Coraz więcej urządzeń wokół nas łączy się z siecią, a nowe technologie miniaturyzacji i komunikacji (m.in. 5G), pozwalają realizować scenariusze, które jeszcze do niedawna znaliśmy jedynie z produkcji kinowych czy książek. Jedną z takich idei, które już teraz mają szerokie zastosowanie w gospodarce, jest tzw. internet rzeczy (Internet of Things) zakładający jednoczesną możliwość łączenia się z bardzo niewielkimi opóźnieniami wielu urządzeń wyposażonych w czujniki. Pozwala to chociażby monitorować w czasie rzeczywistym stan biur i fabryk, czy konkretnego produktu, który ma zostać dostarczony w określone miejsce. Ale to dopiero początek. Okazuje się, że urządzeniem, podłączonym do internetu rzeczy może być także… ludzkie ciało. Obserwujemy początki zjawiska określanego jako internet ciał.
Każdy organizm jest urządzeniem wytwarzającym w każdej sekundzie ogromne ilości danych. Współczesna technologia już dziś przetwarza wiele z tych informacji. Warto wspomnieć chociażby urządzenia ubieralne (wearables), takie jak opaski fitness, smartwatche, a nawet buty wyposażone w mikroczipy. Wszystkie czujniki zbierające, przetwarzające i przesyłające dane o osobach za pomocą internetu zaliczamy do tzw. internetu ciał (IoB – Internet of Bodies), który jest w zasadzie fragmentem internetu rzeczy. O ile jednak dane z urządzeń elektronicznych, maszyn i przedmiotów codziennego użytku przetwarzane są od dawna na szeroką skalę, o tyle w przypadku biznesowego zastosowania danych z internetu ciał pojawia się wiele wątpliwości natury etycznej i prawnej, ze względu na fakt, że w wielu wypadkach mówimy o danych wrażliwych, które są szczególnie chronione.
Rodzaje internetu ciał
Urządzenia IoB można podzielić trzy rodzaje, w zależności od ich integracji z organizmem człowieka. Pierwszym są wcześniej wspomniane urządzenia ubieralne w postaci np. inteligentnych opasek czy koszulek. Drugim rodzajem są implanty (pasywne), które mają obecnie głównie zastosowanie medyczne, choć nie tylko. W ostatnich latach pojawiła się bowiem moda na wszczepianie sobie pod skórę pasywnych czipów RFID, które służą m.in. do płatności mobilnych i identyfikacji. Trzecim rodzajem są implanty aktywne, które mogą zbierać, przetwarzać i wysyłać w czasie rzeczywistym dane dotyczące ciała. Naukowcy już dziś pracują nad specjalną pigułką, która umieszczona w jelicie cienkim, mogłaby pomóc w opracowaniu spersonalizowanej diety na podstawie analizy metabolizmu i składników pokarmowych.
Nie tylko medycyna
Choć może się wydawać, że czipowanie ludzi to pomysł rodem z dystopijnych filmów i powieści science‑fiction, to w wielu miejscach na świecie znajduje zastosowanie. Oczywiście, takie praktyki stosowane pod przymusem, mogłyby być uznane za poważne naruszenie praw człowieka. Jednak rzeczywistość znowu wyprzedza prawo i wyobrażenia ustawodawców. Znalazło się bowiem wiele osób, które z własnej woli poddały się zabiegowi wszczepienia mikrourządzenia, przedkładając wygodę nad prywatność. Trend ten widoczny jest szczególnie w Szwecji, gdzie firma Biohax zaczipowała ponad 5000 osób. Pasywny czip RFID, wielkości ziarna ryżu, wszczepia się pod skórę pomiędzy palcem wskazującym a kciukiem. Po zbliżeniu oznaczonej w ten sposób ręki do czytnika można otworzyć drzwi, dokonać płatności, albo uzyskać dostęp do służbowego sprzętu. Czipy zastępują nawet bilety komunikacji miejskiej (taką usługę świadczą między innymi szwedzkie linie kolejowe).
Do tego momentu wszystko wydaje się w porządku. Podobnie jak w przypadku dzielenia się informacjami w serwisach społecznościowych, czy korzystania z lokalizacji GPS w smartfonie, mamy do czynienia z dobrowolną zgodą na przetwarzanie danych, za których bezpieczeństwo odpowiada, jak każdym innym przypadku, administrator. Sytuacja komplikuje się, kiedy IoB i biometrii chcielibyśmy zastosować w firmie w stosunku do pracowników.
Niebezpieczeństwa związane z internetem ciał
Korzyści, jakie ze sobą niosą technologie zaliczane do IoB, to jedno. Ale istnieją też ryzyka, o których warto wiedzieć. Przetwarzanie danych wrażliwych zawsze wiąże się z możliwością nadużyć w postaci na przykład dyskryminacji w miejscu pracy, czy też mobbingu – warto pamiętać, że wykorzystanie monitoringu do oceny pracownika jest zakazane w Kodeksie Pracy, a wszechobecne czujniki i kamery dają dużą władzę przełożonym nad podwładnymi. Innym rodzajem zagrożeń są ataki hakerskie, w wyniku których osoby niepowołane mogą uzyskać dane nie tylko na temat działalności firmy, ale też jej pracowników. W ostatnich latach przestępcy coraz częściej włamują się do systemów firm, kradnąc i szyfrując dane (warto wspomnieć chociażby przypadki Norsk Hydro czy Demant). Przestoje tym spowodowane liczone są często w setkach milionów dolarów. Projektując systemy informatyczne, trzeba mieć na względzie również ryzyko włamania i odpowiednio zabezpieczyć wrażliwe dane pracowników, jeśli zdecydujemy się je przetwarzać.
Inwigilacja pracowników „dla ich dobra”
O ile na Starym Kontynencie i za oceanem temat praw człowieka w kontekście przetwarzania danych osobowych i monitoringu jest szeroko analizowany zarówno pod kątem prawa pracy jak i swobód obywatelskich, to w przypadku Chin bywa inaczej. Pracownicy niektórych zakładów pracy, w tym fabryk, kierowcy pociągów, a także wojskowi w Państwie Środka podczas wykonywania obowiązków służbowych noszą specjalne czapki, które monitorują fale mózgowe. Ten system inwigilacji ma za zadanie wykryć, kiedy pracownik jest przemęczony, aby w odpowiednim momencie wysłać go na urlop albo przesunąć na mniej wymagające stanowisko. Próby zastosowania podobnej technologii były czynione także na Zachodzie, jednak (jak można było się spodziewać) spotkały się z oporem ze strony związków zawodowych.
„Internet ciał” w Polsce
W ubiegłym roku bank PKO BP wprowadził system zliczający jak często pracownicy się uśmiechają, co odbiło się szerokim echem w mediach. I choć udział w akcji był dobrowolny, to jednak pojawiło się wiele wątpliwości dotyczących przetwarzania danych osobowych, a w szczególności – danych wrażliwych. Na ten aspekt sprawy zwrócił uwagę Rzecznik Praw Obywatelskich, który przypomniał, że pracodawca może stosować monitoring tylko w przypadkach określonych w art. 222 Kodeksu Pracy: gdy jest niezbędny do zapewnienia bezpieczeństwa pracowników, kontroli produkcji lub zachowania tajemnicy informacji. W przypadku systemu PKO BP, żaden z tych przypadków nie zachodził. Co więcej, analizowanie danych biometrycznych w celu oceny pracownika może – według części ekspertów – naruszać jego godność i inne dobra osobiste.
Przetwarzanie danych wrażliwych pracowników w ogólności zabrania również art. 9 RODO, uwzględniając jednak pewne wyjątki. Jednym z nich jest wyrażenie wyraźnej zgody na przetwarzanie danych w konkretnych celach, jednak zawsze może pojawić się wątpliwość, czy taka zgoda nie została podpisana pod presją. Dlatego najbezpieczniej jest przetwarzać informacje w formie zanonimizowanej i zagregowanej.
Wyzwanie na przyszłość
Żyjemy w czasach, w których głównym paliwem gospodarki są dane, a w najbliższych latach świat pod tym względem jeszcze przyspieszy. Nowe technologie umożliwią realizację wielu śmiałych idei, które mogą przyczynić się do polepszenia konkurencyjności firm, a także poprawy jakości życia. Jednocześnie trzeba być świadomym zagrożeń i wyzwań, jakie pojawiają się wraz z nowinkami, zwłaszcza jeśli dotyczą danych na temat konkretnych osób. Powinniśmy być świadomi, że Internet w ciągu najbliższych 10 lat zmieni się – informacji będzie znacznie więcej. Z tego powodu potrzebne są rozwiązania wypracowane w ramach debaty publicznej, które zakreślą granice wykorzystania danych osobowych zarówno pracowników, jak i klientów firm.
Indeks dolny Podstawę materiału stanowi opracowanie Redesigning Data Privacy: Reimagining Notice & Consent for humantechnology interaction, World Economic Forum, Lipiec 2020. Indeks dolny koniecPodstawę materiału stanowi opracowanie Redesigning Data Privacy: Reimagining Notice & Consent for humantechnology interaction, World Economic Forum, Lipiec 2020.
