Wykorzystywanie aplikacji umożliwiających wydawanie poleceń głosowych jest coraz powszechniejsze. Dotyczy np. inteligentnych głośników, a także usług czy urządzeń, z którymi tego typu aplikacje są połączone, np. smartfonów. Oznacza to również wyzwania związane z przetwarzaniem danych osobowych – warto wiedzieć jakie.

Wirtualnego asystenta głosowego (ang. Virtual Voice Assistant, dalej: VVA) można zdefiniować jako aplikację programową, która umożliwia prowadzenie ustnego dialogu z użytkownikiem w języku naturalnym (wytyczne Europejskiej Rady Ochrony Danych nr 2/2021 w sprawie wirtualnych asystentów głosowych; dalej: wytyczne 2/2021). Jest to więc usługa, która „rozumie” polecenia głosowe i w razie potrzeby wykonuje je lub pośredniczy w kontaktach z innymi systemami informatycznymi (o tym, jak „rozumie”, można przeczytać więcej w „IT Professional” 11/2021, s. 80).

Zastosowanie VVA może być bardzo różnorodne: zarówno domowe (osobiste), dotyczy to zwłaszcza automatyki domowej, jak i profesjonalne, szczególnie tam, gdzie trudno jest używać innych narzędzi, takich jak ekran komputera (np. na liniach produkcyjnych). VVA w założeniu mogą być również pomocne dla osób z niepełnosprawnościami lub niesamodzielnych, dla których korzystanie z „klasycznych” interfejsów może być problematyczne.

> RAMY PRAWNE

Wśród przepisów, które powinny uwzględniać zarówno podmioty oferujące VVA, jak i podmioty korzystające z nich, są przepisy dotyczące przetwarzania danych, zwłaszcza danych osobowych. Poza rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016 ze zm.; dalej: rodo) w grę będą wchodzić również przepisy dotyczące e-privacy, a więc przepisy krajowe implementujące tzw. dyrektywę o e-privacy [dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (DzUrz UE L 201 z 31.07.2002 ze zm.)], w szczególności ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (tekst jedn. DzU z 2021 r., poz. 576 ze zm.; dalej: pr. tel.).

Art. 173–174 pr. tel. regulują m.in. kwestię przechowywania informacji w urządzeniach końcowych użytkowników oraz uzyskiwania dostępu do wcześniej zapisanej informacji (obowiązek kojarzony powszechnie z plikami cookies i pokrewnymi technologiami). Urządzeniami końcowymi są w szczególności smartfony czy inteligentne telewizory. Wprawdzie, jak wskazano wcześniej, VVA sam w sobie jest usługą programową, ale jednak zawsze działa w ramach fizycznego urządzenia. VVA korzysta z sieci łączności elektronicznej, aby uzyskać dostęp do tych urządzeń fizycznych, które stanowią „urządzenia końcowe” w rozumieniu pr. tel. W związku z tym przepisy pr. tel. w ww. zakresie mają zastosowanie zawsze, gdy VVA przechowuje informacje lub uzyskuje do nich dostęp w podłączonym do niego urządzeniu fizycznym.

Co do zasady przechowywanie informacji na urządzeniu końcowym użytkownika lub uzyskiwanie dostępu do wcześniej zapisanej informacji wymaga uzyskania zgody użytkownika. Wyjątkami od tego obowiązku są przypadki, w których ww. czynności są konieczne do wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub dostarczania usługi telekomunikacyjnej, lub usługi świadczonej drogą elektroniczną żądanej przez użytkownika. Drugi wyjątek dotyczący dostarczania usługi pozwala więc dostawcom usług VVA na przetwarzanie danych w celu realizacji ich poleceń, bez konieczności uzyskiwania zgody użytkownika. Taka zgoda byłaby jednak wymagana do przechowywania lub uzyskiwania dostępu do informacji w innym celu niż realizacja poleceń użytkownika (np. profilowania).

Jednocześnie niezależnie od tego, czy zgoda jest w danym przypadku wymagana, użytkownik powinien zostać uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, w szczególności o celu przechowywania i uzyskiwania dostępu do tej informacji.

> ZAKRES PRZETWARZANIA DANYCH

Przetwarzanie danych osobowych w ramach VVA może odbywać się w bardzo dużym zakresie. Każda interakcja człowieka z VVA może mieć charakter danych osobowych, a po wejściu w interakcję VVA może przetwarzać praktycznie dowolny zakres danych, z uwzględnieniem tego, z jaką inną usługą lub systemem jest zintegrowany. Jednocześnie dane przetwarzane przez VVA mogą mieć bardzo wrażliwy charakter. Dotyczy to zarówno samej treści (znaczenie wypowiadanego tekstu), jak i metadanych (płeć lub wiek mówiącego itp.). Należy również zaznaczyć, że dane głosowe są z natury biometrycznymi danymi osobowymi, co również wpływa na ich wrażliwość:

Art. 4 pkt 14 rodo

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Warto również zwrócić uwagę na kategorie osób, których dane mogą być przetwarzane w związku z VVA obejmujących zarówno świadomych użytkowników VVA, jak i osoby, które przypadkowo weszły w interakcję z VVA, lub nawet osoby, których głos został zarejestrowany w tle. Ponadto z jednego urządzenia z VVA może korzystać kilka osób. Do tego należy również uwzględnić fakt, że w ramach VVA mogą być przetwarzane dane osobowe osób wymagających szczególnej opieki, jak np. dzieci, osoby starsze, osoby z niepełnosprawnością.

Nie bez znaczenia jest również zakres operacji wykonywanych na danych przetwarzanych w związku z korzystaniem z VVA. Im więcej VVA oferuje usługi lub funkcje i im bardziej jest połączonych z innymi urządzeniami lub usługami zarządzanymi przez inne strony, tym bardziej wzrasta ilość przetwarzanych danych osobowych i przetwarzania wtórnego. Powoduje to również mnogość procesów przetwarzania wykonywanych w sposób zautomatyzowany (wytyczne 2/2021, s. 16).

> ROLE PODMIOTÓW W EKOSYSTEMIE VVA

W ramach ekosystemu VVA można wyróżnić kilka rodzajów podmiotów, które niekiedy mogą pełnić parę ról jednocześnie. Wśród tych podmiotów należy wskazać na: dostawcę VVA, twórcę aplikacji wykorzystującej VVA, integratora (producenta urządzeń, który chce zaimplementować w nich VVA), podmiot, który wykorzystuje urządzenia z VVA dla świadczenia swoich usług, oraz użytkownika, który korzysta z VVA. Status tych podmiotów może być różnie kwalifikowany pod kątem przepisów z zakresu ochrony danych osobowych, tj. podmioty te mogą pełnić rozmaite role również pod kątem ww. przepisów, a więc mogą posiadać zarówno status administratora danych, podmiotu przetwarzającego, jak i współadministratora. Można również przyjąć, że nierzadko podmioty te będą pełnić jednocześnie kilka takich ról – i to w stosunku do tych samych danych.

Przykładowo gdy sklep internetowy sprzedający artykuły gospodarstwa domowego dostarcza swoją aplikację, która wykorzystuje VVA, będzie pełnił rolę administratora danych użytkowników aplikacji, zwłaszcza w zakresie przetwarzania danych w celu świadczenia usługi. Dostawca VVA może pełnić tutaj rolę podmiotu przetwarzającego, jeśli przetwarza dane w imieniu sklepu internetowego w zakresie możliwości korzystania z VVA w ramach aplikacji, a jednocześnie może pełnić funkcję administratora danych w zakresie przetwarzania danych na potrzeby rozwijania VVA, w szczególności z wykorzystaniem uczenia maszynowego.

[...]

Radca prawny w kancelarii Barta & Kaliński sp.j. Specjalizuje się w projektach związanych z prawem nowych technologii, prawem własności intelektualnej oraz ochroną danych osobowych.