Internet Rzeczy, ochrona prywatności a bezpieczeństwo danych    

Internet Rzeczy (IoT) jest szybko rozwijającym się sektorem technologicznym. Na chwilę obecną w polskim systemie prawnym nie znajdziemy odrębnych i szczegółowych regulacji w przedmiocie technologii IoT. Takie jednostkowe regulacje zawarte są w wielu aktach prawnych (m.in. RODO¹, prawo telekomunikacyjne, NIS). Należy zauważyć, że stworzenie spójnej regulacji w zakresie nowej rzeczywistości IoT jest dużym wyzwaniem legislacyjnym, w szczególności ze względu na nieustanny rozwój tej technologii.

Czym właściwie jest Internet Rzeczy

Według jednej z definicji Internetu Rzeczy wskazanych w raporcie Grupy Roboczej do Spraw Internetu Rzeczy przy Ministerstwie Cyfryzacji², IoT jest to ekosystem usług biznesowych, wykorzystujących przedmioty zdolne do zbierania i przetwarzania informacji (interakcji), połączone w sieć, zapewniające interoperacyjność i synergię zastosowań.

Cechą charakterystyczną Internetu Rzeczy jest wszechobecne, często nieprzejrzyste gromadzenie i płynne łączenie danych użytkowników w celu zapewnienia spersonalizowanych doświadczeń. Aby umożliwić korzystanie z tej funkcjonalności, urządzenia i usługi Internetu Rzeczy muszą być połączone i współdzielić dane dotyczące interakcji użytkowników (podmiotów danych) z wieloma węzłami w sieci. Konieczna jest również spójna identyfikacja użytkowników i urządzeń w całej sieci. Warto zauważyć, że łączenie produktów/usług Internetu Rzeczy umożliwia lepsze zrozumienie użytkownika, środowiska, w którym się porusza, produktów, którymi się posługuje czy przeprowadzanych procesów. IoT pozwala również na identyfikację istotnych zdarzeń pojawiających się w trakcie korzystania z usługi i reagowanie celem natychmiastowego optymalizowania czy precyzyjniejszej personalizacji.

Niemniej jednak, procesy Internetu Rzeczy mogą stwarzać liczne zagrożenia dla prywatności. Są one często projektowane w taki sposób, aby były niezauważalne przez użytkowników w celu zminimalizowania utrudnień w korzystaniu z nich. Jak wskazuje się w doktrynie³, analiza dedukcyjna stosowana w ramach procesów IoT może prowadzić do podejmowania spersonalizowanych, potencjalnie dyskryminujących decyzji. Brak możliwości anonimizacji danych, niskie standardy bezpieczeństwa cyberprzestrzeni oraz nieprzejrzyste działania wielu urządzeń i usług wchodzących w skład Internetu Rzeczy przyczyniają się do zwiększenia zagrożeń dla prywatności.

W praktyce widoczna jest zasadnicza trudność funkcjonowania tego typu usług wynikająca z zderzenia nieprzejrzystego charakteru IoT oraz konieczności informowania użytkowników o przetwarzaniu ich danych osobowych, a także kontrolowania gromadzenia i przetwarzania tych danych osobowych w celu ochrony przed zagrożeniami dla prywatności.

- mówi Karolina Smolarek, Aplikantka adwokacka, Associate, Deloitte Legal

W związku z powyższym warto jednak mieć na uwadze, że nie każde przetwarzanie w ramach technologii Internetu Rzeczy dotyczy danych osobowych użytkownika.
 

Status administratora danych osobowych

Zgodnie z RODO przyznanie statusu administratora czy podmiotu przetwarzającego (procesora) co do zasady zależy od kwestii faktycznego ustalania celów i sposobów przetwarzania danych osobowych.

Przetwarzanie danych osobowych w ramach IoT może sprawiać trudności w zakresie rozróżnienia pomiędzy administratorem danych a procesorem. Dzieje się tak, gdyż wykorzystywanie technologii Internetu Rzeczy zazwyczaj opiera się na znajdowaniu korelacji już w trakcie przetwarzania, przewidywaniu i tworzeniu prognoz oraz wspomaganiu procesu decyzyjnego.

Przykładowo, w przypadku korzystania z analizy big data, w rzeczywistości jedynie podmiot posiadający wiedzę i umiejętności w zakresie takiej analizy może być w stanie precyzyjnie określić np. sposoby przetwarzania danych osobowych. W przypadku zlecenia zadań w powyższym zakresie podmiotowi trzeciemu, może dojść do zatarcia kwestii faktycznego ustalania celów i sposobów przetwarzania danych osobowych.
 

Informowanie użytkowników o przetwarzaniu ich danych osobowych

Podczas gdy co do zasady, administrator danych osobowych podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić użytkownikowi wszelkich informacji, o których mowa w art. 13 i 14 RODO, w celu zachowania klarowności informacji i uniknięcia nieporozumień, podejście to ogranicza jednak jakość przekazywanych informacji. 

Potencjalne zagrożenia związane z użytkowaniem systemów IoT, w szczególności negatywne konsekwencje wynikające z gromadzenia i przetwarzania danych osobowych, np. wycieki spowodowane atakami hakerskimi, nieprawidłowe wnioski wynikające z przetwarzania danych osobowych w ramach procesów Internetu Rzeczy czy prowadzona analiza big data, mogą stanowić wyzwanie w informowaniu użytkownika przejrzystym i zrozumiałym, jasnym i prostym językiem, o przetwarzaniu jego danych osobowych. Dostarczenie bardziej szczegółowych informacji na temat charakteru i prawdopodobieństwa wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych jest niezbędne w celu zapewnienia użytkownikom Internetu Rzeczy możliwości dokonywania świadomych wyborów dotyczących dalszego użytkowania i zarządzania danymi osobowymi.

Należy również pamiętać, że w celu dostarczenia użytkownikowi kompleksowego wyjaśnienia o działaniu danej technologii Internetu Rzeczy, warto wskazać istnienie solidnych narzędzi pozwalających użytkownikom na ograniczenie niedokładnej lub niepożądanej analizy danych osobowych i profilowania; oraz istnienie planów awaryjnych mających na celu ograniczenie zagrożenia dla prywatności w przypadku naruszenia tych systemów IoT.

- mówi Karolina Smolarek.

Zautomatyzowane przetwarzanie danych osobowych, profilowanie

Według zasady wskazanej w RODO, użytkownik ma prawo do tego, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, która wywołuje wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływa.

W doktrynie wskazuje się, że możliwe jest wyodrębnienie co najmniej trzech sposobów monitorowania i profilowania dających podstawy do dyskryminacji w systemach Internetu Rzeczy⁴, tj. gromadzenie danych osobowych, które prowadzą do wniosków dotyczących danej osoby (np. zachowanie podczas przeglądania Internetu); tworzenie profili poprzez łączenie zestawów danych pochodzących z IoT (czasami nazywane "łączeniem czujników"); oraz tworzenie profili, które ma miejsce, gdy dane są udostępniane osobom trzecim, które łączą je z innymi zestawami danych (np. pracodawcom, ubezpieczycielom).

Podczas gdy niektóre wnioski i profilowanie biorące swoje źródło z Internetu Rzeczy mogą być łagodne czy nawet korzystne - na przykład gdy dane są wykorzystywane w celu zapewnienia bardziej zindywidualizowanych doświadczeń użytkownika - mogą one również prowadzić do niesprawiedliwej dyskryminacji (np. ze względów ekonomicznych lub ze względu na płeć).

Należy pamiętać, że w przypadku oparcia przetwarzania danych osobowych na innych przesłankach niż wymienione w art. 22 ust. 2 RODO, podmiot danych ma prawo, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, i w związku z tym może on wyrazić swoje zastrzeżenia w zakresie przetwarzania. Administrator powinien wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów podmiotu danych, w szczególności pozwalające na uzyskanie interwencji ludzkiej ze strony administratora, wyrażenie własnego stanowiska i zakwestionowanie tej decyzji.

Ważne jest również, aby administrator był w stanie uzasadnić decyzję podjętą w rezultacie zautomatyzowanego przetwarzania danych osobowych i w sposób jasny i kompleksowy wyjaśnić m.in. w jaki sposób dokonano procesów przetwarzania, jakich danych osobowych użyto i z jakiego źródła pochodziły.
 

Ocena skutków dla ochrony danych

W każdym przypadku, gdy stosuje się systematyczną, kompleksową ocenę czynników osobowych odnoszących się do osób fizycznych (użytkowników), która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec tej osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, a także stosuje się nowe technologie przetwarzania danych osobowych, ocena skutków w zakresie ochrony danych będzie obowiązkowa, jeśli przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (użytkowników).

Ze względu na rosnące znaczenie Internetu Rzeczy i związane z tym ryzyko dla prywatności, ocena skutków dla ochrony danych będzie obowiązkowa dla większości procesów przetwarzania danych osobowych w ramach Internetu Rzeczy. Podmioty prowadzące działalność w zakresie Internetu Rzeczy będą musiały ocenić ewentualne zagrożenia związane z oferowanymi przez siebie urządzeniami czy usługami. Jeśli ich ocena wykaże wysokie ryzyko dla ochrony danych osobowych, obowiązkowe będą uprzednie konsultacje z organem nadzorczym.

Na każdym kroku zauważyć można jak nowe technologie stają się nieodłączną częścią zarówno biznesu, jak i życia prywatnego. Z całą pewnością zjawisko to będziemy obserwować jeszcze przez długi czas. Dlatego ważne jest, aby podmioty danych były w pełni świadome otaczających ich zagrożeń, a także przysługujących im praw i wolności związanych z prywatnością.

- dodaje Karolina Smolarek.