Raport IoT w polskiej gospodarce

Podczas konferencji „Internet rzeczy – Polska przyszłości”, zorganizowanej 2 lipca br. przez Ministerstwo Cyfryzacji, zaprezentowano raport „IoT w polskiej gospodarce”. Obszerne opracowanie, liczące ponad 100 stron, przedstawia główne aspekty związane z rozwojem systemów IoT, w tym dotyczące istniejących uregulowań prawnych oraz wyzwań organizacyjnych, stojących przed polskimi przedsiębiorcami, którzy są zainteresowani możliwościami, jakie otwiera przed nimi dynamiczny rozwój Internetu rzeczy.

Internet rzeczy – co to jest? Przykłady systemów IoT

Zarówno w codziennym życiu, jak i w poszczególnych branżach biznesu nietrudno zauważyć narastającą ekspansję urządzeń elektronicznych, które mają coraz szersze zastosowanie. Jest to możliwe dzięki postępującej miniaturyzacji i zmniejszaniu się kosztów produkcji tych urządzeń. Równoczesny, dynamiczny rozwój technologii komunikacji doprowadził do powstania całkowicie nowych platform i kanałów wymiany danych. Połączenie osiągnięć na tych polach umożliwia budowę ekosystemów informatycznych nowej generacji, w których urządzenia komunikują się ze sobą bez aktywnego udziału człowieka.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Definicja technologiczna IoT (skrót ang. Internet of Things, tłum. Internet rzeczy) wyjaśnia, że jest to sieć łączącą przewodowo lub bezprzewodowo urządzenia charakteryzujące się autonomicznym (niewymagającym zaangażowania człowieka) działaniem w zakresie pozyskiwania, udostępniania, przetwarzania danych lub wchodzenia w interakcje z otoczeniem pod wpływem tych danych.

Przykładami najprostszych systemów IoT mogą być zestawy kamer internetowych, zdalnie otwierane zamki do drzwi bądź urządzenia pomiarowe, które komunikują się z urządzeniami sterującymi poprzez sieć Internet.

Złożone systemy IoT mogą służyć np. budowie systemów inteligentnego transportu bądź systemów optymalizacji zużycia energii elektrycznej. Przyszłość Internetu rzeczy nierozerwalnie wiąże się z rozwojem sztucznej inteligencji (ang. AI – Artificial Intelligence), której wykorzystanie pozwoli na szybszą analizę danych przesyłanych przez urządzenia elektroniczne, a także na bardziej skuteczne wykorzystanie wyników dokonanej analizy do celów wskazanych przez człowieka.

W raporcie przedstawiono konkretne innowacyjne projekty IoT, które są obecnie w przygotowaniu bądź zostały już wdrożone. Dla przykładu, w centrum handlowym we Wrocławiu planowany jest system parkowania, który poprzez odpowiednio rozmieszczone kamery, komunikujące się z innymi urządzeniami, potrafi samodzielnie rozpoznać tablice rejestracyjne samochodów. System automatycznie otworzy szlaban prowadzący do parkingu, a po zakończeniu postoju pobierze odpowiednią należność w formie bezgotówkowej. Połączona z systemem aplikacja mobilna na telefon będzie na bieżąco informować o naliczonej opłacie. Przykładem projektu IoT, który został już wdrożony, jest możliwość skorzystania z indywidualnej oferty ubezpieczenia OC/AC. W wycenie należnej składki uwzględnia się bezpieczeństwo stylu jazdy kierowcy dzięki analizie danych pochodzących z urządzeń pomiarowych, zainstalowanych w telefonie wykorzystywanym do nawigacji samochodowej.

Raport prognozuje, że do 2020 r. IoT połączy na świecie 28 mld urządzeń. W ciągu najbliższych lat ilość ruchu autonomicznego, a więc generowanego w sieci przez same urządzenia IoT, bez zaangażowania człowieka, przekroczy ilość ruchu generowanego przez ludzi. Cały czas przyspieszać będzie integracja IoT z urządzeniami powszechnie stosowanymi, takimi jak lampy uliczne, znaki drogowe, samochody lub ubrania.

Powyższe nie może umknąć uwadze zarówno administracji państwowej, jak i przedstawicielom biznesu. Wedle prognoz przedstawionych w raporcie 2020 r. będzie kulminacyjny dla adaptacji IoT w gospodarce. Oznacza to, że krajowi przedsiębiorcy mają ostatnią szansę na dołączenie do wyścigu technologicznego o najwyższą stawkę. Dla przykładu, autorzy raportu przewidują, że do 2021 r. ponad połowa podmiotów gospodarczych z krajów G20 zmodernizuje i otworzy na IoT swoje przemysłowe systemy kontroli produkcji.

Grupa Robocza ds. Internetu Rzeczy

Grupa Robocza, która przygotowała raport zaprezentowany przez Ministerstwo Cyfryzacji, została powołana w sierpniu 2018 r. W jej skład wchodzi 80 ekspertów, w tym są to zarówno reprezentanci przedsiębiorców inwestujących w produkty i usługi związane IoT, jak i przedstawiciele sektorów gospodarki, których dalszy rozwój jest uzależniony od wdrożenia systemów IoT. Swój wkład w raport włożyły także osoby reprezentujące branżowe izby gospodarcze, środowisko naukowe, związki i zrzeszenia pracodawców oraz organizacje społeczne.

Celem Grupy Roboczej była analiza potrzeb gospodarki w związku z zastosowaniem IoT, wskazanie głównych barier ograniczających rozwój IoT, a także sformułowanie rekomendacji niezbędnych dla prawidłowego rozwoju IoT w Polsce. W raporcie zidentyfikowano sektory, które będą w szczególnym stopniu uzależnione od systemów IoT. Autorzy raportu zaliczają do nich: rynek konsumencki, branżę logistyczną/transportową oraz przemysł.

Odrębne rozdziały raportu całkowicie poświęcono perspektywom rozwoju IoT w poszczególnych branżach gospodarki, m.in. w finansach i ubezpieczeniach, budowie inteligentnych domów, ochronie zdrowia, systemach inteligentnego opomiarowania, telekomunikacji, transporcie, rolnictwie oraz przemyśle (produkcji).

Bezpłatna wiedza o RODO - korzystaj do woli!

Bariery ograniczające rozwój IoT

Grupa Robocza zidentyfikowała podstawowe bariery rozwoju technologii IoT w Polsce, w tym bariery finansowe, prawne i organizacyjne. Analiza obejmowała zarówno płaszczyznę gospodarki jako całości, jak i przeszkody specyficzne dla poszczególnych branż.

Problemem dotykającym wszystkich przedsiębiorców są nieprecyzyjne bądź niedostosowane ramy prawne. W raporcie podniesiono, że zagadnienia dotyczące IoT zostały rozproszone w wielu aktach prawnych bez zachowania spójności (m.in. RODO, Prawo telekomunikacyjne, przepisy sektorowe dotyczące tajemnicy, ustawa o krajowym systemie cyberbezpieczeństwa). Ponadto, zdaniem autorów raportu, obowiązujące przepisy prawne dotyczące gromadzenia, przechowywania, wykorzystywania danych oraz dzielenia się nimi ograniczają rozwój IoT w Polsce, w szczególności w związku z brakiem dostosowania obowiązujących uregulowań prawnych dotyczących własności intelektualnej do potrzeb wynikających ze specyfiki nowych technologii.

CZYTAJ WIĘCEJ: Dostosowanie organizacji do dyrektywy NIS

Kolejną wspólną barierą, dotykającą wszystkich branż polskiej gospodarki, jest niedostatek edukacji kierunkowej i specjalistycznej na uczelniach wyższych. Obecnie tylko pojedyncze uczelnie zorganizowały specjalistyczne kierunki nauczania związane z IoT. Zdaniem autorów raportu może to skutkować brakiem możliwości sprostania rosnącemu zapotrzebowaniu na wykwalifikowane kadry. Wskazują oni, że brak odpowiedniej liczby specjalistów na rynku, którzy posiadają stosowne kompetencje w kwestiach powiązanych z IoT, jak np. aspekty prawne czy ochrona prywatności, wymusza na przedsiębiorcach podejmowanie działań w warunkach wysokiego ryzyka biznesowego bądź powolne kształcenie kompetencji wewnątrz przedsiębiorstwa. W związku z tymi trudnościami wiele podmiotów gospodarczych porzuca innowacyjne projekty, skupiając się na swojej podstawowej działalności.

Do innych barier zaliczono m.in.:

  • brak specyfikacji rozwiązań IoT dla instytucji publicznych, co utrudnia realizowanie zamówień publicznych dla sektora publicznego; wskazano także problematyczną konieczność zapewnienia w ofercie na zamówienie publiczne restrykcyjnych warunków gwarancji, które zwiększają koszty ewentualnych napraw i konserwacji, w szczególności w przypadku dużych odległości pomiędzy urządzeniami tworzącymi system IoT,
  • brak krajowego schematu certyfikacji IoT,
  • brak ewidencji prototypowych rozwiązań, co ogranicza wymianę wiedzy pomiędzy uczestnikami rynku,
  • problemy z zagwarantowaniem interoperacyjności i otwartości systemów IoT.

Rekomendacje Grupy Roboczej ds. Internetu Rzeczy

W raporcie zaakcentowano, że kluczowe jest zbudowanie i upowszechnienie mechanizmu finansowania wdrożeń innowacji, w szczególności w średnich i rozwijających się przedsiębiorstwach, które byłyby zainteresowane pilotażem projektów IoT, a w przypadku powodzenia pilotażu – wdrożeniem nowej technologii w większej skali. z uwagi na ryzyko biznesowe wdrożenia rozwiązań IoT wśród rekomendacji uwzględniono konieczność powołania funduszu, mającego na celu zabezpieczenie płynności finansowej podmiotów, które produkują lub wdrażają innowacyjne urządzenia elektroniczne wykorzystywane w systemach IoT.

E-learning RODO to już standard!

Pracownicy zdobywają wiedzę o ochronie danych, przystępnie i praktycznie. Testy końcowe potwierdzają efekty szkolenia,a zaświadczenie je dokumentuje.
ZOBACZ WIĘCEJ
Niebagatelne dla rozwoju IoT jest zapewnienie bezpieczeństwa, które w praktyce wiąże się z potrzebą stworzenia odpowiednich procedur certyfikacji, będących skutecznym i ekonomicznym mechanizmem potwierdzenia odpowiedniej klasy jakości urządzeń IoT, a także spełnienia przez nie odpowiednich standardów: cyberbezpieczeństwa oraz wzajemnej komunikacji. Autorzy raportu wskazują, że niezbędne jest stworzenie krajowej jednostki certyfikacyjnej lub powierzenie istniejącej instytucji zadań związanych z certyfikacją. Postulowany mechanizm powinien być zgodny z mechanizmem certyfikacji przewidzianym przez RODO.

Niezależnie od powyższych działań w swoich rekomendacjach Grupa Robocza wymienia konieczność aktywnego wsparcia przedsiębiorców, którzy dostarczają rozwiązania IoT, przez instytucje publiczne. Takie wsparcie obejmowałoby m.in.:

  • skuteczną dyplomację technologiczną, realizowaną we współpracy ze środowiskiem biznesowym,
  • promowanie współpracy dużych organizacji z podmiotami, które dopiero wchodzą na rynek innowacyjnych rozwiązań (start-upami),
  • udział w tworzeniu sieci kooperacji polskich przedsiębiorców z globalnymi podmiotami inwestującymi w Polsce w ośrodki rozwoju własnych produktów i usług IoT.

Ostatni, siedemnasty rozdział raportu zawiera konkretne rekomendacje dotyczące postulowanych zmian prawnych oraz przygotowania praktycznych projektów badawczo-rozwojowych. Grupa Robocza wskazała na konieczność zaproszenia właściwych resortów administracji państwowej do podjęcia szczegółowej analizy postulowanych zmian prawnych, obejmujących m.in. Prawo telekomunikacyjne, Prawo zamówień publicznych, Prawo przedsiębiorców, a także przepisy dotyczące ochrony danych osobowych.

Niektóre z propozycji będą wymagać zmiany obowiązujących regulacji prawnych, inne – mogą być zrealizowane po opracowaniu odpowiednich wytycznych lub rekomendacji (tzw. soft law), które zwiększą pewność obrotu uczestników rynku IoT, będącego nadal w początkowej fazie dynamicznego rozwoju.

Podsumowanie

Udostępniony raport należy ocenić jako pozytywny efekt kooperacji środowiska biznesowego z Ministerstwem Cyfryzacji. Opracowanie powinno zwrócić uwagę polskich przedsiębiorców na potencjał rozwoju Internetu rzeczy i nowe możliwości, jakie dają nowoczesne technologie. Dodatkowym walorem pracy Grupy Roboczej jest wskazanie głównych barier dla rozwoju IoT w Polsce, a także propozycji usunięcia stwierdzonych przeszkód. Dalsze działania podejmowane przez administrację publiczną we współpracy z przedstawicielami biznesu powinny być uważnie obserwowane przez wszystkich zainteresowanych przystąpieniem do wyścigu o zajęcie dogodnej pozycji na rynku nowej gałęzi gospodarki.

Czytaj także:

-
4.58/5 (40) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".