GDPR vs. IoT

Jelena Burnikdržavna nadzornica za varstvo osebnih podatkov

IoT meetup, september, 2017

Kaj ima IoT sploh z osebnimi podatki?

IIoT lahko ne veliko, vse kar uporablja posameznik, pa ogromno.

— srčni spodbujevalnik in hekerji

— varni domovi za starejše in zapestnica, ki napačno zazna hitrost padca osebe – lahko pomeni smrt

— Internet of Toys

— povezani in avtonomni avtomobili – netočni podatki, slabo zavarovanje, vdori v sistem lahko pomenijo kaos

— pametni števci ali kako ugotoviti, kdo doma goji travo

— pametni TV vas gleda

Tveganja

— Uporabnik nima nadzora nad tokom podatkov in težko ostaja

anonimen.

— Pomanjkljive privolitve in obveščanje.

— Sklepanja in profiliranje na podlagi surovih podatkov, uporaba za

druge namene.

— Slabo zavarovanje, vdori, zlorabe

Kdo so upravljavci podatkov?

— Proizvajalci naprav, ki običajno določene podatke tudi obdelujejo,

konfigurirajo napravo

— Družbena omrežja, preko katerih lahko posamezniki podatke delijo

— Razvijalci aplikacij

— Tretje stranke (npr. zavarovalnice)

GPEN Sweep 2016

Pametni števci

Fitness wearables

Domači pomočniki

Medicinske naprave (merilec pritiska, spanja)

Povezani avtomobili

Pametne igrače

Pametni TV

Pametni videonadzor

25 nadzornih organov iz celega sveta / 314 naprav

GPEN Sweep 2016

60 % naprav brez pojasnila, kako se osebni podatki zbirajo, uporabljajo, komu so razkriti.

Skoraj 70% brez pojasnila, kako so podatki hranjeni.

Več kot 70% brez pojasnila, kako se lahko podatki iz naprave izbrišejo (npr. na daljavo, če je ukradena, ali če bi jo želeli prodati).

Skoraj 40% brez kontaktnega podatka v primeru vprašanj o zasebnosti.

Nekatere medicinske naprave so pošiljale poročila zdravnikom po nekriptirani e-pošti.

Priporočila WP29 za IoT

— Ocena učinka na varstvo osebnih podatkov

— Brisanje surovih podatkov

— Omogočiti, da uporabnik uporablja „nepovezano“ verzijo naprave/storitve

— Informiranje uporabnikov na njim prijazen in dostopen način

— Ustrezno zavarovanje: Security by design in kriptiranje

— Minimalen nabor OP

— Privzeto ne-deljenje na družbenih omrežjih/objava

Splošna uredba o varstvu osebnih podatkov:

― osebni podatek: tudi spletni identifikatorji, ID piškotkov, RFID oznake in IP

naslovi/ genetski in biometrični podatki občutljivi

― več odgovornosti za upravljavce

― nove pravice za posameznike

― strožje sankcije

Kaj pa po 25. maju 2018?

Privolitev

Soglašate, da družba XXX in njeni partnerji vaše osebne podatke obdelujejo za namen izvajanja storitve in za druge povezane namene. Vaše podatke bomo skrbno varovali skladno z Zakonom o varstvu osebnih podatkov.

Pogoji za privolitev (7. člen):

— privolitev v enega ali več namenov

— dokazljiva

— jasno ločena od drugih zadev (npr. v splošnih pogojih)

— v razumljivi in dostopni obliki, v jasnem in preprostem jeziku

— posameznik lahko privolitev kadarkoli prekliče – o tem mora biti obveščen

— prostovoljna privolitev (ali je bila pogoj za izvedbo pogodbe?)

— stare privolitve veljavne le, če upoštevajo našteto

Obvestilo o obdelavi OP

Smernice IP o oblikovanju obvestila o obdelavi OP

Obvestilo o obdelavi OP

Širši nabor informacij, ki jih je treba sporočiti posamezniku (13. člen)

— informacije o upravljavcu in DPO (če obstaja)

— nameni obdelave in pravna podlaga za obdelavo

— kadar je pravna podlaga zakoniti interes, tudi navedba zakonitega interesa

— uporabniki OP

— prenos podatkov v tretje države

Dodatno tudi :

— roki hrambe ali merila za roke hrambe

— informacije o pravicah posameznikov in

pravici do preklica privolitve

— pravica do pritožbe k IP

— obstoj profiliranja, razlogi zanj, posledice

Profiliranje

― 22. člen … vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje

uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s

posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu,

ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja,

lokacije ali gibanja tega posameznika.

― le če je nujno za izvajanje pogodbe, ga dovoljuje zakon ali če je izrecna privolitev

posameznika

― pravica do osebnega posredovanja, do izražanja lastnega stališča in izpodbijanja

odločitve

Pravice posameznika

Pravica dostopa do svojih podatkov (15. člen)

— Ne le nameni, vrste OP, uporabniki, roki hrambe

— tudi profiliranje, informacije o razlogih za profiliranje, pomen in predvidene

posledice za posameznika.

Pravica do prenosljivosti (20. člen)

― Posameznik ima pravico, da od upravljavca pridobi kopijo svojih podatkov v

standardnem formatu, ki dovoljuje nadaljnjo uporabo.

― Lock-in

Premik k odgovornosti upravljavcev

— ocena vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če

obdelava pomeni tveganje za posameznika (35. člen)

— oseba, zadolžena za varstvo osebnih podatkov (37. – 39. člen)

— poročanje o incidentih v zvezi z osebnimi podatki (33. in 34. člen)

— vgrajeno varstvo osebnih podatkov, zasebnosti prijazne začetne nastavitve

(25. člen)

Hvala za pozornost.