aktualne rozwiązania prawne w zakresie danych pomiarowych
Transkrypt
aktualne rozwiązania prawne w zakresie danych pomiarowych
Aktualne i przyszłe rozwiązania prawne w zakresie rozwiązań technicznych stosowanych przy przetwarzaniu danych pomiarowych II KONFERENCJA NAUKOWO – PRZEMYSŁOWA „ZDALNE ODCZYTY” Zielona Góra, 17 – 18 marca 2015 r. r.pr. Jacek Zimmer – Czekaj / r.pr. Arkadiusz Ratajczak Kancelaria Adwokacka dr hab. Mariusz Swora plan wystąpienia aktualne rozwiązania prawne dotyczące danych pomiarowych obowiązek wdrożenia inteligentnych sieci ochrona prywatności w inteligentnych sieciach – dorobek UE ochrona danych pomiarowych - regulacje krajowe projektowane regulacje w zakresie ochrony danych pomiarowych prace na forum Unii Europejskiej wdrożenie inteligentnych sieci – wymiar krajowy 2 aktualne rozwiązania prawne w zakresie danych pomiarowych obowiązek wdrożenia inteligentnych sieci prawo unijne dyrektywa elektryczna – względny obowiązek: jeśli ekonomiczna ocena kosztów i korzyści dla rynku jest pozytywna – 80% konsumentów wyposażonych w inteligentne liczniki do 2020 r. dyrektywa gazowa – jedynie analiza kosztów i korzyści, następnie ew. harmonogram wdrożenia (bez terminu i zakresu) 3 aktualne rozwiązania prawne w zakresie danych pomiarowych obowiązek wdrożenia inteligentnych sieci prawo krajowe brak systemowego rozwiązania w zakresie stosowania systemów pomiarowo – rozliczeniowych umożliwiających dwustronną komunikację rozporządzenie systemowe: regulacje dot. układów pomiarowo – rozliczeniowych z funkcją transmisji danych: obowiązek w przypadku odbiorców o mocy pow. 40 kW pozostali odbiorcy – jeżeli przewiduje tak instrukcja ruchu i eksploatacji sieci dystrybucyjnej 4 aktualne rozwiązania prawne w zakresie danych pomiarowych wdrażanie inteligentnych sieci – praktyka niewiążące dokumenty Prezesa URE Stanowisko Prezesa URE ws. AMI Stanowisko Prezesa URE ws. Interoperacyjności Stanowisko Prezesa URE ws. OIP wzorcowa specyfikacja techniczna infrastruktury licznikowej Energa Operator S.A. – zainstalowane ok. 400.000 inteligentnych liczników 5 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE dane pomiarowe, które pozwalają zidentyfikować osobę fizyczną = dane osobowe dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zalecenia Komisji Europejskiej i inne dokumenty niewiążące (opinie grup roboczych i grup zadaniowych) 6 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: podstawowe funkcje, które powinien spełniać system inteligentnego opomiarowania wymagania i zalecane środki w zakresie bezpieczeństwa ww. systemu i ochrony danych pomiarowych 7 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: podstawowe funkcje, które powinien spełniać system inteligentnego opomiarowania: w odniesieniu do klienta końcowego: dostarczanie odczytów bezpośrednio do konsumenta lub dowolnej osoby trzeciej wyznaczonej przez konsumenta aktualizowanie informacji o odczytach z częstotliwością pozwalającą na wykorzystanie ich w celu uzyskania oszczędności energii (co najmniej 15 minut) możliwość przechowywania danych o zużyciu energii 8 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: podstawowe funkcje, które powinien spełniać system inteligentnego opomiarowania: w odniesieniu do operatora pomiarów: zdalne odczyty licznika dwukierunkowa komunikacja pomiędzy inteligentnym systemem pomiarowym i sieciami zewnętrznymi na potrzeby konserwacji i sterowania wystarczająca częstotliwość odczytów dla potrzeb planowania rozwoju sieci 9 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: podstawowe funkcje, które powinien spełniać system inteligentnego opomiarowania: w zakresie sprzedaży energii: wspieranie zaawansowanych systemów taryfowych, w tym możliwości automatycznego przesyłania klientom informacji o zaawansowanych opcjach taryfowych, np. za pomocą znormalizowanego interfejsu umożliwienie zdalnego włączania/wyłączania zasilania lub przepływu, bądź ograniczenia mocy 10 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: podstawowe funkcje, które powinien spełniać system inteligentnego opomiarowania: w odniesieniu do bezpieczeństwa i ochrony danych: wysoki poziom bezpieczeństwa transmisji danych pomiędzy licznikiem i operatorem oraz wiadomości przekazywanych poprzez licznik do lub od wszelkich urządzeń lub systemów kontroli w lokalu konsumenta zapobieganie oszustwom i ich wykrywanie, w tym ochrona konsumenta, np. przed bezprawnym dostępem 11 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: wymagania i środki w zakresie bezpieczeństwa danych i systemu: zapewnienie ochrony danych już w fazie projektowania (ang. privacy-by-design) poprzez wdrożenie odpowiednich środków oraz procedur technicznych i organizacyjnych, tak by przetwarzanie odpowiadało przepisom w zakresie ochrony danych osobowych oraz gwarantowało ochronę praw osoby, której dotyczą dane; stosowanie zasady domyślnej ochrony danych (ang. privacy-bydefault) poprzez wdrożenie mechanizmów służących zapewnieniu, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne dla każdorazowej realizacji określonego celu przetwarzania oraz nie były one zbierane lub zatrzymywane dłużej niż przez minimalny okres niezbędny do realizacji tych celów 12 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona prywatności w ramach sieci inteligentnych dorobek UE – wnioski: wymagania i środki w zakresie bezpieczeństwa danych i systemu: dokonanie oceny skutków (ang. privacy impact assessment) w zakresie ochrony, w przypadku gdy operacje przetwarzania mogą powodować określone zagrożenia dla praw i wolności osób, których dotyczą dane, przeprowadzaną przez administratora danych lub przetwarzającego, bądź przetwarzającego działającego w imieniu administratora stosowanie najlepszych dostępnych technik tj. najbardziej efektywnej i zaawansowanej fazy rozwoju działań i metod ich wykonywania, które umożliwiają uzyskanie zgodności z unijnymi ramami dotyczącymi ochrony danych; służą one zapobieganiu zagrożeniom dla ochrony prywatności, danych osobowych i bezpieczeństwa oraz łagodzenia skutków ewentualnych naruszeń 13 aktualne rozwiązania prawne w zakresie danych pomiarowych bezpieczeństwo i ochrona prywatności: technologie PET (privacy enhancing technologies) automatyczna anonimizacja danych po upływie określonego czasu narzędzia szyfrujące uniemożliwiające przechwycenie danych mechanizm informowania o polityce w zakresie ochrony prywatności ograniczona częstotliwość odczytu liczników agregowanie danych połączone z usunięciem lub domyślne gromadzenie danych zagregowanych ograniczenie czasu przechowywania danych 14 aktualne rozwiązania prawne w zakresie danych pomiarowych ochrona danych pomiarowych – regulacje krajowe ustawa prawo energetyczne: odpowiednie zastosowanie ustawy o ochronie danych osobowych (przez OSD, w przypadku stosowania liczników zdalnego odczytu) – dane pomiarowe, które identyfikują lub pozwalają zidentyfikować osobę fizyczną dane pomiarowe, kt. nie są danymi osobowymi (dane osób prawnych) – zasada poufności (jako informacje handlowe) 15 aktualne rozwiązania prawne w zakresie danych pomiarowych ustawa o ochronie danych osobowych zasady przetwarzania (danych pomiarowych): legalności – przetwarzanie danych zgodnie z prawem, a w szczególności wypełnienie jednej z przesłanek legalizujących przetwarzanie danych celowości – zbierania danych dla oznaczonych, zgodnych z prawem celów i nie poddawanie ich dalszemu przetwarzaniu niezgodnemu z tymi celami merytorycznej poprawności danych adekwatności w stosunku do celów, w jakich są przetwarzane ograniczenia czasowego – przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania 16 aktualne rozwiązania prawne w zakresie danych pomiarowych ustawa o ochronie danych osobowych zasada legalności przetwarzania danych osobowych (prawne przesłanki legalizujące przetwarzanie danych – równoprawne, niekumulatywne): zgoda osoby, której dane dotyczą przetwarzanie jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa przetwarzanie jest konieczne w celu realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą przetwarzanie jest niezbędne w celu wykonania określonych zadań realizowanych dla dobra publicznego niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, pod warunkiem, że przetwarzanie nie narusza praw i wolności osoby, których dane dotyczą 17 aktualne rozwiązania prawne w zakresie danych pomiarowych ustawa o ochronie danych osobowych przesłanki legalizujące przetwarzanie danych pomiarowych bez zgody odbiorcy; dostawy energii i rozliczenie z tego tytułu wykrywanie nielegalnego poboru energii przygotowanie zbiorczych danych niezbędnych dla zarządzania siecią (prognozowania i bilansowania) ogólnie: sankcjonowane prawnie cele działania OSD lub prawnie usprawiedliwione cele działania administratora danych osobowych 18 aktualne rozwiązania prawne w zakresie danych pomiarowych zabezpieczenie techniczne i organizacyjne danych osobowych (pomiarowych) – rozporządzenie w sprawie zasad przetwarzania danych osobowych: połączenie z siecią publiczną → tzw. wysoki poziom bezpieczeństwa, obejmujący m. in.: rejestrowanie przetwarzania danych, w tym uwierzytelnienia i rejestracji poszczególnych użytkowników zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz przed utratą danych w wyniku awarii lub zakłóceń zasilania nadawanie indywidualnego identyfikatora i przestrzegania szczegółowych zasad dotyczących wprowadzania i zmiany haseł użytkowników zasady przechowywania i niszczenia kopii zapasowych 19 aktualne rozwiązania prawne w zakresie danych pomiarowych rozporządzenie w sprawie zasad przetwarzania danych osobowych: połączenie z siecią publiczną – tzw. wysoki poziom bezpieczeństwa, cd.: zabezpieczenie integralności i poufności danych w przypadku używania urządzeń i nośników zawierających dane osobowe poza obszarem przetwarzania danych – a przypadku komputerów przenośnych stosowanie urządzeń ochrony kryptograficznej zasady likwidacji nośników zawierających dane osobowe oraz ich przekazywania podmiotowi niemającemu dostępu do danych, w tym w celu naprawy zabezpieczenia przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem; stosowanie środków ochrony kryptograficznej wobec danych służących uwierzytelnianiu, przesyłanych w sieci publicznej obowiązek monitorowania zabezpieczeń systemu informatycznego 20 aktualne rozwiązania prawne w zakresie danych pomiarowych pozostałe wymogi wynikające z ustawy o ochronie danych osobowych: obowiązek informacyjny wobec podmiotu, którego dane dotyczą (identyfikacja oraz przekazanie informacji o fakcie i zasadach przetwarzania oraz prawach przysługujących danej osobie) obowiązek zgłoszenia zbioru danych do rejestru prowadzonego przez GIODO obowiązki związane z powierzeniem przetwarzania danych osobie trzeciej realizacja praw osoby, której dotyczą dane przekazywanie danych do państw trzecich uprawnienia kontrolne GIODO 21 projektowane regulacje dot. ochrony danych pomiarowych prace w ramach Unii Europejskiej projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) zastąpi dotychczasowe regulacje bezpośrednie obowiązywanie i zastosowanie w państwach członkowskich (wyłączenie ustawy o ochronie danych osobowych?) 22 projektowane regulacje dot. ochrony danych pomiarowych ogólne rozporządzenie o ochronie danych (projekt): legalny obowiązek stosowania mechanizmów uwzględnienia ochrony danych już w fazie projektowania (privacy by design) oraz ochrony danych jako opcji domyślnej (privacy by default) obowiązek dokonania oceny skutków wdrożenia systemu w zakresie ochrony danych i uprzednich konsultacji z organem nadzoru obowiązek zawiadomienia o naruszeniu zasad ochrony danych osobowych możliwość ustanowienia standardów technicznych ochrony danych przez Komisję Europejską promowanie stosowania mechanizmów certyfikacji w zakresie danych osobowych (akty delegowane Komisji) sankcje finansowe za naruszenie przepisów rozporządzenia 23 projektowane regulacje dot. ochrony danych pomiarowych projekt dyrektywy ws. bezpieczeństwa sieci i informacji (dyrektywa NIS) art. 14 – obowiązek stosowania właściwych środków technicznych i organizacyjnych w celu przeciwdziałania zagrożeniom sieci i systemów informatycznych, zgodnie z aktualnym stanem wiedzy i technologii obligatoryjne zgłaszanie do organów nadzoru incydentów dot. bezpieczeństwa (ujawnianie) uprawnienie organów nadzoru do monitorowania realizacji obowiązków w zakresie cyberbezpieczeństwa audyty i wiążące instrukcje 24 projektowane regulacje dot. ochrony danych pomiarowych plany wdrożenia inteligentnych sieci elektroenergetycznych w Polsce pozytywny rezultat analizy kosztów i korzyści wdrożenia systemu inteligentnego opomiarowania → obowiązek wdrożenia założenia do projektu ustawy: obowiązek OSD zainstalowania liczników zdalnego odczytu u 80% odbiorców końcowych do 2024 r. centralny zbiór informacji pomiarowych prowadzony w systemie teleinformatycznym przez operatora informacji pomiarowych (OIP) 25 projektowane regulacje dot. ochrony danych pomiarowych obowiązki OSD i OIP w zakresie w zakresie ochrony danych pomiarowych i bezpieczeństwa systemu: ustalenie kryteriów i sposobu przydzielania uprawnień do dostępu do danych pomiarowych zapewnienie właściwej ochrony danych pomiarowych oraz informacji i materiałów dotyczących systemu pomiarowego opracowanie wewnętrznej instrukcji bezpieczeństwa systemu teleinformatycznego, w tym zarządzania ryzykiem oraz procedury bezpiecznej eksploatacji systemu pomiarowego wykonywanie okresowych testów bezpieczeństwa danych pomiarowych stosowanie szablonu oceny skutków w zakresie ochrony danych, przyjętego przez Komisję Europejską 26 projektowane regulacje dot. ochrony danych pomiarowych obowiązki OSD i OIP w zakresie w zakresie ochrony danych pomiarowych i bezpieczeństwa systemu, cd.: zapewnienie bezpieczeństwa systemu pomiarowego na możliwie wielu różnych poziomach organizacji ochrony, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkować będzie naruszeniem poufności, integralności i dostępności do danych pomiarowych opracowanie procedur postępowania w sytuacjach kryzysowych, w tym w przypadku awarii elementów systemu pomiarowego zapewnienie przeszkolenia osób przed dopuszczeniem ich do pracy z systemem informacji pomiarowej 27 projektowane regulacje dot. ochrony danych pomiarowych obowiązki OSD i OIP w zakresie w zakresie ochrony danych pomiarowych i bezpieczeństwa systemu: zawiadomienie GIODO o naruszeniu danych osobowych zawiadomienie odbiorcy końcowego, którego naruszenie dotyczy prowadzenie rejestru naruszeń danych osobowych 28 Dziękuję za uwagę, r. pr. Arkadiusz Ratajczak Kontakt: [email protected] 29