Deze beslissing van ChatGPT zou de doorslag kunnen geven. De voorzitter van het Bureau voor de Bescherming van Persoonsgegevens maakt bekend wanneer het besluit zal worden genomen
- - Als politici erover na zouden denken, zouden de regels in hun huidige vorm hen in staat stellen de doelen te bereiken die ze zichzelf hebben gesteld, zonder de beginselen van de bescherming van persoonsgegevens te schenden, zegt Mirosław Wróblewski, voorzitter van het Bureau voor de bescherming van persoonsgegevens, in een interview met WNP over de openbaarmaking van de gegevens van Jerzy Ż. in de verkiezingscampagne.
- Wróblewski heeft kritiek op het bedrijfsmodel van Facebook. - In privacy schuilt een element van bescherming van onze waardigheid, het is een fundamenteel recht. "Ik vind het niet gepast om kosten te heffen om onze fundamentele rechten te beschermen", zegt hij.
- De voorzitter van het Bureau voor de Bescherming van Persoonsgegevens maakt bekend dat er uiterlijk in december een beslissing wordt genomen in de baanbrekende zaak rond OpenAI. Cybersecurity-onderzoeker Łukasz Olejnik klaagde bij het kantoor dat de maker van ChatGPT zijn gegevens illegaal verwerkte.
- Wróblewski legt ook uit hoe de AVG binnenkort kan veranderen. De Europese Commissie heeft onlangs haar voorstellen hierover gepresenteerd.
Is de positie van de voorzitter van de UODO politiek?
- Wat bedoel je daarmee?
U beoordeelt bepaalde situaties heel anders dan uw voorganger. Bijvoorbeeld met betrekking tot envelopverkiezingen.
- Daarover verschillen wij inderdaad van mening, maar ik baseer mijn oordeel vooral op de jurisprudentie van het Hof van Justitie en de bestuursrechter. Ik denk niet dat het iets met politiek te maken heeft.
Politici worden gestraft voor het gebruik van data in campagnesEn is de AVG zelf een instrument voor politieke strijd?
- Ik snap wat je bedoelt. Ook in publieke activiteiten komt de problematiek van de verwerking van persoonsgegevens aan bod. Recente gebeurtenissen laten helaas zien dat emoties, haast of elementen van verkiezingsstrijd er vaak toe leiden dat politici vergeten dat zij de bepalingen inzake de bescherming van persoonsgegevens moeten respecteren.
Dat hoeft niet zo te zijn: als politici eens goed nadenken, kunnen ze met de huidige regelgeving hun doelstellingen verwezenlijken, zonder dat daarbij de beginselen van de bescherming van persoonsgegevens worden geschonden. Het is mogelijk om de behoefte aan transparantie, het openbaar maken van bepaalde informatie en de bescherming van de privacy van individuen met elkaar te verenigen. Helaas zijn de verkiezingscampagne en de politieke emoties niet bevorderlijk voor deze reflectie.
We hebben het over het feit dat Przemysław Czarnek en Rafał Trzaskowski details onthulden over de persoon van wie presidentskandidaat Karol Nawrocki een studioappartement zou kopen. Welke consequenties kunnen deze politici ondervinden van de voorzitter van de UODO?
- We zijn het aan het onderzoeken, dus theoretisch zijn alle gevolgen mogelijk. Zolang de procedure niet is afgerond, kan hierover geen uitspraak worden gedaan.
Welke straffen krijgen zij dan?
- De maximale boete voor overtreding van de AVG-bepalingen voor niet-zakelijke beheerders bedraagt 20 miljoen euro . Ik verwacht natuurlijk niet dat het over zulke bedragen gaat. Ik vraag mij nu af hoe ik na de procedure moet reageren. Sancties moeten enerzijds een effectieve sanctie zijn en anderzijds een afschrikwekkend effect hebben, maar ik wil er graag een educatief element aan toevoegen.
Het Bureau voor de bescherming van persoonsgegevens heeft eerder een gids opgesteld over de verwerking van persoonsgegevens in de verkiezingscampagne. Ook deze keer heb ik die aanbevelingen herhaald. Zoals je ziet, kun je nooit genoeg onderwijs hebben. Wanneer de temperatuur rond de verkiezingen afkoelt, zal ik na de feestdagen, zoals ik al heb aangekondigd, aan de voorzitters van de Sejm en de Senaat voorstellen om in samenwerking met de kiesorganen onder andere trainingen te organiseren. voor medewerkers van parlementaire bureaus. Ik ga ervan uit dat zij vaak de verantwoordelijke zijn voor de problemen met persoonsgegevens. Ik wil dat dit bewustzijn toeneemt, zodat soortgelijke schendingen niet meer kunnen gebeuren.
Ik vroeg naar de politiek, omdat beide partijen in het geschil jou als arbiter inschakelden toen de tegenpartij te veel gegevens liet zien. Ook al hebben diezelfde mensen eerder kritiek geuit op de wetten die hen beschermen.
- Enerzijds is het mijn verantwoordelijkheid als voorzitter van het kantoor om schendingen te onderzoeken, maar anderzijds, op menselijk vlak, ben ik erg gekwetst door situaties waarin de meest gevoelige informatie van een oudere persoon die er waarschijnlijk niet zo breed over wil praten, openbaar wordt verwerkt. Hierbij wordt echter wel een pluim gegeven aan de vele media, die vaak een veel grotere gevoeligheid aan de dag legden dan politici en de meest gevoelige gegevens konden anonimiseren.
Grote veranderingen in de AVG? Een goede richting, maar er is een addertje onder het grasDe regelgeving inzake gegevensbescherming gaat binnenkort veranderen. Is herziening van de AVG een noodzakelijke stap?
- De Europese Commissie heeft het idee geopperd om de verplichtingen met betrekking tot het bijhouden van een register van verwerkingsactiviteiten voor bedrijven te beperken. De grens voor deze vereenvoudiging wordt verhoogd van 250 naar 750 werknemers. In principe ben ik positief over deze stap, maar ik heb wel één kanttekening.
Wat?
- Deze limiet kan niet volledig automatisch worden behandeld. In de digitale wereld kunnen we ook te maken hebben met kleine bedrijven die weinig werknemers in dienst hebben en zeer gevoelige persoonsgegevens verwerken. De regels hiervoor zouden anders moeten worden opgesteld, omdat de verwerking grote risico's met zich meebrengt voor de rechten en vrijheden van personen. Wij hebben hierop gewezen in het gezamenlijke standpunt van de Europese toezichthoudende autoriteiten – het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming.
Bijvoorbeeld online winkelplatformen?
- Bijvoorbeeld online apotheken. Ze hebben niet veel werknemers nodig, maar verwerken toch inherent gezondheidsgegevens.
Naar mijn mening zou vereenvoudiging ook moeten gelden voor een andere categorie entiteiten: niet-gouvernementele organisaties. Voor hen gelden dezelfde eisen als voor ondernemingen, maar ze hebben aanzienlijk minder mogelijkheden. Medio juni organiseren wij een conferentie van Europese autoriteiten voor gegevensbescherming en ik wil dit onderwerp daar aankaarten.
Vindt u dat er nog meer wijzigingen in de AVG nodig zijn?
- Ik geloof niet dat wetswijzigingen op dit gebied het belangrijkste zijn. Ondernemers hebben over het algemeen behoefte aan ondersteuning op het gebied van de toepassing van de AVG , maar zijn al gewend aan het bestaan van deze verordening. Verdere wetswijzigingen zouden onnodige chaos kunnen veroorzaken op het gebied van gegevensbescherming. Zeker omdat we te maken hebben met dringendere uitdagingen, zoals de implementatie van aanvullende EU-verordeningen die al van kracht zijn, maar waarvoor in Polen nog geen specifiek institutioneel apparaat bestaat.
U heeft het over de Digital Services Act (DSA). We zijn voor het HvJ-EU gedaagd omdat we het niet hebben uitgevoerd.
- In de wachtrij staan ook de AI-wet, de Data Governance Act, de NIS2-richtlijn met betrekking tot cybersecurity, en zo kunnen we nog wel even doorgaan. Hier is sprake van veel onzekerheid, omdat instanties vaak twee of drie van zulke grote regelingen moeten toepassen en hun inspanningen daarop moeten concentreren. De EU-wetgever stelt ons voor vele uitdagingen. Een nieuwe gelijktijdige verandering, ditmaal op het gebied van de AVG, is dan ook niet de meest verwachte.
Eind dit jaar zal het Bureau voor de Bescherming van Persoonsgegevens een besluit nemen over OpenAIMeneer de Voorzitter, zijn kadaster- en hypotheekregisters persoonsgegevens of niet?
- Kadaster- en hypotheekregisternummers zijn persoonsgegevens. Dat weten wij uit de definitieve uitspraak van het Hooggerechtshof. Tegenwoordig is het een uitdaging om tegelijkertijd de transparantie van kadaster- en hypotheekregisters te waarborgen conform de bepalingen van de Wet op het Kadaster en de Wet op het Hypotheekregister en tegelijkertijd de privacy te beschermen.
Is dit te rijmen?
- Wij verwachten dat er een mechanisme wordt geïmplementeerd dat toegang tot de boeken mogelijk maakt, maar met authenticatie van de persoon die toegang heeft tot de boeken. Het idee is om te voorkomen dat systemen met behulp van geautomatiseerde tools naar boeken zoeken en deze kennis vervolgens op internet verkopen. Het Ministerie van Justitie heeft aangekondigd dat het een project gaat opzetten om dit probleem op te lossen. Ik heb een maand geleden geïnformeerd naar de status van deze werkzaamheden, maar heb tot nu toe geen antwoord gekregen over de voortgang.
Persoonlijk zou ik graag zien dat dit probleem opgelost wordt. Dit is echter één van de aspecten van de problemen met de effectieve toepassing van EU-regelgeving met betrekking tot entiteiten die buiten de EU zijn geregistreerd.
Grote technologiebedrijven konden hun verantwoordelijkheid niet nemen. Uw Ierse tegenpartij, die jarenlang de procedures heeft gevoerd, is verantwoordelijk voor eventuele geschillen met hen.
- Het hangt af van de manier waarop de AVG is opgesteld. De procedures in zaken die wij naar Ierland moeten verwijzen, duren immers jaren en daarom lijkt het er niet op dat hier sprake is van een effectief toezichtsysteem. In de Digital Services Act is dit inmiddels anders geregeld: niet het land waar het bedrijf zijn hoofdkantoor heeft, maar de Europese Commissie is verantwoordelijk voor de handhaving van de regels tegenover grote bedrijven. Ik beschouw deze oplossingen niet als ideaal, maar ze kunnen de procedures voor de behandeling van dergelijke gevallen zeker vergemakkelijken en vereenvoudigen.
Het zijn niet alleen de zaken die naar Ierland worden overgebracht die voortduren. In augustus 2023 was er nog steeds geen beslissing genomen in de zaak van de onafhankelijke cybersecurity-onderzoeker Dr. Łukasz Olejnik, die een klacht indiende tegen OpenAI. Hij beweerde dat het bedrijf zijn gegevens onrechtmatig verwerkte.
- Ik wilde dat deze kwestie gesloten werd. Maar toen werd de beheerder wakker en begon met het indienen van zulke uitgebreide documentatie dat het heel lang duurde om die te analyseren.
Om het simpel te zeggen: heeft OpenAI u overspoeld met documenten?
- Ik zou zulke woorden niet gebruiken.
Ik heb het gebruikt.
- Dat zal ik niet ontkennen. Ik heb mijn collega's gevraagd om hier zo snel mogelijk mee aan de slag te gaan, maar we moeten ook de normen en procedurele eerlijkheid in acht nemen. Als we dat niet doen, is de kleinste omissie of overhaasting later de gemakkelijkste manier om de beslissing bij de bestuursrechter aan te vechten. Eén kleine fout kan ertoe leiden dat veel wezenlijk werk verloren gaat.
Wanneer weten we wie gelijk heeft?
- Ik wil het werk uiterlijk in de vakantie afronden. Voor mij is de laatste deadline het einde van het jaar.
Uw beslissing kan gevolgen hebben voor de gehele bedrijfsvoering van OpenAI in Europa.
- Het bedrijf zal er zeker vragen over stellen, ik ben daar op voorbereid. Poczta Polska, dat in verband met de envelopverkiezingen de hoogste boete ooit kreeg opgelegd door het bureau , ging ook in beroep bij de bestuursrechter. Hij heeft het recht om dat te doen, maar juist daarom moeten wij ervoor zorgen dat de procedures worden gevolgd.
Critici zullen zeggen dat u de ontwikkeling van kunstmatige intelligentie in Polen beperkt.
- Natuurlijk kan iemand er zo mee omgaan. Maar ik zeg er wel één ding over: het is niet onze bedoeling om iets te blokkeren. Het gaat er hier niet om dat we iemand verbieden om persconferenties te organiseren of nuttige AI-gebaseerde applicaties te bouwen. Het gaat erom dat het doel bereikt kan worden en dat tegelijkertijd de bescherming van persoonsgegevens gewaarborgd blijft. En dat is natuurlijk vaak heel moeilijk. Het vereist een bepaalde inspanning en het invoeren van nieuwe technologische en juridische oplossingen. Maar er is eigenlijk geen andere manier dan beide doelen na te streven.
Ik wil nog één ding benadrukken. De beslissingen van de voorzitter van de UODO worden nooit in de vorm 'nee, vanwege de AVG' geschreven. Wij streven ernaar om u te adviseren over hoe u aan de regelgeving kunt voldoen. Uiteraard is het daarvoor noodzakelijk dat onze partners oplossingen vinden, zowel van juridische als technische aard.
Facebook heeft een oplossing gevonden voor de overmatige inmenging in de privacy van gebruikers door de "pay or ok"-optie te introduceren. Dat wil zeggen: ga akkoord met surveillance of betaal. En de president was er nog steeds niet blij mee.
- Soms kost het meer moeite om een oplossing te vinden, soms is het heel moeilijk. Maar zonder dit is er geen vooruitgang.
Wat is er mis met dit model waarbij we Facebook betalen met data of met geld voor gebruik?
- Sommige uitdagingen zijn van ethische aard.
In privacy schuilt een element van bescherming van onze waardigheid, het is een fundamenteel recht. Ik vind het niet gepast om kosten te heffen om onze fundamentele rechten te beschermen.
Met Meta kunt u er ook voor kiezen om uw gegevens uit te sluiten van AI-training.
- Na mijn ervaring met dit bedrijf zie ik dat het in staat is tot verandering en samenwerking. Dat was het geval bij de oplichting waarvan onder andere de heer Rafał Brzoska het slachtoffer werd. Er werd een tool ontwikkeld waarmee dergelijke frauduleuze advertenties automatisch konden worden gedetecteerd .
Dat dit niet werkt, bewijst CERT Polska bij NASK.
- Ja, maar er worden pogingen gedaan om het probleem op te lossen en het bedrijf reageert hierop, ook al was dat in het begin helemaal niet het geval. Ik geloof dat bedrijven zullen reageren op de problemen die wij aankaarten, omdat zij pragmatisch zijn en niet in de problemen willen komen.
Is dit een les die Poolse ondernemers ook moeten leren? Elk jaar neemt het aantal en de ernst van de boetes die het Bureau aan Poolse ondernemers oplegt, toe.
- Dit komt doordat de verwachtingen ten aanzien van naleving van de AVG zeven jaar na de inwerkingtreding van de verordening hoger liggen dan aan het begin. Na deze tijd is het moeilijk te rechtvaardigen dat iemand niet meer weet hoe de basistaken eruitzien.
Is er dan geen genade?
- Zeker. UODO heeft duidelijk een educatieve missie: we reizen door Polen, ontmoeten ondernemers en werken samen met lokale overheden. Tegelijkertijd valt niet te ontkennen dat er nog steeds controleactiviteiten, handhaving en procedures bij overtredingen plaatsvinden. Ik denk dat uit de beslissingen van dit jaar al duidelijk is dat de overheid ook veel te doen heeft als het gaat om de bescherming van persoonsgegevens.
wnp.pl
