VII Forum Bezpieczeństwa i Audytu IT: GIODO o analizie predykcyjnej i profilowaniu

Potrzebne i tworzone są przepisy, które zadbają o ochronę prywatności.

VII Forum Bezpieczeństwa i Audytu IT: GIODO o analizie predykcyjnej i profilowaniu

GIODO na konferencji SEMAFOR

Minister Wojciech Wiewiórowski zaczął swoje wystąpienie od przypomnienia, że z analizą predykcyjną mamy do czynienia od dobrych dziesięciu lat. Obecnie stała się ona jednak znacznie bardziej popularnym hasłem, „buzzwordem” branżowym.

Wytłumaczył, że to kolejny krok w profilowaniu, które w uproszczeniu polega na wyłowieniu z gromady osób pewnej grupy - kategorii osób - które można scharakteryzować jakimś zestawem danych. Ten zestaw danych jest następnie stosowany w odniesieniu do jednej osoby. Tworzenie profili to natomiast zautomatyzowana technika umożliwiająca przetwarzanie danych mająca na celu przypisanie danej osobie profilu. Profil ten służy do podejmowania decyzji dotyczących tej osoby lub do przewidywania jej preferencji, postaw i zachowań.

Zobacz również:

Tam, gdzie profilowanie dotyczy właśnie konkretnego człowieka, leży obszar zainteresowania rzeczników ochrony danych osobowych.

Same profile można tworzyć na dwa sposoby:

  • Profile jawne – to zestawy informacji dotyczące osób zebrane z różnych źródeł. Tworzy się je chociażby na bazie danych osobowych przekazywanych przez samych ludzi np. podczas procesu rejestracji w jakiejś usłudze
  • Profile predykcyjne – to zestawy informacji tworzone na podstawie obserwacji zachowań osób, chociażby na podstawie odwiedzanych stron internetowych lub reklam, w które klika wybrana osoba. Bazując na tych informacjach próbuje się przewidzieć zachowanie takiej osoby

W związku z coraz szerszym wykorzystaniem profilowania, rzecznicy ochrony danych osobowych próbują opracować przepisy regulujące, jakie obowiązki powinny zostać narzucone, gdy dochodzi do profilowania człowieka.

Minister Wiewiórowski podkreślił, że dobrą drogą jest tu ocenianie skutków przedsięwzięcia dla prywatności (privacy impact assessment) będące sposobem realizowania koncepcji privacy by design (prywatności na etapie projektowania).

Zakłada ona, że podmioty tworzące rozwiązania organizacyjne lub techniczne, na każdym etapie projektowania i realizacji projektu powinny wykazywać proaktywne i zaradcze podejście do zagadnień związanych z prywatnością. Projektowany system powinien domyślnie chronić prywatność (privacy by default). Same zasady ochrony prywatności powinny zaś stanowić część projektu (i być respektowane zarówno przez twórców jak i użytkownika) od początku do końca cyklu życia informacji.

Cieszyć powinno zatem, że zarówno privacy impacy assessment jak i privacy by design znalazły się w projekcie nowych ram prawnych ochrony danych osobowych, który został przedstawiony przez Komisję Europejską na początku 2012 roku. Nowy projekt miałby zreformować przepisy z 1995 roku i kłaść nacisk na wzmocnienie prawa do prywatności między innymi w internecie. W nowym projekcie znalazły się między innymi także zapisy mówiące między innymi o „prawie do bycia zapomnianym”, czyli możliwości usunięcia swoich danych, jeżeli nie będzie istnieć podstawa do ich zachowania.


TOP 200