Internet rzeczy, czyli nowe możliwości i wyzwania
Nowe technologie niejednokrotnie doprowadziły do powstania całkowicie nowych gałęzi gospodarki. W XXI wieku byliśmy świadkami sukcesu biznesowego gigantów jak Apple, Google czy Facebook. Ale nowe technologie to nie tylko szansa dla największych. Przykładem może być dynamiczny rozwój sektora e-commerce w Polsce. Początkowo uruchomienie „sklepu w Internecie” mogło być postrzegane jako poszukiwanie alternatywnego kanału sprzedaży. W 2018 r. Business Insider przedstawił raport z którego wynika, że polski rynek e-commerce osiągnął wartość sprzedaży szacowaną na 40 mld zł. Obecnie uwzględnienie preferencji konsumentów zainteresowanych dokonywaniem zakupów w Internecie, niejednokrotnie warunkuje istnienie i dalszy rozwój prowadzonego biznesu.
Grupa Doradcza ds. Internetu Rzeczy, składająca się z 80 specjalistów z różnych branż w tym przedstawicieli biznesu i nauki, sugeruje, że Internet rzeczy jest kolejną rewolucją, która będzie źródłem nowych możliwości i wyzwań dla przedsiębiorców.
Wdrażanie w życie nowych projektów biznesowych zazwyczaj wymaga przeprowadzenia etapu planowania, uwzględniającego identyfikację możliwych ryzyk i podjęcia adekwatnych, ale ekonomicznych środków zaradczych. Wśród barier, które zidentyfikowała Grupa Doradcza ds. Internetu Rzeczy znajdują się m.in. koszty wdrażania nowych technologii. z tego względu zasadnym jest, aby już na etapie planowania projektu przedsiębiorca brał pod uwagę wymogi stawiane przez unijny system ochrony danych osobowych. Obowiązek taki wynika wprost z art. 25 RODO, który wprowadza obowiązek uwzględniania ochrony danych w fazie projektowania (ang. privacy by design).
Z punktu widzenia ekonomii działania, poszerzenie dokonanych analiz o aspekt ochrony danych, pozwoli uniknąć przyszłych wysokich kosztów przemodelowania całego projektu, co może być konieczne w przypadku nieprzemyślanego wdrożenia technologii niezgodnej z wymogami unijnego systemu ochrony danych.
Internet rzeczy, gdzie tu są dane osobowe?
Najprostsza odpowiedź brzmi - wszędzie. Przez dane osobowe należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. Złożone systemy IoT, stanowiące zintegrowaną sieć połączonych ze sobą urządzeń, zostały wyposażone w szereg sensorów, które zbierają ogromną ilość informacji z otaczającego nas świata. Urządzenia takie jak telefony, inteligentne zegarki, opaski czy elementy ubrań, zbierają informacje o naszym ruchu, położeniu, pulsie serca. Nie można zapomnieć, że elementami systemu IoT mogą być kamery i mikrofony, poprzez które system IoT rozpozna wizerunek, głos lub numer rejestracyjny pojazdu.
Nie ulega wątpliwości, że część zebranych w ten sposób informacji dotyczy osób i umożliwi ich identyfikację. Wszystkie zebrane informacje mogą być analizowane poprzez skomplikowane algorytmy, a w niedalekiej przyszłości także przez sztuczną inteligencję, która będzie wyposażona w zdolność do samodzielnego uczenia się, umożliwiającą bardziej dogłębną analizę zebranych danych.
Internet rzeczy, a prywatność
Podstawowe przykłady ingerencji systemów IoT w prywatność osób zostały przeanalizowane przez Grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (dalej „Grupa”), powołaną na mocy art. 29 Dyrektywy 95/46/WE jeszcze przed reformą systemu ochrony danych wprowadzoną przez RODO (obecnie Europejska Rada Ochrony Danych).
W opinii Grupy z 16 września 2014 r., nr 8/2019 wskazano m.in. problem braku kontroli osoby nad danymi, które jej dotyczą oraz asymetrię informacji posiadanych przez osobę i administratora systemu IoT. Istnieje ryzyko, iż osoba której dane dotyczą, nie zostanie w ogóle poinformowana o ich przetwarzaniu albo zostanie poinformowana w sposób nieadekwatny i niezgodny z obowiązkiem informacyjnym.
Brak prawidłowego wykonania obowiązku informacyjnego ma dalsze konsekwencje. W sytuacji, w której osobie nie udostępniono właściwej informacji dotyczącej przetwarzania danych, udzielona przez nią zgoda na ich przetwarzanie, może zostać uznana za nieważną z uwagi na niezgodność z prawem Unii Europejskiej. Dodatkowym problemem może być brak narzędzi umożliwiających dostosowanie zgody do preferencji osoby, odnośnie poszczególnych rodzajów operacji na danych, których dokonują urządzenia IoT.
Zagrożenie dla prywatności wynika także z dużego zakresu zbieranych informacji. Połączenie ogromnej ilości danych z nowoczesnymi metodami zautomatyzowanej analizy, może doprowadzić do wysnucia z zebranych danych całkowicie nowych informacji. Osoba, której dotyczyć będą nowe informacje, nie zawsze jest poinformowana o ich przetwarzaniu, a w razie pozyskania takiej wiedzy, może być przeciwna ich ujawnieniu. Posłużmy się przykładem. Wielu użytkowników korzysta z urządzeń oferujących usługi geolokacji GPS (śledzenia ruchu i położenia). Wielu użytkowników nabyło także elektroniczne zegarki (smartwatche), które badają ich puls serca. Osoba korzystająca z takich urządzeń i usług, zazwyczaj jest świadoma konsekwencji w postaci przetwarzania wyżej wymienionych danych, tj. ruchu i pulsu serca. Można jednak założyć, że dużym zaskoczeniem dla użytkownika byłoby uzyskanie wiedzy, iż w wyniku skorelowania danych o ruchu i pulsie przez system IoT, wygenerowano nowe informacje, dotyczące stanu zdrowia i ogólnej kondycji użytkownika. Informacje dotyczące stanu zdrowia stanowią dane szczególnej kategorii i ich przetwarzanie zazwyczaj uzależnione jest od uprzedniej i świadomej zgody osoby, której dane dotyczą.
Powyższe zjawisko, polegające na łączeniu danych z różnych źródeł w celu uzyskania lepszej i bardziej precyzyjnej informacji, noszące nazwę „fuzji sensorów” (ang. sensor fusion), będzie występować w systemach IoT wielokrotnie. Fuzja sensorów, w połączeniu z ogromną ilością zbieranych danych, następnie analizowanych przez inteligentne systemy IoT, może w inwazyjny sposób wkraczać w prywatność osób. Zbiorcza analiza danych zebranych pierwotnie, które na pierwszy rzut oka sprawiały wrażenie nieistotnych dla osoby, poprzez techniki profilowania otwiera drogę do tworzenia skomplikowanych wzorców zachowań, zwyczajów i preferencji tej osoby.
Uzyskane w ten sposób informacje mogą stanowić dużą wartość dla administratora systemu IoT, aczkolwiek potencjalne korzyści mogą być zaprzepaszczone, w przypadku błędnego zaplanowania całego projektu, tj. wdrożenia nowej technologii w sposób uniemożliwiający wykorzystanie zgromadzonych lub wygenerowanych danych w sposób zgodny z prawem.
Rozwój systemów IoT w znaczący sposób może też ograniczyć osobie możliwość pozostania anonimową. Poszczególne urządzenia systemu IoT zazwyczaj posiadają własne identyfikatory (jak adres MAC). Takie identyfikatory posiadają również urządzenia bezpośrednio wykorzystywane przez człowieka. W motywie 30 RODO zauważono, że osobom mogą zostać przypisane identyfikatory internetowe, takie jak adresy IP, identyfikatory plików cookie, bądź identyfikatory generowane przez etykiety RFID. Może to skutkować pozostawieniem śladów, które w połączeniu z innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Z drugiej strony, technologie identyfikacji urządzenia mogą mieć duże znaczenie dla zapewnienia bezpiecznej i zaufanej komunikacji pomiędzy elementami systemu IoT. Odnosi się to także do wymogu umożliwienia dostępu do zebranych danych wyłącznie osobom lub urządzeniom upoważnionym. Ponadto, interoperacyjność systemów IoT może wiązać się z koniecznością identyfikacji użytkownika, jako upoważnionego do korzystania z różnych usług w poszczególnych systemach IoT. Dokonanie takiej identyfikacji, może wiązać się z koniecznością wymiany danych identyfikujących użytkownika pomiędzy różnymi systemami Internetu rzeczy.
Rozwiązaniem mogłaby być pseudonimizacja, przez którą należy rozumieć przetworzenie danych osobowych w ten sposób, by nie można ich było przypisać konkretnej osobie. W motywie 28 i 29 RODO zachęca się administratorów danych do pseudonimizacji danych, jako metody ograniczenia ryzyka dla osób, których dane dotyczą. Pseudonimizacja może stanowić pomoc w zakresie wywiązania się z obowiązku ochrony danych.
Dokonanie skutecznej pseudonimizacji w systemach IoT może być jednak bardzo trudne. Nawet w przypadku przetworzenia informacji dotyczących osoby, w celu wyłączenia możliwości jej identyfikacji (na przykład zastąpienia imienia i nazwiska alternatywnym identyfikatorem), pozostałe dane, które są przetwarzane, umożliwiają systemom IoT ponowną identyfikację konkretnej osoby.
Wynika to z zakresu i sposobu przetwarzania danych przez systemy IoT. Usunięcie fragmentu zebranych informacji nie zablokuje możliwości identyfikacji konkretnej osoby w oparciu o inne posiadane dane. Alternatywnie, całkowita anonimizacja danych osobowych może wiązać się z koniecznością usunięcia lub przetworzenia zebranych danych w znaczącym zakresie, który uczyni zebrane dane bezużytecznymi z punktu widzenia ich pierwotnego i zamierzonego wykorzystania.
Internet rzeczy, a RODO
Z problemem braku kontroli nad danymi przez osobę, której te dane dotyczą, należy zmierzyć się już na etapie projektowania systemów IoT. Przyszły administrator systemu IoT powinien pamiętać o prawach przysługujących osobom i zaprojektować system w ten sposób, aby realizacja praw osoby była technologicznie możliwa, efektywna kosztowo i nie wymagała nadmiernego czasu pracy pracowników. Dotyczy to w szczególności praw: dostępu do treści swoich danych (art. 15 RODO), sprostowania swoich danych (art. 16 RODO), usunięcia swoich danych (art. 17 RODO), ograniczenia przetwarzania swoich danych (art. 18 RODO), przenoszenia swoich danych (art. 20 RODO) i wniesienia sprzeciwu (art. 21 RODO).
W uzasadnionych przypadkach, powyższe prawa mogą podlegać ograniczeniu, co również powinno być uwzględnione w budowie systemów IoT. Dla przykładu realizacja prawa dostępu do danych, nie może niekorzystnie wpływać na prawa i wolności innych, np. w zakresie tajemnicy handlowej lub własności intelektualnej, w szczególności co do praw autorskich chroniących oprogramowanie (art. 15 ust 4 RODO, oraz motyw 63 RODO).
Przyszły administrator systemu IoT powinien zadbać o dostarczenie niezbędnych informacji osobom, których dane dotyczą, w celu prawidłowego wykonania obowiązku informacyjnego określonego w art. 13-14 RODO. Realizując niniejszy obowiązek, można posłużyć się rozwiązaniami technologicznymi, zapewniającymi dostarczenie osobie jasnej i zrozumiałej informacji w zakresie wymaganym przez RODO. W przyszłości realizacja obowiązku informacyjnego może być ułatwiona poprzez przewidzianą w art. 12 ust. 7 RODO możliwość opatrzenia wymaganych komunikatów standardowymi znakami graficznymi, które w sposób widoczny, zrozumiały i czytelny przedstawią sens zamierzonego przetwarzania. Uprawnienie do przyjmowania aktów delegowanych zgodnie z art. 92 RODO, w zakresie określenia standardowych znaków graficznych przysługuje Komisji Europejskiej (art. 12 ust. 8 RODO).
Należy ponownie podkreślić, iż brak niezbędnych informacji może doprowadzić do sytuacji, w której udzielenie zgody na przetwarzanie danych nie spełni warunków świadomej i dobrowolnej zgody określonych w art. 7 RODO, a w konsekwencji, dane nie będą mogły być przetwarzane na tej podstawie zgodnie z RODO.
Z charakterystyki systemów IoT wynika, że ich szeroka funkcjonalność pozwala wykonać wiele różnych operacji przetwarzania na gromadzonych danych. Tymczasem w motywie 43 RODO wprost wskazano, iż zgody osoby, której dane dotyczą, nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne. Oznacza, że to odpowiednio zaprojektowany system IoT powinien umożliwić dostosowanie zakresu udzielanej zgody do rzeczywistych preferencji osoby w tym zakresie.
Kluczowym problemem dla planowanych systemów IoT jest pogodzenie ich specyfiki, której cechą jest przetwarzanie bardzo dużej ilości danych, z zasadami określonymi w RODO, w szczególności z zasadą minimalizacji danych (art. 5 ust. 1 pkt c RODO). Zgodnie z przywołaną zasadą, dane powinny być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane.
Rozwinięciem zasady minimalizacji danych jest zasada domyślnej ochrony danych (privacy by default), która wynika z art. 25 ust. 2 RODO i powinna być punktem wyjścia dla projektu systemu IoT. Zgodnie z zasadą domyślnej ochrony danych administrator IoT powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślne przetwarzanie były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
Funkcja IOD.
To się dobrze przekazuje
Zastosowane w systemach IoT techniki profilowania, tworzenia wzorców zachowań, zwyczajów i preferencji osoby powinny być indywidualnie oceniane w świetle art. 22 RODO. Dotyczy to w szczególności sytuacji, w których na podstawie profilowania lub innej formy zautomatyzowanego przetwarzania danych, system IoT ma podejmować decyzję, która wywołuje skutki prawne wobec osoby lub w podobny sposób istotnie wpływa na osobę.
System IoT wykorzystujący techniki profilowania powinien umożliwiać realizację: prawa do sprzeciwu osoby wobec profilowania (art. 21 RODO) oraz prawa do żądania niepodlegania zautomatyzowanej decyzji (art. 22 ust. 1 RODO). W przypadku, gdy podejmowanie przez system IoT zautomatyzowanych decyzji jest: niezbędne do zawarcia lub wykonania umowy, bądź opiera się na uprzedniej zgodzie osoby – należy umożliwić realizację prawa żądania przez osobę interwencji ludzkiej po stronie administratora systemu IoT (art. 21 ust. 3 RODO).
Powyższe wymogi dotyczące systemów wykorzystujących techniki profilowania, powinny także być uwzględniane już na etapie planowania wdrożenia nowej technologii. Przyszły administrator systemu IoT musi zadać sobie kilka podstawowych pytań, na przykład czy ma możliwość wyłączenia funkcji profilowania albo w jaki sposób zapewni udział interwencji ludzkiej w procesie zautomatyzowanego podejmowania decyzji. Pominięcie niniejszych kwestii i pochopne wdrożenie technologii nieuwzględniającej obowiązujących wymogów, może skutkować stworzeniem systemu IoT, z którego nie będzie można korzystać bez naruszenia powszechnie obowiązującego prawa.
Podsumowanie
Zasada uwzględniania ochrony danych w fazie projektowania (ang. privacy by design) wynika wprost z art. 25 ust. 1 RODO. Zgodnie z niniejszą zasadą, już na etapie projektowania systemów IoT, należy wdrożyć odpowiednie środki techniczne i organizacyjne, które będą zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
Przy wyborze odpowiednich środków technicznych i organizacyjnych, przyszły administrator systemu IoT powinien uwzględnić: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych.
Konieczność dokonania pogłębionej analizy wynika nie tylko z obowiązku określonego wprost w RODO, ale także ze względów ekonomii działania organizacji. Pominięcie wymogów stawianych przez RODO na etapie planowania inwestycji w systemy IoT, skutkować może znacznym zwiększeniem przyszłych kosztów, w szczególności w przypadku wdrożenia mniej elastycznych rozwiązań technologicznych, których dostosowanie do obowiązujących uwarunkowań prawnych będzie utrudnione lub niemożliwe.
Z uwagi na szeroki zakres nowych danych, które mogą być wygenerowane poprzez fuzję sensorów oraz działanie sztucznej inteligencji, przyszłe możliwe zastosowania systemu IoT powinny być odpowiednio wcześniej zidentyfikowane i poddane analizie w zakresie prawnych i technicznych uwarunkowań zgodności z RODO, w szczególności podstaw prawnych przetwarzania danych osobowych. Rzetelne badanie potencjalnych zastosowań wdrażanego systemu IoT, bez wątpienia wymagać będzie ścisłej współpracy specjalistów z dziedziny IT oraz prawa.