Prywatność w inteligentnym mieście, czyli ochrona danych osobowych a rozwiązania smart

Idea inteligentnego miasta (ang. „smart city”) to myśl, która w połączeniu z koncepcją Internetu rzeczy (ang. „Internet of things”), poprawiają jakość życia społeczeństwa poprzez stosowanie nowych technologii i zarządzanie infrastrukturą za ich pomocą. Innowacyjne rozwiązania, wprowadzane coraz szerzej na potrzeby organizowania życia w miastach, związane są często z koniecznością udostępnienia przez ich użytkowników swoich danych.

Należy pamiętać, że zjawisko to nie może pozostawać w oderwaniu od regulacji prawnych dotyczących ochrony danych osobowych, mających na celu zapewnienie równowagi pomiędzy jak najlepszą jakością życia a zachowaniem maksimum prywatności.

Zbieranie danych, w tym danych osobowych, jest nieodzownym elementem wprowadzania do miast rozwiązań typu smart. Jest to konieczne choćby do lepszego zarządzania siecią transportu miejskiego, zaopatrzeniem w media, sterowaniem ruchem ulicznym czy dostosowaniem oferowanych usług publicznych do aktualnych potrzeb. Sytuacje związane z gromadzeniem naszych danych osobowych zachodzą m.in. wtedy, gdy sami decydujemy się na ich udostępnienie, jak ma to miejsce w przypadku zbierania danych osobowych o mieszkańcach korzystających z publicznych usług lub infrastruktury, jak np. miejskie rowery, dostęp do Internetu, strefy parkowania itp. Koncepcja inteligentnego miasta wiąże się jednak również z wymianą danych osobowych między różnymi bazami danych w ramach infrastruktury miejskiej czy analizą danych w modelu Big Data. Warto zdać sobie sprawę, że daną osobową gromadzoną w ramach idei smart city jest także nasz wizerunek, utrwalany za pomocą monitoringu stosowanego w przestrzeni publicznej. W tym miejscu pojawia się pytanie: czy nasza prywatność jest dostatecznie chroniona? Jakie regulacje wpływają na sposób przetwarzania naszych danych osobowych?

Ochrona prywatności w polskim systemie prawnym swoje źródło znajduje przede wszystkim w przepisach Konstytucji, która każdemu obywatelowi zapewnia prawo do ochrony prawnej życia prywatnego (art. 47 Konstytucji RP z dnia 2 kwietnia 1997 r., Dz.U.1997.78.483). Ochrona prywatności poczytywanej w kategoriach dobra osobistego, znajduje swój wyraz również w przepisach kodeksu cywilnego (Dz.U.2017.459 t.j.), który w art. 24 stanowi, że ten czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba, że nie jest ono bezprawne. Z kolei sama ochrona danych osobowych rozumiana w kontekście wąskim na gruncie prawa polskiego regulowana jest ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922 t.j.).

Powyższe regulacje, wespół z przepisami prawa unijnego, (tj. Konwencją nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, Dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych, Dyrektywą 2002/58/ WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136/WE), tworzą zasady regulujące bezpieczeństwo danych pozyskiwanych w ramach rozwiązań związanych z koncepcją smart city.

Zgodnie z generalną zasadą obowiązującą na gruncie przepisów wskazanych powyżej aktów prawnych, odpowiedzialność za przetwarzanie danych osobowych w sposób zgodny z prawem obciąża administratora danych, tj. organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. Obowiązkiem administratora jest przede wszystkim zapewnienie, aby dane były zbierane dla określonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, poprawne merytorycznie i adekwatne w stosunku do ich przeznaczenia.

Obowiązująca ustawa o ochronie danych osobowych, jak również pozostałe szczegółowe akty prawne obowiązujące w polskim systemie prawnym, nie wprowadzają jednak żadnych szczególnych mechanizmów regulujących ochronę danych przetwarzanych w związku z zastosowaniem nowych technologii. Koncepcja smart city i Internet rzeczy mogą zaś stanowić szczególnego rodzaju zagrożenie dla podstawowych oczekiwań wobec procedur ochrony danych osobowych, jakimi są zapewnienie jednostce wiedzy kto, kiedy i na jakich zasadach może korzystać z jej danych osobowych oraz zapewnienie należytego poziomu zabezpieczenia danych.

Na czym polegają zagrożenia, jakie niesie ze sobą stosowanie w miastach innowacyjnych rozwiązań technologicznych? Po pierwsze, urządzenia zbierające dane i otrzymujące informacje przetwarzają je w sposób automatyczny, co powoduje często wyłączenie możliwości świadomego i dobrowolnego wyrażenia zgody na przetwarzanie danych. Stwarza to także zagrożenie braku kontroli nad danymi generowanymi przez urządzenia, z których korzysta użytkownik oraz przez urządzenia, do których przekazywane są informacje.

Obowiązujące rozwiązania legislacyjne nie ograniczają również czasu gromadzenia informacji, które mogą być obecnie przechowywane długotrwale, co związane jest z ryzykiem ich wtórnego wykorzystania do celów innych, niż cel ich gromadzenia. Jednocześnie, w dobie powszechnego dostępu do informacji o charakterze publicznym, należy odnaleźć równowagę pomiędzy przejrzystością takich informacji a ochroną danych osobowych.

W powyższym zakresie obowiązujące uprzednio regulacje dotyczące ochrony prywatności i danych osobowych, elektronicznych usług publicznych, dostępu do informacji i jej ponownego wykorzystania dla celów komercyjnych i niekomercyjnych były przedmiotem częstej krytyki, skutkującej wprowadzeniem zmian przepisów, obejmujących utworzenie nowych aktów na poziomie prawa unijnego oraz nowelizację przepisów już obowiązujących. Uchwalone zmiany wprowadziły nowe instrumenty ochrony danych osobowych, w tym nałożenie na administratorów danych obowiązku przeprowadzenia oceny skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych, a także obowiązku zgłaszania naruszeń danych osobowych*.

W najbliższej przyszłości dużą zmianę w powyższym zakresie przyniesie natomiast wejście w życie w maju 2018 r. Rozporządzenia ogólnego o ochronie danych osobowych (RODO albo GDPR – General Data Protection Regulation), które ma na celu utworzenie ram prawnych dla przetwarzania danych w sieciach społecznościowych, a także reguluje zjawiska, takie jak Big Data, chmura obliczeniowa, technologie ubieralne, rozszerzona rzeczywistość, geolokalizacja itp. Zgodnie z Rozporządzeniem podmioty przetwarzające dane będą zobowiązane analizować procesy przetwarzania danych osobowych, w których uczestniczą pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Oceniając ryzyko, konieczne będzie uwzględnienie zakresu danych, celu, kontekstu i charakteru przetwarzania. Wynik analizy będzie przekładał się na zakres obowiązków regulacyjnych oraz na środki ochrony adekwatne do potencjalnych zagrożeń.

W nowoczesnym społeczeństwie informacyjnym obrót danymi osobowymi jest zjawiskiem nieuniknionym. Często ochrona prywatności osób fizycznych staje w konflikcie z innymi wartościami, takimi jak potrzeba rozwoju czy przejrzystość informacji publicznych. Systemy inteligentnego miasta mają służyć przede wszystkim dobru społecznemu. Mogą przy tym wspierać ochronę niektórych dóbr osobistych, takich jak zdrowie, np. poprzez zapewnienie większego poziomu bezpieczeństwa, ale jednocześnie naruszać inne, w tym przede wszystkim wolność czy prywatność, zwłaszcza w zakresie, w którym umożliwiają określenie tożsamości osób fizycznych. Istotą jest zatem wyważenie istotnych dla społeczeństwa wartości oraz stworzenie ram prawnych umożliwiających wykorzystywanie innowacyjnych technologii w sposób najpełniej realizujący potrzebę ochrony prywatności.

*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.