Kiedy operator musi mieć zgodę

Konsumenci zdążyli się przyzwyczaić do „inteligentnych" gadżetów, które oferują  przydatne usługi ?i aplikacje. Nie budzi zdziwienia, że telefon może zasugerować kawiarnię w pobliżu lub podpowiedzieć, gdzie  jest najbliższa poczta. Zbliża się data zapowiadanego uruchomienia europejskiego systemu eCall, za pomocą którego komputer samochodowy w razie wypadku automatycznie wezwie pomoc. Aby takie usługi działały, konieczne jest wyposażenie rozmaitych urządzeń w funkcje pozwalające gromadzić informacje o ich użytkownikach. ?W rezultacie różni przedsiębiorcy zyskują dostęp do informacji o użytkownikach, wiedząc choćby, gdzie się znajdują, czy z jakich usług korzystali w przeszłości. Zjawisko to związane jest z pojęciem internetu rzeczy (internet of things). Koncepcja ta oznacza, że przedmioty wyposażone w kod identyfikacyjny mogą gromadzić, przetwarzać lub wymieniać dane za pośrednictwem sieci.

Słysząc zatem o zbieraniu danych o użytkownikach przez inteligentne liczniki, trzeba uzmysłowić sobie, że nie jest to wyjątkowa sytuacja.

Jest to kolejny przypadek, kiedy przy pomocy elektronicznego urządzenia oferowane są użytkownikom określone usługi, w zamian za które trzeba dzielić się pewnymi informacjami o sobie. W tym jednak przypadku wątpliwości konsumentów budzi to, że zapowiadana wymiana liczników będzie odbywać się automatycznie i bez ich zgody.

Informacja ?o zapotrzebowaniu

Inicjatywy związane z wymianą liczników związane są z potrzebą tworzenia tzw. inteligentnych sieci (smart grid). Celem jest stworzenie infrastruktury, która poinformuje dostawcę o tym, jakie jest w określonym momencie zapotrzebowanie na prąd i umożliwi mu dostosowanie do tego zapotrzebowania. Dla konsumentów oznacza to, że informacja o zużyciu prądu będzie aktualizowana na bieżąco. Pozwoli to również konsumentom zachowywać się w bardziej racjonalny sposób i korzystając z oferty dystrybutorów, kupować prąd wtedy, gdy jest najtańszy, a w godzinach, gdy jest najdroższy wstrzymać pracę zbędnych urządzeń. Świadomy użytkownik będzie mógł przeanalizować, w jaki sposób korzysta z elektryczności i na tej podstawie nauczyć się oszczędzać pieniądze.

Dane pomiarowe?i osobowe

W świetle prawa informacje dotyczące zużycia energii w powiązaniu z danymi użytkownika licznika mogą stanowić dane osobowe. Potwierdza to niedawna nowelizacja prawa energetycznego, która nakazuje chronić zarówno dane pomiarowe, jak i osobowe. O ile zatem nadal toczą się dyskusje na temat szczegółowych zapisów ustawowych dotyczących ochrony takich danych,  o tyle już obecnie ich zbieranie wymaga działania w zgodzie z przepisami o ochronie danych osobowych. Co to oznacza? Należy zwrócić uwagę, że przepisy o ochronie danych osobowych zawierają ogólne klauzule. Nakładają one na administratora obowiązek oceny, czy określone działanie jest uzasadnione i czy zastosowano proporcjonalne środki zabezpieczeń. Powoduje to wątpliwości co do tego, jakie dane operatorzy mogą zbierać ?z mocy prawa, a jakie za zgodą użytkowników. Brak jest konkretnych wytycznych dotyczących wymaganych środków ochrony takich danych.

Co to oznacza

Niezależnie od toczących się dyskusji co do przyszłego kształtu prawa i zaleceń dla sektora energetycznego, użytkownicy liczników powinni zwracać uwagę, jakie usługi są im oferowane na podstawie danych pomiarowych.

Po pierwsze, co nie budzi większych wątpliwości, instalacja liczników będzie oznaczać możliwość zdalnego odczytania poboru prądu w czasie rzeczywistym. Gromadzenie takich danych wydaje się uzasadnione realizacją umowy dotyczącej dostawy prądu. ?Po drugie, mówi się również ?o przesyłaniu informacji do licznika. Tu powstaje więcej kontrowersji i potrzeba rzeczowego wyjaśnienia, czego ma dotyczyć taka zwrotna komunikacja z licznikiem. Po trzecie wreszcie, działanie na podstawie inteligentnych liczników może oznaczać, że pojawi się grupa podmiotów, które umożliwią użytkownikom nowe usługi, związane z zarządzaniem tzw. inteligentnymi sieciami domowymi. Przykładowo, takie usługi pozwolą na zdalne włączanie lub wyłączanie poszczególnych urządzeń. Trzeba również zwrócić uwagę na potencjalny krąg firm, które zyskają takie dane – czy będzie to tylko dostawca energii, operator sieci, czy też inne podmioty. Jaki będzie zakres ich odpowiedzialności?

Kontekst europejski

Na stosowanie polskich przepisów o ochronie danych osobowych do projektowania rozwiązań inteligentnych sieci nakłada się debata, która toczy się w różnych instytucjach Unii. W  kwestii ochrony prywatności w  stosunku do inteligentnych sieci wypowiadał się europejski inspektor ochrony danych, specjalne grupy zadaniowe, Grupa Robocza Artykułu 29. Najważniejszy jest wniosek, że kwestia legalności zbieranych danych powinna być rozpatrywana już podczas planowania takich rozwiązań. Oznacza to wdrożenie postulatu  privacy by design, czyli wpisania zasad ochrony danych osobowych do procesu przygotowania konkretnych rozwiązań technicznych i organizacyjnych.

Nie może być tak, że wprowadzone i zaprojektowane zostanie pewne rozwiązanie, a dopiero w momencie jego wdrożenia nastąpi weryfikacja jego zgodności z ochroną danych osobowych. Kwestie te powinny mieć już miejsce na etapie projektowania. Innymi słowy, zastanawiając się nad funkcjonalnością i celami określonych rozwiązań, trzeba mieć na uwadze, że sposób i zakres zbieranych danych podlega regulacji i że odpowiedzialny podmiot trzyma rękę na pulsie, wiedząc jakie dane gromadzi, ?po co i komu je udostępnia i w jaki sposób zabezpiecza do nich dostęp. Nie może być mowy o przypadkowym ?i niepotrzebnym z punktu widzenia wykonania usługi zbieraniu danych na zapas.

Tym celom ma służyć debata prowadzona przez podmioty odpowiedzialne za wprowadzenie inteligentnych sieci – ocena skutków w zakresie danych osobowych. Na poziomie europejskim przygotowywane są rekomendacje co do sposobów przeprowadzenia takiej oceny. Jednak nawet przygotowanie takich rekomendacji budzi kontrowersje. W opinii z grudnia  2013 r. Grupa Robocza Artykułu 29 przedstawiła szereg krytycznych uwag do szablonu oceny skutków ?w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, opracowanego przez grupę ekspertów w ramach grupy zadaniowej Komisji Europejskiej do spraw inteligentnych sieci.

Magdalena ?Kogut-Czarkowska, radca prawny ?w kancelarii Baker & McKenzie