Internet Rzeczy. Wyzwania ochrony danych osobowych

Internet Rzeczy (Internet of Things, IoT), to koncepcja stworzona przez znanego brytyjskiego przedsiębiorcę i wizjonera, Kevina Ashtona jeszcze w 1999 roku. Jego idea opisywała powszechną wymianę danych pomiędzy światem materialnym, a komputerami za pomocą setek tysięcy sensorów. Koncepcja ta okazała się bardzo trafna i dziś możemy już swobodnie mówić o sobie, że żyjemy w czasach Internetu Rzeczy.

Wszędobylskie smartfony dysponujące coraz bardziej zaawansowaną technologią i różnorodnymi sensorami to tylko wierzchołek góry lodowej, a prawdziwie dynamiczny rozwój omawianej koncepcji dopiero przed nami. Specjaliści szacują, że za około 10 lat rynek Internetu Rzeczy wart będzie nie mniej niż 4 biliony dolarów, zastrzegając przy tym, że równie dobrze – w przypadku optymalnych warunków - wartość ta może przekroczyć 10 bilionów dolarów. Każda firma i każdy przedsiębiorca mają inną wizję swojego miejsca w erze Internetu Rzeczy i niemal niemożliwym jest przewidzenie wszystkich ścieżek oraz kierunków rozwoju. Jednakże wszystkie urządzenia korzystającego z komunikacji M2M (machine to machine) muszą posiadać pewną wspólną cechę – muszą chronić dane osobowe.

Prywatność to prawo, a nie przywilej

Ochrona danych osobowych musi stać się jedną z podstawowych kwestii rozpatrywanych przez producentów urządzeń przetwarzających, przesyłających i zbierających dane, które mogą okazać się danymi osobowymi. Niebezpieczeństwa związane z niekontrolowanym przesyłem danych osobowych są trudne do wyobrażenia – poczynając od zwykłych przejęć środków zgromadzonych na internetowych kontach bankowych, aż po zaawansowane kradzieże tożsamości. Inną kwestią na którą należy zwrócić uwagę jest też możliwość wykorzystywania Internetu Rzeczy do kontrolowania i ścigania obywateli przez aparat władzy. W tej perspektywie nietrudno sobie wyobrazić, gdy obywatel oskarżony o dokonanie czynu zabronionego, przykładowo dokonania agresji fizycznej na innego człowieka, zostanie skazany nie tylko na podstawie zeznań ofiary, ale także na podstawie danych z aplikacji na smartfonie, która śledziła jego położenie i informowała o ciekawostkach w pobliżu (co pozwoliło na potwierdzenie w sposób obiektywny jego obecności na miejscu przestępstwa) oraz aplikacji monitorującej dane zdrowotne, np. wzrost tętna w czasie odpowiadającym popełnieniu przestępstwa i bezpośrednio po jego dokonaniu.

Zobacz również:

Jakie informacje są danymi osobowymi?

Dane osobowe według obowiązujących przepisów to wszelkie informacje dotyczące zidentyfikowanej, lub możliwej – bez nadmiernych kosztów – do zidentyfikowania. Tak zakreślony katalog danych osobowych jest bardzo szeroki i z pewnością informacje zbierane przez urządzenia z ery Internetu Rzeczy będą musiały spełniać podstawowe kryteria bezpieczeństwa w zakresie ochrony danych osobowych. Można się obecnie domyślać, że korzystanie z nowoczesnych urządzeń zbierających informacje o nas będzie wymagało zalogowania się do stosownej aplikacji, bądź innego rodzaju identyfikacji, a to przesądza o zastosowaniu przepisów dotyczących ochrony danych osobowych. Tym samym podmioty udostępniające tego typu urządzenia będą musiały tworzyć zbiory danych osobowych, rejestrowane u Generalnego Inspektora Danych Osobowych, bądź administrowane przez powołanego wewnątrz Administratora Bezpieczeństwa Informacji, o ile przetwarzane i zbierane dane nie będą danymi wrażliwymi. Za dane wrażliwe ustawa uznaje dane dotyczące pochodzenia rasowego lub etnicznego, poglądy polityczne, przekonania religijne oraz filozoficzne, przynależność wyznaniową, partyjną, związkową, a także dane o zdrowiu, kodzie genetycznym, nałogach, nawykach seksualnych. Ponadto do danych wrażliwych należą informacje dotyczące skazań, orzeczeń o ukaraniu, mandatach karnych oraz innych orzeczeń wydawanych w postępowaniach sądowych i administracyjnych – jednakże jest mało prawdopodobne, aby nasze urządzenia czy gadżety przetwarzały i zbierały tego typu dane. Co do zasady przetwarzanie wrażliwych danych jest możliwe po uzyskaniu pisemnej zgody osoby, której owe dane dotyczą, jednakże ustawa o ochronie danych osobowych przewiduje pewne wyjątki w tej kwestii. Ochrona danych osobowych skupia się najbardziej właśnie na danych wrażliwych i należy podkreślić, że urządzania zbierające takie dane muszą być bardzo dobrze zaprojektowane i zabezpieczone.

Gdy idzie o koncepcję zabezpieczeń urządzeń mówi się o dwóch standardach – Privacy by Design oraz Privacy by Default. Oba standardy zostały zaimplementowane w przygotowanym już Rozporządzeniu Parlamentu Europejskiego i Rady Unii Europejskiej, nazywanym roboczo GDPR (General Data Protection Regulation). Jego treść została opracowana z końcem ubiegłego roku, a w roku bieżącym ma zostać zakończona procedura legislacyjna. Najprawdopodobniejszą datą wejścia w życie tego aktu prawnego jest rok 2018, a to sprawia, że już teraz firmy projektujące urządzenia powinny zapoznać się z treścią projektu oraz budować swoje wizje i prototypy w zgodzie z jego postanowieniami. Nowa ogólnoeuropejska regulacja (poprzednia miała postać dyrektywy, a więc każdy kraj członkowski musiał ją samodzielnie zaimplementować, co powodowało pewne różnice) będzie obowiązywała bezpośrednio, na terenie każdego kraju członkowskiego. Można więc założyć, że dla żadnego kraju nie będzie taryfy ulgowej, również w kwestii wysokości kar, które będą mogły wynieść aż 20 milionów euro. Dotychczas w polskim systemie prawnym maksymalna kara nakładana przez GIODO nie mogła przekroczyć 200 tysięcy złotych. Oznacza to, że ochroną danych osobowych muszą być zainteresowane wszystkie podmioty na rynku, nawet te małe. GDPR wprowadza dużą ilość zmian w stosunku do obecnie obowiązującej w Polsce ustawy, a do najciekawszych należy brak wymogu uzyskania pisemnej zgody na przetwarzanie wrażliwych danych.

Zmiana podejścia

Prawidłowe projektowanie urządzeń, w zgodzie z wymienionymi wyżej zasadami, wymaga podejścia proaktywnego, planistycznego. Ochrona danych osobowych musi stać w centrum uwagi, a prywatność użytkownika musi być punktem wyjścia, ustawieniem domyślnym, a wszelkie związane z nią zagadnienia muszą być rozwiązywane już na etapie projektu. Należy pamiętać także o tym, że każde urządzenie korzystające z komunikacji M2M musi być w pełni funkcjonalne pomimo zaimplementowania wszystkich zasad dotyczących ochrony danych osobowych, a każda przetwarzana przez urządzenie informacja musi być zabezpieczona na wszystkich etapach przetwarzania, zbierania i przesyłania. Ponadto proces gromadzenia danych osobowych musi odznaczać się pełną transparentnością – użytkownik musi wiedzieć jakie dane o nim są zbierane, przez kogo i w jakim celu oraz ewentualnie komu mogą być udostępniane. Podołanie tym wyzwaniom nie jest łatwe, ale jest w interesie wszystkich – zarówno producentów, jak i użytkowników.

Jednym z wyzwań przed którym stoją teraz twórcy urządzeń to zabezpieczenie kanałów komunikacji w ramach M2M. Nie istnieje obecnie żaden wszechobecny standard komunikacji, nasze urządzenia korzystają z różnych standardów i różnych form komunikacji, jednakże każdy z nich musi być należycie zabezpieczony przed ingerencją z zewnątrz. Jest bardzo prawdopodobnym, że na potrzeby Internetu Rzeczy uruchomione zostaną nowe częstotliwości dla bezprzewodowych sieci komórkowych, bowiem znacznie zwiększy się ilość przesyłanych danych.

Świadomość użytkowników największym zagrożeniem?

Nie można mówić o ochronie danych osobowych bez odniesienia się do świadomości użytkowników urządzeń i gadżetów. Dzisiejszy świat charakteryzuje się łatwym dostępem do wszelkiego rodzaju informacji, niestety może to także dotyczyć informacji prywatnych. Duża część społeczeństwa nie dba o swoją prywatność, nie stosuje się do podstawowych zasad bezpieczeństwa. Nie bez powodu ukuto pojęcie „internetowego ekshibicjonizmu” w odniesieniu do ludzi, którzy dzielą się swoim życiem w Sieci, w nieco zbyt dużym stopniu. Nawet najlepiej zaprojektowane urządzenie nie zapewni bezpieczeństwa danym osobowym, jeśli użytkownik sam tego nie chce. Opublikowanie swojej trasy porannego czy wieczornego biegu na portalu społecznościowym z pozoru wydaje się być niegroźne, jednakże jeśli ów trening powtarza się o tej samej porze w konkretne dni to jest to doskonała informacja dla złodzieja, który dzięki temu dowie się ile czasu ma na to, aby okraśc nam dom, mieszkanie czy samochód. Przykłady takiej nieroztropności można bez trudu mnożyć, dość wspomnieć o człowieku, który zainstalował w swoim nowym samochodzie ukryty przycisk ocinający zapłon, a następnie opublikował informację o tym wraz ze zdjęciami na internetowym forum. Samochód został wkrótce ukradziony, a dzięki zdjęciom ukryty przycisk nie stanowił problemu.

Kwestia świadomości użytkowników jest więc kolejnym wyzwaniem dla ochrony danych osobowych i odpowiedzialność za nie stoi zarówno po stronie producentów, jak i państwa czy organizacji pozarządowych. Sprawdzą się tutaj kampanie medialne, pogadanki z uczniami czy nawet kampanie viralowe.

Ochrona danych osobowych w dzisiejszym świecie musi stać w centrum uwagi. Galopująca informatyzacja społeczeństwa, procesy globalizacyjne i możliwość komunikacji z każdą osobą w dowolnym miejscu na świecie to wspaniałe aspekty dzisiejszego świata, ale prawo do prywatności jest naturalnym prawem każdego człowieka. Dlatego też na producentach urządzeń będących ucieleśnieniem Internetu Rzeczy ciąży szczególny obowiązek dbania o prywatność końcowego użytkownika, nawet jeśli ów użytkownik jest nieroztropny.

Kamil Kozioł

Kamil Kozioł

o autorze:

Kamil Kozioł jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Śląskiego; ekspertem ds. prawa cywilnego; zawodowo zajmuje się prawem gospodarczym, korporacyjnym, konsumenckim oraz prawem nowych technologii; od 2006 roku aktywny w organizacjach pozarządowych; w 2013 roku ukończył studia podyplomowe z zakresu prawa Unii Europejskiej.