Ochrona prywatności użytkowników inteligentnych ubrań w perspektywie europejskiej

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Dynamiczny rozwój technologii kształtuje nasze codzienne życie. Nowe rozwiązania w transporcie, usługach e‑commerce, telekomunikacji zmieniły sposób w jaki funkcjonujemy. Jednakże rewolucja cyfrowa nie ogranicza się jedynie do sektora usługowego, a ma również wpływ na zawartość naszych szaf.

Coraz częściej w mediach można przeczytać o inteligentnych ubraniach (ang. smart clothes), które nie tylko będą służyły jednostce do ekspresji swojego wnętrza lub jako ochrona przed warunkami atmosferycznymi, ale również będą m.in. monitorować jej stan zdrowia, dostosowywać swój kolor w zależności od jej nastroju. W tym celu takie ubrania wykorzystują dane osobowe użytkownika zebrane podczas korzystania z nich.

Inteligentne ubrania i wearables

Sposób działania inteligentnych ubrań oparty jest na koncepcji Internetu rzeczy (ang. Internet of Things, IoT), zgodnie z którą przedmioty mogą wchodzić we wzajemną interakcję za pomocą sieci i przetwarzać za jej pomocą dane pochodzące od użytkowników i świata zewnętrznego[1]. Inteligentna odzież należy do podkategorii Internetu rzeczy — ang. wearables, wearables technologies.

Do tej pory „urządzenia ubieralne” były utożsamiane przeważnie z akcesoriami, ostatnio jednak coraz częściej można spotkać się z ich zastosowaniem w odzieży[2]. Najbardziej popularnym i powszechnie znanym przedstawicielem wearables jest Apple Watch — inteligentny zegarek przedsiębiorstwa z Cupertino, który może m.in. mierzyć tętno użytkownika podczas biegania, pokazywać lub udostępniać jego lokalizację.

Jednymi z bardziej ciekawszych przykładów inteligentnych ubrań, które są obecnie używane stanowią buty Nike Adapt Huarache, które za pomocą technologii FitAdapt mogą „samodzielnie się wiązać” za pomocą komend głosowych[3] oraz linia ubrań marki Tommy Hilfliger — Tommy Jeans XPLORE, które wyposażone są w technologię GPS służącą do nagradzania użytkowników w zależności od tego jak często noszą odzież z tej kolekcji[4].

Przykład ten pokazuje, że dane osobowe użytkowników inteligentnych ubrań mogą być również wykorzystywane w celu ich profilowania.

Interesującym przedstawicielem smart clothes jest również wykonana ze specjalnych włókien kurtka Levi’s Commuter x Jacquard, która za pomocą Bluetooth pozwala noszącej jej osobie odbierać połączenia telefoniczne, odtwarzać muzykę za pomocą dotykania jej rękawów[5]. Warto zauważyć, że inteligentne ubrania łączą w sobie cechy tradycyjnego fizycznego towaru oraz usługi społeczeństwa informacyjnego.

Inteligentne ubrania a RODO — wybrane problemy

Możliwości wykorzystania danych osobowych użytkownika pozyskanych za pomocą inteligentnych ubrań jest szeroki. Z tego względu smart clothes stanowią wyzwanie dla ochrony prywatności noszących je osób.

Producenci oferujący inteligentną odzież na terenie Unii Europejskiej muszą podporządkować się nakazom i zakazom wynikających z ogólnego rozporządzenia o ochronie danych osobowych (dalej: RODO) niezależnie od tego, czy mają oni swoją siedzibę lub jednostkę organizacyjną na terenie UE (art. 3 ust. 2 lit. a i b RODO).

Funkcjonowanie oprogramowania, w które wyposażona jest inteligentna odzież, opiera się na przesyłaniu zebranych danych do chmury obliczeniowej (ang. cloud computing)[6], która umożliwia ich przechowywanie i analizę[7].

W proces przetwarzania danych osobowych konkretnego użytkownika może być zaangażowanych wiele podmiotów — producenci odzieży, twórcy software, przedsiębiorstwa odpowiadające za analizę zgromadzonych informacji.

Każdy z nich w zależności od swojej roli na konkretnym etapie przetwarzania danych osobowych może być odpowiednio ich administratorem, współadministratorem lub podmiotem, któremu powierzono przetwarzanie. Z tego względu istnieje ryzyko, że na gruncie europejskiego systemu ochrony prywatności może powodować to problem z jednoznacznym określeniem charakteru danego przedsiębiorstwa w relacji do informacji zbieranych od użytkownika smart clothes. RODO przewiduje bowiem różne obowiązki dla podmiotu w zależności od jego pozycji w procesie przetwarzania danych osoby fizycznej.

Inteligentne ubrania są rozwijane w szczególności przez producentów specjalizujących się w wytwarzaniu odzieży sportowej. Amerykańskie przedsiębiorstwo Sensoria ma w ofercie między innymi „inteligentne” skarpetki, które zbierają dane użytkownika podczas biegu w przedmiocie m.in. przebytego dystansu, spalonych kalorie, ułożenia stóp[8].

Kolejny producent — Hexoskin oferuje natomiast koszulę, która jest w stanie monitorować tętno użytkownika, jakość jego snu, a nawet oddychanie[9]. Na pierwszy rzut oka dane te mogą wydawać się nieszkodliwe. Jak podkreśla jednak Grupa Robocza artykułu 29 nawet dane o stylu życia (ang. lifestyle data) mogą być uznane za dane dotyczące zdrowia gdy są monitorowane w połączeniu z innymi danymi lub przekazywane innym podmiotom[10].

Co więcej, w rozumieniu artykułu 14 ust. 15 takimi informacjami są „dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia”.

Należy zauważyć, że przetwarzanie tego rodzaju informacji w przeciwieństwie do danych zwykłych jest co do zasady zakazane na gruncie RODO (art. 9 ust. 1 RODO). Proces ten może być jednak legalny, gdy w danym stanie faktycznym spełnione są przesłanki jednej z 10 podstaw wyszczególnionych w art 9 ust.2 RODO.

Dla większości smart clothes produkowanych w celach komercyjnych najbardziej funkcjonalną podstawą byłaby ta z art 9 ust. 2 lit. a RODO, czyli wyrażenie wyraźnej zgody przez osobę której dane dotyczą na ich przetwarzanie.

Producenci inteligentnej odzieży będą musieli jednak zmierzyć się z praktycznym zagadnieniem jakim jest udowodnienie (w rozumieniu zasady rozliczalności z art 5 ust. 2 RODO), że taka zgoda została udzielona.

Pojęcie „wyraźności” pozostało bowiem niezdefiniowane na gruncie RODO. W doktrynie podnosi się jednak, że przesłanek takiej zgody nie spełni nigdy zgoda wyrażona konkludentnie[11]. Sam fakt zakupu inteligentnej odzieży nie będzie mógł być więc uznany za spełnienie wymogu udzielenia wyraźnej zgody przez osobę fizyczną.

Zakończenie

Chociaż inteligentne ubrania znajdują się dopiero w początkowej fazie swojego rozwoju, to z racji oferowanych przez nie możliwości można spodziewać się wzrostu ich popularności w najbliższych latach.

Producenci, którzy będą dostarczać takie przedmioty powinni przed wprowadzeniem ich do obrotu w UE przeprowadzić ocenę skutków dla ochrony danych (DPIA) w celu analizy ryzyka naruszenia prywatności osób, które używają smart clothes. Warto też zauważyć, że dostosowanie struktury danego podmiotu do wymogów RODO wiąże się z kosztami, które mogą stanowić dodatkową barierę wejścia na unijny rynek dla pozaeuropejskich małych i średnich przedsiębiorstw z branży inteligentnej odzieży.

 

[1] Study on Definition of a Research and Innovation Policy Leveraging Cloud Computing and IoT Combination (2015), s. 18, https://ec.europa.eu/digital-single-market/en/news/definition-research-and-innovation-policy-leveraging-cloud-computing-and-iot-combination, [dostęp: 15.09.2019 r.].

[2] Inteligentne ubrania: przyszłość czy ciekawostka?, https://tech.wp.pl/inteligentne-ubrania-przyszlosc-czy-ciekawostka-6386232543528577a, [dostęp: 15.09.2019 r.].

[3] Nike Adapt Huarache — buty reagujące na komendy głosowe Siri i Apple Watch, https://gadzetomania.pl/60677,nike-adapt-huarache-buty-reagujace-na-komendy-glosowe-siri-i-apple-watch, [dostęp: 15.09.2019 r.].

[4] These $100 Tommy Hilfiger hoodies come equipped with chips that track how often you wear them and give you prizes, https://www.businessinsider.com/tommy-hilfiger-smart-clothes-rewards-2018–7?IR=T, [dostęp: 15.09.2019 r.].

[5] Jacquard: Google and Levi’s ‘smart jacket’ that you can only wash 10 times, https://www.levi.com/US/en_US/jacquard-by-google/c/levi_clothing_jacquard_by_google_us, [dostęp: 15.09.2019 r.].

[6] Grupa Roboczą artykułu 29 ds. Ochrony Danych definiuje cloud computing jako „zestaw technologii i modeli usług, które koncentrują się na wykorzystywaniu i dostarczaniu poprzez Internet aplikacji informatycznych, możliwości przetwarzania, zasobów pamięci”.

[7] M. Kuaffman, M.N. Soares, New Technologies and data ownership: wearables and the erosion of personality rights, Revista Direitos Sociais e Políticas Públicas, s. 520, http://dx.doi.org/10.25245/rdspp.v6i1.444 , [dostęp: 15.09.2019 r.].

[8] http://store.sensoriafitness.com/smart-sock-v2-0-sensoria-core/, [dostęp:15.09.2019 r.].

[9] https://www.wearable-technologies.com/2018/06/hexoskin-smart-shirt-monitors-and-records-heart-rate-breathing-and-movement/, [dostęp:15.09.2019 r.].

[10] Article 29 Working Party (2015), Letter from the ART 29 WP to the European Commission, DG CONNECT on mHealth and its Annex - ‘Health data in apps and devices’, 5 February 2015, s.3, [dostęp: 15.09.2019 r.].

[11] A.Nerka, Komentarz do art. 9 [w:] M.Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Legalis 2019.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *