Internet Rzeczy (IoT) jest jednym z najszybciej rozwijających się sektorów technologicznych, ale co z ochroną prywatności użytkowników oraz bezpieczeństwem danych?

Internet Rzeczy (IoT) jest szybko rozwijającym się sektorem technologicznym. Na chwilę obecną w polskim systemie prawnym nie znajdziemy odrębnych i szczegółowych regulacji w przedmiocie technologii IoT. Takie jednostkowe regulacje zawarte są w wielu aktach prawnych (m.in. RODO1, prawo telekomunikacyjne, NIS). Należy zauważyć, że stworzenie spójnej regulacji w zakresie nowej rzeczywistości IoT jest dużym wyzwaniem legislacyjnym, w szczególności ze względu na nieustanny rozwój tej technologii.

Czym właściwie jest Internet Rzeczy

Według jednej z definicji Internetu Rzeczy wskazanych w raporcie Grupy Roboczej do Spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji2, IoT jest to ekosystem usług biznesowych, wykorzystujących przedmioty zdolne do zbierania i przetwarzania informacji (interakcji), połączone w sieć, zapewniające interoperacyjność i synergię zastosowań. Cechą charakterystyczną Internetu Rzeczy jest wszechobecne, często nieprzejrzyste gromadzenie i płynne łączenie danych użytkowników w celu zapewnienia spersonalizowanych doświadczeń. Aby umożliwić korzystanie z tej funkcjonalności, urządzenia i usługi Internetu Rzeczy muszą być połączone i współdzielić dane dotyczące interakcji użytkowników (podmiotów danych) z wieloma węzłami w sieci. Konieczna jest również spójna identyfikacja użytkowników i urządzeń w całej sieci. Warto zauważyć, że łączenie produktów/usług Internetu Rzeczy umożliwia lepsze zrozumienie użytkownika, środowiska, w którym się porusza, produktów, którymi się posługuje czy przeprowadzanych procesów. IoT pozwala również na identyfikację istotnych zdarzeń pojawiających się w trakcie korzystania z usługi i reagowanie celem natychmiastowego optymalizowania czy precyzyjniejszej personalizacji.

 

Niemniej jednak, procesy Internetu Rzeczy mogą stwarzać liczne zagrożenia dla prywatności. Są one często projektowane w taki sposób, aby były niezauważalne przez użytkowników w celu zminimalizowania utrudnień w korzystaniu z nich. Jak wskazuje się w doktrynie3, analiza dedukcyjna stosowana w ramach procesów IoT może prowadzić do podejmowania spersonalizowanych, potencjalnie dyskryminujących decyzji. Brak możliwości anonimizacji danych, niskie standardy bezpieczeństwa cyberprzestrzeni oraz nieprzejrzyste działania wielu urządzeń i usług wchodzących w skład Internetu Rzeczy przyczyniają się do zwiększenia zagrożeń dla prywatności.

„W praktyce widoczna jest zasadnicza trudność funkcjonowania tego typu usług wynikająca z zderzenia nieprzejrzystego charakteru IoT oraz konieczności informowania użytkowników o przetwarzaniu ich danych osobowych, a także kontrolowania gromadzenia i przetwarzania tych danych osobowych w celu ochrony przed zagrożeniami dla prywatności.”– mówi Karolina Smolarek, Aplikantka adwokacka, Associate, Deloitte Legal.

 

Gdzie IoT znajduje zastosowanie?

Jak wskazano powyżej, technologia Internetu Rzeczy znajduje zastosowanie w wielu branżach. Jako przykłady wzięte z życia codziennego można wymienić:

  • monitoring wolnych miejsc parkingowych na parkingach miejskich, zsynchronizowany z aplikacją mobilną, który pozwala na zmniejszenie ruchu drogowego;
  • bezgotówkowe, mobilne parkowanie na parkingach miejskich z systemem rozpoznawania tablic rejestracyjnych;
  • czujniki umieszczone w donicach informujące system nawadniania o konieczności podlania roślin;
  • opaski telemedyczne w usługach medycznych i opiekuńczych monitorujące stan zdrowia;
  • telematyka w ubezpieczeniach komunikacyjnych uzależniająca cenę ubezpieczenia od stylu jazdy.

 

W związku z powyższym warto jednak mieć na uwadze, że nie każde przetwarzanie w ramach technologii Internetu Rzeczy dotyczy danych osobowych użytkownika.

Status administratora danych osobowych

Zgodnie z RODO przyznanie statusu administratora czy podmiotu przetwarzającego (procesora) co do zasady zależy od kwestii faktycznego ustalania celów i sposobów przetwarzania danych osobowych. Przetwarzanie danych osobowych w ramach IoT może sprawiać trudności w zakresie rozróżnienia pomiędzy administratorem danych a procesorem. Dzieje się tak, gdyż wykorzystywanie technologii Internetu Rzeczy zazwyczaj opiera się na znajdowaniu korelacji już w trakcie przetwarzania, przewidywaniu i tworzeniu prognoz oraz wspomaganiu procesu decyzyjnego. Przykładowo, w przypadku korzystania z analizy big data, w rzeczywistości jedynie podmiot posiadający wiedzę i umiejętności w zakresie takiej analizy może być w stanie precyzyjnie określić np. sposoby przetwarzania danych osobowych. W przypadku zlecenia zadań w powyższym zakresie podmiotowi trzeciemu, może dojść do zatarcia kwestii faktycznego ustalania celów i sposobów przetwarzania danych osobowych.

Informowanie użytkowników o przetwarzaniu ich danych osobowych

Podczas gdy co do zasady, administrator danych osobowych podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić użytkownikowi wszelkich informacji, o których mowa w art. 13 i 14 RODO, w celu zachowania klarowności informacji i uniknięcia nieporozumień, podejście to ogranicza jednak jakość przekazywanych informacji. Potencjalne zagrożenia związane z użytkowaniem systemów IoT, w szczególności negatywne konsekwencje wynikające z gromadzenia i przetwarzania danych osobowych, np. wycieki spowodowane atakami hakerskimi, nieprawidłowe wnioski wynikające z przetwarzania danych osobowych w ramach procesów Internetu Rzeczy czy prowadzona analiza big data, mogą stanowić wyzwanie w informowaniu użytkownika przejrzystym i zrozumiałym, jasnym i prostym językiem, o przetwarzaniu jego danych osobowych. Dostarczenie bardziej szczegółowych informacji na temat charakteru i prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych jest niezbędne w celu zapewnienia użytkownikom Internetu Rzeczy możliwości dokonywania świadomych wyborów dotyczących dalszego użytkowania i zarządzania danymi osobowymi.

„Należy również pamiętać, że w celu dostarczenia użytkownikowi kompleksowego wyjaśnienia o działaniu danej technologii Internetu Rzeczy, warto wskazać istnienie solidnych narzędzi pozwalających użytkownikom na ograniczenie niedokładnej lub niepożądanej analizy danych osobowych i profilowania; oraz istnienie planów awaryjnych mających na celu ograniczenie zagrożenia dla prywatności w przypadku naruszenia tych systemów IoT.” – mówi Karolina Smolarek.

 

Zautomatyzowane przetwarzanie danych osobowych, profilowanie

Według zasady wskazanej w RODO, użytkownik ma prawo do tego, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, która wywołuje wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływa. W doktrynie wskazuje się, że możliwe jest wyodrębnienie co najmniej trzech sposobów monitorowania i profilowania dających podstawy do dyskryminacji w systemach Internetu Rzeczy4, tj. gromadzenie danych osobowych, które prowadzą do wniosków dotyczących danej osoby (np. zachowanie podczas przeglądania Internetu); tworzenie profili poprzez łączenie zestawów danych pochodzących z IoT (czasami nazywane „łączeniem czujników”); oraz tworzenie profili, które ma miejsce, gdy dane są udostępniane osobom trzecim, które łączą je z innymi zestawami danych (np. pracodawcom, ubezpieczycielom).

 

Podczas gdy niektóre wnioski i profilowanie biorące swoje źródło z Internetu Rzeczy mogą być łagodne czy nawet korzystne – na przykład gdy dane są wykorzystywane w celu zapewnienia bardziej zindywidualizowanych doświadczeń użytkownika – mogą one również prowadzić do niesprawiedliwej dyskryminacji (np. ze względów ekonomicznych lub ze względu na płeć). Należy pamiętać, że w przypadku oparcia przetwarzania danych osobowych na innych przesłankach niż wymienione w art. 22 ust. 2 RODO, podmiot danych ma prawo, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, i w związku z tym może on wyrazić swoje zastrzeżenia w zakresie przetwarzania. Administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów podmiotu danych, w szczególności pozwalające na uzyskanie interwencji ludzkiej ze strony administratora, wyrażenie własnego stanowiska i zakwestionowanie tej decyzji.

 

Ważne jest również, aby administrator był w stanie uzasadnić decyzję podjętą w rezultacie zautomatyzowanego przetwarzania danych osobowych i w sposób jasny i kompleksowy wyjaśnić m.in. w jaki sposób dokonano procesów przetwarzania, jakich danych osobowych użyto i z jakiego źródła pochodziły.

 

Ocena skutków dla ochrony danych

W każdym przypadku, gdy stosuje się systematyczną, kompleksową ocenę czynników osobowych odnoszących się do osób fizycznych (użytkowników), która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec tej osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, a także stosuje się nowe technologie przetwarzania danych osobowych, ocena skutków w zakresie ochrony danych będzie obowiązkowa, jeśli przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (użytkowników). Ze względu na rosnące znaczenie Internetu Rzeczy i związane z tym ryzyko dla prywatności, ocena skutków dla ochrony danych będzie obowiązkowa dla większości procesów przetwarzania danych osobowych w ramach Internetu Rzeczy. Podmioty prowadzące działalność w zakresie Internetu Rzeczy będą musiały ocenić ewentualne zagrożenia związane z oferowanymi przez siebie urządzeniami czy usługami. Jeśli ich ocena wykaże wysokie ryzyko dla ochrony danych osobowych, obowiązkowe będą uprzednie konsultacje z organem nadzorczym.

„Na każdym kroku zauważyć można jak nowe technologie stają się nieodłączną częścią zarówno biznesu, jak i życia prywatnego. Z całą pewnością zjawisko to będziemy obserwować jeszcze przez długi czas. Dlatego ważne jest, aby podmioty danych były w pełni świadome otaczających ich zagrożeń, a także przysługujących im praw i wolności związanych z prywatnością.” – dodaje Karolina Smolarek.

 

https://itreseller.pl/itrnewempatyczne-roboty-czyli-trendy-technologiczne-ktore-zmienia-biznes-w-2020-roku-deloitte-opublikowala-najnowszy-raport-tech-trends-2020/

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dziennik Urzędowy Unii Europejskiej L 119/1;

[2] IoT w polskiej gospodarce, raport Grupy Roboczej do Spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji, kwiecień 2019 r.;

[3] The GDPR and the Internet of Things: A Three-Step Transparency Model, Sandra Wachter, Oxford Internet Institute University of Oxford;

[4] Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR, Sandra Wachter, Oxford Internet Institute, University of Oxford and The Alan Turing Institute;