Это решение ChatGPT может «переломить ситуацию». Президент Управления по защите персональных данных объявляет, когда будет принято решение

• - Если бы политики задумались, то правила в их нынешнем виде позволили бы им достичь поставленных ими целей, не нарушая при этом принципов защиты персональных данных, - говорит Мирослав Врублевский, президент Управления по защите персональных данных, в интервью WNP о раскрытии данных Ежи Ж. в предвыборной кампании.
• Врублевски критикует бизнес-модель Facebook. - В частной жизни есть элемент защиты нашего достоинства, это основополагающее право. «Я не думаю, что целесообразно взимать плату за защиту наших основных прав», — говорит он.
• Президент Управления по защите персональных данных сообщает, что решение по новаторскому делу, касающемуся OpenAI, будет принято к декабрю. Доктор Лукаш Олейник, исследователь в области кибербезопасности, пожаловался в ведомство на то, что создатель ChatGPT незаконно обрабатывает его данные.
• Врублевски также объясняет, как GDPR может измениться в ближайшее время. Недавно Европейская комиссия представила свои предложения по этому вопросу.

Является ли должность президента УОДО политической?

- Что вы имеете в виду?

Вы очень сильно отличаетесь от своего предшественника в оценке некоторых ситуаций. Например, относительно выборов в конверте.

- Наши мнения действительно различаются, но мои оценки основаны прежде всего на судебной практике Европейского суда и административных судов. Я не думаю, что это как-то связано с политикой.

Политиков будут наказывать за использование данных в предвыборных кампаниях

И является ли GDPR сам по себе инструментом политической борьбы?

- Я понимаю, к чему ты клонишь. Проблема обработки персональных данных возникает и в общественной деятельности. Последние события показывают, что, к сожалению, эмоции, спешка или элементы предвыборной борьбы зачастую заставляют политиков забывать о необходимости соблюдения положений о защите персональных данных.

Так быть не должно — если бы политики задумались, то нормативные акты в их нынешнем виде позволили бы им достичь поставленных ими целей, не нарушая при этом принципов защиты персональных данных. Можно совместить необходимость прозрачности, раскрытия определенной информации и защиты частной жизни отдельных лиц. К сожалению, предвыборная кампания и политические эмоции не способствуют такому размышлению.

Речь идет о том, что Пшемыслав Чарнек и Рафал Тшасковский раскрыли подробности о человеке, у которого кандидат в президенты Кароль Навроцкий должен был купить однокомнатную квартиру. Какие последствия могут понести эти политики со стороны президента УОДО?

- Мы находимся в процессе расследования, поэтому теоретически все последствия возможны. Пока разбирательство не завершено, это невозможно определить.

Так какие же наказания им грозят?

- Максимальный штраф за нарушение положений GDPR для администраторов, не являющихся предпринимателями, составляет 20 миллионов евро . Конечно, я не ожидаю, что мы будем говорить о таких суммах. Сейчас я размышляю, как мне следует реагировать после разбирательства. Штрафы призваны действовать как эффективное наказание, с одной стороны, и как сдерживающее средство, с другой, но я хотел бы добавить к этому образовательный элемент.

Управление по защите персональных данных ранее подготовило руководство по обработке персональных данных в ходе предвыборной кампании, и в этот раз я также напомнил об этих рекомендациях. Как видите, образования много не бывает. Когда страсти вокруг выборов спадут, после праздников я, как я уже объявил, предложу председателям Сейма и Сената, в сотрудничестве с избирательными органами, в том числе и учебные курсы. для сотрудников аппаратов парламентариев. Я предполагаю, что они часто несут ответственность за проблемы с персональными данными, и хочу, чтобы эта осведомленность повышалась, чтобы подобные нарушения не повторялись.

Я спросил о политике, потому что обе стороны спора вызвали вас в качестве арбитра, когда оппонент предоставил слишком много данных. Даже если эти же люди ранее критиковали защищающие их законы.

- С одной стороны, расследование нарушений входит в мои обязанности как председателя управления, но с другой стороны, по-человечески мне очень обидно, когда публично обрабатываются самые деликатные сведения пожилого человека, который, вероятно, не хотел бы, чтобы они обсуждались так широко. Однако здесь следует отдать должное многим средствам массовой информации, которые зачастую проявляли гораздо большую чувствительность, чем политики, и могли анонимизировать наиболее конфиденциальные данные.

Большие изменения в GDPR? Хорошее направление, но есть одна загвоздка.

Правила защиты данных должны измениться в ближайшем будущем. Является ли пересмотр GDPR необходимым шагом?

- Европейская комиссия выступила с идеей ограничить обязательства по ведению реестра операций по обработке данных для компаний. Предел для этого упрощения планируется увеличить с 250 до 750 сотрудников. В принципе я оцениваю этот шаг положительно, но у меня есть одно замечание.

Что?

- Это ограничение не может быть обработано полностью автоматически. В цифровой сфере мы также можем иметь дело с небольшими компаниями, в которых работает небольшое количество сотрудников и которые обрабатывают очень конфиденциальные персональные данные. Правила для них должны быть построены иначе ввиду высоких рисков обработки для прав и свобод личности. На это мы обратили внимание в совместном мнении европейских надзорных органов – Европейского совета по защите данных и Европейского инспектора по защите данных.

Например, платформы интернет-торговли?

- Например, интернет-аптеки. Им не нужно много сотрудников, но по сути они обрабатывают данные о состоянии здоровья.

По моему мнению, упрощение должно касаться и другой категории субъектов – неправительственных организаций. Требования к ним те же, что и к предприятиям, но возможностей у них несравненно меньше. В середине июня мы организуем конференцию европейских органов по защите данных, и я хочу поднять там эту тему.

Видите ли вы необходимость внесения дополнительных изменений в GDPR?

- Я считаю, что правовые изменения в этом вопросе не самое главное. Предпринимателям, как правило, необходима поддержка в области применения GDPR , но они уже привыкли к существованию этого регламента, а дальнейшие правовые изменения могут вызвать ненужный хаос в защите данных. Тем более, что перед нами стоят более неотложные задачи, такие как реализация дополнительных правил ЕС, которые уже вступили в силу, но в Польше пока нет специального институционального аппарата для их реализации.

Вы говорите о Законе о цифровых услугах (DSA). Нас подали в Суд Европейского союза за невыполнение этого решения.

- На очереди также Закон об искусственном интеллекте, Закон об управлении данными, директива NIS2, связанная с кибербезопасностью, и мы могли бы продолжать и продолжать. Здесь существует большая неопределенность, поскольку организациям зачастую приходится применять два-три таких крупных правила и концентрировать на них свои усилия. Законодатели ЕС поставили перед нами множество задач. Поэтому еще одно одновременное изменение, на этот раз в области GDPR, не является самым ожидаемым.

К концу года Управление по защите персональных данных примет решение относительно OpenAI.

Господин Президент, будут ли земельные и ипотечные реестры относиться к персональным данным или нет?

- Номера земельных и ипотечных регистров являются персональными данными — это известно из окончательного решения Высшего административного суда. Сегодня актуальной задачей является одновременное обеспечение прозрачности земельных и ипотечных реестров в соответствии с положениями Закона о земельных и ипотечных реестрах и защиты конфиденциальности.

Совместимо ли это?

- Мы ожидаем, что будет реализован механизм, который позволит получить доступ к книгам, но с аутентификацией лица, имеющего к ним доступ. Идея состоит в том, чтобы помешать системам искать книги с помощью автоматизированных инструментов, которые затем продают эти знания в Интернете. Министерство юстиции объявило, что разработает проект по решению этой проблемы. Я интересовался статусом этой работы месяц назад, но до сих пор не получил ответа о ходе работ.

Лично мне бы очень хотелось, чтобы эта проблема была решена. Однако это один из аспектов проблем эффективного применения норм ЕС в отношении субъектов, зарегистрированных за его пределами.

Крупные технологические компании не могут нести ответственность. Ваш ирландский коллега, который вел разбирательство в течение многих лет, несет ответственность за любые споры с ними.

- Вопрос в том, как был построен GDPR. Действительно, разбирательства по делам, которые нам приходится передавать в Ирландию, длятся годами, поэтому нет впечатления, что здесь существует какая-либо эффективная система надзора. Этот вопрос уже решен по-другому в Законе о цифровых услугах, где Европейская комиссия, а не страна, где находится штаб-квартира компании, несет ответственность за обеспечение соблюдения правил в отношении крупных компаний. Я не считаю эти решения идеальными, но они, безусловно, могут облегчить и упростить процедуры рассмотрения подобных дел.

Продолжаются не только дела, переданные в Ирландию. По состоянию на август 2023 года не вынесено решение по делу независимого исследователя в области кибербезопасности доктора Лукаша Олейника, который подал жалобу на OpenAI. Он утверждал, что компания незаконно обрабатывала его данные.

- Я хотел, чтобы это дело было закрыто. Но тут администратор проснулся и начал присылать такую ​​обширную документацию, что ее анализ занимает очень много времени.

Проще говоря: OpenAI завалил вас документами?

- Я бы не стал употреблять такие слова.

Я им пользовался.

- Я не буду этого отрицать. Я попросил своих коллег разобраться с этим как можно быстрее, но мы также должны соблюдать стандарты и процессуальную справедливость, поскольку, если мы этого не сделаем, любая малейшая оплошность или поспешность впоследствии станет самым простым способом оспорить решение в административном суде. Достаточно незначительной ошибки, чтобы большая часть содержательной работы оказалась напрасной.

Когда мы узнаем, кто прав?

- Я хотел бы закончить работу не позднее каникул. Для меня последний срок — конец года.

Ваше решение может повлиять на весь бизнес OpenAI в Европе.

- Компания, безусловно, поставит это под сомнение, я к этому готов. Poczta Polska, которая получила самое высокое наказание, когда-либо наложенное ведомством в связи с делом о выборах в конвертах , также подала апелляцию в административный суд. Он имеет на это право, но именно поэтому нам необходимо обеспечить соблюдение процедур.

Критики скажут, что вы ограничиваете развитие искусственного интеллекта в Польше.

- Конечно, кто-то может так к этому относиться. Однако я скажу следующее: наша цель не в том, чтобы что-либо блокировать. Речь не идет о запрете кому-либо организовывать предвыборные пресс-конференции или создавать полезные приложения на основе искусственного интеллекта. Суть в том, чтобы достичь цели, сохранив при этом защиту персональных данных. И конечно, это часто очень сложно — требует определенных усилий, внедрения новых технологических и правовых решений. Но на самом деле нет другого пути, кроме как стремиться к обеим целям.

Я хотел бы отметить еще одну вещь. Решения Президента UODO никогда не пишутся в форме «нет, из-за GDPR». Мы стремимся предоставить рекомендации по достижению соответствия нормативным требованиям. Конечно, это требует от наших партнеров поиска решений как юридического, так и технического характера.

Защита частной жизни является одним из основных прав. Facebook не может взимать за это плату

Facebook нашел решение проблемы чрезмерного вмешательства в личную жизнь пользователей, введя опцию «плати или ок», т. е. согласись на слежку или заплати. И президенту это все равно не понравилось.

- Иногда поиск решения требует больших усилий, иногда это очень сложно. Но без этого нет прогресса.

Что не так с этой моделью, когда мы платим Facebook либо данными, либо деньгами за использование?

- Некоторые проблемы носят этический характер.

В частной жизни есть элемент защиты нашего достоинства, это основополагающее право. Я не считаю целесообразным взимать плату за защиту наших основных прав.

Meta также позволяет исключить ваши данные из обучения ИИ.

- После моего опыта работы с этой компанией я вижу, что она способна к изменениям и сотрудничеству. Так было в случае с мошенничеством, жертвой которого стал, среди прочего, г-н Рафал Бржоска. Был создан инструмент, позволяющий автоматически обнаруживать такие мошеннические объявления .

Что не работает, как доказал CERT Polska в NASK.

- Да, но предпринимаются попытки решить эту проблему, и компания реагирует, хотя поначалу она была совсем неотзывчивой. Я верю, что бизнес отреагирует на указанные нами проблемы, поскольку он прагматичен и не хочет попадать в неприятности.

Стоит ли польским предпринимателям усвоить этот урок? С каждым годом увеличивается количество и суровость штрафов, налагаемых Управлением на польских предпринимателей.

- Это связано с тем, что ожидания относительно соблюдения GDPR после семи лет действия регламента выше, чем в начале. По прошествии этого времени трудно оправдать то, что кто-то не знает, как выглядят основные обязанности.

Неужели нет милосердия?

- Определенно. У UODO, очевидно, есть образовательная миссия — мы путешествуем по Польше, встречаемся с предпринимателями и сотрудничаем с местными органами власти. Однако в то же время нельзя скрывать, что контрольные мероприятия, меры принудительного исполнения и разбирательства по фактам нарушений продолжаются. Я думаю, из решений этого года уже ясно, что государственному сектору также предстоит проделать большую работу в плане защиты персональных данных.