Kiedy RODO wyskakuje z lodówki… i to dosłownie (cz. 1) – czyli kilka słów o ochronie danych osobowych w kontekście Internetu Rzeczy (Internet of Things)

W dzisiejszym świecie zdominowanym przez rozwój nowych technologii wiele rzeczy przestaje już zaskakiwać. Inteligentne budynki, autonomiczne samochody, automatyzacja procesów – choć może jeszcze nie są codziennością, to jednak z roku na rok stają się dostępne dla coraz szerszej grupy odbiorców. Postęp technologiczny sprawia, że nowe technologie niejako wdzierają się na obszary, co do których myśleliśmy, że nic się już w nich nie może zmienić.

Przykładem tego zjawiska jest tzw. Internet Rzeczy, zwany również Internetem Przedmiotów (ang. Internet of Things – IoT). Przeciętnemu użytkownikowi Internet kojarzy się z globalną siecią łączącą komputery, a tym samym ludzi. Internet Rzeczy, działając na podobnej zasadzie, jest globalnym systemem informatycznym łączącym niezliczone przedmioty i urządzenia, pozwalając im wymieniać między sobą ogromną ilość informacji w niezwykle krótkim czasie – i co bardzo istotne – nie potrzebując przy tym udziału człowieka.

Internet Rzeczy jest bliżej, niż się wielu osobom wydaje. Przykładem są inteligentne przedmioty osobistego użytku, jak chociażby zegarki czy okulary. Wciąż spełniają one funkcje swoich tradycyjnych odpowiedników, ale wykorzystując wbudowane obiektywy, mikrofony i czujniki mogą odbierać i przetwarzać sporą ilość danych. Część tego typu przedmiotów gromadzi i analizuje informacje na temat stylu życia i zwyczajów swoich posiadaczy. Przykładem mogą być tutaj chociażby zegarki przetwarzające informacje na temat jakości snu, rodzajów aktywności w ciągu dnia, lokalizacji często odwiedzanych miejsc, itd. Niektóre inteligentne przedmioty na podstawie zgromadzonych danych umożliwiają automatyczne budowanie modeli dotyczące stanu zdrowia i ewentualnych schorzeń swoich posiadaczy. Inteligentne przedmioty codziennego użytku, takie jak samosterujące się elementy oświetlenia czy ogrzewania, zautomatyzowane systemy dostępu do budynków, inteligentne lustra analizujące sylwetkę lub prezentujące kalendarz swojego użytkownika, czy wreszcie tytułowe lodówki kontrolujące swoją zawartość i samodzielnie dokonujące zakupów w sklepie internetowym – to nie tylko ułatwienie w codziennym życiu, ale realne wyzwanie w zakresie bezpieczeństwa gromadzonych przez te urządzenia danych.

Pytanie dotyczy przede wszystkim tego, jakiego rodzaju dane są przetwarzane, na jakiej podstawie oraz przez kogo. Dane, spośród których wiele to dane osobowe, w tym te tzw. wrażliwe – raz zebrane nie pozostają zapisane wyłącznie w pamięci urządzenia, które je zgromadziło – są one przesyłane dalej do innych inteligentnych przedmiotów, do ich producentów, producentów oprogramowania, a potencjalnie również do innych podmiotów. Niestety, nie zawsze dzieje się to za wiedzą podmiotu, którego dane osobowe dotyczą.

Najpowszechniejszą podstawą prawną przetwarzania danych osobowych jest zgoda wyrażona przez podmiot tych danych. W przypadku Internetu Rzeczy użytkownik może nie do końca rozumieć, na co dokładnie się zgadza i w jaki sposób jego dane mogą zostać wykorzystane. Nie jest też do końca jasne, na ile zgoda wyrażona przez użytkownika ma charakter dobrowolny, co jest m.in. jednym z wymogów wyrażonych w art. 4 ust. 11 RODO. Brak wyrażenia zgody na przetwarzanie danych osobowych może przecież skutkować brakiem dostępu do wielu funkcjonalności inteligetnego urządzenia, przez co zakupiona za niemałą kwotę nowinka technologiczna przestaje się czymkolwiek różnić od swoich „analogowych” odpowiedników. Nie jest też wiadome, na ile przetwarzanie danych spełnia zasady wyrażone w art. 5 ust. 1 RODO, jakimi są zgodność przetwarzania z prawem, rzetelność, przejrzystość, sprecyzowanie i minimalizacja celu przetwarzania danych, prawidłowość, ograniczenie przechowywania danych do minimum, a także integralność i poufność danych.

Niewiedza użytkowników w zakresie ich praw to też ogromne pole do nadużyć ze strony nierzetelnych producentów, w wyniku czego bardzo łatwo stracić kontrolę nad obiegiem udostępnionych danych osobowych. Gwałtowny przyrost ilości danych przetwarzanych przez inteligentne urządzenia w połączeniu z nowoczesnymi metodami analizy danych mogą prowadzić do wtórnego przetwarzania danych osobowych w celach zupełnie niemieszczących się w tych pierwotnie zakreślonych. Jeżeli podmiot przetwarzający dane nie uzyska zgody podmiotu danych na zmianę celu przetwarzania, tego typu praktyka może potencjalnie stanowić złamanie art. 6 ust. 4 RODO.

Wyzwaniem z zakresu ochrony danych osobowych jest wreszcie bezpieczeństwo przetwarzanych danych osobowych. W świetle art. 32 ust. 1 RODO obowiązkiem administratora danych i podmiotu przetwarzającego jest wdrożenie takich środków technicznych, aby zapewnić odpowiedni w danej sytuacji stopień bezpieczeństwa. O ile bezpieczeństwo informatyczne sieci komputerowych jest dziedziną od lat rozwijaną i coraz to bardziej uszczelnianą, tak Internet Rzeczy jest wciąż młodym rynkiem urządzeń prototypowych, często jeszcze nie do końca dopracowanych. Nietrudno wobec tego wyobrazić sobie sytuację, w której do wycieku danych osobowych dochodzi nie w wyniku włamania do sieci komputerowej, ale właśnie wskutek cyberataku na jeden z inteligentnych przedmiotów podłączonych do Internetu Rzeczy.

Więcej na temat potencjalnych zagrożeń związanych z ochroną danych osobowych w kontekście Internetu Rzeczy już wkrótce w części drugiej.

Daniel Dyjak