Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Jelena Burnik: GDPR vs. IOT

150 views

Published on

Kako bo GDPR zakonodaja vplivala na svet IOT, česa se je treba paziti in pri katerih zadevah določeni pretiravajo.

Predavanje na http://www.cryptoparty.si/2017/09/14/iot-meetup-2017-jelena-burnik-ip-rs-kako-bo-gdpr-spremenil-svet-iot-tehnologij/

Published in: Technology
  • Be the first to comment

Jelena Burnik: GDPR vs. IOT

  1. 1. GDPR vs. IoT Jelena Burnik državna nadzornica za varstvo osebnih podatkov IoT meetup, september, 2017
  2. 2. Kaj ima IoT sploh z osebnimi podatki? IIoT lahko ne veliko, vse kar uporablja posameznik, pa ogromno. — srčni spodbujevalnik in hekerji — varni domovi za starejše in zapestnica, ki napačno zazna hitrost padca osebe – lahko pomeni smrt — Internet of Toys — povezani in avtonomni avtomobili – netočni podatki, slabo zavarovanje, vdori v sistem lahko pomenijo kaos — pametni števci ali kako ugotoviti, kdo doma goji travo — pametni TV vas gleda
  3. 3. Tveganja — Uporabnik nima nadzora nad tokom podatkov in težko ostaja anonimen. — Pomanjkljive privolitve in obveščanje. — Sklepanja in profiliranje na podlagi surovih podatkov, uporaba za druge namene. — Slabo zavarovanje, vdori, zlorabe
  4. 4. Kdo so upravljavci podatkov? — Proizvajalci naprav, ki običajno določene podatke tudi obdelujejo, konfigurirajo napravo — Družbena omrežja, preko katerih lahko posamezniki podatke delijo — Razvijalci aplikacij — Tretje stranke (npr. zavarovalnice)
  5. 5. GPEN Sweep 2016 Pametni števci Fitness wearables Domači pomočniki Medicinske naprave (merilec pritiska, spanja) Povezani avtomobili Pametne igrače Pametni TV Pametni videonadzor 25 nadzornih organov iz celega sveta / 314 naprav
  6. 6. GPEN Sweep 2016 60 % naprav brez pojasnila, kako se osebni podatki zbirajo, uporabljajo, komu so razkriti. Skoraj 70% brez pojasnila, kako so podatki hranjeni. Več kot 70% brez pojasnila, kako se lahko podatki iz naprave izbrišejo (npr. na daljavo, če je ukradena, ali če bi jo želeli prodati). Skoraj 40% brez kontaktnega podatka v primeru vprašanj o zasebnosti. Nekatere medicinske naprave so pošiljale poročila zdravnikom po nekriptirani e- pošti.
  7. 7. Priporočila WP29 za IoT — Ocena učinka na varstvo osebnih podatkov — Brisanje surovih podatkov — Omogočiti, da uporabnik uporablja „nepovezano“ verzijo naprave/storitve — Informiranje uporabnikov na njim prijazen in dostopen način — Ustrezno zavarovanje: Security by design in kriptiranje — Minimalen nabor OP — Privzeto ne-deljenje na družbenih omrežjih/objava
  8. 8. Splošna uredba o varstvu osebnih podatkov: ― osebni podatek: tudi spletni identifikatorji, ID piškotkov, RFID oznake in IP naslovi/ genetski in biometrični podatki občutljivi ― več odgovornosti za upravljavce ― nove pravice za posameznike ― strožje sankcije Kaj pa po 25. maju 2018?
  9. 9. Privolitev Soglašate, da družba XXX in njeni partnerji vaše osebne podatke obdelujejo za namen izvajanja storitve in za druge povezane namene. Vaše podatke bomo skrbno varovali skladno z Zakonom o varstvu osebnih podatkov. Pogoji za privolitev (7. člen): — privolitev v enega ali več namenov — dokazljiva — jasno ločena od drugih zadev (npr. v splošnih pogojih) — v razumljivi in dostopni obliki, v jasnem in preprostem jeziku — posameznik lahko privolitev kadarkoli prekliče – o tem mora biti obveščen — prostovoljna privolitev (ali je bila pogoj za izvedbo pogodbe?) — stare privolitve veljavne le, če upoštevajo našteto
  10. 10. Obvestilo o obdelavi OP Smernice IP o oblikovanju obvestila o obdelavi OP
  11. 11. Obvestilo o obdelavi OP Širši nabor informacij, ki jih je treba sporočiti posamezniku (13. člen) — informacije o upravljavcu in DPO (če obstaja) — nameni obdelave in pravna podlaga za obdelavo — kadar je pravna podlaga zakoniti interes, tudi navedba zakonitega interesa — uporabniki OP — prenos podatkov v tretje države Dodatno tudi : — roki hrambe ali merila za roke hrambe — informacije o pravicah posameznikov in pravici do preklica privolitve — pravica do pritožbe k IP — obstoj profiliranja, razlogi zanj, posledice
  12. 12. Profiliranje ― 22. člen … vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika. ― le če je nujno za izvajanje pogodbe, ga dovoljuje zakon ali če je izrecna privolitev posameznika ― pravica do osebnega posredovanja, do izražanja lastnega stališča in izpodbijanja odločitve
  13. 13. Pravice posameznika Pravica dostopa do svojih podatkov (15. člen) — Ne le nameni, vrste OP, uporabniki, roki hrambe — tudi profiliranje, informacije o razlogih za profiliranje, pomen in predvidene posledice za posameznika. Pravica do prenosljivosti (20. člen) ― Posameznik ima pravico, da od upravljavca pridobi kopijo svojih podatkov v standardnem formatu, ki dovoljuje nadaljnjo uporabo. ― Lock-in
  14. 14. Premik k odgovornosti upravljavcev — ocena vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (35. člen) — oseba, zadolžena za varstvo osebnih podatkov (37. – 39. člen) — poročanje o incidentih v zvezi z osebnimi podatki (33. in 34. člen) — vgrajeno varstvo osebnih podatkov, zasebnosti prijazne začetne nastavitve (25. člen)
  15. 15. Hvala za pozornost.

×