GIODO tłumaczy Spider’s Web – kto jest posiadaczem urządzenia powinien mieć pełną informację o tym, co to urządzenie robi

Artykuł/Technologie 20.01.2014
GIODO tłumaczy Spider’s Web – kto jest posiadaczem urządzenia powinien mieć pełną informację o tym, co to urządzenie robi

GIODO tłumaczy Spider’s Web – kto jest posiadaczem urządzenia powinien mieć pełną informację o tym, co to urządzenie robi

Internet Rzeczy wzbudza duże emocje. Jak spojrzeć na niego w kontekście ochrony danych osobowych i ochrony prywatności? Specjalnie dla czytelników Spider’s Web postanowiłam porozmawiać o tym z Generalnym Inspektorem: dr Wojciechem Rafałem Wiewiórowskim.

W dniu 28 stycznia 2014 r. obchodzony jest, w Polsce, VIII Dzień Ochrony Danych Osobowych. Razem z Generalnym Inspektorem Ochrony Danych Osobowych, zapraszamy do wzięcia udziału m.in. w konferencji „Prywatność w cyfrowym świecie”. W tym dniu będzie można skorzystać z bezpłatnych porad prawnych z zakresu ochrony danych osobowych, a także otrzymać publikacje Biura Generalnego Inspektora Ochrony Danych Osobowych oraz inne materiały edukacyjne dotyczące ochrony danych osobowych i prywatności.

Zapraszam do przeczytania fragmentu mojej rozmowy dotyczącej Internetu Rzeczy

Beata Marek: Internet Rzeczy (ang. Internet of Things) wskazywany jest jako jeden z wiodących trendów rozwoju urządzeń użytkowych. Podczas tegoroczncyh targów CES, w Las Vegas, właściwie termin ten zdominował większość prezentacji. Osobiście dość duże wrażenie zrobił na mnie projekt Żłobek 2.0 wpisujący się w tzw. termin „ubieralna elektronika“. Zasada działania jest dosyć prosta. Śpioszki wyposażone są w komputer wielkości karty SD oraz wiele czujników, których zadaniem jest pomiar np. temperatury ciała dziecka i informowania rodziców czy wszystko jest w porządku. W przyszłości niewykluczone, że rodzice będą kupować dzieciom kurtki z geolokalizatorami i obserwować, czy nastolatek jest w szkole czy np. na wagarach. Wiele osób zastanawia się, czy takie „chipowanie“ – jest to jednak jakaś forma znakowania – nie narusza praw człowieka, ludzkiej godności.

Dr Wojciech Rafał Wiewiórowski: Na początek powiem, że jestem absolutnie przekonany, że rewolucja związana z Internetem Przedmiotów (lub inaczej Internetem Rzeczy) jest najważniejszym wyzwaniem na najbliższy okres. Już w tej chwili Internet Rzeczy został bardzo sprawnie wprowadzony do logistyki. Jeżeli udamy się do dobrze funkcjonującego portu morskiego, to zobaczymy, że każdy z kontenerów jest opatrzony chipem, dzięki czemu można sprawdzić, w którym systemie informacyjnym jest odnotowany, skąd przybył oraz śledzić, jak się dokładnie porusza.

Teraz niewątpliwie dochodzimy do etapu, w którym – przede wszystkim ze względu na wdrożenie technologi IP v.6 – te chipy czy różnego rodzaju czujniki schodzą z poziomu dużego przedmiotu na poziom przedmiotu małego. Nie ma żadnych wątpliwości, że w ciągu najbliższych 10 lat każde urządzenie i spora część naturalnych tworów będą opatrzone tego typu chipami.

We wrześniu 2013 r. Generalny Inspektor Ochrony Danych Osobowych podczas posiedzenia Komisji Innowacyjności zapoznał posłów z zagadnieniem Internetu Przedmiotów i konsekwencjami wdrożenia tej technologii, wskazując je jako jeden z tematów do pilnego rozważenia. Swoje stanowisko w tej sprawie przedstawiały także Ministerstwo Administracji i Cyfryzacji oraz Ministerstwo Gospodarki, ale chyba najciekawsza była godzinna prezentacja przygotowana przez wiceprezesa Zarządu Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji, Jarosława Tworóga. Wprawdzie nie zaskoczył mnie jej zakres, bo Internetem Przedmiotów unijni rzecznicy ochrony danych osobowych zajmują się już od dłuższego czasu, natomiast sposób ujęcia tematu i przystępność prezentacji spowodowały, że zwróciliśmy się z prośbą o jej przedstawienie uczestnikom konferencji organizowanej przez GIODO 28 stycznia br. w związku z VIII Dniem Ochrony Danych.

Co zaś do kwestii upowszechniającego się chipowania małych przedmiotów, to warto wskazać na projekty naukowe współfinansowane z funduszy europejskich, których celem jest przeanalizowanie wszystkich aspektów umieszczania chipa w zwojach tekstyliów (np. PASTA Platform For Advanced Smart Textile Applications), m.in. ustalaniem tego, czy lepiej jest go ukrywać gdziekolwiek tak, żeby nie był wyczuwalny dla osoby noszącej, czy lepszym rozwiązaniem jest wgrywanie go do różnego rodzaju aplikacji, które znajdują się na koszuli albo sukience, czy może wszywanie go pomiędzy szwy? To już zaczyna być działanie czysto techniczne. Już nie rozważamy, czy takie chipy w ogóle umieszczać, tylko jak to zrobić najsprawniej.

W tym kontekście dla ochrony prywatności najważniejsze znaczenie mają dwie podstawowe sprawy. Po pierwsze to, że rzeczy których używamy, zaczną być interaktywne. Przypomina mi się oświadczenie Komisji Europejskiej o „gadających jogurtach“ i faktycznie te jogurty wkrótce naprawdę zaczną mówić. Czyli umożliwią nam mobilne sprawdzenie, co się dzieje np. w mojej lodówce. Są sieci sklepów, które już zaczęły wprowadzać produkty opatrzone RFID. Robią to choćby po to, by szybciej można było płacić za towary. Ale tego chipa można wykorzystać również do innych celów (np. w zakresie telemedycyny). Najważniejsze jest jednak to, że poza tym, iż to my będziemy się komunikować z przedmiotami, które do nas należą, one będą nawiązywały kontakt również między sobą. Nawiasem mówiąc, ciekawe jest, skąd te przedmioty będą wiedziały, że należą akurat do nas, a nie do kogoś innego. Niemniej ważniejsze jest inne pytanie, które się pojawia w tym kontekście – czy nasz garnitur lub sukienka będą np. informowały producenta o tym, jak się przemieszczają i w jakich celach są używane. Bo nowoczesne samochody już dziś to czynią, wysyłając bez naszej wiedzy informacje o naszych zachowaniach na drodze… producentowi!

Po drugie, wchodząc do sklepu np. z towarami luksusowymi, w którym różne skanery będą, sprawdzać, w jakim ubraniu przyszliśmy i na tej podstawie oceniać, czy jesteśmy ciekawym klientem, interesować nas powinno to, kto będzie dokonywał tego profilowania osób i jak to się będzie zbiegało z różnego rodzaju profilami osobowymi, które już ten sklep stworzył np. na podstawie kart lojalnościowych czy innych informacji. Mogę powiedzieć tylko tyle, że to jest ogromne wyzwanie. Można sobie wyobrazić rzeczywiście mnóstwo dobrych zastosowań Internetu Przedmiotów, ale tworzy on również nowe wyzwania w zakresie ochrony danych osobowych i prywatności. Dlatego w mojej opinii, temat ten powinien być monitorowany zarówno przez Generalnego Inspektora, jak i polski Parlament, o co zresztą wystąpiłem.

Jarvis

chmura

BM: Na targach CES największym zainteresowaniem cieszyła się prezentacja prototypu elektronicznego asystenta Jarvis, którego zadaniem jest nasłuchiwanie tego, co cały czas dzieje się wokół nas. Urządzenie będące czymś w rodzaju słuchawki bluetooth pozostaje ciągle w stanie gotowości i uaktywnia się np. by podpowiedzieć, gdzie w pobliżu znajduje się restauracja. Na tym jednak jego rola się nie kończy. Asystent potrafi zamówić stolik, sprawdzić, czy termin rezerwacji nie koliduje z kalendarzem spotkań zapisanym w smartphonie, odwołać nachodzące spotkanie, a także poinformować o liczbie nieodebranych połączeń. Bez wątpienia urządzenie będzie przetwarzać duże ilości danych, w tym danych sensytywnych. Czy tego typu produkt wpisuje się w standardy ochrony prywatności przyjęte w Unii Europejskiej? Są one jednak trochę inne niż te przyjęte w Stanach Zjednoczonych Ameryki Północnej (dalej jako „USA“). I to jest też pytanie, czy taki asystent będzie te dane zapisywał w swojej pamięci, czy też może będzie je eksportował na zewnątrz. Pytanie, gdzie i w jakim celu.

WW: Jestem przekonany, że nie będzie miał większej pamięci i będzie łączył się z jakimś rozwiązaniem chmurowym, a dane będą przechowywane na zewnątrz. Pamiętajmy, że dane przechowywane w urządzeniu mogą być wraz z nim zgubione czy zniszczone. Przechowywanie tych danych, również ze względu na rozmiar , byłoby dużo prostsze w chmurze niż w samym urządzeniu.

BM: Na smartphonie już teraz są przechowywane różne informacje, za pomocą aplikacji możemy łączyć się z innymi naszymi danymi, które są w całości przetwarzane w chmurze.

WW: To prawda, ale pamiętajmy, że smartphony coraz większą ilość informacji przetwarzają jednak w chmurze. Pani zadała bardzo ważne pytanie, które jest pytaniem prawnym i filozoficznym jednocześnie. Chodzi o to, czy urządzenie w ogóle można oceniać pod kątem prawa.

Ta osoba, która ma urządzenie, ma autonomię informacyjną i może udostępniać nawet wszystkie informacje o sobie tym, którym ma ochotę je udostępniać. Także z punktu widzenia ochrony prywatności nic nie stoi na przeszkodzie, abyśmy informowali wszystkich i o wszystkim, co nas dotyczy. Ale pod dwoma warunkami. Po pierwsze, że na pewno wiemy, co udostępniamy, a po drugie, że zdajemy sobie sprawę z konsekwencji takiego działania. Z tego m.in. powodu unijni rzecznicy ochrony danych osobowych poprosili o wyjaśnienia dotyczące wszystkich aspektów funkcjonowania Google Glass. Najważniejsze jest bowiem to, co klient wie o urządzeniu, którego używa, czy wie, jakie dane ono pozyskuje i gromadzi, kto ma do nich dostęp. Jeżeli klient jest w pełni poinformowany, jakie informacje są zbierane, czy i komu są przekazywane, to ma pełne prawo podjąć decyzję o udostępnieniu określonych informacji, ale jedynie tych, które go dotyczą. Jedyną kwestią, w którą mogliby ingerować rzecznicy ochrony danych, jest przekazywanie informacji dotyczących osób trzecich. Z pewnością ochrona osób trzecich przed tego typu inwigilacją, która byłaby prowadzona przez właściciela urządzenia jest czymś, czym GIODO i jego odpowiednicy powinni się zająć.

Podsumowując, ten kto jest posiadaczem bądź właścicielem urządzenia powinien mieć pełną informację o tym, co to urządzenie robi, by móc świadomie i dobrowolnie zgodzić się na ingerencję w prywatność, które to urządzenie przewiduje.

Dalszy ciąg rozmowy na temat transferu danych, safe harbour i realizacji obowiązku notyfikacyjnego (po noweli prawa telekomunikacyjnego) możesz przeczytać na cyberlaw.pl.

Beata-Marek-CyberlawBeata Marek IT&IP Lawyer, cyberlaw.pl

Beata jest prawnikiem e-przedsiębiorców. Łączy biznes z prawem i bezpieczeństwem teleinformatycznym. Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa IT, prawa własności intelektualnej (prawo autorskie, prawo własności przemysłowej), ochrony danych, bezpieczeństwa informacji, cyberprzestępczości, ochrony znaków towarowych i domen, a także świadczeniu e-usług w obrocie krajowym i zagranicznym.

Zdjęcia Businessman drawing a Cloud Computing diagram on the new computer interface oraz Binary computer face pochodzą z serwisu Shutterstock.

Dołącz do dyskusji

Advertisement