Jak chronić dane

Jakim największym wyzwaniom – z prawnego punktu widzenia – muszą sprostać młode startupy, które rozpoczynają rozwijać innowacyjne rozwiązania oparte na big data i analizie danych?

Kluczową kwestią jest zabezpieczenie danych – widzę tutaj dwa istotne aspekty. Z jednej strony to ochrona danych związana z koniecznością zabezpieczenia przed wyciekiem danych, a z drugiej kwestia sposobu ochrony pozyskanych danych przed ich wykorzystaniem przez konkurentów. 

Kolejnym problemem, z którym dopiero bedą musiały się zmierzyć innowacyjne startupy zajmujące się big data to projektowane regulacje odnoszące się do zakresu wykorzystania danych. W raporcie Polskie Startupy 2021 przygotowanym przez fundację Startup Poland, którego EY jest partnerem, 11 proc. startupów powołało się na zmieniające się szybko i niejasne przepisy jako bariery w ich rozwoju. Stabilność regulacyjna jest ważnym czynnikiem dla inwestorów, a dla startupów podstawą decyzji czy rozwijać swój startupowy biznes. Oceniam, że regulacje odnoszące się do sposobu wykorzystania big data wpłyną na innowacyjne rozwiązania bazujące na big data i analizę danych. Z jednej strony, w ramach data economy postuluje się, żeby dane były dostępne dla wszystkich – celem jest zwiększenie innowacji i konkurencyjności na wspólnym rynku. Z drugiej strony, pojawiają się projekty regulacji ograniczających możliwości użycia danych w sposób nieetyczny. 

Doskonałym przykładem projektu regulacji, który będzie miał wpływ na zakres wykorzystania danych jest projekt rozporządzenia UE o sztucznej inteligencji (AI – Artificial Intelligence) – do jej rozwijania kluczowy jest rozwój big data i wymiana danych, które służą jako wsad do systemów AI. W UE dozwolone będą systemy, opierające się na algorytmach sztucznej inteligencji tworzące wartość dodaną w gospodarce przy poszanowaniu europejskich wartości. Jako przykłady można tu wymienić technologie usprawniające produkcję lub zwiększające wydajność, które nie będą podlegały kontroli regulacyjnej. Natomiast w sytuacji, w której systemy AI mogą stanowić zagrożenie dla praw podstawowych (np. praw człowieka), będą  podlegały unijnej kontroli i zakazane jako „systemy wysokiego ryzyka”. 

Biznes stara się dokładnie zrozumieć klienta, musi więc wykorzystywać i analizować wszystkie możliwe źródła zarówno otwarte, jak i dostępne komercyjnie. O czym przede wszystkim należy pamiętać w kontekście zabezpieczenia tych danych i ochronie dostępu do nich?

Wielość regulacji prawnych i potencjalnych sposobów ochrony big data nie stanowi ułatwienia w rozwijaniu innowacyjnych rozwiązań bazujących na analizie danych. Brak podjęcia właściwych działań prawnych zmierzających do ochrony tych danych przez startup, może umożliwić swobodny dostęp do big data przez osoby trzecie. Jednym ze sposobów ochrony big data jest ochrona prawami własności intelektualnej, w tym w szczególności prawem autorskim. Ochronę zbiorów lub baz danych spełniających cechy utworu (a więc nie każdych) przewiduje art. 3 Ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Prawo autorskie). Bazy danych, które nie są przedmiotem prawa autorskiego, mogą podlegać ochronie na podstawie reżimu ochrony sui generis. Przyznana ochrona nie obejmuje w takich przypadkach zawartości baz danych, czyli danych „jako takich”, które mogą być swobodnie wykorzystywane. Z tego też względu, ochrona na gruncie prawa autorskiego czy też ochrona sui generis nie jest adekwatną ochroną big data. 

Kolejnym sposobem ochrony big data jest ochrona wynikająca z art. 11 ust. 2 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (uznk). Startup, który dopełnił warunków ochrony, będzie mógł dokonywać transakcji, których przedmiotem są dane stanowiące tajemnice przedsiębiorstwa. Ochrona big data jako tajemnicy przedsiębiorstwa na podstawie art. 11 ust. 2 uznk nie jest jednak możliwa w stosunku do każdego rodzaju danych lub każdego rodzaju działalności dotyczącej ich wykorzystania. Dla przykładu, dane zgromadzone z czujników badających jakość powietrza zamieszczonych na ulicach, mogą nie zostać uznane za poufne, ponieważ podmioty trzecie mają również możliwość ich pozyskania. Z kolei pojedyncza dana, aby skorzystać z ochrony na podstawie art. 11 ust. 2 uznk, musi zostać zabezpieczona przed dostępem osób nieuprawnionych i posiadać wartość gospodarczą lub należeć do zbioru lub zestawienia, który taką wartość posiada.  

Niestety bardzo często firmy zapominają też o bezpieczeństwie dużych zbiorów danych. Kluczowe jest więc zabezpieczenie danych, które w przypadku włamania do infrastruktury IT spowodują duże straty dla organizacji czy jej klientów. Kluczowe jest oszacowanie ryzyka z gromadzonymi danymi. Firmy powinny przede wszystkim określić, jakie informacje będą gromadzone i jakie wiążą się z nimi wymagania prawne. W każdym przypadku należy jednak zidentyfikować potencjalne ryzyko zdarzeń, które mogłyby spowodować wyciek danych i podjąć odpowiednie działania związane z zabezpieczeniem tego ryzyka. Z pewnością należy wprowadzić szyfrowanie danych (na poziomie plików, czyli w stanie spoczynku, jak i w tranzycie SSL). Klucze oraz dane powinny być przechowywane osobno. Dużym błędem jest składowanie kluczy na tym samym serwerze co dane. 

Inne aspekty to zawsze pytanie o właściwą realizację zasad przetwarzania danych w wielkich zbiorach. Pojawia się kwestia konieczności wyrażenia zgody na profilowanie. 

Jakie błędy najczęściej popełniają przedsiębiorcy, jeśli chodzi o zarządzanie pozyskanymi danymi?

Nadmierna ilość danych do przetworzenia w proporcji do rozmiarów organizacji, brak właściwych zasobów ludzkich i kwalifikacji do analizy danych, procedur dotyczących bezpieczeństwa danych i brak zapewnienia kontroli nad manipulacją danych. W dalszej kolejności jest to niewłaściwe zarządzanie danymi (skupienie się na celach bieżących, a nie długofalowych), brak aktualizacji sposobu zarządzania danymi z upływem czasu i wzrostem ich liczby. 

Startupy big data mogą mieć ochotę na kolekcjonowanie zbyt dużej ilości danych. W pierwszej fazie działalności lepiej jest zarządzać danymi podzielonymi na mniejsze części. 

Kolejnym błędem jest też brak strategii działania, jak zbierać dane. Często są one duplikowane. Gromadzenie ich powinno mieć swoją strategię, potrzebny jest dobór właściwych narzędzi automatyzujących rezultaty zarządzania danymi. Firmy bardzo często zupełnie zapominają o wdrożeniu takich narzędzi albo dobierają takie, które nie są im potrzebne.