Wywiad z Adamem Sanockim, dyrektorem Departamentu Komunikacji Społecznej, rzecznikiem prasowym Urzędu Ochrony Danych Osobowych.
Panie Dyrektorze, choć w momencie wejścia w życie rozporządzenia RODO wiele mówiło się o ochronie danych osobowych i temat wydaje się znany zarówno konsumentom, jak i przedsiębiorcom, to – zanim przejdziemy do zagadnienia przetwarzania danych w energetyce – proszę o przybliżenie Czytelnikom, czym są dane osobowe? Jak możemy mieć pewność, że jakaś informacja należy do danych osobowych i wymaga szczególnej ochrony?
Na wstępie warto wskazać, że w kwietniu tego roku obchodzimy 25 lat obowiązywania systemu ochrony danych osobowych w Polsce. Ochrona danych osobowych czy prawo do prywatności nie są więc niczym nowym i nie zostały wprowadzone dopiero wraz z wejściem w życie rozporządzenia o ochronie danych, zwanym popularnie RODO. Obecnie
obowiązująca definicja danych osobowych, zgodnie z którą za dane osobowe uważamy wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, opiera się na definicji wypracowanej już na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 roku oraz ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.
Zgodnie z definicją określoną w RODO, osobą możliwą do zidentyfikowania jest taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie wyróżnika, jakim jest: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Nie zapominajmy również, że w pojęciu danych osobowych mieszczą się aż trzy informacje. Mówimy o danych tzw. zwykłych, takich jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp., o szczególnej kategorii danych osobowych, a więc o informacjach dotyczących naszego zdrowia, pochodzenia rasowego lub etnicznego, przekonań światopoglądowych czy poglądów politycznych (art. 9 RODO). Ponadto RODO wyróżnia dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa (art. 10 RODO).
Zatem, interpretując definicję danych osobowych, należy mieć na uwadze, że poszczególna informacja może w zależności od okoliczności stanowić dane osobowe bądź nie być za nie uznawana. Dlatego w pierwszej kolejności należy ustalić, czy prawdopodobieństwo zidentyfikowania osoby w ogóle istnieje, czy osoba przy wykorzystaniu konkretnych informacji może być uznana za możliwą do zidentyfikowania. Te sytuacje należy odróżnić od przypadku, w którym identyfikacja nie jest uprawdopodobniona.
Niewątpliwie to, czy informacja pozwala na identyfikację danej osoby, wynika z kontekstu, w jakim informacja ta jest używana. O ile nie mamy problemu z bezpośrednią identyfikacją osoby, to już większy problem stanowi jej możliwa, czyli pośrednia identyfikacja.
Warto wziąć pod uwagę opinię Grupy Roboczej Art. 29 w sprawie pojęcia danych osobowych (Opinia 4/2007), która stanowi, że tożsamość osoby można ustalić bezpośrednio, znając np. jej nazwisko, natomiast w sposób pośredni posiadając inne informacje, którymi ta osoba się posługuje, np. numer jej ubezpieczenia społecznego, paszportu, a nawet telefonu czy rejestracyjny samochodu.
Przedsiębiorstwa energetyczne, ze względu na charakter prowadzonej działalności, przetwarzają dane osobowe odbiorców m.in. energii elektrycznej. Na jakie ryzyko mogą być narażone te dane i na co szczególnie powinno się zwrócić uwagę w dobie postępującej cyfryzacji, pracy w chmurze czy wykorzystania innowacyjnych technologii, typu np. czat GPT-4 (Generative Pre-Trained Transformer 4)?
Przetwarzanie danych osobowych wiążę się z szeregiem obowiązków spoczywających na administratorze, który m.in. powinien przestrzegać zasad dotyczących przetwarzania danych osobowych (art. 5) oraz określić podstawę ich przetwarzania (art. 6 ust.1). Powinien również zapewnić ich odpowiednie zabezpieczenie techniczne i organizacyjne, chroniące je przed potencjalnym naruszeniem (art. 32 RODO). Jak określa również art. 35, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków przetwarzania dla ochrony danych osobowych.
Administrator, który przetwarza dane osobowe z użyciem wskazanych przez Pana rozwiązań, musi mieć zatem na uwadze, że przetwarzanie to wiąże się z koniecznością wywiązania się ze wszystkich wskazanych powyżej obowiązków.
Administrator powinien więc rozważyć, czy korzystając z danego narzędzia przetwarzania danych jest w stanie odpowiednio je zabezpieczyć i na bieżąco nadzorować proces ich przetwarzania. W przypadku rozwiązań chmurowych, należy więc np. ustalić, czy dostawca usługi dysponuje odpowiednim zapleczem informatycznym, aby zapewnić bezpieczeństwo przetwarzania danych również na wypadek ataków ze strony cyberprzestępców. W przypadku nowych, innowacyjnych technologii równie istotne jest, aby łatwa dostępność nie przesłoniła jednocześnie świadomości, że ich wykorzystanie powinno wiązać się z dysponowaniem odpowiednimi zabezpieczeniami dla przetwarzania danych osobowych.
Szczególnie widoczne jest to w przypadku uruchomionej 30 listopada 2022 roku nowoczesnej i dostępnej dla użytkowników usługi ChatGPT, której działanie opiera się na mechanizmach sztucznej inteligencji. Obok wielu pomysłów jej wykorzystania pojawiło się również wiele kontrowersji w związku z zakresem pozyskiwanych przez nią danych, ich autentyczności, dalszego wykorzystania i w końcu odpowiedniego zabezpieczenia.
W związku z powyższymi wątpliwościami działanie ChatGPT czasowo wstrzymał włoski organ ochrony danych – Autorità Garante per la protezione dei dati personali (GPDP) – a jego ponowne uruchomienie w tym kraju zostało uzależnione od spełnienia szeregu warunków, w tym m.in. wskazania podstawy przetwarzania danych wykorzystywanych na potrzeby działania algorytmu, wskazanie mechanizmu jego działania i przekazanie informacji o prawach przysługujących osobom, których dane dotyczą.
Na kanwie włoskiej decyzji 13 kwietnia również utworzono specjalną grupę zadaniową, która skupia przedstawicieli wszystkich krajów członkowskich, w tym Polski, i która ma sprzyjać rozwinięciu dyskusji na temat bezpiecznego wykorzystania tej technologii.
Odnosząc się do samego zagadnienia dotyczącego relacji pomiędzy ochroną danych osobowych a sztuczną inteligencją, warto wskazać, że od dawna jest ono przedmiotem zainteresowania Urzędu Ochrony Danych Osobowych. Dla lepszego zrozumienia tej technologii, potencjału jej wykorzystania, korzyści i zagrożeń Urząd podejmował wiele inicjatyw edukacyjnych i naukowych mających ułatwić jej zrozumienie. Oprócz organizowania wydarzeń kierowanych do ekspertów, temat sztucznej inteligencji był także przedstawiany uczniom w ramach programu edukacyjnego UODO „Twoje dane – Twoja sprawa”.
Ożywieniu dyskusji o regulacji sztucznej inteligencji sprzyja również zaawansowany etap prac legislacyjnych nad projektowanym unijnym Aktem o Sztucznej Inteligencji (AI Act).
Zgodnie z Prawem energetycznym, operatorzy systemów dystrybucyjnych mają obowiązek instalacji liczników zdalnego odczytu według harmonogramu określonego w tej ustawie. Ponad dekadę temu, kiedy rozpoczynały się prace nad określeniem tego harmonogramu, funkcji LZO i generalnie nowej koncepcji systemu pomiarowego w Polsce, dużo mówiło się w tym kontekście o ochronie prywatności i danych pozyskiwanych z tych urządzeń pomiarowo-rozliczeniowych. Czy do UODO wpływają ze strony konsumentów pytania w tym zakresie, czy też w dobie powszechnego udostępniania informacji na swój temat – choćby w mediach społecznościowych – ta dyskusja przestała być aktualna?
Do Urzędu nie wpłynęły w ostatnim czasie pytania od osób fizycznych w zakresie ustawy Prawo energetyczne, w tym dotyczące instalacji liczników zdalnego odczytu. Ponadto do UODO od 2020 roku wpłynęła tylko jedna skarga związana z przetwarzaniem danych za pomocą zdalnych urządzeń pomiarowo-rozliczeniowych.
Naturalnie, wraz z początkiem wdrażania tego rozwiązania pojawiało się wiele wątpliwości, również ze strony samych konsumentów, więc dyskusja ta z pewnością miała o wiele bardziej ożywiony charakter niż obecnie.
Przepisy – wraz z obowiązkiem instalacji LZO – przewidują także uruchomienie w naszym kraju Centralnego Systemu Informacji Rynku Energii i zasilenie go danymi przez określonych uczestników rynku, w tym przede wszystkim OSD. Na co należy zwrócić szczególną uwagę podczas procesu migracji danych?
Konieczne jest, podobnie jak już wskazywałem na wstępie, uwzględnienie przepisów z zakresu ochrony danych osobowych, w tym zasad wynikających z art. 5 RODO. Administrator odpowiedzialny za funkcjonowanie systemu określa cele i sposoby przetwarzania. Odpowiada on m.in. za zgodność przetwarzania z zasadami określonymi tymi przepisami, w tym art. 5 RODO, w szczególności z zasadą rozliczalności; za realizację praw osób, których dane dotyczą, wynikających z przepisów art. 13 i 14, 15-22 RODO, w tym w zakresie przetwarzania danych aktualnych i poprawnych, a także spoczywa na nim pełna odpowiedzialność za zgodne z prawem przetwarzanie danych, które prowadzi samodzielnie lub które prowadzone jest w jego imieniu (motyw 74).
Podmioty zasilające CSIRE powinny zatem na każdym etapie procesu działać zgodnie zarówno z przepisami ustawy Prawo energetyczne, jak i z przepisami ogólnego rozporządzenia o ochronie danych osobowych, z uwzględnieniem stosownych zabezpieczeń zapewniających bezpieczeństwo przetwarzanych, w tym przekazywanych, danych.
Czy przedstawiciele operatorów systemów elektroenergetycznych – indywidualnie lub za pośrednictwem naszego stowarzyszenia – mogliby się włączyć w wypracowywanie rozwiązań w obszarze ochrony danych osobowych, w szczególności w energetyce? Czy funkcjonują obecnie gremia omawiające np. kwestie Internetu Rzeczy czy innych innowacyjnych technologii?
Obecnie trwają konsultacje organu nadzorczego z Ministerstwem Klimatu i Środowiska oraz spółkami energetycznymi w ramach prac Zespołu ds. Inteligentnego Opomiarowania w Polsce w związku z projektowanymi zmianami w ustawie Prawo energetyczne – podyktowane koniecznością zapewnienia migracji i przetwarzania danych odbiorców energii elektrycznej na potrzeby Centralnego Systemu Informacji Rynku Energii. Niemniej pytania dotyczące ewentualnego uczestnictwa przedstawicieli operatorów systemów elektroenergetycznych w tych pracach należy kierować do właściwego resortu bądź bezpośrednio do wspomnianego Zespołu.
Dziękuję za rozmowę.
