Trendy w prawie nowych technologii na 2022 rok
Dynamicznie postępująca transformacja cyfrowa wymaga od regulatorów bieżącej aktualizacji przepisów. Branża teleinformatyczna budowana jest na ogromnej ilości danych, które są zbierane w celu analizowania i ulepszania pojawiających się narzędzi, usług i rozwiązań. Aby jednak podejmowane w tym zakresie działania nie szkodziły użytkownikom, muszą być realizowane w sposób etyczny, a ich ramy prawne powinny być transparentne. Jakie trendy w obszarze będą szczególnie istotne w 2022 r.?
Wzrośnie znaczenie regulatorów ochrony danych osobowych
Świadomość podmiotów danych osobowych jest coraz większa, więc pojawia się także więcej wymagań względem egzekucji prawa w tym zakresie, np. prawa dostępu do danych, prawo do bycia zapomnianym. W przypadku utrudnień w ich realizacji składane są skargi do organów ochrony danych, które nakładają na administratorów danych coraz wyższe kary. To samo dotyczy braku realizacji wymogu transparentności danych (obowiązek informacyjny) oraz błędnej podstawy (np. wymuszanie zgody na marketing). W 2021 r. w Unii Europejskiej zostały nałożone rekordowe kary również za nieprzestrzeganie przepisów dotyczących obowiązków prewencyjnych i reaktywnych, jeżeli chodzi o naruszenia ochrony danych osobowych, np. wycieki danych w wyniku różnych incydentów cybernetycznych, takich jak hacking.
Nowym trendem jest także wydawanie przez wielu regulatorów w UE decyzji o nałożeniu kar za stosowanie ciasteczek (cookies). To sprawa kontrowersyjna, ponieważ w niektórych państwach (np. w Polsce) kompetencje w tym zakresie mają inne organy niż urzędy do spraw ochrony danych osobowych.
Zgodnie z RODO, w przypadku przetwarzania danych osobowych w kilku państwach UE, właściwym do rozstrzygania skarg jest tzw. wiodący organ (z ang. one-stop-mechanism). W przypadku światowych firm technologicznych często tym organem w UE jest urząd irlandzki, do którego sprawy powinny być przekazywane z innych państw UE. Ponieważ organ irlandzki stosuje przyjazną politykę wobec globalnych firm technologicznych, powoduje to istotne zastrzeżenia ze strony organów państw przekazujących sprawy (np. Niemiec). Tak więc możemy się spodziewać, że sprawa „napięć” między regulatorami stanowić będzie jedno z głównych wyzwań w trwającym już roku.
Uchwalanie regulacji „stycznych” z RODO
W 2022 r. w Polsce planowane jest m.in. przyjęcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz tzw. ustawy o ochronie sygnalistów. Obie te regulacje ściśle łączą się z wymogami RODO i są razem z ochroną danych osobowych traktowane przez firmy jako jeden obszar compliance. Zatem pojawia się potrzeba zmiany podejścia od firm – RODO stanowi ważny, ale tylko jeden z wielu elementów compliance.
W praktyce spotyka się już próby poszerzenia zadań Inspektorów Ochrony Danych Osobowych (IOD) i powierzania im zadań przewidzianych w innych ustawach. Rodzi to pytania o to, czy w świetle przepisów RODO mogą je oni wykonywać. Chodzi m.in. o zasadę niezależności działania inspektora czy obowiązek zapewnienia mu odpowiednich warunków do wykonywania funkcji IOD.
Technologie sprzyjające ochronie prywatności
W czasie nadal trwającej pandemii COVID-19, ocenie będą poddawane różne technologie, służące do monitorowania pracowników w przypadku pracy zdalnej, która staje się coraz powszechniejsza dla wielu firm na całym świecie. Rozwój technologii pozwalających na większą ochronę prywatności będzie dotyczył również obszarów, takich jak: narzędzia kryptograficzne, biometryczne czy wykorzystywanie danych syntetycznych etc.
W tym przypadku można mówić o tworzeniu się rynku usług prywatności-jako-usługi (privacy-as-a-service), którego wartość, jak się przewiduje – ma wynosić w 2025 r. ponad 50 mld USD. To zupełnie nowy trend, który będzie miał wpływ na lepszą ochronę danych użytkowników.
Spory dotyczące przetwarzania danych osobowych w Internecie
Już w 2021 r. w państwach UE uruchomiono szereg spraw z zakresu cookies, które będą kontynuowane w 2022 r. Chodzi m.in. o sprawy wszczęte przez organizację None Of Your Business (NYOB). Znalazło się tam ponad 500 skarg, dotyczących funkcjonowania ponad 10 tys. witryn w UE.
Regulatorzy szczególnie przyglądają się także rynkowi Adtech. Ten sektor jest jednym z najszybciej rozwijających się technologicznie obszarów, w którym dane o użytkownikach stanowią podstawowy środek obrotu (określany również jako „waluta”). Według przewidywań Komisji Europejskiej wartość rynkowa przetwarzanych na obszarze Unii Europejskiej danych online wynosi ponad 800 mld euro. Aktywność użytkownika w Internecie, za sprawą narzędzi dedykowanych śledzeniu zachowań (np. pliki cookie, biometria behawioralna), pozwala na tworzenie profili konsumenckich. Zbierane informacje stają się przedmiotem giełdy reklam, która umożliwia oferowanie spersonalizowanych treści reklamowych. Skutkiem tych mechanizmów jest personalizacja wyświetlanych treści zarówno pod względem reklam, jak i wyników wyszukiwarek.
W tym obszarze rynek oczekuje również, że w 2022 r. zostanie uchwalone „RODO II”, czyli Rozporządzenie o e-Prywatności, które zasady RODO „dedykuje” do środowiska cyfrowego. ePrivacy swoim zasięgiem obejmie nas wszystkich. Jest to swojego rodzaju technologiczna nakładka na obowiązujące RODO, która jasno precyzuje nasze prawa i jednocześnie obowiązki administratorów związane z ochroną prywatności. Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej obecnie znajduje się już na zaawansowanym etapie prac i jest w ostatniej fazie negocjacji między instytucjami UE. Głównym celem ePrivacy jest ochrona użytkowników tzw. urządzeń końcowych. Poza osobami fizycznymi przepisy rozporządzenia mają stosować się także do osób prawnych. Naruszenie dyrektywy będzie zagrożone bardzo wysokimi karami administracyjnymi.
Międzynarodowy obrót danymi osobowymi
Na poziomie Unii Europejskiej kluczowe będzie wdrażanie podstawowego mechanizmu, w którym dane osobowe są transferowane poza UE (np. do USA czy państw azjatyckich). Mowa tu o nowych standardowych klauzulach umownych zatwierdzonych w 2021 r. przez Komisję Europejską. Na ich podstawie dokonywanych jest ponad 90 proc. transferów poza UE. W 2022 r. większość firm będzie musiała „nauczyć się”, jak posługiwać się nowymi klauzulami. Być może dojdzie również do uruchomienia prac nad porozumieniem: „Tarcza Prywatności 2.0” umożliwiającym na tej podstawie transfer danych z UE do USA. Poprzedni: „tarcza” (1.0) została uchylona przez TSUE w sprawie Maxymiliana Schremsa.
Na poziomie światowym natomiast będziemy mieli do czynienia z globalizacją ochrony danych osobowych, inspirowaną przepisami RODO. Swoje ustawy będą przyjmować poszczególne stany w USA czy Arabii Saudyjskiej. Rewizja dotychczasowych przepisów jest także przewidywana w Australii, Indiach, Kanadzie oraz Wielkiej Brytanii.
Wraz z rosnącym znaczeniem danych, które niejednokrotnie są już uznawane za walutę, pojawia się coraz więcej obszarów z lukami prawnymi. W celu zapewnienia ochrony prywatności i to nie tylko użytkowników końcowych, ale również pozostałych podmiotów, niezbędne jest przedsięwzięcie jak najszybszych kroków w celu ustanowienia aktualnych regulacji. Przepisy powinny nadążać za dynamicznie rozwijającymi się technologiami, aby ułatwiać życie w zmieniającej się rzeczywistości i odpowiadać na potrzeby użytkowników. Dotyczy to nie tylko regulacji ogólnych – światowych czy europejskich, ale również sposobu szybkiego ich wdrażania na rynki lokalne.