zewnętrz-ne, jak Urząd Ochrony Danych Osobowych.
Prekursorskie wzmianki odnośnie ochrony prywatności czy aspektów prawnych w kontekście ochrony danych osobowych podejmowali na przykład: Kopff [1972], Szysz-kowski [1972], Kosik [1975], Mrózek [1978; 1981], Sobczak [1978], Mednis [1990; 1995] czy Safjan [1992]. Bardziej współcześnie – Litwiński [2009], Krzysztofek [2012], Fischer [2014], Fajgielski [2014], Mednis [2015], Sakowska-Baryła [2016], Gałaj-Emiliańczyk [2016], Banyś, Bielak-Jomaa, Kuba i in. [2016] czy Korga, Matelowska-Tatoj, Żabówka [2017].
W Polsce już w latach trzydziestych ubiegłego wieku Adamiecki [1927] analizował znaczenie procesu kontrolnego w organizacji, a w latach sześćdziesiątych nad funk-cją nadzoru (finansowego) zastanawiała się Sochacka-Krysiak [1956]. Klasyczny model kontrolny w latach osiemdziesiątych opisywali Klimas [1985], Marecki [1976] czy Gno-iński [1975], a bardziej współcześnie – Paczuła [1998], Wierzbicki [1998], Kałużny [1997] czy Kuc [2006]. Należy wyraźnie podkreślić, że procesowi sprawdzającemu podlegają wszystkie podstawowe zasoby organizacji o charakterze gospodarczym, takie jak zaso-by rzeczowe, ludzkie, informacyjne czy finansowe [Marciniak 2008], w tym także aspek-ty związane z ochroną danych osobowych.
W niniejszym artykule problematyka ochrony danych osobowych ujęta została wie-lowymiarowo. Zagadnienie przedstawiono zarówno w kontekście obowiązujących re-gulacji prawnych, jak również jej realnego oddziaływania na bieżące funkcjonowanie jednostek organizacyjnych. Celem artykułu jest zwrócenie uwagi na wieloaspekto-wość samego procesu wdrażania obowiązujących regulacji i rosnących uprawnień or-ganów kontrolnych – w opozycji do przejrzystości przetwarzania danych i ich zwiększo-nej ochrony.
Wielowymiarowe podejście do ochrony danych
osobowych
Zagadnienia dotyczące ogólnego rozporządzenia o ochronie danych (RODO) (General Data Protection Regulation – GDPR) w literaturze przedmiotu koncentrują się na skutkach wprowadzenia w życie tychże regulacji, interpretacją poszczególnych paragrafów pra-wa, technicznymi aspektami przepisów rozporządzania czy też jego wpływie na badania naukowe w medycynie. Jest to piśmiennictwo prekursorskie, a temat złożony i (choćby z uwagi na dynamiczny rozwój nowoczesnych technologii) na bieżąco rozwijany. Kamila Leśniak, Tomasz Schabek
65 Gellert [2015] omawia funkcje ochrony danych osobowych, jako odpowiedź prawa na ryzyko związane z użytkowaniem komputerów, ryzyko spowodowane zmianą proce-su zapiproce-su danych z manualnego na elektroniczny oraz procesem automatycznego prze-twarzania informacji w życiu gospodarczym. Kirk [2018] także opisuje jak wejście w ży-cie przepisów RODO wpłynie na działanie przedsiębiorstw, nawet tych zlokalizowanych fizycznie poza Unią Europejską. Również Gilbert [2016] szczegółowo analizuje skutki RODO dla podmiotów prowadzących działalność gospodarczą poza UE, zwracając uwa-gę na wyzwania stworzone przez nowe przepisy, między innymi: zgodę na przetwarza-nie danych i wymóg udowodprzetwarza-nienia otrzymania takiej zgody wydanej dobrowolprzetwarza-nie, jed-noznacznie, dokładnie i po otrzymaniu pełnej informacji co do tematu przedmiotu zgo-dy; wymóg wdrożenia programów kompleksowej ochrony danych zgodnych z rozpo-rządzeniem; obowiązek informowania o naruszeniu prawa o ochronie danych osobo-wych (np. nielegalne ujawnienie, zmiana, usuniecie, danych); surowe kary za narusze-nie przepisów RODO (20 mln euro lub do 4% przychodów). Konkluduje przy tym, że in-terpretacja niektórych z tych przepisów pozostaje wyzwaniem dla wszystkich zaintere-sowanych stron.
Rodrigues, Barnard-Wills, De Hert i in. [2016] analizują cztery opcje implementacji przepisów RODO w odniesieniu do mechanizmu certyfikacji ochrony danych: zachęce-nie i wsparcie dla programu certyfikacji RODO, akredytację instytucji certyfikujących, certyfikację poprzez instytucje krajowe oraz system mieszany: współistnienie wszyst-kich trzech wymienionych wcześniej opcji. Również Lachaud [2018] podejmuje temat certyfikacji jako nowego instrumentu regulującego ochronę danych osobowych. Z ko-lei Chassang [2017] koncentruje się na implikacjach ogólnego rozporządzenia o ochro-nie danych dla badań naukowych, zwłaszcza w dziedziochro-nie nauk medycznych, gdzie prze-twarzane są dane osobowe dotyczące zdrowia pacjentów, dane genetyczne czy biome-tryczne. Podkreśla również rolę powołania stanowiska inspektora ochrony danych (data protection officer – DPO) oraz odwołanie do standardów etycznych w badaniach wyko-rzystujących dane osobowe. Autor konkluduje, że nowe przepisy nie tylko wzmocnią te dotychczasowe, ale również zwiększą przejrzystość procesu zarządzania danymi oso-bowymi. Rumbold i Pierscionek [2017] również akcentują rolę i wpływ RODO na nia medyczne. Autorzy ci zauważają, że wpływ wspomnianego rozporządzenia na bada-nia wykorzystujące dane biomedyczne pozostanie niewielki, podkreślają jednak, że po-lepszeniu ulegnie harmonizacja wymiany danych wewnątrz Unii Europejskiej, co będzie sprzyjać rozwojowi międzynarodowych projektów naukowych z zakresu medycyny. Ma-relli i Testa [2018] także koncentrują się na RODO w kontekście badań biomedycznych i wnioskują, że RODO na gruncie prawnym wciąż jest obszarem napięć pomiędzy więk-szą wolnością wykorzystania danych w badaniach naukowych, a odpowiedzialnością ja-kie wykorzystanie tych danych za sobą niesie.
Inni autorzy, jak Sullivan i Burger [2017], podejmują temat cyberprzestępczości i sy-tuacji, gdy ujawnienie danych osobowych może zostać usprawiedliwione jeśli zapo-biegnie zagrożeniom cybernetycznym. Natomiast Achatz i Hubbard [2017], porównu-jąc amerykański i europejski system anonimizacji, de-identyfikacji i pseudonimizacji da-nych przytaczają przykłady technik anonimizacji dada-nych, które pozwoliłyby na wyłą-czenie danych poddanych tym technikom z zakresu przedmiotowego przepisów doty-czących ochrony danych zarówno w Unii Europejskiej, jaki i USA. Mourby, Mackey, Elliot i in. [2018] również omawiają definicje i problemy pseudonimizacji, ale w kontekście uży-cia danych przez administrację publiczną oraz wyjaśniają jak pseudonimizowane dane w jednej instytucji mogą być anonimowe dla innych podmiotów.
Goddard [2017] opisuje szerokie spektrum jurysdykcji nowych regulacji oraz ich wy-zwania i możliwości. Artykuł Chirica [2017], podobnie jak Goddarda [2017], koncentru-je się na opisie nowych regulacji, mocniej koncentru-jednak podkreślając rolę kontroli oraz kon-trolerów w przepisach RODO. Zauważa przy tym, że zdecydowanie wzmocnione zosta-ją prawa kontrolerów danych osobowych. Lindqvist [2018] zaś bada, czy przepisy RODO są w stanie poradzić sobie z nowymi technologiami, takimi jak Internet rzeczy (Internet of Things – IoT). Autor koncentruje się na zadaniach kontrolerów ochrony danych osobo-wych zwłaszcza w kontekście urządzeń typu smart (smartwatch, smartphone). Lindqvist [2018] zwraca uwagę na konieczność ciągłej definicji obiektów tego typu oraz ewaluacji tych definicji, w związku z ciągłą ewolucją tych urządzeń. Wachter [2018] także podejmu-je temat Internetu rzeczy w kontekście RODO i stwierdza, że aby zminimalizować wpływ ochrony prywatności danych na konflikt między zasadami ochrony danych osobowych, a możliwością identyfikacji w IoT standardy RODO wymagają dalszej specyfikacji i imple-mentacji we wspomniane technologie.
McCallister, Zanfir-Fortuna i Mitchell [2018] pokazują w swoim artykule przykłady planów działań związanych z przygotowaniem przedsiębiorstwa do przepisów RODO. Vanberg [2018] zaś sprawdza, czy nowo wprowadzone przepisy w UE mogą być wyko-rzystane do ulepszenia regulacji w Stanach Zjednoczonych i konkluduje, że mimo pew-nych ułomności, europejskie RODO ma wiele do zaoferowania ustawodawcom w USA. Inni autorzy, jak Bottis i Bouchagiar [2018], zwracają uwagę na problemy jakie może ro-dzić nieodpowiednie wykorzystanie danych osobowych, zwłaszcza w zbiorach (tzw. Big Data). Jako przykład wskazują dyskryminację cenową stosowaną np. podczas kwalifika-cji klienta do danej grupy, do której przypisana jest inna cena danego produktu/usługi. Natomiast Martinez-Martinez [2018] stwierdza, że RODO rozszerza pojęcie danych oso-bowych, jednakże z funkcjonalnego punktu widzenia wymaga adaptacji i harmonizacji krajowych przepisów prawa.
Konkludując, powyższe rozważania wskazują na wielowątkowe spojrzenie na zagad-nienie ochrony danych osobowych. Autorzy akcentują potrzebę doprecyzowania istnie-Kamila Leśniak, Tomasz Schabek
67 jących zagadnień prawnych oraz technicznych, co może z kolei implikować kolejne wy-zwania we Wspólnocie Europejskiej, z uwagi na mnogość tych regulacji i rosnącą forma-lizację. Jednocześnie zaakcentowano problematykę wzmożonych kontroli oraz zwięk-szonych uprawnień organów kontrolnych.