Centralna baza danych pomiarowych rodzi poważne zagrożenia. Może stać się obiektem zainteresowania organów państwa, które zgodnie z projektem ustawy dziś nie mają do nich dostępu, jak również celem ataków cyberprzestępców – uważa Fundacja Panoptykon. Natomiast GIODO zastanawia się nad legislacyjnym zmuszaniem do korzystania z liczników smart. Klient powinien mieć takie prawo, ale czy obowiązek?

Projekt Ministerstwa Gospodarki to pozytywna zmiana w projektowaniu prawa - twierdzą eksperci. Poselski projekt PO sprzed 2 lat nie gwarantował bezpieczeństwa danych osobowych w odpowiedni sposób. Nadal jednak kilka rzeczy wymaga jednak doprecyzowania.

Przede wszystkim w jakim celu powstaje Operator Informacji Pomiarowych. Zdaniem legislatorów ma to pomóc w szybkiej zmianie sprzedawcy energii przy zastosowaniu jednolitych formatów. Te sam cel można osiągnąć bez tworzenia nowej instytucji twierdzi Fundacja Panoptykon, która do założeń projektu ustawy zgłosiła klika uwag.

-Centralna baza danych pomiarowych rodzi poważne zagrożenia. Może stać się obiektem zainteresowania organów państwa, które dziś nie mają do nich dostępu, jak również celem ataków hakerów. Moim zdaniem firmy - nadzorowane przez URE i w odpowiednim zakresie przez GIODO poradzą sobie z ochroną danych pomiarowych we własnym zakresie.- twierdzi Wojciech Klicki, ekspert Fundacji Panoptykon.

Rzeczywiście baza kilkunastu milionów danych osobowych wraz z profilami zużycia energii elektrycznej może być "łakomym kąskiem" dla hakerów. Nawet jeśli nie będą chcieli wykorzystać tych danych czy sprzedać na rynku, już samo fakt ataku spowoduje ogromne zagrożenie. Dziś operatorzy sami przechowują i zabezpieczają dane. Rodzi się pytanie w jakim celu ma do tego powstać nowa instytucja. Czy tam dane pomiarowe będą bardziej bezpieczne niż dziś w firmach energetycznych?

Inaczej wygląda sprawa organów państwa. Projekt ściśle nie precyzuje kto będzie miał dostęp do bazy, konkretnie mówiąc komu ta baza będzie poza operatorami energii ujawniona. Fundacja Panoptykon obawia się, że brak jednoznacznych zapisów może powodować, że w przyszłości któryś z organów państwa czy rządowych agencji zażyczy sobie dostępu do tych danych. Łatwo sobie wyobrazić, że w imię dobra państwa i jego bezpieczeństwa takie dane będą chciały dostać np. służby specjalne, ale także całkiem standardowe organy jak komisja poselska.

Ale największe zagrożenie niesie za sobą to co może się stać w przyszłości. Dane pomiarowe co do zasady należą do klienta. Liczniki będą przekazywać dane pomiarowe, ale co z wewnętrznym działaniem urządzenia? W przyszłości takie urządzenia mogą zbierać dane dotyczące użytkowników na ich własną prośbę.

- Stworzy się tym samym niebezpieczna, nowa branża, która w zamian za takie dane, będzie oferować klientom dodatkowe usługi. To rodzi zagrożenia. Klienci będą zobligowani do uwagi i rozważności w podpisywaniu niekorzystnych dla nich dokumentów. To należy uregulować.- zauważ Klicki.

Ponadto po trzech latach wg. projektu MG dane mają być anonimizowane, ale czemu nie będą zniszczone? Nie wiadomo jak będzie wyglądać ta anonimizacja, i co dalej stanie się z takimi danymi. To również budzi spore wątpliwości dla Fundacji Panoptykon.

Ale to nie koniec zarzutów. Jest jeszcze problem zasadniczy: czyli opcja opt-out. Czemu konsument nie dostaje możliwości odmowy zainstalowania takiego licznika? Powinien móc skorzystać z takiego uprawnienia, jeśli godzi się na zrezygnowanie z korzyści, jakie daje inteligentny licznik. Sprawą zajął się Generalny Inspektor Ochrony Danych Osobowych. - Jeśli konsument nie chce niższych rachunków za prąd, to czy powinniśmy go zmuszać do zawieszenia nowoczesnego licznika smart? - pyta Andrzej Kaczmarek z biura GIODO. I jednocześnie wskazuje na dodatkowe problemy i rozwiązania niepotrzebnie narażające klienta. Według Kaczmarka dane do wystawienia faktury wystarczyło by przesyłać raz w miesiącu. Czemu zatem są wysyłane co 15 minut?

- Można te dane gromadzić w liczniku w rejestrach. I może zamiast wysyłać tysiące danych miesięcznie, wysyłać tylko kilka danych z przedziałów czasowych, tak aby realizować elastyczne taryfy. Najważniejsze w ochronie danych osobowych jest minimalizacja danych osobowych- informuje Andrzej Kaczmarek.

Warto dodać, że choć dane pomiarowe z licznika przesyłane są co 15 minut, to klient i tak na bieżąco nie widzi swojego zuźycia. Może się z nim zapoznać w dniu następnym. Podczas konferencji zorganizowanej przez PTPiREE w Warszawie na temat inteligentnych sieci energetycznych została podniesiona jeszcze jedna ważna kwestia a zarazem zarzut dla operatorów. Konsument nie ma żadnej instrukcji odczytywania takiego licznika.