RODO w przemyśle – jak nowe technologie wpływają na ochronę danych osobowych?

Dynamiczny rozwój technologiczny jest obecnie widoczny w niemal każdym obszarze życia. Choć coraz większy udział i znaczenie robotyki oraz automatyzacji w procesie produkcyjnym niosą ze sobą wiele korzyści, należy również uwzględnić wyzwania związane z wprowadzaniem nowoczesnych technologii.

Wraz z wdrażaniem nowych systemów rośnie liczba danych osobowych gromadzonych przez przedsiębiorstwa. Oprócz tradycyjnych danych identyfikacyjnych czy medycznych pracowników przedsiębiorcy coraz częściej zbierają dane bardziej szczegółowe. Do takich danych należą m.in. dane biometryczne (np. rozpoznawanie odcisków palców czy twarzy), dane lokalizacyjne (np. za pomocą systemów GPS w samochodach służbowych) oraz informacje dotyczące wydajności pracy. Wszystkie te dane gromadzone są w określonych celach – poprawy efektywności produkcji, monitorowania warunków pracy, zapewnienia zgodności z przepisami bezpieczeństwa oraz dostosowywania procesów produkcyjnych do zmieniających się potrzeb rynkowych.

Równocześnie, w kontekście Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz innych przepisów, przedsiębiorcy muszą stawić czoła obowiązkom związanym z zapewnieniem bezpieczeństwa tych danych oraz przestrzeganiem norm prawnych.

Celem tego artykułu jest omówienie głównych wyzwań związanych z ochroną danych osobowych w przemyśle w kontekście rozwoju nowych technologii oraz obowiązujących regulacji.

Przeczytaj również: Opóźnienie w łańcuchu dostaw. Jak uniknąć kar umownych?

Zasady ochrony danych osobowych

Zgodnie z RODO, osoby odpowiedzialne za gromadzenie i przetwarzanie danych osobowych, w tym przedsiębiorcy, są zobowiązane do przestrzegania przepisów i zasad w zakresie ochrony danych oraz do wprowadzenia odpowiednich regulacji i procedur wewnętrznych.

a) Zasada celowości ‒ dane osobowe muszą być przetwarzane w określonym, jasno wyznaczonym celu (lub kilku celach), który powinien być ujawniony osobie, której dane są przetwarzane. W przeciwnym razie może pojawić się ryzyko, że zgoda na przetwarzanie danych osobowych zostanie uznana za niewłaściwie wyrażoną (art. 6 RODO).

b) Zasada przejrzystości i informacji ‒ przedsiębiorcy muszą informować osoby, których dane dotyczą, o celach i metodach przetwarzania danych osobowych oraz o ich prawach, takich jak prawo do dostępu do danych, prawo do ich sprostowania, usunięcia czy prawo do przenoszenia danych (art. 13-15 RODO).

c) Zasada minimalizacji danych ‒ dane osobowe powinny być zbierane w sposób adekwatny, odpowiedni i ograniczony do tego, co jest niezbędne do realizacji celów przetwarzania (art. 5 ust. 1 lit. c RODO).

d) Bezpieczeństwo danych ‒ przedsiębiorcy muszą zapewnić odpowiednie środki techniczne i organizacyjne, aby chronić dane osobowe przed nieuprawnionym dostępem, zmianą, ujawnieniem lub zniszczeniem (art. 32 RODO).

Ryzyka i wyzwania związane z ochroną danych w nowoczesnym przemyśle

Zabezpieczenie danych osobowych w nowoczesnym przemyśle wiąże się z wieloma wyzwaniami, które mają charakter zarówno techniczny, jak i prawny. Automatyzacja produkcji, sztuczna inteligencja czy robotyzacja stwarzają nowe zagrożenia w zakresie bezpieczeństwa danych.

a) Ryzyko związane z cyberbezpieczeństwem

Nowoczesne technologie wykorzystywane w przemyśle wiążą się z ryzykiem cyberataków i naruszeń prywatności. W obliczu rosnącej liczby urządzeń podłączonych do sieci, takich jak maszyny produkcyjne, roboty czy urządzenia Internet of Things, ryzyko ataków hakerskich oraz wycieków danych osobowych staje się coraz większe. Do najczęstszych metod ataków cybernetycznych należą m.in. ransomware (złośliwe oprogramowanie zakłócające funkcjonowanie urządzenia, a następnie wymuszające zapłatę w zamian za przywrócenie normalnego działania), phishing (metoda oszustwa polegająca na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia danych lub środków) oraz ataki DDoS (rozproszona odmowa usługi polegająca na atakowaniu systemów z wielu urządzeń jednocześnie).

W związku z tym przedsiębiorcy muszą inwestować w technologie zabezpieczeń, takie jak szyfrowanie danych, firewalle, systemy wykrywania i zapobiegania atakom oraz systemy monitorowania bezpieczeństwa. Na rynku pojawiają się coraz nowsze metody ochrony danych przed atakami, w tym Blockchain (tworzenie trwałych zapisów transakcji), sztuczna inteligencja (AI), uczenie maszynowe (ML) czy biometryka (np. rozpoznawanie twarzy lub odcisków palców). Warto jednak zauważyć, że nowe metody ochrony mogą wymagać jeszcze większego zakresu przetwarzania danych.

b) Naruszenia prywatności

Innym wyzwaniem związanym z ochroną danych w przemyśle jest zapewnienie, by dostęp do danych osobowych miały tylko osoby upoważnione i by dane nie były zbierane nadmiarowo. Naruszenia prywatności mogą wystąpić, gdy dostęp do danych – w szczególności wrażliwych – jest niezabezpieczony.

Zgodnie z art. 9 RODO, dane wrażliwe dotyczą m.in.: pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, a także danych genetycznych, biometrycznych (do jednoznacznej identyfikacji osoby) oraz danych dotyczących zdrowia, seksualności czy orientacji seksualnej. Ich przetwarzanie jest zasadniczo zabronione, chyba że osoba, której dane dotyczą, wyraziła na to wyraźną zgodę lub jest to niezbędne do wypełnienia obowiązków ustawowych pracodawcy. Dane wrażliwe należy przetwarzać wyłącznie przez osoby upoważnione przez pracodawcę, z obowiązkiem zachowania tajemnicy.

Dane osobowe, jakie pracodawca może zbierać, określono w Kodeksie pracy w art. 22(1). Pracodawca może żądać podania innych danych osobowych wyłącznie wtedy, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Z kolei przetwarzanie danych biometrycznych pracownika jest dopuszczalne wyłącznie z jego inicjatywy, a także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony. Ochrona danych osobowych ma też swoje odzwierciedlenie w przepisach dotyczących monitoringu.

Co istotne, brak zgody na przetwarzanie danych osobowych lub jej wycofanie nie może być podstawą niekorzystnego traktowania pracownika ani powodować wobec niego jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

c) Zgodność z regulacjami prawnymi

Globalizacja, a także współpraca z partnerami zagranicznymi, nie tylko ułatwiają wymianę handlową, ale również wiążą się z dodatkowymi obowiązkami w zakresie ochrony danych osobowych. Firmy działające w różnych krajach muszą zapewnić, że ich działania są zgodne z lokalnymi przepisami dotyczącymi ochrony danych, co może być trudne, zwłaszcza w przypadku różnic w regulacjach prawnych.

Jeżeli przedsiębiorca działa poza obszarem Europejskiego Obszaru Gospodarczego (EOG), wciąż zobowiązuje się do przestrzegania przepisów RODO. Ponadto, zgodnie z art. 13 ust. 1 lit. f) RODO, ma on obowiązek poinformowania swoich pracowników o zamiarze przekazania ich danych osobowych do państwa trzeciego oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony.

Zgodnie z art. 45 RODO, Komisja może przyjąć decyzję o adekwatności w odniesieniu do kraju, terytorium lub określonego sektora w danym kraju poza EOG, który zapewnia odpowiedni stopień ochrony danych osobowych. Do krajów, wobec których Komisja wydała decyzję o adekwatności, w 2024 r. należały: Andora, Argentyna, Guernsey, Izrael, Japonia, Jersey, Kanada (w odniesieniu do komercyjnych organizacji), Korea Południowa, Nowa Zelandia, Szwajcaria, Urugwaj, USA (w odniesieniu do organizacji uczestniczących w programie Data Privacy Framework), Wielka Brytania, Wyspy Man oraz Wyspy Owcze. Lista ta jest dynamiczna i może się zmieniać, w tym przez wykreślenie danego państwa, jeśli nie spełnia ono już wymogów ochrony danych osobowych na odpowiednim poziomie.

d) Skala działalności

RODO różnicuje obowiązki przedsiębiorców w zależności od skali przetwarzania danych osobowych. W przypadku gdy przedsiębiorca przetwarza dane na dużą skalę, np. w wymiarze krajowym, regionalnym lub ponadnarodowym, a operacje przetwarzania mogą wiązać się z ryzykiem naruszenia danych, przedsiębiorca zobowiązuje się do przeprowadzenia oceny skutków planowanych operacji przetwarzania danych (art. 35 RODO). Ocena ta powinna zawierać szereg elementów, takich jak systematyczny opis planowanych operacji i celów przetwarzania, ocenę, czy operacje te są niezbędne oraz proporcjonalne; ocenę ryzyka naruszenia praw lub wolności osób; środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą.

Podsumowanie

Wraz z rozwojem technologii w przemyśle, ochrona danych osobowych staje się coraz bardziej skomplikowana. Robotyka, sztuczna inteligencja czy internet rzeczy wiążą się z koniecznością zapewnienia bezpieczeństwa danych. Przedsiębiorcy muszą stawić czoła wyzwaniom związanym z przestrzeganiem regulacji, zagrożeniami cybernetycznymi oraz ochroną prywatności swoich pracowników. Aby skutecznie zabezpieczyć dane osobowe, przedsiębiorcy powinni nie tylko inwestować w odpowiednie technologie, ale także regularnie konsultować swoje działania co do ich zgodności z obowiązującymi przepisami.

Autorzy: Radca prawny Anna Kałużna , Aplikant radcowski Aleksandra Hajduk-Pyś

Galeria