go­rza­ty Kurow­skiej i doty­czył sto­so­wa­nia RODO-GDPR poza Unią Euro­pej­ską. Temat waż­ki, bo w „inter­ne­to­wych biz­ne­sach” jest czę­sto klu­czo­we – czy docho­dzi nam wachlarz obo­wiąz­ków doty­czą­cych RODO-GDPR czy też da się go unik­nąć. Roz­sze­rzo­ny zakres tery­to­rial­ne­go zasto­so­wa­nia RODO-GDPR budzi obec­nie róż­ne kon­se­kwen­cje i może w efek­cie skut­ko­wać np. geo­blo­ko­wa­niem. Pani Mece­nas dość szcze­gó­ło­wo omó­wi­ła zało­że­nia wyni­ka­ją­ce z art. 3 RODO-GDPR wska­zu­ją­ce­go na dwa warun­ki – orga­ni­za­cja musi być z Unii Euro­pej­skiej albo orga­ni­za­cja musi dzia­łać w pew­nym kon­tek­ście aktyw­no­ści (art. 3 ust. 2). Pro­blem kon­tek­stu został dość cie­ka­wo przed­sta­wio­ny na kan­wie spra­wy Google Spa­in i Mario Coste­ja Gon­zále­za - powią­za­nia eko­no­micz­ne pomię­dzy mecha­ni­zmem wyszu­ki­wa­nia a mecha­ni­zmem rekla­mo­wym zosta­ły przed­sta­wio­ne jako wła­śnie swo­isty kon­tekst w rozu­mie­niu art. 3 RODO-GDPR.

Kolej­nym mów­cą był Peter Wri­ght, któ­ry pod­jął temat Inter­na­tio­nal Data Trans­fers. EU-US Pri­va­cy Shield. Szyb­ko i zwięź­le omó­wio­ne zosta­ły zało­że­nia Pri­va­cy Shield – sukce­so­ra wcze­śniej­sze­go pro­gra­mu Safe Har­bor, któ­ry pozwa­la prze­ka­zy­wać dane oso­bo­we do USA. Następ­nie przed­sta­wio­na zosta­ła cała deba­ta doty­czą­ca dosto­so­wa­nia Pri­va­cy Shield do wymo­gów RODO-GDPR, któ­ra poja­wi­ła się jakiś czas temu w bran­ży. Moje pry­wat­ne zda­nie doty­czą­ce tego zagad­nie­nia jest nie­zmien­nie – Pri­va­cy Shield jest jedy­nie wydmusz­ką, zapew­nia­ją­cą w prze­wa­ża­ją­cej więk­szo­ści wypad­ków ilu­zję zgod­ne­go z pra­wem prze­ka­zy­wa­nia danych poza Euro­pej­ski Obszar Gospo­dar­czy. Pre­le­gent poza powyż­szym zagad­nie­niem omó­wił tak­że sytu­ację, w któ­rej Wiel­ka Bry­ta­nia opu­ści Unię Euro­pej­ską oraz pew­ne – z tym fak­tem zwią­za­ne – kon­se­kwen­cje na grun­cie RODO-GDPR. Jako doda­tek moż­na uznać tak­że kil­ka zdań na temat Bin­ding Cor­po­ra­te Rules – któ­re zosta­ły wska­za­ne (jak mnie­mam) jako pewien rodzaj alter­na­ty­wy dla wiel­kich przed­się­biorstw pozwa­la­ją­ce pomi­nąć nie­szczę­sne Pri­va­cy Shield. Na samym koń­cu nie zabra­kło tak­że cie­ka­wo­stek – chiń­skie cyber­se­cu­ri­ty law, któ­re weszło w życie 1 czerw­ca 2017 r. i regu­lu­je (cza­sem w spo­sób nie­co szcząt­ko­wy) mię­dzy inny­mi obsza­ry doty­czą­ce ochro­ny danych oso­bo­wych, wymo­gi bez­pie­czeń­stwa dla ope­ra­cji sie­cio­wych czy infra­struk­tu­ry krytycznej.

Ostat­nim wystą­pie­niem w tym blo­ku było Glo­bal Legal Respon­ses to Crypto-Currencies and ICOs popro­wa­dzo­ne przez dr Heather Anson. Wystą­pie­nie – choć nie­co ode­rwa­ne od wio­dą­ce­go lajt­mo­ty­wu kon­fe­ren­cji – wzbu­dzi­ło praw­dzi­we gra­do­bi­cie pytań. I ja swo­je pyta­nie zada­łem – cho­dzi­ło o powią­za­nia pomię­dzy Wła­di­mi­rem Puti­nem a Vita­li­kiem Bute­ri­nem – współ­twór­cą Ethe­reum (mojej ulu­bio­nej plat­for­my kryp­to). Heather powie­dzia­ła co nie­co o kryp­to­wa­lu­tach, o ICO oraz zasa­dach odpo­wie­dzial­no­ści a tak­że w ogó­le aktu­al­nym sta­nie legal­no­ści obro­tu tym rodza­jem dóbr w poszcze­gól­nych jurysdykcjach.

Kon­fe­ren­cja zakoń­czy­ła się warsz­ta­tem Infor­ma­tion and network secu­ri­ty, pri­va­cy and data pro­tec­tion. A com­pre­hen­si­ve higher edu­ca­tion pro­gram in Mace­do­nia prze­pro­wa­dzo­nym przez Nino­sla­va Mari­na – rek­to­ra Uni­wer­sy­te­tu św. Paw­ła Apo­sto­ła w Mace­do­nii – oraz p. Jac­ka Saf­fe­la – star­sze­go spe­cja­li­stę w Urzę­dzie Ochro­ny Danych Oso­bo­wych. Pano­wie opo­wie­dzie­li tro­chę o dzia­ła­niu Gru­py Robo­czej art. 29 na grun­cie uchy­lo­nej już dyrek­ty­wy 95/46/WE oraz funk­cjo­nu­ją­cej obec­nie w jej miej­sce Euro­pej­skiej Rady Ochro­ny Danych. Poru­szo­no zagad­nie­nia takie jak trans­pa­rent­ność (i tutaj coś co mim się bar­dzo spodo­ba­ło – zda­niem pol­skie­go spe­cja­li­sty z UODO bom­bar­do­wa­nie ludzi kil­ku­na­sto­stro­ni­co­wy­mi obo­wiąz­ka­mi infor­ma­cyj­ny­mi para­dok­sal­nie godzi w trans­pa­rent­ność), kryp­to­gra­fia czy ste­ga­no­gra­fia. Następ­nie Pano­wie omó­wi­li pro­gram stu­diów, któ­ry został utwo­rzo­ny w Mace­do­nii we współ­pra­cy z tam­tej­szym orga­nem nad­zor­czym ds. ochro­ny danych, pol­skim Urzę­dem Ochro­ny Danych, Uni­wer­sy­te­tem Łódz­kim i wspo­mnia­ną mace­doń­ską uczel­nią – któ­ra jest uczel­nią tech­nicz­ną. Pro­gram cie­ka­wy, bo powi­nien (przy­naj­mniej w zało­że­niu) pozwo­lić praw­ni­kom wypra­co­wać pew­ne kom­pe­ten­cje tech­nicz­ne, któ­re zda­ją się nie­zbęd­ne do pra­cy w obsza­rze pra­wa ochro­ny danych.

Po warsz­ta­cie kon­fe­ren­cja się zakoń­czy­ła. Moje prze­my­śle­nia? Cie­szę się, że ktoś wresz­cie poru­szył temat ochro­ny danych w poznań­skim śro­do­wi­sku aka­de­mic­kim. Jesz­cze bar­dziej cie­szy mnie to, że zapro­sze­ni zosta­li napraw­dę nie­sza­blo­no­wi i dość wyszu­ka­ni goście, któ­rzy napraw­dę mie­li coś cie­ka­we­go do prze­ka­za­nia. Orga­ni­za­to­ro­wi głów­ne­mu, tj. Euro­pej­skie­mu Sto­wa­rzy­sze­niu Stu­den­tów Pra­wa ELSA Poland – oddział Poznań nale­żą się gra­tu­la­cje za przy­go­to­wa­nie tak mało sztam­po­we­go wydarzenia.

PS

W ramach wspo­mnia­nej szko­ły let­niej w naj­bliż­szy czwar­tek popro­wa­dzę jesz­cze dla jej uczest­ni­ków warsz­tat pt. dark net. Jeśli ktoś jest z Pozna­nia i chciał­by przyjść – kon­tak­tuj­cie się z orga­ni­za­to­ra­mi – naj­le­piej na fej­sie 😃

Leave a Reply