aktualne rozwiązania prawne w zakresie danych pomiarowych

Transkrypt

Aktualne i przyszłe rozwiązania prawne w zakresie
rozwiązań technicznych stosowanych przy
przetwarzaniu danych pomiarowych
II KONFERENCJA NAUKOWO – PRZEMYSŁOWA
„ZDALNE ODCZYTY”
Zielona Góra,
17 – 18 marca 2015 r.
r.pr. Jacek Zimmer – Czekaj / r.pr. Arkadiusz Ratajczak
Kancelaria Adwokacka dr hab. Mariusz Swora
plan wystąpienia
 aktualne rozwiązania prawne dotyczące danych
pomiarowych
 obowiązek wdrożenia inteligentnych sieci
 ochrona prywatności w inteligentnych sieciach – dorobek UE
 ochrona danych pomiarowych - regulacje krajowe
 projektowane regulacje w zakresie ochrony danych
pomiarowych
 prace na forum Unii Europejskiej
 wdrożenie inteligentnych sieci – wymiar krajowy
2
aktualne rozwiązania prawne w zakresie danych
pomiarowych
 obowiązek wdrożenia inteligentnych sieci
 prawo unijne
 dyrektywa elektryczna – względny obowiązek: jeśli
ekonomiczna ocena kosztów i korzyści dla rynku jest
pozytywna – 80% konsumentów wyposażonych w inteligentne
liczniki do 2020 r.
 dyrektywa gazowa – jedynie analiza kosztów i korzyści,
następnie ew. harmonogram wdrożenia (bez terminu i
zakresu)
3
pomiarowych
 obowiązek wdrożenia inteligentnych sieci
 prawo krajowe
 brak systemowego rozwiązania w zakresie stosowania
systemów pomiarowo – rozliczeniowych umożliwiających
dwustronną komunikację
 rozporządzenie systemowe: regulacje dot. układów
pomiarowo – rozliczeniowych z funkcją transmisji danych:
 obowiązek w przypadku odbiorców o mocy pow. 40 kW
 pozostali odbiorcy – jeżeli przewiduje tak instrukcja ruchu
i eksploatacji sieci dystrybucyjnej
4
pomiarowych
 wdrażanie inteligentnych sieci – praktyka
 niewiążące dokumenty Prezesa URE
 Stanowisko Prezesa URE ws. AMI
 Stanowisko Prezesa URE ws. Interoperacyjności
 Stanowisko Prezesa URE ws. OIP
 wzorcowa specyfikacja techniczna infrastruktury
licznikowej
 Energa Operator S.A. – zainstalowane ok. 400.000
inteligentnych liczników
5
pomiarowych
 ochrona prywatności w ramach sieci inteligentnych
 dorobek UE
 dane pomiarowe, które pozwalają zidentyfikować osobę
fizyczną = dane osobowe
 dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych i swobodnego
przepływu tych danych
 zalecenia Komisji Europejskiej i inne dokumenty niewiążące
(opinie grup roboczych i grup zadaniowych)
6
pomiarowych
 dorobek UE – wnioski:
 podstawowe funkcje, które powinien spełniać system
inteligentnego opomiarowania
 wymagania i zalecane środki w zakresie bezpieczeństwa ww.
systemu i ochrony danych pomiarowych
7
pomiarowych
inteligentnego opomiarowania:
 w odniesieniu do klienta końcowego:
 dostarczanie odczytów bezpośrednio do konsumenta lub
dowolnej osoby trzeciej wyznaczonej przez konsumenta
 aktualizowanie informacji o odczytach z częstotliwością
pozwalającą na wykorzystanie ich w celu uzyskania
oszczędności energii (co najmniej 15 minut)
 możliwość przechowywania danych o zużyciu energii
8
pomiarowych
 w odniesieniu do operatora pomiarów:
 zdalne odczyty licznika
 dwukierunkowa komunikacja pomiędzy inteligentnym
systemem pomiarowym i sieciami zewnętrznymi na
potrzeby konserwacji i sterowania
 wystarczająca częstotliwość odczytów dla potrzeb
planowania rozwoju sieci
9
pomiarowych
 w zakresie sprzedaży energii:
 wspieranie zaawansowanych systemów taryfowych, w tym
możliwości automatycznego przesyłania klientom
informacji o zaawansowanych opcjach taryfowych, np. za
pomocą znormalizowanego interfejsu
 umożliwienie zdalnego włączania/wyłączania zasilania lub
przepływu, bądź ograniczenia mocy
10
pomiarowych
 w odniesieniu do bezpieczeństwa i ochrony danych:
 wysoki poziom bezpieczeństwa transmisji danych pomiędzy
licznikiem i operatorem oraz wiadomości przekazywanych
poprzez licznik do lub od wszelkich urządzeń lub systemów
kontroli w lokalu konsumenta
 zapobieganie oszustwom i ich wykrywanie, w tym ochrona
konsumenta, np. przed bezprawnym dostępem
11
pomiarowych
 wymagania i środki w zakresie bezpieczeństwa danych i systemu:
 zapewnienie ochrony danych już w fazie projektowania (ang.
privacy-by-design) poprzez wdrożenie odpowiednich środków oraz
procedur technicznych i organizacyjnych, tak by przetwarzanie
odpowiadało przepisom w zakresie ochrony danych osobowych oraz
gwarantowało ochronę praw osoby, której dotyczą dane;
 stosowanie zasady domyślnej ochrony danych (ang. privacy-bydefault) poprzez wdrożenie mechanizmów służących zapewnieniu,
by domyślnie przetwarzane były jedynie te dane osobowe, które są
niezbędne dla każdorazowej realizacji określonego celu
przetwarzania oraz nie były one zbierane lub zatrzymywane dłużej
niż przez minimalny okres niezbędny do realizacji tych celów
12
pomiarowych
 wymagania i środki w zakresie bezpieczeństwa danych i systemu:
 dokonanie oceny skutków (ang. privacy impact assessment) w
zakresie ochrony, w przypadku gdy operacje przetwarzania mogą
powodować określone zagrożenia dla praw i wolności osób, których
dotyczą dane, przeprowadzaną przez administratora danych lub
przetwarzającego, bądź przetwarzającego działającego w imieniu
administratora
 stosowanie najlepszych dostępnych technik tj. najbardziej
efektywnej i zaawansowanej fazy rozwoju działań i metod ich
wykonywania, które umożliwiają uzyskanie zgodności z unijnymi
ramami dotyczącymi ochrony danych; służą one zapobieganiu
zagrożeniom dla ochrony prywatności, danych osobowych i
bezpieczeństwa oraz łagodzenia skutków ewentualnych naruszeń
13
pomiarowych
 bezpieczeństwo i ochrona prywatności:
 technologie PET (privacy enhancing technologies)
 automatyczna anonimizacja danych po upływie określonego
czasu
 narzędzia szyfrujące uniemożliwiające przechwycenie danych
 mechanizm informowania o polityce w zakresie ochrony
prywatności
 ograniczona częstotliwość odczytu liczników
 agregowanie danych połączone z usunięciem lub domyślne
gromadzenie danych zagregowanych
 ograniczenie czasu przechowywania danych
14
pomiarowych
 ochrona danych pomiarowych – regulacje krajowe
 ustawa prawo energetyczne: odpowiednie zastosowanie
ustawy o ochronie danych osobowych (przez OSD, w
przypadku stosowania liczników zdalnego odczytu) – dane
pomiarowe, które identyfikują lub pozwalają zidentyfikować
osobę fizyczną
 dane pomiarowe, kt. nie są danymi osobowymi (dane osób
prawnych) – zasada poufności (jako informacje handlowe)
15
pomiarowych
 ustawa o ochronie danych osobowych
 zasady przetwarzania (danych pomiarowych):
 legalności – przetwarzanie danych zgodnie z prawem, a w
szczególności wypełnienie jednej z przesłanek legalizujących
przetwarzanie danych
 celowości – zbierania danych dla oznaczonych, zgodnych z
prawem celów i nie poddawanie ich dalszemu przetwarzaniu
niezgodnemu z tymi celami
 merytorycznej poprawności danych
 adekwatności w stosunku do celów, w jakich są przetwarzane
 ograniczenia czasowego – przechowywania danych w postaci
umożliwiającej identyfikację osób, których dotyczą, nie dłużej
niż jest to niezbędne do osiągnięcia celu przetwarzania
16
pomiarowych
 zasada legalności przetwarzania danych osobowych (prawne
przesłanki legalizujące przetwarzanie danych – równoprawne,
niekumulatywne):
 zgoda osoby, której dane dotyczą
 przetwarzanie jest niezbędne dla zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z przepisów prawa
 przetwarzanie jest konieczne w celu realizacji umowy, gdy osoba,
której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby, której
dane dotyczą
 przetwarzanie jest niezbędne w celu wykonania określonych zadań
realizowanych dla dobra publicznego
 niezbędne dla wypełnienia prawnie usprawiedliwionych celów
realizowanych przez administratorów danych albo odbiorców
danych, pod warunkiem, że przetwarzanie nie narusza praw i
wolności osoby, których dane dotyczą
17
pomiarowych
 przesłanki legalizujące przetwarzanie danych pomiarowych bez
zgody odbiorcy;
 dostawy energii i rozliczenie z tego tytułu
 wykrywanie nielegalnego poboru energii
 przygotowanie zbiorczych danych niezbędnych dla
zarządzania siecią (prognozowania i bilansowania)
 ogólnie: sankcjonowane prawnie cele działania OSD lub
prawnie usprawiedliwione cele działania administratora
danych osobowych
18
pomiarowych
 zabezpieczenie techniczne i organizacyjne danych osobowych
(pomiarowych) – rozporządzenie w sprawie zasad przetwarzania
danych osobowych:
 połączenie z siecią publiczną → tzw. wysoki poziom
bezpieczeństwa, obejmujący m. in.:
 rejestrowanie przetwarzania danych, w tym uwierzytelnienia
i rejestracji poszczególnych użytkowników
 zabezpieczenie przed działaniem oprogramowania, którego
celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego oraz przed utratą danych w wyniku awarii
lub zakłóceń zasilania
 nadawanie indywidualnego identyfikatora i przestrzegania
szczegółowych zasad dotyczących wprowadzania i zmiany
haseł użytkowników
 zasady przechowywania i niszczenia kopii zapasowych
19
pomiarowych
 rozporządzenie w sprawie zasad przetwarzania danych osobowych:
 połączenie z siecią publiczną – tzw. wysoki poziom bezpieczeństwa,
cd.:
 zabezpieczenie integralności i poufności danych w przypadku
używania urządzeń i nośników zawierających dane osobowe
poza obszarem przetwarzania danych – a przypadku
komputerów przenośnych stosowanie urządzeń ochrony
kryptograficznej
 zasady likwidacji nośników zawierających dane osobowe oraz
ich przekazywania podmiotowi niemającemu dostępu do
danych, w tym w celu naprawy
 zabezpieczenia przed zagrożeniami pochodzącymi z sieci
publicznej poprzez wdrożenie fizycznych lub logicznych
zabezpieczeń chroniących przed nieuprawnionym dostępem;
 stosowanie środków ochrony kryptograficznej wobec danych
służących uwierzytelnianiu, przesyłanych w sieci publicznej
 obowiązek monitorowania zabezpieczeń systemu
informatycznego
20
pomiarowych
pozostałe wymogi wynikające z ustawy o ochronie
danych osobowych:
 obowiązek informacyjny wobec podmiotu, którego dane dotyczą
(identyfikacja oraz przekazanie informacji o fakcie i zasadach
przetwarzania oraz prawach przysługujących danej osobie)
 obowiązek zgłoszenia zbioru danych do rejestru prowadzonego
przez GIODO
 obowiązki związane z powierzeniem przetwarzania danych osobie
trzeciej
 realizacja praw osoby, której dotyczą dane
 przekazywanie danych do państw trzecich
 uprawnienia kontrolne GIODO
21
projektowane regulacje dot. ochrony danych
pomiarowych
 prace w ramach Unii Europejskiej
 projekt rozporządzenia Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i swobodnym
przepływem takich danych (ogólne rozporządzenie o
ochronie danych)
 zastąpi dotychczasowe regulacje
 bezpośrednie obowiązywanie i zastosowanie w
państwach członkowskich (wyłączenie ustawy o ochronie
danych osobowych?)
22
pomiarowych
 ogólne rozporządzenie o ochronie danych (projekt):
 legalny obowiązek stosowania mechanizmów uwzględnienia
ochrony danych już w fazie projektowania (privacy by design)
oraz ochrony danych jako opcji domyślnej (privacy by default)
 obowiązek dokonania oceny skutków wdrożenia systemu w
zakresie ochrony danych i uprzednich konsultacji z organem
nadzoru
 obowiązek zawiadomienia o naruszeniu zasad ochrony danych
osobowych
 możliwość ustanowienia standardów technicznych ochrony
danych przez Komisję Europejską
 promowanie stosowania mechanizmów certyfikacji w zakresie
danych osobowych (akty delegowane Komisji)
 sankcje finansowe za naruszenie przepisów rozporządzenia
23
pomiarowych
 projekt dyrektywy ws. bezpieczeństwa sieci i informacji
(dyrektywa NIS)
 art. 14 – obowiązek stosowania właściwych środków
technicznych i organizacyjnych w celu przeciwdziałania
zagrożeniom sieci i systemów informatycznych, zgodnie z
aktualnym stanem wiedzy i technologii
 obligatoryjne zgłaszanie do organów nadzoru incydentów
dot. bezpieczeństwa (ujawnianie)
 uprawnienie organów nadzoru do monitorowania
realizacji obowiązków w zakresie cyberbezpieczeństwa
 audyty i wiążące instrukcje
24
pomiarowych
 plany wdrożenia inteligentnych sieci
elektroenergetycznych w Polsce
 pozytywny rezultat analizy kosztów i korzyści wdrożenia
systemu inteligentnego opomiarowania → obowiązek
wdrożenia
 założenia do projektu ustawy:
 obowiązek OSD zainstalowania liczników zdalnego
odczytu u 80% odbiorców końcowych do 2024 r.
 centralny zbiór informacji pomiarowych prowadzony w
systemie teleinformatycznym przez operatora informacji
pomiarowych (OIP)
25
pomiarowych
 obowiązki OSD i OIP w zakresie w zakresie ochrony
danych pomiarowych i bezpieczeństwa systemu:
 ustalenie kryteriów i sposobu przydzielania uprawnień do
dostępu do danych pomiarowych
 zapewnienie właściwej ochrony danych pomiarowych oraz
informacji i materiałów dotyczących systemu pomiarowego
 opracowanie wewnętrznej instrukcji bezpieczeństwa systemu
teleinformatycznego, w tym zarządzania ryzykiem oraz
procedury bezpiecznej eksploatacji systemu pomiarowego
 wykonywanie okresowych testów bezpieczeństwa danych
pomiarowych
 stosowanie szablonu oceny skutków w zakresie ochrony
danych, przyjętego przez Komisję Europejską
26
pomiarowych
danych pomiarowych i bezpieczeństwa systemu, cd.:
 zapewnienie bezpieczeństwa systemu pomiarowego na
możliwie wielu różnych poziomach organizacji ochrony, w celu
ograniczenia występowania przypadków, w których
przełamanie pojedynczego zabezpieczenia skutkować będzie
naruszeniem poufności, integralności i dostępności do danych
pomiarowych
 opracowanie procedur postępowania w sytuacjach
kryzysowych, w tym w przypadku awarii elementów systemu
pomiarowego
 zapewnienie przeszkolenia osób przed dopuszczeniem ich do
pracy z systemem informacji pomiarowej
27
pomiarowych
danych pomiarowych i bezpieczeństwa systemu:
 zawiadomienie GIODO o naruszeniu danych osobowych
 zawiadomienie odbiorcy końcowego, którego naruszenie
dotyczy
 prowadzenie rejestru naruszeń danych osobowych
28
Dziękuję za uwagę,
r. pr. Arkadiusz Ratajczak
Kontakt:
[email protected]
29

aktualne rozwiązania prawne w zakresie danych pomiarowych

Transkrypt

Podobne dokumenty

Program warsztatów

specjalista serwisant

spis treści

Energia®4

Pomiary i monitoring w ochr

Analiza Systemów Pomiarowych (MSA)

Większe zyski dla firm paszowych Pełna kontrola procesu

Nazwa laboratorium: PRACOWNIA METROLOGII I BADAŃ

karta katalogowa (plik PDF)