GDPR и IoT: Пять вещей, которые необходимо знать

/ 19.06.2018

Компании, работающие в сегменте Интернета вещей или предоставляющие услуги в этой области, должны знать о вступивших в силу изменениях в мае 2018 года режима защиты данных в ЕС. Возможно, нововведения окажут значительное влияние на бизнес-модели, дизайн продуктов, процессов и устройств. О потенциале технологий Интернета вещей в последнее время говорят крайне много. Однако этот потенциал в сочетании с широким использованием технологий, использующих или генерирующих данные, вызывает опасения в плане конфиденциальности и защиты данных.

Постановление об общей защите данных (General Data Protection Regulation, GDPR) принято в апреле 2016 года и исполняется с 25 мая 2018 года. Пакет GDPR представляет собой изменения в ряде областей законодательства о защите данных ЕС. Соблюдение этого пакета может оказать прямое влияние на деятельность создателей устройств, платформ и целых подразделений, участвующих в разработке программного обеспечения для Интернета вещей.

Пять ключевых изменений, которые напрямую касаются регулирования сферы IoT

Нарушения в сфере безопасности

IoT-устройства – легкая мишень для хакеров. Пакетом GDPR, в случае нарушения тайны персональных данных, предусмотрен режим обязательного уведомления пострадавших сторон. Лица компании, ответственные за соблюдение GDPR, должны будут в срок не более 72 часов сообщить о нарушениях сохранности персональных данных. Отсчет идет с того момента, как стало известно о возникших проблемах. Важно, чтобы сотрудники компании могли обнаруживать и своевременно реагировать на нарушения в сфере кибербезопасности в соответствии с требованиями GDPR.

Согласие

Теперь компаниям, поставляющим IoT-устройства и IoT-сервисы, необходимо получать согласие от пользователей относительно действий по обработке данных. Субъект данных должен произвести действие, которое подтвердит согласие с обработкой персональных данных. GDPR предусматривается, что согласие не может считаться результатом бездействия субъекта данных. Согласие не следует рассматривать как свободно предоставленное, если субъект данных не имеет свободного выбора, или не может по основательным причинам отказаться от предоставления возможности сбора и обработки данных третьими лицами.

Проектируемая конфиденциальность и конфиденциальность по умолчанию

«Проектируемая конфиденциальность» и «Конфиденциальность по умолчанию» – понятия, которые существуют в текущем законодательстве о защите данных. GDPR выводит эти термины на законодательную опору. Это налагает обязательства на контроллеры данных, чтобы те принимали меры для соответствия с требованиями GDPR.

Расширенные права субъекта данных

GDPR присваивает новые независимые права субъектам относительно их персональных данных. Эти независимые права включают: право на уничтожение данных, право на мобильность данных и т.д. Разработчикам, при проектировании устройств Интернета вещей и платформ, необходимо уделять внимание встраивании возможностей для простоты управления и действий над правами субъекта данных.

Обработка персональных данных несовершеннолетних

GDPR лишит возможности детей младше 13 лет самостоятельно давать согласие на обработку их персональных данных в онлайн-сервисах. Для детей в возрасте от 13 до 15 лет (включительно) возможность дать согласие будет зависеть от законодательства в каждом государстве (по умолчанию в странах ЕС дети в этой возрастной категории не могут самостоятельно давать согласие).

Эти условия создают проблемы поставщикам IoT-решений, которые выводят или планируют вывести на рынок устройства, предназначенные для детей. Теперь не только придется получать согласия родителей/опекунов, вводить механизмы для получения такого согласия, но и учитывать специфику стран ЕС, где дети могут давать согласие в разном возрасте (от 13 до 15 лет).

Авторы: эксперты компании McCann FitzGerald (Ирландия)

Подписаться на новости

Обсудить

Назад