Krzysztof Wojdyło

Użytkowanie dronów a ochrona danych osobowych

W związku z coraz częstszym komercyjnym wykorzystywaniem dronów warto przyjrzeć się niektórym prawnym aspektom funkcjonowania bezzałogowych statków powietrznych. W niniejszym tekście koncentrujemy się na jednym z najintensywniej dyskutowanych zagadnień prawnych związanych z dronami – tj. na wykorzystywaniu dronów w świetle regulacji dotyczących ochrony danych osobowych.

Tematyka danych osobowych w kontekście dronów jest w tej chwili przedmiotem zainteresowania wielu organów na szczeblu europejskim. W listopadzie 2014 r. opinię w tej sprawie wydał Europejski Inspektor Ochrony Danych. Również w listopadzie 2014 r. sporządzono na zlecenie Komisji Europejskiej bardzo obszerne opracowanie na ten temat. Z kolei w czerwcu 2015 r. Grupa Robocza ds. Artykułu 29 opublikowała opinię na temat zagadnień związanych z ochroną prywatności oraz danych osobowych w kontekście użytkowania dronów. Szczególnie istotny wydaje się ten ostatni dokument. Opinie wydawane do tej pory przez Grupę Roboczą ds. Artykułu 29 miały bardzo istotne znaczenie praktyczne dla stosowania przepisów o ochronie danych osobowych.

Aby lepiej uświadomić sobie dylematy związane z danymi osobowymi w kontekście dronów, należy przede wszystkim dobrze zrozumieć, czym są dane osobowe, czym, zgodnie z przepisami prawa, jest ich przetwarzanie oraz dlaczego tematyka danych osobowych jest tak istotna w przypadku korzystania z dronów.

Dlaczego drony są dużym wyzwaniem dla ochrony danych osobowych?

Duże zainteresowanie tematyką danych osobowych w kontekście dronów wynika przede wszystkim z tego, że drony mogą być wykorzystywane, celowo lub mimowolnie, do pozyskiwania dużej ilości danych kwalifikowanych jako dane osobowe, bardzo często bez wiedzy podmiotu, którego te dane dotyczą. Ryzyko naruszenia prywatności oraz bezprawnego przetwarzania danych osobowych jest więc w przypadku dronów bardzo wysokie.

Drony same w sobie nie kreują nowych, nieznanych do tej pory zagadnień prawnych z zakresu ochrony danych osobowych. Ich właściwości powodują jednak, że działalność prowadzona z ich wykorzystaniem jest szczególnie wrażliwa z perspektywy danych osobowych. Składa się na to kilka czynników:

  • drony są w stanie gromadzić duże ilości danych, które w wielu przypadkach będą danymi osobowymi;
  • drony w zdecydowanej większości przypadków będą zbierać dane osobowe bez uprzedniej zgody podmiotu, którego dane dotyczą, często również wbrew sprzeciwowi tej osoby;
  • osoba, której dane są zbierane przez drona, może mieć duże trudności z ustaleniem tożsamości podmiotu zbierającego dane;
  • z uwagi na brak relacji pomiędzy operatorem drona i podmiotem, którego dane są zbierane, istnieje trudność w wypełnieniu ustawowych obowiązków informacyjnych względem osoby, której dane są zbierane;
  • z uwagi na połączenie dronów z publicznie dostępnymi sieciami telekomunikacyjnymi istnieje ryzyko przejęcia zebranych danych przez osoby nieupoważnione.

Czy zatem zbieranie danych osobowych podczas wykonywania zadań przez drona jest niezgodne z prawem? Aby odpowiedzieć na to pytanie, musimy zacząć od podstaw.

Dane osobowe to nie tylko imię i nazwisko

Przede wszystkim należy uświadomić sobie, że wbrew powszechnemu przekonaniu dane osobowe to nie tylko czyjeś imię i nazwisko. Za dane osobowe uważa się każdą informację, która może posłużyć do identyfikacji konkretnej osoby. Oprócz imienia i nazwiska będą to więc również wszelkie inne dane, które mogą być wykorzystane do jej zidentyfikowania, nawet jeżeli na pozór nie jest to oczywiste. Zakres pojęciowy danych osobowych ewoluuje bardzo dynamicznie wraz z rozwojem technologii. Nowe rozwiązania techniczne stwarzają możliwość odczytywania nowych informacji, unikatowych dla konkretnych osób. I tak z czasem w zakres zbioru danych osobowych weszły m.in. adresy IP, dane geolokalizacyjne, dane biometryczne, cyfrowe zapisy głosu itd. Dane te, jeżeli nawet nie same w sobie, to w połączeniu z danymi pochodzącymi z innych źródeł coraz częściej pozwalają bardzo łatwo określić tożsamość konkretnej osoby.

Zgodnie z definicją danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej osoby lub osoby możliwej do zidentyfikowania. Nie jest zatem tak, że za dane osobowe uważa się wyłącznie dane, które w oczywisty sposób identyfikują określoną osobę. Danymi osobowymi są również dane, które dotyczą możliwej do zidentyfikowania osoby. A więc nawet jeżeli nie jesteśmy w stanie w danym momencie ustalić personaliów osoby, której dane posiadamy, nie oznacza to, że nie są to dane osobowe.

Przykład: Kamera rejestruje przez wiele dni obraz określonego miejsca. Nagrywa m.in. pojawiające się w tym miejscu osoby. Są to na pozór osoby anonimowe. Jednocześnie jednak połączenie nagrań z danymi pochodzącymi z innych źródeł umożliwi zidentyfikowanie konkretnych osób. Powiedzmy, że kamera nagrywa osobę wychodzącą codziennie o tej samej godzinie z tego samego, bardzo charakterystycznego pojazdu. Wystarczy „wygooglować” dany pojazd, aby sprawdzić personalia jego właściciela (np. za pośrednictwem zdjęć umieszczonych na profilu w mediach społecznościowych).

Jakie są konsekwencje opisanej szerokiej definicji danych osobowych? Przede wszystkim niepewność. Brak precyzyjnie określonego zakresu tego pojęcia powoduje, że nigdy nie będziemy do końca pewni, czy dane, które posiadamy, są danymi osobowymi czy nie. O tym, czy dane, które posiadamy, pozwalają zidentyfikować określoną osobę, będzie decydowało wiele czynników, w wielu przypadkach niezależnych od nas. Ustawa wyznacza jedną granicę. Mianowicie określone informacje nie stanowią danych osobowych, jeżeli określenie tożsamości osoby na podstawie tych danych wymagałoby nadmiernych kosztów, czasu i działań. Nie jest już jednak oczywiste, czy kryterium to należy oceniać przez pryzmat możliwości podmiotu, który posiada dane, czy też wedle zobiektywizowanych kryteriów.

Powyższe wątpliwości prowadzą do wniosku, że najostrożniejszym podejściem wydaje się przyjęcie założenia, że nie można z góry wykluczyć, że przynajmniej część danych, które zbierają drony, może zostać zakwalifikowana jako dane osobowe. To z kolei implikuje konieczność analizy działalności wykonywanej z użyciem dronów pod kątem zgodności z regulacjami dotyczącymi danych osobowych.

Kiedy zaczynamy przetwarzać dane osobowe?

Definicja przetwarzania danych osobowych zawarta w ustawie o ochronie danych osobowych jest bardzo szeroka. Przede wszystkim przetwarzaniem danych jest już samo ich zbieranie. Każdy operator drona, który jest wyposażony w funkcje rejestrujące dane z otoczenia, musi więc liczyć się z tym, że jego aktywność będzie w świetle regulacji dotyczących danych osobowych przetwarzaniem danych. To z kolei implikuje konieczność spełnienia szeregu wymogów wynikających z przepisów o ochronie danych osobowych.

Co należy zrobić?

Warto przeprowadzić swoisty test w celu ustalenia, w jakim zakresie do działalności wykonywanej za pomocą drona mogą mieć zastosowanie przepisy dotyczące ochrony danych osobowych.

Przede wszystkim operator drona musi sprawdzić, czy dron, którym operuje, jest wyposażony w funkcję rejestracji danych pochodzących z otoczenia (zakładamy, że tak będzie w zdecydowanej większości przypadków). Warto podkreślić, że nie chodzi wyłącznie o drony rejestrujące obraz. Zgodnie z tym, co zostało już zasygnalizowane, dane osobowe to w tej chwili nie tylko wizerunek. Mogą to być dane geolokalizacyjne i inne rodzaje danych, które, szczególnie w zestawieniu z innymi danymi, pozwalają na identyfikację osób (np. numery tablic rejestracyjnych czy adresy IP).

Przykład: Operator drona wykorzystywanego do monitoringu linii przesyłowych nie działa w celu zbierania danych osobowych, lecz w celu monitorowania stanu infrastruktury. Większość lotów jest wykonywana nad terenami niezamieszkałymi. Zdarza się jednak, że dron przelatuje nad terenami zabudowanymi lub przypadkowo w zasięgu jego kamer znajdują się również osoby. W takim przypadku nie można wykluczyć, że operator drona może wejść w posiadanie danych osobowych.

Po ustaleniu, że operator drona może mieć dostęp do danych osobowych, należy ustalić, czy dron jest wyposażony w funkcję rejestrującą zbierające dane (tj. czy dane osobowe zebrane przez drona mogą być przechowywane), czy też dane (np. wizerunek) są natychmiast kasowane. W tym drugim przypadku w praktyce możemy wykluczyć stosowanie przepisów o ochronie danych osobowych. Trudno bowiem twierdzić, że dochodzi w ogóle do ich zbierania.

Regulacje dotyczące danych osobowych znajdą natomiast najprawdopodobniej zastosowanie w przypadku, gdy dane (np. wizerunek, dźwięk, adres IP) uzyskane przez drona podlegają następnie rejestracji i przechowywaniu. W takim przypadku mamy już niewątpliwie do czynienia ze zbieraniem danych, co w rozumieniu ustawy o ochronie danych osobowych jest samo w sobie przetwarzaniem tych danych.

Jeżeli oprogramowanie, z którego korzysta dron, umożliwia automatyczne maskowanie i anonimizowanie danych osobowych (np. w zakresie wizerunku nagranych osób), można założyć, że operator drona nie przetwarza danych osobowych. Dane te, jeżeli rzeczywiście istnieje gwarancja, że są one w sposób bezpowrotny anonimizowane, nie będą stanowiły bowiem danych osobowych.

Jeżeli natomiast zebrane dane nie są poddawane anonimizacji, będziemy mieli najprawdopodobniej do czynienia z przetwarzaniem danych osobowych w świetle przepisów o ochronie danych. W tym miejscu dochodzimy do dwóch podstawowych wyzwań związanych ze stosowaniem przepisów o ochronie danych osobowych do dronów.

Po pierwsze należy ustalić, kto pełni rolę administratora danych zbieranych przez drona. Jest to kluczowe, ponieważ to właśnie na administratorze danych spoczywają podstawowe obowiązki (oraz ewentualna odpowiedzialność za ich niewypełnienie) wynikające z przepisów o ochronie danych osobowych. Należy mieć świadomość, że administratorem danych nie zawsze będzie podmiot, który faktycznie dokonuje zebrania tych danych.

Przykład: Duże przedsiębiorstwo produkcyjne wynajmuje firmę specjalizującą się w wykonywaniu pomiarów za pomocą dronów. Firma dokonuje regularnych pomiarów infrastruktury przedsiębiorstwa. W trakcie pomiarów regularnie rejestrowane są dane dotyczące właścicieli nieruchomości, na których montowana jest infrastruktura (m.in. wizerunek właścicieli, numery rejestracyjne pojazdów zaparkowanych na terenie nieruchomości itp.). Zebrane dane są przekazywane i przetwarzane przez przedsiębiorstwo, na potrzeby przedsiębiorstwa. W omawianym przypadku to przedsiębiorstwo, a nie firma operująca dronami, będzie administratorem danych osobowych.

Po zidentyfikowaniu administratora danych kluczowe będzie ustalenie, czy administrator posiada w ogóle podstawę prawną do zbierania danych osobowych. To zagadnienie niewątpliwie trzeba analizować dla każdego przypadku z osobna. Warto jednak wskazać, że w obrocie gospodarczym bardzo częstą podstawą prawną do przetwarzania danych osobowych jest zgoda podmiotu, którego dane dotyczą. W przypadku dronów uzyskanie takiej zgody będzie bardzo utrudnione. Trudność ta jest tym większa, że w wielu przypadkach drony będą zbierały dane, które można zakwalifikować jako dane wrażliwe. W takim przypadku zgoda musi być wyrażona na piśmie.

Zgoda podmiotu, którego dane są przetwarzane, nie jest jednak jedyną podstawą prawną do przetwarzania danych. W praktyce należy założyć, że operatorzy dronów przy zbieraniu danych często będą się powoływać na inne podstawy, w szczególności okoliczność, że zbieranie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). W takim przypadku zgoda osoby, której dane dotyczą, nie jest konieczna do zbierania tych danych. Należy jednak koniecznie mieć na uwadze, że podstawa ta nie będzie mogła mieć zastosowania, jeżeli przetwarzanie danych narusza prawa i wolności osoby, której dane dotyczą. Mając na uwadze to ograniczenie, wykorzystywanie przywołanej podstawy prawnej należy zawsze poprzedzić wnikliwą analizą.

Ustawa o ochronie danych nakłada na administratorów danych pewne obowiązki już na etapie zbierania danych. Zgodnie z art. 24 i art. 25 ustawy administrator powinien poinformować osobę, której dane są zbierane, m.in. o adresie swojej siedziby oraz celu zbierania danych. W tym miejscu dochodzimy do jednego z największych wyzwań praktycznych w stosowaniu regulacji dotyczących danych osobowych w odniesieniu do użytkowania dronów. Praktyczne wykonanie tego obowiązku może być niemożliwe. Dochodzi bowiem do paradoksalnej sytuacji. Mimo że dane, które zebrał dron, w świetle definicji danych osobowych mogą potencjalnie stanowić dane osobowe, administrator tych danych nie będzie w stanie w większości przypadków zidentyfikować osoby, której dane przetwarza, i wypełnić wobec niej obowiązków informacyjnych. Ciekawe są w tym kontekście rozważania zawarte w przywołanej na wstępie Opinii Grupy Roboczej ds. Artykułu 29. Według autorów opinii operatorzy dronów powinni starać się wykonywać obowiązek informacyjny wszelkimi możliwymi sposobami. W przypadku wykorzystywania dronów do monitorowania stanu infrastruktury zaleca się odpowiednie oznakowanie infrastruktury zawierające wyraźną informację o tym, że infrastruktura może być monitorowana przez drony, które zbierają dane (taka informacja powinna wskazywać dane administratora). W przypadku dużych wydarzeń (np. sportowych) nagrywanych z wykorzystaniem dronów zaleca się przykładowo przekazywanie odpowiednich informacji poprzez rozdawanie ulotek uczestnikom takich wydarzeń.

Co czeka nas w przyszłości?

Bazując na analizach dokonanych na zamówienie Komisji Europejskiej oraz opinii Grupy Roboczej ds. Artykułu 29, można dojść do wniosku, że z dużym prawdopodobieństwem regulacje dotyczące dronów będą w przyszłości nakierowane na:

  • zagwarantowanie łatwej identyfikacji administratorów danych osobowych (np. poprzez obligatoryjne oznaczanie dronów);
  • stworzenie bardziej zorganizowanych systemów informacji na temat operatorów dronów operujących na określonym terenie (Opinia Grupy Roboczej ds. Art. 29 sugeruje wręcz stworzenie specjalnych platform informacyjnych, które będą łatwo dostępne dla podmiotów, których dane są przetwarzane);
  • narzucanie producentom dronów konieczności stosowania zasad privacy by design oraz privacy by default, co w praktyce oznacza fabryczne montowanie w dronach oprogramowania, które maskuje oraz anonimizuje zbierane dane osobowe.

Krzysztof Wojdyło, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy

Artykuł ukazał się w miesięczniku Automatyka nr 9/2015