GDPR та Інтернет Речей (IoT)
CASAGRAS визначає Інтернет Речей (IoT) як “глобальну мережеву інфраструктуру, що пов’язує фізичні та віртуальні об’єкти через використання можливостей збору даних та зв’язку“.
Цілком зрозуміло, що пристрої IoT стали надзвичайно важливою частиною нашого повсякденного життя. Ми навряд чи можемо уявити собі виконання звичних рутинних справ без використання таких корисних інструментів. Для нормального функціонування цих пристроїв більшість вимагає підключення до іншого технічного засобу. З цього випливає, що обидва працюють з тими самими персональними даними (наприклад, електронною адресою, IP-адресою, номером телефону). Незважаючи на те, що відсутність заходів безпеки для основного пристрою призведе до витоку даних і пристрою IoT, розробники IoT повинні все одно вживати усіх належних заходів для захисту персональних даних своїх користувачів.
Інтернет Речей та Загальний регламент про захист даних (GDPR). Чи застосовується він до IoT? Безумовно. Тоді що варто враховувати при створенні пристроїв IoT для того, щоб відповідати вимогам GDPR? У цій статті я хотіла б висвітлити основні особливості GDPR для IoT. Існує 5 речей, які слід врахувати, щоб зробити гаджети IoT відповідними з GDPR:
- Вимоги дизайну;
- Законна підстава для обробки персональних даних;
- Обробка персональних даних неповнолітніх осіб;
- Оцінка впливу на захист даних (DPIA);
- Витік персональних даних.
Давайте розглянемо окремо кожен з цих аспектів.
Вимоги дизайну
Заходи конфіденційності та захисту даних для IoT повинні розглядатися ще на стадії проектування. Це випливає з основного принципу конфіденційності “privacy by design“. Розробники зобов’язані впровадити відповідні технічні заходи для захисту персональних даних прямо в функціональні можливості технологій. Наприклад:
- відповідно до статті 22 GDPR суб’єкт даних не повинен підлягати рішенню, яке ґрунтується виключно на автоматизованому прийнятті рішень;
- необхідно зменшити можливість ідентифікації осіб під час доступу до інформації, наявної в пристрої IoT (наприклад, за допомогою анонімізації чи псевдонімізації);
- суб’єктам даних має бути надано право на забуття їхньої персональної інформації. Наприклад, якщо до пристрою застосовується штучний інтелект (AI), розробники такого пристрою повинні пересвідчитись, що він більше не використовуватиме дані, навіть якщо принцип роботи такого штучного інтелекту і полягає у вивченні та аналізі персональних даних користувача.
Законна підстава обробки персональних даних
Основним аспектом GDPR для IoT є підстава обробки персональних даних. Однією з них і найбільш часто вживаною є згода користувача. Здебільшого потрібна явна згода (“explicit consent”). Особливо у ситуаціях, де виникають серйозні ризики для захисту даних, тобто, коли високий рівень контролю за персональними даними вважається доцільним, як це було зазначено Робочою Групою 29 (Working Party 29). GDPR покликаний змусити компанії, що розробляють пристрої IoT, пропонувати користувачам функції на подобі opt-in та opt-out, для полегшення надання та відкликання своєї згоди. Варто пам’ятати, що відсутність активних дій з боку користувача не вважається згодою на обробку його персональних даних.
Обробка персональних даних неповнолітніх осіб
21 століття знане своїми технологіями. Тому, звичною ситуацію є користування пристроями IoT особами молодшими за 16. Тому, питання отримання згоди на обробку даних від осіб молодше 16 (або іншого віку, залежно від вимог національного законодавства члена ЄС, та не менше 13 років) стає як ніколи актуальним.
Будь-яка інформація, що адресується конкретно дитині, повинна бути легкодоступною, чіткою та зрозумілою (наприклад, у політиці щодо файлів cookie, формі згоди на використання файлів cookie, політиці конфіденційності). Також необхідно отримати згоду батьків на обробку для дітей, які не досягли 13-річного віку (або іншого віку), та докласти розумні зусилля, щоб перевірити, чи особа, яка надає згоду, несе батьківську відповідальність за дитину, за допомогою наявних технологій. Слід врахувати, що механізми надання згоди батьками добре впроваджувати безпосередньо в пристрої, оскільки опікуни не завжди будуть поруч біля пристрою, щоб контролювати використання технології IoT дитиною та надавати належну згоду.
Оцінка впливу на захист даних (DPIA)
Проекти IoT повинні проводити Оцінку впливу на захист даних. Така вимога не просто встановлена в Загальному регламенті захисту даних, а випливає із суті статті 35. Вона встановлює обов’язковість DPIA для певних видів обробки персональних даних, зокрема при використанні нових технологій та існуванні великого ризику для прав та свобод суб’єкта даних. А така обробка практично завжди присутня в IoT.
Незважаючи на те, що керівні принципи Робочої групи стануть необов’язковими в 2021 році, варто все ж зазначити, що в ключових принципах з Оцінки впливу на захист даних (DPIA) та визначенні того, чи може обробка “призвести до високого ризику“, згідно з Регламентом 2016/679, було окреслено наступне:
“Деякі програми” Інтернету Речей “можуть мати значний вплив на повсякденне життя та конфіденційність людей, а отже, вимагають проведення DPIA”. |
Тому, існує досить висока ймовірність того, що вам потрібно буде провести DPIA перед запуском проекту IoT.
Витік персональних даних
Нікого не здивують розповіді про те, як зловмисники хакнули розумні годинники, що надають інформацію про присутність власників вдома для того, аби отримати можливість кращої підготовки до крадіжок. Такі ситуації безумовно порушують проблеми безпеки. Стаття 34 GDPR, яка встановлює вимоги про повідомлення суб’єкта даних про витік його персональних даних, передбачає, що контролер (особа, що визначає мету обробки персональних даних) повинен повідомити суб’єкта даних про це без зайвої затримки (“without undue delay”). Це не обов’язково робити, якщо:
- були вжиті відповідні технічні заходи до персональних даних (наприклад, шифрування, анонімізація тощо);
- таке повідомлення передбачає непропорційні зусилля для контролера (тоді можна публічне оголошення зробити, наприклад);
- або контролер вжив відповідних заходів, які гарантують, що високий ризик для прав та свобод суб’єктів даних вже не може матеріалізуватися.
Крім того, контролер повинен без зайвої затримки та, де це можливо, не пізніше ніж через 72 години після того, як про це стало відомо, повідомити про порушення персональних даних компетентний наглядовий орган.
!!! Слід пам’ятати, що GDPR працює за принципом підзвітності (accountabilty). Це означає, що сама компанія повинна показувати своє дотримання вимог GDPR. Тому, необхідно самостійно задокументовувати будь-які порушення персональних даних, включаючи факти, що стосуються порушення персональних даних, його наслідки та вжиті заходи виправлення. |
Зрозуміло, що Загальний регламент про захист даних передбачає значно більше вимог до технологій Інтернету Речей, які в обов’язковому порядку потрібно враховувати. Такий перелік залежить від особливостей бізнес-механіки відповідного технічного засобу. Для кращого розуміння всіх необхідних заходів безпеки радимо звернутися безпосередньо до юриста, щоб уникнути будь-який білих плям 🙂