Prywatność znów w rękach obywateli
RODO to milowy krok w kierunku ochrony prywatności, ale użytkownik nadal nie dysponuje środkami zapewniającymi mu monitorowanie sposobu wykorzystania jego danych oraz kontrolę nad nimi. Zespół projektu PoSeID-on (Protection and control of Secured Information by means of a privacy enhanced Dashboard) postawił sobie za zadanie wypełnienie tej luki. Narzędziem ku temu ma być tak zwany pulpit o zwiększonej prywatności. Jest to platforma, która umożliwia konsumentom odzyskanie kontroli nad należącymi do nich danymi i podejmowanie decyzji odnośnie tego, jaką część z tych danych chcą ujawniać i komu. Francesco Paolo Schiavo, dyrektor generalny włoskiego Ministerstwa Gospodarki i Finansów oraz koordynator projektu, zgodził się udzielić odpowiedzi na kilka pytań dotyczących nowego pulpitu oraz potencjalnych korzyści, jakie niesie on dla obywateli Europy i dostawców usług elektronicznych.
Dlaczego ludziom potrzebna jest usługa taka, jak proponowany przez Pana zespół pulpit o zwiększonej prywatności?
Francesco Paolo Schiavo: Pulpit ma chronić dane osobowe. To zintegrowane i kompletne rozwiązanie chroniące prawa osób, których dotyczą dane. Podczas pracy w pulpicie o zwiększonej prywatności ludzie będą mieć zapewniony zwięzły, przejrzysty, zrozumiały i prosty dostęp do swoich danych osobowych. Będą widzieć w jaki sposób są one śledzone, a także uzyskają kontrolę nad swoimi danymi identyfikacyjnymi przetwarzanymi przez publiczne i prywatne organizacje oraz możliwość zarządzania nimi, wchodząc w ten sposób w rolę kontrolerów i dostawców danych. Zależy nam, aby ludzie mogli podejmować świadome decyzje dotyczące tego, kto będzie przetwarzać ich dane. Użytkownik będzie mógł udostępnić swoje dane, ograniczyć lub całkowicie cofnąć udzielone wcześniej pozwolenia, zgodnie z zasadą minimalizacji danych, będzie też od razu informowany, jeśli dojdzie do ich ujawnienia.
Co Pana zdaniem sprawia, że to podejście jest szczególnie innowacyjne?
Pulpit o zwiększonej prywatności to narzędzie, w którym wdrożono najnowsze technologie umożliwiające zapewnienie wiarygodności i zgodności z RODO w zakresie przetwarzania i wymiany danych. Jedną z głównych innowacji jest zabezpieczenie otwartej architektury rozwiązania za pomocą dozwolonych transakcji typu blockchain oraz inteligentnych kontaktów. Dzięki temu udało się nam zapewnić wiarygodność, transparentność i zgodność z prawami dotyczącymi ochrony danych. Mówiąc wprost, pulpit śledzi wszystkie transakcje. Rejestruje zgodę użytkownika i zapewnia kontekstową gwarancję usunięcia danych oraz ograniczenie śledzenia tożsamości. Cele te udało się zrealizować dzięki mechanizmowi „jednorazowych pseudo tożsamości”. Kolejną wprowadzoną innowacją jest integracja najnowszych technologii w pulpicie. Mówię tu o chmurze, zarządzaniu dostępem zgodnym z eIDAS (identyfikacja elektroniczna i usługi zaufania – rozporządzenie UE dotyczące identyfikacji elektronicznej oraz usług zaufania w odniesieniu do transakcji elektronicznych prowadzonych na rynku wewnętrznym) oraz zarządzaniu prywatnością z jednoczesną analizą wykorzystującą uczenie maszynowe. W celu zmniejszenia ryzyka fałszerstwa moduł zarządzania ryzykiem analizuje żądania dotyczące danych i wysyła ostrzeżenia dotyczące tych, które stanowią potencjalne oszustwo. Uruchomiliśmy też analizator danych osobowych, który monitoruje ryzyko naruszenia prywatności, wykorzystując przetwarzanie języka naturalnego do walidacji komunikacji i wiadomości. Wszystkie te funkcje sprawiają, że pulpit o zwiększonej prywatności oferuje najbardziej innowacyjne rozwiązania z zakresu TIK w jednym produkcie. Jednocześnie jest to rozwiązanie przyjazne dla użytkownika. Mogą z niego korzystać również organizacje chcące zintegrować swoje procedury z narzędziem zgodnym z RODO.
W jaki sposób udało się zapewnić, by narzędzie stanowiło remedium na różnorodne rodzaje metod śledzenia danych spotykane dziś w sieci?
Aby odpowiedzieć na to pytanie, musimy rozważyć trzy główne aspekty proponowanego rozwiązania. Po pierwsze pulpit o zwiększonej prywatności to zintegrowany prototyp, który umożliwia użytkownikowi określanie, w jaki sposób użytkownik ten chce udostępniać swoje dane osobowe organizacjom z sektorów prywatnego i publicznego. Odpowiedzialna za to procedura jest prosta i dostępna dla każdego użytkownika. Po drugie korzystamy z komponentów źródłowych. Oznacza to, że mamy możliwość zintegrowania pulpitu z dowolną architekturą TIK, czy to publiczną, czy prywatną. Pojedyncze komponenty oraz zestaw narzędzi są dostępne oddzielnie, więc organizacje działające w UE będą mogły zintegrować je z własnymi systemami. Ta funkcja potencjalnie gwarantuje znaczny rozwój technologiczny i konkurencyjność oraz tworzenie nowych możliwości biznesowych w obszarze rynku UE. Wreszcie pulpit o zwiększonej prywatności jest także usługą działającą w chmurze (PEDaaS). Organizacje niedysponujące własnymi rozwiązaniami typu blockchain czy chmurą lub niemogące pozwolić sobie finansowo na utrzymanie narzędzi zgodnych z RODO, również będą mogły z niej korzystać. W takim przypadku będą musiały uzyskać dostęp do usługi sieciowej PoSeID-on i dzięki niej monitorować i kontrolować przetwarzanie danych z poziomu pulpitu o zwiększonej prywatności.
Jak dokładnie działa to narzędzie?
Webowy pulpit użytkownika zawiera informacje dotyczące przetwarzania danych osobowych oraz zarządzania usługami. Pierwsza część przedstawia śledzenie danych osobowych, a z drugiej korzysta się do zarządzania uprawnieniami. Dostęp do usługi można uzyskać przez konto identyfikacji elektronicznej, co zmniejsza ryzyko kradzieży tożsamości i chroni prywatność użytkownika. Z poziomu pulpitu webowego można od razu poznać poziom ryzyka przekładający się bezpośrednio na stopień narażenia prywatności. Pulpit wyświetla też wyniki oceny pochodzące z kilku algorytmów obliczających, na ile ryzykowne jest udostępnianie podmiotom zewnętrznym swoich danych osobowych. Każda z usług jest oceniana osobno, można też sprawdzić łączną ocenę dla wszystkich danych.
Jakie są najważniejsze na ten moment osiągnięcia projektu?
Udało się nam rozwinąć pulpit o zwiększonej prywatności, zaimplementowaliśmy cztery różne przypadki użycia i zintegrowaliśmy pulpit z innymi systemami. System jest także w pełni zgodny z RODO w zakresie technologii usług elektronicznych, w tym administracji elektronicznej. Z dumą możemy stwierdzić, że dysponujemy rozwiązaniem, które przekazuje władzę w ręce człowieka i oddaje mu kontrolę nad własnymi danymi osobowymi. W ten sposób mamy nadzieję zwiększyć zaufanie użytkowników do usług elektronicznych i zapewnić nowe sposoby ich wdrażania.
Jakie wyzwania stoją jeszcze przed Pana zespołem?
Kończymy pracę nad czterema studiami przypadków i przystępujemy do pracy nad pełną integracją pulpitu o zwiększonej prywatności. Wdrożenie ma się ostatecznie zakończyć w grudniu 2020 roku.
Słowa kluczowe
PoSeID-on, RODO, prywatność, dane, chmura, pulpit