Michał Starczewski w Dzienniku Gazeta Prawna "Inteligentne liczniki prądu to kopalnia danych osobowych. Nowa technologia oznacza mniej bezpieczeństwa?"

Do 2026 r. nastąpi modernizacja systemu zbierania informacji o poborze energii elektrycznej. Dotychczasowe liczniki zostaną zastąpione przez nowe, zbierające na bieżąco szczegółowe informacje o zużyciu energii i wysyłające je w określonych interwałach czasowych do dystrybutora. Choć unijna dyrektywa wymuszająca tę zmianę czeka jeszcze na wdrożenie do polskiego porządku prawnego, to stanie się to już raczej szybciej niż później.

Projekt stosownej ustawy zmieniającej Prawo energetyczne został przyjęty 5 października 2018 r. Projekt zawiera harmonogram wymiany liczników na „smart meters”: do końca 2021 r. każdy operator ma wymienić minimum 20% liczników, a odsetek ten ma zwiększać się, osiągając na koniec 2026 r. poziom minimum 80%. Szacuje się, że dziś w Polsce wymienionych jest ok. 10% urządzeń pomiarowych, więc operatorzy zdobyli już pierwsze doświadczenia.

Wymiana liczników na „inteligentne” (czyli umożliwiające dwustronną komunikację i zbierającą dane z dużą częstotliwością) jest częścią europejskiej strategii zrównoważonego rozwoju. Komisja Europejska dostrzega korzyści z „inteligentnych liczników” przede wszystkim w dwóch obszarach. Po pierwsze, takie urządzenia umożliwiają skuteczniejsze zarządzanie produkcją i dystrybucją energii, ograniczając niepotrzebne koszty i marnotrawstwo. Z drugiej strony, stanowią one narzędzia dla konsumentów i prosumentów (prosumentami są osoby, które nie tylko zużywają energię na własne potrzeby, ale także produkują ją w ograniczonym zakresie, np. poprzez instalację baterii słonecznych), dzięki którym będą mogli zarządzać swoim zużyciem energii w sposób o wiele bardziej elastyczny niż obecnie. Przepisy określające zasady instalacji inteligentnych liczników są częścią strategii określanej jako Winter Package z listopada 2016 r.

Inteligentne liczniki kopalnią danych osobowych

Przeciętny mieszkaniec krajów rozwiniętych spędza zwykle 90% czasu w budynkach, przede wszystkim w domu i pracy. Nieustająco towarzyszą mu sprzęty pobierające energię. Oświetlenie, telewizory, komputery, lodówki i inne urządzenia pobierają prąd, a informacje o tym, jeśli są wystarczająco szczegółowe, umożliwiają odtworzenie wzorców naszego zachowania. Liczniki „tradycyjne” pozostawały ślepe na pracę poszczególnych urządzeń. Comiesięczne, zbiorcze sczytywanie licznika nie przynosiło szczegółowych informacji. Inaczej jest w przypadku nowoczesnych liczników, które zbierają dane o poborze energii na bieżąco i przesyłają je do dystrybutora w piętnastominutowych lub godzinnych interwałach.

Czego można dowiedzieć się o zachowaniu człowieka na podstawie jego licznika energii? Różne zespoły badawcze czują się sprowokowane przez to pytanie, w efekcie czego analizują je i czasem dochodzą do zaskakujących rezultatów. Schematy zużycia energii wyraźnie różnią się, zależnie od tego, czy jesteśmy obecni, czy nieobecni w pomieszczeniu. Grupa niemieckich badaczy próbowała odpowiedzieć na bardziej skomplikowane pytanie, niż tylko obecność w pomieszczeniu. Interesowało ich, czy na podstawie danych z liczników można uzyskać informację, jaki program w telewizji oglądały konkretne osoby? Dzięki połączeniu danych z liczników z danymi dotyczącymi odbiorników telewizyjnych, udało im się z dużą skutecznością udzielić prawidłowej odpowiedzi.

Kogo interesują dane z liczników?

Jeśli ktoś wątpi, czy dane o zużyciu energii mogą być interesujące dla kogoś innego niż dostawca energii, powinien zwrócić uwagę na fakt, że łączenie danych pochodzących z różnych źródeł generuje czasem zaskakująco wnikliwą wiedzę o człowieku. Przykładowo, niektóre banki na korzyść kredytobiorców uwzględniają informacje o kupnie filcowych podkładek pod meble, co zdaniem specjalistów od oceny ryzyka świadczy o zapobiegliwości kredytobiorców. Zużycie energii informuje o tym, w jakich godzinach korzystamy z jakich sprzętów. Jest to bezcenne źródło informacji dla banków, towarzystw ubezpieczeniowych, reklamodawców i prawdopodobnie każdej innej branży.

Dystrybutorzy energii administratorami danych

Ponieważ inteligentne liczniki są nieustająco obserwującym użytkowników okiem, przedsiębiorstwa korzystające z takich urządzeń czy tego chcą, czy nie, znajdują się w zupełnie nowej roli z punktu widzenia danych osobowych. O ile bowiem dystrybutor nieposiadający liczników inteligentnych posiadał wyłącznie informacje o comiesięcznym zużyciu energii oraz o danych kontaktowych klientów, o tyle po instalacji liczników inteligentnych posiada dane – nawet jeśli z nich faktycznie nie korzysta – dotyczące całokształtu życia swoich klientów. Informacje, ile czasu konkretne osoby spędzają w domu oglądając telewizję lub surfując po internecie to skarb nie tylko dla przestępców (ci mają inne, prostsze metody pozyskania potrzebnych informacji), ale także choćby dla branży reklamowej.

Dystrybutorzy energii powinni mieć pełną świadomość, że stają się odpowiedzialni za dane mogące mieć duży wpływ na życie ich klientów. Klienci powinni móc czuć się komfortowo wiedząc, że ich dane są bezpiecznie przetwarzane. W praktyce oznacza to konieczność o wiele bardziej krytycznego i ostrożnego podejścia do kwestii bezpieczeństwa danych, niż dotychczas. Wdrożenie inteligentnych sieci energetycznych (smart grid) to nie tylko wyzwanie techniczne, ale także wyzwanie organizacyjno-prawne. Zgodnie z RODO dystrybutorzy energii mają obowiązek dokonywania analizy ryzyka uwzględniającej aktualnie przetwarzane dane. Może to więc oznaczać konieczność ponownego „wdrożenia RODO”. Pewne standardy wyznaczy nowelizacja Prawa energetycznego. Projekt ustawy przewiduje choćby rozstrzygnięcie, którzy operatorzy sieci energetycznych będą administratora danych osobowych w rozumieniu RODO. Ustawa wprowadzi również standardy dotyczące częstotliwości przesyłania danych o poborze energii. Bez uzyskiwania zgody użytkowników będzie można zbierać dane w jednogodzinnych interwałach. Częstsze przesyłanie danych (np. co kwadrans), będzie wymagało wyraźnej zgody użytkownika. Takie rozwiązanie sprzyja ochronie prywatności (godzinne pomiary pozwalają uzyskać mniej informacji o zachowaniu człowieka), a jednocześnie umożliwi dystrybutorom planowanie dostaw energii odpowiadające dynamicznie zmieniającemu się zapotrzebowaniu.

Rekomendacje

Na gruncie polskim wydaje się, że temat bezpiecznego przetwarzania danych osobowych w inteligentnych sieciach energetycznych nie jest jeszcze należycie rozpoznany. Inaczej jest jednak choćby na poziomie Unii Europejskiej. Już w 2009 r. Komisja Europejska powołała ciało doradcze Smart Grids Task Force, w ramach którego działa grupa ekspercka zajmująca się wyłącznie ochroną prywatności i cyberbezpieczeństwem w kontekście inteligentnych sieci energetycznych. Grupa ta publikuje analizy i rekomendacje, jak zmodernizować sieci energetyczne w zgodzie z przepisami o ochronie danych osobowych. W szczególności dystrybutorzy otrzymali wskazówki, w jaki sposób można przeprowadzać analizę ryzyka, z jakim wiąże się gromadzenie danych za pośrednictwem liczników energii.

Zaufanie

W dłuższej perspektywie bardzo ważnym zadaniem operatorów sieci energetycznych jest zbudowanie zaufania. Użytkownicy nie od razu będą mieć świadomość, jak bardzo ich codzienne zachowanie jest śledzone przez nowe liczniki. Prawdopodobnie prędzej czy później będziemy świadkami incydentów ochrony danych, wskutek których prywatność zostanie naruszona, a świadomość tego, jak wrażliwy to obszar, będzie rosnąć. Ważne, by właśnie w momencie takich zdarzeń, dystrybutorzy umieli właściwie reagować. Jednocześnie konsumenci powinni sami świadomie podchodzić do kwestii bezpieczeństwa przetwarzania ich danych. Jednym z kryteriów wyboru operatora może być to, czy operator zapewnia przestrzeganie prawidłowych procedur.