Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

EROD o asystentach głosowych

12-05-2021 Autor: Michał Nowakowski

Niedawno opublikowane wytyczne EROD w sprawie tzw. Virtual Voice Assistants stanowią ważny krok w kierunku debaty nad potrzebą pewnej liberalizacji podejścia do ochrony danych osobowych, ale jednocześnie mogą być w niektórych obszarach kontrowersyjne. Jest to wynik dość restrykcyjnego podejścia do oceny danych osób trzecich (w tle).

 

Wytyczne EROD w sprawie tzw. Virtual Voice Assistants (VVAs) to ważny głos dotyczący bardzo dynamicznie rozwijającej się technologii przetwarzania języka naturalnego w postaci dźwiękowej. Przykładami takich rozwiązań mogą być popularni asystenci głosowi, tacy jak SIRI (Apple) czy Alexa (Amazon). Rozwój tych narzędzi (urządzeń?) będzie jednak w dużej mierze uzależniony od właściwego wyważenia interesów użytkowników i dostawców, bo poprawa jakości jest możliwa jedynie w przypadku dobrego materiału do analizy. I tutaj – niestety – najnowsza propozycja EROD tego nie ułatwi.

Warto na początku zwrócić uwagę na wyzwania, jakie mogą wiązać się z przetwarzaniem ludzkiej mowy, która z punktu widzenia algorytmu jest „niedoskonała” ze względu nie tylko na różne dialekty, szumy czy specyficzne „wtrącenia”, ale także kontekstowość wypowiedzi. Jest to dość istotne, ponieważ ludzka mowa po przetworzeniu może posłużyć np. do rozpoznawania emocji, co może mieć znaczenie w systemach antyfraudowych.

Przetwarzanie języka naturalnego jest też wyzwaniem ze względu na konieczność uczenia się algorytmu, rozumienie gramatyki czy znaczenia (dwuznaczności) niektórych słów. W przypadku mniej zaawansowanych rozwiązań nie będzie to miało większego znaczenia, ale jeżeli myślimy o dalszym rozwoju VVAs, to niewątpliwie rozwój programowania neurolingwistycznego (dalej: NLP) będzie warunkował sukces lub porażkę, a opcji wykorzystywania takich asystentów jest całkiem sporo.

NLP może mieć zastosowanie do dokonywania płatności czy pozyskania kredytu, ale także przeciwdziałania fraudom (oszustwom), np. w przypadku cyfrowego onboardingu klienta czy dyspozycji składanych przez wirtualnych asystentów. Takie rozwiązania, aby były skuteczne i bezpieczne, będą wymagały eliminacji (lub alertowania) podejrzanych zachowań w czasie rzeczywistym.

 

Czym są VVAs?

Sama definicja nie jest przesadnie rozbudowana i można ją sprowadzić do oprogramowania (aplikacji), które umożliwia dialog (z użyciem mowy) między taką aplikacją a użytkownikiem, przy czym całokształt rozwiązań będzie zazwyczaj składał się z trzech warstw, tj. warstwy fizycznej (np. smartfona czy głośnika), warstwy software (aplikacji) oraz warstwy zasobowej (czyli bazy danych, z której „zaciągane” są informacje dla użytkownika. Nie jest to wyłącznie akademicka dyskusja, w każdej warstwie mogą pojawić się określone wyzwania związane z ochroną danych.

EROD wskazuje, że takie urządzenia jak smartfony czy „smart speakers” są traktowane jako urządzenia końcowe (terminal equipment) w rozumieniu dyrektywy 2008/63/EC, co w konsekwencji powoduje, że stosujemy tutaj art. 5 ust. 3 zmienionej dyrektywy e-Privacy (nawiasem mówiąc, projektowane rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (e-Privacy) również posługuje się tą definicją urządzenia końcowego). Dostawca urządzenia (czy też jego operator) musi spełnić obowiązek informacyjny w zakresie celów przetwarzania, a także uzyskać stosowną zgodę (co będzie najczęściej stosowane) zgodnie z art. 6 rodo czy też mieć inną podstawę wynikającą z tego przepisu. Sprawa jeszcze bardziej się komplikuje, jeżeli wykorzystujemy głos do identyfikacji użytkownika, bo oczywiście w takiej sytuacji wchodzimy na grunt wykorzystania wyłączeń z art. 9 ust. 2 rodo.

Przy uwzględnieniu złożoności technologicznej VVAs i faktu, że wykorzystują one urządzenia końcowe (smartfon, Alexa), które mogą zawierać istotne dane osobowe, poszukiwać powinniśmy, co do zasady, zgody użytkownika. W świetle wytycznych EROD powinniśmy usunąć te dane po wykonaniu żądania (z zastrzeżeniem że nie mamy innej podstawy prawnej), a oczekiwanie przez administratora na żądanie użytkownika wykasowania tych danych może zostać zaliczone do praktyk niezgodnych z rodo. Rada podkreśla, że sam fakt zamiaru podnoszenia jakości usługi, jeżeli nie znajdujemy innej konkretnej podstawy prawnej, nie będzie wystarczający.

Na administratorze ciąży obowiązek wykonania DPIA, czyli oceny skutków dla ochrony danych, szczególnie w związku z tym że takie narzędzia mogą przetwarzać bardzo wrażliwe dane, nie tylko samych zidentyfikowanych użytkowników, ale i osób trzecich będących niejako w tle. To jest jeden z obszarów, któremu EROD istotnie się przyjrzała.

 

Osoby trzecie w  tle

EROD podkreśliła, że VVAs mogą przetwarzać dane osobowe wielu osób, w tym nie tylko użytkownika, który jest zarejestrowany. W konsekwencji operatorzy lub twórcy tych rozwiązań powinni wprowadzić odpowiednie mechanizmy kontrolne zapewniające ochronę danych, w tym integralność czy dostępność. Nie byłoby to tak zaskakujące, gdyby nie to, że Rada zarekomendowała filtrowanie danych i rejestrowanie tylko głosu użytkownika, co może sprawić spore trudności, chociażby ze względu na samą konstrukcję VVAs i konieczność przetwarzania w czasie rzeczywistym. Takie „odfiltrowanie” nie musi być dokonane w jednej chwili z przetwarzaniem komendy użytkownika, ale nie jest to wykluczone.

Jest to o tyle istotne, że w innych wytycznych EROD dotyczących zależności między dyrektywą 2015/2366 (PSD2) Rada podkreśliła konieczność zapewnienia odpowiednich gwarancji w zakresie ochrony danych osób zwanych „silent parties”, czyli przykładowo takich, których dane znajdują się w przelewie (np. odbiorca). EROD wskazała także, że administratorzy dostarczający rozwiązania opierające się na VVAs powinni zapewnić podmiotom, których dane są przetwarzane, możliwość łatwego uzyskania informacji dotyczących praw za pomocą – jak to określiła Rada „easy-to-follow voice commands”.

EROD podkreśla, że przejrzystość (z punktu widzenia użytkownika) w zakresie określonych ról (administrator, przetwarzający) jest tutaj kluczowa, tym bardziej że użytkownik musi mieć zapewnioną łatwość nawiązania kontaktu z tymi podmiotami – nawet jeżeli będzie to trudne (to wskazanie EROD). Szczególne znaczenie będzie miało określenie, kto jest administratorem danych, co nie zawsze będzie oczywiste w kontekście różnych usług, które mogą być świadczone przez VVAs. Istotne będzie, kto określa sposób i cele przetwarzania, co nie zawsze będzie oznaczało, że będzie to twórca (designer) VVAs.

Zdaniem EROD administratorzy VVAs powinni w sposób przejrzysty przekazywać informacje na temat tego, jakie dane może przetwarzać VVAs w odniesieniu do jego otoczenia, czyli np. głosy innych osób, muzyka pojawiająca się w tle czy nawet zwierzęta. Ciekawym wątkiem rekomendacji jest także przetwarzanie danych dzieci. Tutaj EROD wskazuje na dwie sytuacje wymagające wyjaśnienia:

  • przetwarzanie danych dzieci jest wynikiem wykonania określonej umowy – tutaj ważność umowy będzie zależeć od prawa krajowego;
  • dotyczy zgody, a więc mamy tutaj minimalny wiek 16 lat lub zgodę opiekuna prawnego.

[...]

 

Autor jest radcą prawnym z doświadczeniem zawodowym w sektorze finansowym oraz nowych technologii. Twórca bloga finregtech.pl oraz książki „Fintech. Technologia, finanse, regulacje. Praktyczny przewodnik dla sektora innowacji finansowych”.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.