Prema Zakonu o energetskoj učinkovitosti ("Narodne novine" br. 127/2014. i 116/2018.), čl. 4., pametno brojilo definirano je kao elektronički sustav koji može mjeriti potrošnju energije pružajući više informacija od konvencionalnog brojila te prenositi i primati podatke koristeći se nekim oblikom elektroničke komunikacije. Pametna brojila su uređaji koji uvode brojne nove mogućnosti poput pružanja detaljnih informacija o potrošnji energije, mogućnosti daljinskog čitanja mjerača, razvoja novih tarifnih i uslužnih usluga na energetskim profilima i mogućnost daljinskog isključivanja opskrbe. Osim toga, čine i dio strategije Europske unije u cilju postizanja održive opskrbe energijom do 2020. godine.1 Nadalje, omogućavaju stvaranje, prijenos i analizu podataka koji se odnose na potrošače, mnogo više nego je to moguće putem tradicionalnih brojila. U skladu s time, omogućuju i mrežnim operaterima, dobavljačima energije i ostalim sudionicima da na temelju tih podataka dobiju detaljne informacije o potrošnji energije i načinima korištenja, kao i da donesu odluke o pojedinim potrošačima na temelju njihovih „profila“ o uporabi.
Iako je sigurno da takve odluke mogu biti korisne za potrošača u smislu uštede energije, s druge strane može doći i do neovlaštenih upada u privatne živote građana koji imaju takve uređaje ugrađene u svoje domove. Nadalje, pametna brojila predstavljaju odmak od tradicionalnog odnosu koji je do sad postojao s dobavljačima energije pri čemu su potrošači inače plaćali dobavljačima za opskrbu električnom energijom i plinom, dok će s pojavom pametnih brojila proces postati složeniji tako da će subjekti podataka dobavljačima pružati uvide u svoje osobne navike.2Ono što je sigurno, pametna brojila mogu povećati učestalost komunikacije između potrošača i ostalih sudionika te povećati količinu podataka o potrošačima koja im je dostupna, neovisno jesu li to potrošači i htjeli.3
Radna skupina za zaštitu podataka iz čl. 29. je potvrdila u svom mišljenju iz 2011. godine da pametna brojila obrađuju osobne podatke te da se u tom slučaju primjenjuju sva relevantna pravila za zaštitu osobnih podataka.4 5.
Sukladno članku 4. Uredbe „osobni podatak” znači svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”) pri čemu, kada se govori o pametnim brojilima, osobni podatak mogu predstavljati različite kategorije podataka. Tako podatak može biti jedinstveni ID pametnog brojila i/ili jedinstveni referentni broj, opis poruke koja se prenosi (primjerice, radi li se o očitavanju brojila ili se radi o upozorenju na neovlašteno rukovanje), podatak o datumu i vremenu ili sam sadržaj poruke. Sadržaj poruke može nadalje uključivati sljedeće vrste podataka: očitovanje brojila, samo jedno očitovanje ili više njih ako se radi o složenijoj tarifi te razna upozorenja (primjerice mjerač može prenijeti poruku koja obavještava da je određeni događaj izazvao alarm brojila), informacije o naponu, nestanku struje i kvaliteti napajanja, ali može sadržavati i druge podatke. Ono što je bitno naglasiti jest da se osobni podatak odnosi na fizičke osobe, pojedince te se oni smatraju ispitanicima u smislu Uredbe. Iz tog razloga, članak u nastavku raspravlja moguće smjerove u kojima vodi regulacija pametnih brojila te analizira što bi to zapravo bilo uzimanje u obzir privatnosti, kao temeljnog ljudskog prava, prilikom razvoja i ugradnje pametnih brojila.
II. Uzimanje privatnosti u obzir
1.Uloge u obradi osobnih podataka
Za početak je bitno utvrditi uloge u obradi osobnih podataka te odgovornosti koje se vežu uz određenu ulogu. U pogledu Uredbe “voditelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a “izvršitelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Voditelj obrade je najčešće opskrbljivač koji sklapa ugovor s korisnikom usluge. Voditelj obrade je odgovoran za obrade osobnih podataka za koje je odredio svrhu i sredstva obrade te je dužan dokazati usklađenost s Uredbom. Stoga, u slučaju da su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku mora ispuniti kriterije Uredbe i ispitaniku pružiti sljedeće informacije: identitet i kontaktne podatke voditelja obrade, kontaktne podatke službenika za zaštitu podataka, svrhe obrade kao i pravnu osnovu za obradu; legitimne interese voditelja obrade ili treće strane, primatelje ili kategorije primatelja osobnih podataka. Osim tih informacija voditelj obrade u trenutku kada se osobni podaci prikupljaju mora ispitaniku pružiti i dodatne informacije poput roka čuvanja ili kriterija pomoću čega se određuje, prava na pristup, ispravak, brisanje, povlačenje privole, prava na prigovor nadzornom tijelu, informacije moraju li se osobni podaci dati i koje su posljedice uskrate, postoji li zakonska ili ugovorna obveza za to te informacije o izradi profila – o kojoj je logici riječ te važnost i posljedicu obrade za ispitanika.
2. Zakonitost obrade osobnih podataka
Uredba navodi kako je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: 1. ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; 2. ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, 3. nužna je radi poštovanja pravnih obveza voditelja obrade, 4. kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, 5. za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade ili 6. za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.6
U Republici Hrvatskoj na temelju postojećih propisa nije utvrđen javni interes niti zakonska obveza ugradnje pametnih brojila te krajnja ugradnja pametnih brojila ovisi o sadržaju ugovora i privoli pojedinca. Ugovor definira prava i obveze voditelja obrade i ispitanika, očitavanja potrošnje plina, obračun nužan za ispostavljanje računa. Međutim, sve ono što nije nužno za samo izvršavanje ugovora (npr. češća očitavanja) se može prikupljati i obrađivati samo uz privolu potrošača.
Prema Uredbi je „privola” svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose7. Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako je ispitanik dao privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Bitno je ukazati kako ispitanik ima pravo u svakom trenutku povući svoju privolu, pri čemu povlačenje ne utječe na zakonitost obrade prije njezina povlačenja o kakvoj mogućnosti se ispitanika prije davanje privole mora obavijestiti te se povlačenje privole mora učiniti jednako jednostavnim kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.8
Kako je ranije navedeno, u slučaju da pojedinac želi ugraditi pametno brojilo, bit će ga potrebno upoznati sa svim relevantnim informacijama iz čl. 13. Uredbe (poput podataka o svrsi prikupljanja podataka, roku čuvanja podataka i primateljima). S obzirom na to da klasični ugovor o opskrbi plinom uglavnom ne sadržava takve informacije, a ugradnja pametnog brojila nije obavezna, nužno je u ugovoru o opskrbi plinom navesti sve informacije iz čl. 13. Uredbe te za sve dodatne obrade osobnih podataka koje nisu regulirane ugovorom tražiti privolu potrošača koja će također sadržavati sve informacije iz čl. 13 . Uredbe.
3. Procjena učinka na zaštitu podataka
Samo pružanje informacija iz članka 13. nije dovoljno kako bi se u potpunosti zaštitila privatnost pojedinaca tijekom obrade osobnih podataka, stoga su voditelji obrade dužni u obzir uzeti i druga načela zaštite osobnih podataka. Tako je Radna skupina u svom Mišljenju 12/2011 o pametnim brojilima9 predložila da se u svrhu zaštite pojedinaca prilikom obrade osobnih podataka uvedu procjene učinka na zaštitu podataka, a što Uredba propisuje kao obvezu za nove tehnologije, profiliranja i visokorizične obrade podataka. U tom se smislu navodi da, ako postoji vjerojatnost da će neka vrsta obrade, osobito putem novih tehnologija prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije same obrade mora provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
Procjena učinka na zaštitu podataka obvezna je osobito u slučaju: 1. sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke na pojedinca, 2. opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima ili 3. sustavnog praćenja javno dostupnog područja u velikoj mjeri.
Obavezno mora sadržavati, barem: sustavan opis predviđenih postupaka obrade i svrhu obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade, procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama, procjenu rizika za prava i slobode ispitanika te mjere predviđene za rješavanje problema rizika, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba. Preporučljivo je da voditelj obrade traži mišljenje od nadzornog tijela (u Republici Hrvatskoj Agencije za zaštitu osobnih podataka) o namjeravanoj obradi te da provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.10
4. Tehnička i integrirana zaštita podataka
Voditelj obrade, nadalje, mora primijeniti načelo tehničke i integrirane zaštite podataka koje zahtijeva da voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, smanjenja količine podataka, te uključenja zaštitnih mjera u obradu.11 Kao primjer možemo uzeti situaciju gdje jedna vrsta brojila prikuplja podatke o potrošnji svakih 10 do 60 minuta u svrhu stvaranja grafikona opterećenja pri čemu se učestalost prikupljanja može podesiti daljinski od strane mrežnog operatera. Grafikon se pritom pohranjuje unutar brojila 2 mjeseca, a operater prikuplja te podatke kada su mu potrebni. Kako bi se zaštitila privatnost te primijenilo načelo tehničke i integrirane zaštite, ovaj model može se prilagoditi i tako da se podaci prikupljaju samo na zahtjev potrošača.12
5.Sigurnost obrade podataka
S obzirom na to da ugradnja pametnih brojila povećava rizik za sigurnosne incidente i povrede osobnih podataka, u odnosu na klasična brojila, voditelj obrade je dužan poduzeti nužne mjere kako bi zaštitio podatke od neovlaštenog pristupa, brisanja ili izmjene. Voditelj obrade je dužan redovno nadzirati informacijski sustav te procijeniti rizik bilo koje povrede osobnih podataka. Ako se radi o povredi osobnih podataka koja bi mogla prouzročiti visok rizik za prava i slobode pojedinca tada će, sukladno Uredbi, morati obavijestiti nadzorno tijelo i potrošače o takvoj povredi. U svakom slučaju, voditelj obrade mora dokumentirati povrede osobnih podataka i poduzimati sve nužne mjere da do povrede osobnih podataka ne dođe.
III. Zaključak
Pametna brojila postaju dio naše stvarnosti te se njihovu primjenu treba kvalitetno urediti kako bi se zaštitili pojedinci, pogotovo u trenutku kada je zaštita osobnih podataka jedno od gorućih pitanja iz sfere zaštite ljudskih prava. Prilikom ugradnje pametnih brojila u kućanstva, bitno je voditi računa o zahtjevima koje pred voditelje obrade stavlja Uredba. Prvenstveno se misli na zakonitost obrade podataka te načelo pouzdanosti, ali i tehničku i integriranu zaštitu podataka te provedbu procjene učinka na zaštitu podataka.
Marija Bošković Batarelo^ 1 Mišljenje 12/2011 o pametnim brojilima, Radna skupina za zaštiti pojedinaca glede obrade osobnih podataka, usvojeno 4.travnja 2011., str.1.
^ 2 [2] Ibid., str.2,3.
^ 3 [3] Ibid., str.6.
^ 4 [4] Op.cit.(bilj.2.) str. 3.
^ 5 [5] Op.cit.(bilj.2.) str. 7.
^ 6 [6] Op. cit.(bilj. 5)., čl. 6.
^ 7 [7] Ibid., čl. 4.
^ 8 [8] Ibid., čl. 7.
^ 9 [9] Op.cit.(bilj.2.)
^ 10 [10] Op.cit.(bilj.5.) čl. 35.
^ 11 [11] Ibid., čl. 25.
^ 12 [12] Op.cit.(bilj.2.), str.16.
