Znaczące upowszechnienie posługiwania się dronami oraz fakt, że ich użycie może mieć wielorakie cele, powoduje, że korzystanie z bezzałogowych statków powietrznych wymaga szerszego zainteresowania także w kontekstach pozalotniczych, związanych z oddziaływaniem tej wciąż nowej technologii na inne obszary. Jednym z nich jest bez wątpienia obszar ochrony danych osobowych, ponieważ coraz częściej okazuje się, że drony bywają używane w celach, których realizacja bezpośrednio wymaga przetwarzania danych osobowych, jak również w takich, gdzie przetwarzanie danych osobowych jest jedynie ubocznym aspektem działalności prowadzonej przez operatora.
Z perspektywy przepisów o ochronie danych osobowych oba rzeczone przypadki są tak samo istotne, bo każdy z nich wymaga odpowiedniego dostosowania do standardów wyznaczonych przez przepisy o ochronie danych osobowych, co dotyczy podejmowanych działań, wdrażanych procedur, stosowanych rozwiązań techniczno-organizacyjnych.
Nie ulega wątpliwości, że w związku z coraz bardziej powszechnym wprowadzaniem dronów do przestrzeni powietrznej oraz pojawianiem się coraz to nowszych i licznych ich zastosowań istnieje rzeczywista potrzeba skoncentrowania się na wyzwaniach, jakie stwarza zastosowanie na szeroką skalę dronów i technologii sensorowej. Dotyczy to zwłaszcza prywatności i sfery informacyjnej człowieka.
Drony mogą mieć zastosowanie w usługach logistycznych i transportowych, w zarządzaniu flotami, w usługach dla kinematografii, prasy, mediów elektronicznych i rozrywki[1]. Drony wspierają realizację wielu zadań publicznych, w tym będących w kompetencji jednostek samorządu terytorialnego, takich, jak: geodezja, gospodarka przestrzenna, zarządzanie kryzysowe, bezpieczeństwo publiczne, włączając w to monitoring miejski, imprezy masowe, wspomaganie systemów dowodzenia, inspekcja infrastruktury – wałów przeciwpowodziowych, rzek, monitorowanie infrastruktury krytycznej, inspekcja budowlana i wspomaganie prac logistycznych w sektorze budowlanym, zarządzania transportem. Upowszechniło się stosowanie dronów w ochronie środowiska, chociażby dla badania stanu zieleni, jakości powietrza, stanu wód gruntowych i powierzchniowych, wspomaganie wykrywania nielegalnych wysypisk śmieci, itp. Z użyciem dronów można poszukiwać ofiar katastrof, wspomagać transport medyczny, monitorować ruch samochodowy czy umożliwiać badanie środowisk niebezpiecznych dla człowieka, wspomagać detekcję zdarzeń nietypowych, ściganie przestępstw, poszukiwanie osób i pojazdów. Bezzałogowe statki powietrzne coraz częściej są stosowane w rolnictwie przy inwentaryzacji upraw, lasów czy hodowli itp. Przywołanie tak szerokiego katalogu zastosowań dobrze obrazuje to, w jak wielu obszarach trzeba dokonywać ustaleń, czy działania podejmowane przy użyciu dronów będą w jakiejś mierze oddziaływać na prywatność człowieka i jego dane osobowe.
Istotne jest, że katalog danych osobowych jest równie szeroki, a do tego otwarty, stąd użycie dronów może różnie wpływać na sferę informacyjną jednostki. Jest bowiem tak, że obok informacji, które wprost identyfikują konkretną osobę, mamy wiele takich, które da się z ta osobą powiązać oraz które jedynie wynikają z kontekstu i w zależności od stanu faktycznego czy sytuacji ich wykorzystania mają różny stopień „identyfikowalności” oraz różną siłę oddziaływania na sferę informacyjną jednostki. Dla przykładu, jeśli za pomocą drona wyposażonego w narzędzia utrwalające obraz zostanie sporządzane nagranie uwidaczniające dwoje ludzi poruszających się samochodem, to w zależności od jakości tego nagrania oraz szerszego kontekstu, a mianowicie w jakim celu zostało ono sporządzone, kto ma do niego dostęp, jak będzie odbywać się analiza tego obrazu, jak obraz ten będzie dystrybuowany, jakie wnioski będą wyciągane na podstawie tego nagrania, czy osoby, których dane dotyczą, mają świadomość, że znajdowały się w obszarze w ten sposób monitorowanym, itp. będzie można oceniać dopuszczalność takich działań.
W czasie pandemii COVID-19 wiele technologii wykorzystywano do nowych celów, modyfikując ich zastosowanie oraz sprawdzając efektywność podejmowanych działań. Dotyczy to także używania dronów, co było innowacyjne na froncie walk z koronawirusem, a równocześnie pokazało, w jak użyteczny sposób można wykorzystać te statki powietrzne w stosunkowo nieoczywistych okolicznościach zapobiegania pandemii. Drony używane były m.in. do kontrolowania przestrzegania wprowadzanych obostrzeń, transportowały krew i organy, dostarczały leki, a w niektórych krajach drony rolnicze zostały przystosowane do rozpylania środków dezynfekujących miejsca publiczne (ulice, przystanki) czy przestrzenie, w których miałyby się odbywać imprezy masowe (np. sale koncertowe)[2].
Zgodnie z doniesieniami medialnymi w Chinach bezzałogowce patrolowały ulice, wykonując pomiary temperatury ciała przechodniów z powietrza, dodatkowo drony udzielały głosowych informacji mieszkańcom chińskich miast, przypominając im między innymi o obowiązku noszenia maseczek ochronnych[3]. Nie wdając się tu w nadmierne rozważania natury prawnej i ustalenia, czy z perspektywy przepisów o ochronie danych osobowych wszystkie wskazane wyżej działania rzeczywiście są uprawnione, niewątpliwe jest, że w tym pandemicznym okresie wykorzystywanie dronów mogło wiązać się i zapewne wiązało się z rozszerzeniem zakresu przetwarzania danych osobowych za pośrednictwem tej technologii, także w tym szczególnym obszarze, jakim wciąż pozostają tzw. dane wrażliwe, wyodrębniane w regulacjach z zakresu ochrony danych osobowych jako te, które są szczególnie chronione, wymagając podwyższonych standardów postępowania.
Ochrona danych osobowych przy korzystaniu z dronów – przedmiot legislacyjnego zainteresowania w Unii Europejskiej
Prowadzone tu ustalenia dotyczą stosowania RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[4] przy wykorzystywaniu bezzałogowych statków powietrznych, w zakresie, w jakim za ich pomocą przetwarza się dane osobowe, a także w kontekście administracyjnym i logistycznym. Regulacja ta ma bowiem charakter powszechny i uniwersalny.
Poza zakresem prowadzonych tu ustaleń pozostanie wykorzystywanie dronów dla celów wojskowych, czy też dla celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar. Temu ostatniemu zagadnieniu poświęcona jest osobna dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW[5].
Korzystanie z dronów w działalności przedsiębiorstw czy podmiotów publicznych wymaga odpowiedniego przygotowania i zabezpieczenia w dziedzinie ochrony danych osobowych zarówno, gdy chodzi o dopuszczalność przetwarzania danych osobowych, prawa osób, których te dane dotyczą, i liczne uwarunkowania z tym związane, jak i sferę bezpieczeństwa kształtowaną przez wymogi o charakterze techniczno-organizacyjnym. Część z tych zagadnień z pewnością nie różni się o takich, które stanowią przedmiot działań podejmowanych przez każdy z podmiotów przetwarzających dane osobowe, część jest jednak specyficzna dlatego, że do przetwarzania danych osobowych używany jest dron.
Doniosłość tych zagadnień w Unii Europejskiej dostrzegano już od pewnego czasu. Komisja UE rozważała, czy włączyć kwestię przetwarzania danych osobowych przez drony do ogólnych zasad ochrony danych, czy też opracować dla nich osobną regulację[6]. Jednak ze względu na to, że przetwarzanie danych osobowych przy użyciu dronów nie uznała za specyficzne na tyle, by poświęcać im odrębną regulację, do tego obszaru mają zastosowanie ogólne zasady z tego zakresu, które obecnie kształtowane są przez RODO.
W kontekście ochrony danych osobowych przy korzystaniu z dronów istotna jest wciąż opinia 01/2015 Grupy Roboczej Artykułu 29 w sprawie kwestii dotyczących ochrony prywatności i ochrony danych związanych z wykorzystywaniem dronów[7]. W opinii tej Grupa Robocza Artykułu 29 celnie wskazuje, że w związku z przetwarzaniem danych (takich jak obrazy i dźwięki dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej i dane określające położenie geograficzne tej osoby) przez urządzenia zainstalowane na dronie faktycznie może powstawać szereg czynników ryzyka dla prywatności. Akcentuje także różnorodność czynników ryzyka związanych z tym przetwarzaniem. Mogą one dotyczyć zarówno takich zagadnień, jak brak przejrzystości typów przetwarzania wynikającego z trudności związanych z możliwością obserwacji dronów z ziemi, jak i występujących w każdym przypadku trudności w uzyskaniu wiedzy o rodzaju zainstalowanych na dronach urządzeń do przetwarzania danych osobowych, celu ich gromadzenia oraz osobie, która tego dokonuje. Dodatkowo sprawność dronów oraz możliwość korzystania z wielu takich statków wyposażonych w różne urządzenia pozwalające zbierać i analizować dane, w tym dane osobowe, zwiększa ich zdolność docierania do unikalnych punktów obserwacyjnych, z przekroczeniem fizycznych granic, barier, przeszkód (np. ścian lub ogrodzeń), aby z łatwością umożliwić gromadzenie informacji bez potrzeby uzyskania bezpośredniego pola widzenia. Może się to odbywać precyzyjnie, nieprzerwanie przez długi czas, na dużym obszarze[8].
W przywołanej opinii Grupa Robocza Artykułu 29 słusznie podnosi, że w przypadku, gdy przetwarzanie danych osobowych z zastosowaniem dronów dokonywane jest do celów egzekwowania prawa, należy zakładać, że powstaje większe ryzyko dla praw i wolności osób fizycznych[9]. Ma to tym większe znaczenie dla sektora publicznego, że we wszystkich przypadkach przetwarzania danych osobowych przez podmioty publiczne, gdy przetwarzający dane podmiot dysponuje władztwem publicznym, a zgromadzone lub poddawane analizie dane mogą służyć mu do władczego oddziaływania wobec osób fizycznych, uzasadnione jest oczekiwać, że sytuacje te będą w możliwie transparentne i wyjaśnialne dla osób, których dane dotyczą. Działania te powinny równocześnie stanowić niezbędny środek dla osiągnięcia z góry ustalonego celu o publicznym charakterze. Pamiętać należy bowiem, że drony zawsze są tylko narzędziem, z których użyciem wiążą się pewne wyzwania i potrzeby o charakterze prawnym lub technicznym, w tym związane ze sferą informacyjną jednostki. W tym kontekście tak naprawdę to nie drony stanowią zagrożenie dla tej sfery, ale ich niefrasobliwe lub bezprawne użycie. Rzeczona opinia 01/2015 Grupy Roboczej Artykułu 29 w swych założeniach miała przyczynić się do lepszej ochrony danych osobowych przy korzystaniu z dronów i zapewne, pomimo swojego niewiążącego charakteru przysłużyła się temu celowi.
Komisja w ramach Programu ramowego na rzecz konkurencyjności przedsiębiorstw oraz małych i średnich przedsiębiorstw na lata 2014-2020 (COSME)[10] podjęła decyzję o sfinansowaniu „kampanii uświadamiającej” dla ułatwienia zrozumienia otoczenia prawnego i ograniczeń związanych z wykorzystaniem bezzałogowych statków powietrznych w Europie. W ramach Programu uruchomiono projekt DroneRules PRO, którego celem było przyczyniać się do rozwoju kultury prywatności i ochrony danych osobowych wśród operatorów, producentów i pilotów dronów poprzez dostarczenie im wysokiej jakości informacji online oraz odpowiednich zasobów edukacyjnych[11], w ramach tego programu, w poszczególnych wersjach językowych udostępniono między innymi najistotniejsze zasady dotyczące prywatności i ochrony danych osobowych[12].
Chodzi zatem o zastosowanie uniwersalnych zasad ochrony danych osobowych w tych przypadkach, gdy przetwarzanie danych osobowych następuje przy użyciu drona, a także gdy zachodzi ono w obszarze logistyki tego przedsięwzięcia, ponieważ w związku z uzyskiwaniem uprawnień, pozwoleń, przy rejestracji także następuje zbieranie danych osobowych, ich analiza, przechowywanie oraz inne czynności, jakie dokonywane są z ich wykorzystaniem. Muszą być zatem spełniane warunki prawne, techniczne i organizacyjne określone w przepisach dotyczących odpowiednio wspólnych zasad w dziedzinie lotnictwa cywilnego, produkcji i eksploatacji bezzałogowych statków powietrznych oraz przepisów RODO. Przepisy tego rozporządzenia to w istocie zestaw procedur „nałożonych” na lotnicze procedury branżowe wynikające z przepisów regulujących korzystanie z bezzałogowych statków powietrznych. Ich stosowanie wymaga odpowiedniego skorelowania, podjęcia prób uspójnienia siatki pojęciowej oraz próby jednoznacznego określenia zakresu podmiotowego i przedmiotowego oraz systemu prawnych zabezpieczeń.
Rozporządzenie UE 2019/945 i rozporządzenie UE 2019/947 określają kompleksowy system ujednoliconych regulacji prawnych dotyczących bezzałogowych statków powietrznych trzech kategoriach, wyróżnionych ze względu na analizę ryzyka operacji wykonywanych przez drony dla poszczególnych ich rodzajów, masy i zastosowania. Celem wprowadzenia nowych regulacji jest m.in. ochrona prywatności i danych osobowych przy jednoczesnym umożliwieniu swobodnego dostępu do przestrzeni powietrznej dla dronów.
Unia Europejska zaproponowała przyjęcie systemów geofencingowych (geo-fencing systems) jako części obowiązkowych wymogów dla operacji przy użyciu drona. Systemy takie wykorzystują GPS i inne systemy satelitarne, aby automatycznie zapobiegać przelotom bezzałogowych statków powietrznych w pobliżu obszarów zakazanych, np. lotnisk, więzień i elektrowni atomowych. Wydaje się jednak, że najbardziej doniosłe jest wprowadzenie obowiązku rejestracji od 1 stycznia 2021 r. wszystkich bezzałogowych statków powietrznych o masie powyżej 250 g w kategorii „otwarte”, co siłą rzeczy związane jest z przetwarzaniem danych osobowych. Sam obowiązek rejestracji wprowadzany jest między innymi przez wzgląd na zagrożenia dla prywatności i ochrony danych osobowych[13]. Przetwarzanie danych osobowych związanych z tą rejestracją odnosi się do wykonywania obowiązków o charakterze administracyjnym, w tym zbierania i przechowywania danych osobowych, które do tej rejestracji są niezbędne. Jak precyzuje się w motywie 19 preambuły rozporządzenia UE 2019/947 – „krajowe systemy rejestracji powinny być zgodne z mającymi zastosowanie unijnymi i krajowymi przepisami dotyczącymi prywatności oraz przetwarzania danych osobowych, a informacje przechowywane w tych systemach rejestracji powinny być łatwo dostępne”.
Ponadto do kwestii ochrony danych osobowych rozporządzenie UE 2019/947 nawiązuje w aspekcie praktycznym i wykonawczym – wśród obowiązków operatora systemu bezzałogowego statku powietrznego (UAS.SPEC.050), określonych w części B zatytułowanej „Operacje z użyciem systemów bezzałogowych statków powietrznych w kategorii <<szczególnej>>”, wskazuje się w pkt (iv) na procedury zapewniające, aby wszystkie operacje przebiegały zgodnie z przepisami RODO, z wyraźnym wskazaniem na przeprowadzenie przez operatora oceny skutków dla ochrony danych, jeżeli wymaga tego krajowy organ ds. ochrony danych w zastosowaniu art. 35 RODO. Dodatkowo przy określaniu wymogów co do instrukcji operacyjnej dla scenariusza standardowego, także wskazano, że instrukcja operacyjna dla STS określonego w dodatku 1 musi zawierać co najmniej procedury ochrony danych osobowych, o których mowa w sekcji UAS.SPEC.050 pkt 1 lit. a) ppkt (iv), akcentując tym samym istotną wagę poszanowania prawa do ochrony danych osobowych i związanych z nim wymogów o charakterze proceduralnym w przypadku, gdy przetwarzanie danych dokonywane jest przy użyciu bezzałogowych statków powietrznych.
Rozporządzenia UE 2019/947 w motywie 18 klaruje, że zgodnie z art. 56 ust. 8 rozporządzenia bazowego (UE) 2018/1139 niniejsze rozporządzenie pozostaje bez uszczerbku dla możliwości ustanowienia przez państwa członkowskie krajowych przepisów w celu objęcia eksploatacji bezzałogowych statków powietrznych pewnymi warunkami ze względów niewchodzących w zakres stosowania rozporządzenia (UE) 2018/1139, w tym względów bezpieczeństwa publicznego lub ochrony prywatności i danych osobowych zgodnie z prawem Unii. Kwestię tę trzeba mieć zatem na uwadze, choć w prowadzonych tu ustaleniach nie odnosimy się do żadnych przepisów krajowych z tego zakresu. Warto tylko wspomnieć, że przywołany tu art. 56 rozporządzenia (UE) 2018/1139 charakteryzuje spełnianie wymogów przez bezzałogowe statki powietrzne, wskazując w ust. 8, że zasady wprowadzone w postanowieniach tego aktu pozostają bez uszczerbku dla możliwości ustanowienia przez państwa członkowskie krajowych przepisów w celu poddania eksploatacji bezzałogowych statków powietrznych pewnym warunkom ze względów nieobjętych zakresem stosowania niniejszego rozporządzenia, w tym względów bezpieczeństwa publicznego lub ochrony prywatności i danych osobowych zgodnie z prawem Unii.
Reasumując zatem, RODO stosuje się zarówno do przetwarzania danych osobowych wykonywanego przy użyciu dronów, jak i do przetwarzania danych osobowych, które odbywa się przy organizacji tej działalności. Rozporządzenie to określa bowiem nie tylko standardy przetwarzania danych osobowych, ale również kształtuje wiele procedur i obowiązków na podmioty, które prowadzą działalność, która w jakimkolwiek stopniu wymaga przetwarzania danych osobowych.
Uwagi końcowe
Wpływ reżimu prawnego RODO na korzystanie z dronów i na sektor lotniczy jest znaczny. Doniosłość ochrony danych osobowych została wprost wskazana w rozporządzeniach UE dotyczących wykorzystywania bezzałogowych statków powietrznych. Podmioty korzystające z bezzałogowych statków powietrznych mają obowiązek dostosować swoje działania do zasad określonych w RODO – zarówno, gdy chodzi o podstawy przetwarzania danych osobowych, jak aspekt techniczny i organizacyjny. Chodzi tu wdrożenie odpowiednich procedur i zabezpieczeń, o sporządzenie odpowiednich dokumentów wymaganych wprost przepisami RODO oraz takich, które pozwolą im na wykazanie, że konkretny podmiot działa zgodnie z przepisami RODO przy korzystaniu z dronów.
dr hab. Marlena Sakowska-Baryła, prof. UŁ
Katedra Europejskiego Prawa Konstytucyjnego, Wydział Prawa i Administracji Uniwersytetu Łódzkiego
radczyni prawna, partnerka w Sakowska-Baryła, Czaplinka Kancelarii Radców Prawnych Sp.p.
ORCID: https://orcid.org/0000-0002-3982-976X
[1] Szerzej zob. A. Konert, M. Sakowska-Baryła, Prawne uregulowania w zakresie używania bezzałogowych statków powietrznych przez media, „International Journal of Legal Studies” 2020, Nr 8, s. 47-74.
[2] https://mamstartup.pl/drony-beda-dezynfekowac-wnetrza-sal-koncertowych-czy-centrow-handlowych-mozliwe-ze-w-przyszlosci-takze-ulice-i-przystanki, dostęp: 06.11.2023 r.
[3] https://mamstartup.pl/roboty-pomagaja-nam-w-walce-z-koronawirusem-oto-kilka-ciekawych-przykladow, dostęp: : 06.11.2023 r.
[4] Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.
[5] Dz.U.UE.L.2016.119.89.
[6] Ottavio Marzocchi, Privacy and Data Protection Implications of the Civil Use of Drones, https://www.europarl.europa.eu/cmsdata/85184/Drones-%20formatted.pdf; dostęp: 06.11.2023 r.
[7] Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones, Adopted on 16 June 2015, (WP 231), https://ec.europa.eu/newsroom/article29/items/640602, dostęp: 06.11.2023 r.
[8] Tamże, s. 3.
[9] Tamże.
[10] COSME. Europe’s programme for small and medium-sized enterprises., https://ec.europa.eu/growth/smes/cosme_en, dostęp:06.11.2023 r.
[11] Drone Rules, https://dronerules.eu/en/, dostęp: 06.11.2023 r.
[12] https://dronerules.eu/en/professional/obligations/summary-of-privacy-rules-in-eu, dostęp: 06.11.2023 r.
[13] Motyw 14, motyw 16 preambuły rozporządzenia UE 2019/947.