1.
GDPR vs. IoT
Jelena Burnik
državna nadzornica za varstvo osebnih podatkov
IoT meetup, september, 2017

2.
Kaj ima IoT sploh z osebnimi podatki?
IIoT lahko ne veliko, vse kar uporablja posameznik, pa
ogromno.
— srčni spodbujevalnik in hekerji
— varni domovi za starejše in zapestnica, ki napačno zazna hitrost
padca osebe – lahko pomeni smrt
— Internet of Toys
— povezani in avtonomni avtomobili – netočni podatki, slabo
zavarovanje, vdori v sistem lahko pomenijo kaos
— pametni števci ali kako ugotoviti, kdo doma goji travo
— pametni TV vas gleda

3.
Tveganja
— Uporabnik nima nadzora nad tokom podatkov in težko ostaja
anonimen.
— Pomanjkljive privolitve in obveščanje.
— Sklepanja in profiliranje na podlagi surovih podatkov, uporaba za
druge namene.
— Slabo zavarovanje, vdori, zlorabe

4.
Kdo so upravljavci podatkov?
— Proizvajalci naprav, ki običajno določene podatke tudi obdelujejo,
konfigurirajo napravo
— Družbena omrežja, preko katerih lahko posamezniki podatke delijo
— Razvijalci aplikacij
— Tretje stranke (npr. zavarovalnice)

5.
GPEN Sweep 2016
Pametni števci
Fitness wearables
Domači pomočniki
Medicinske naprave (merilec pritiska, spanja)
Povezani avtomobili
Pametne igrače
Pametni TV
Pametni videonadzor
25 nadzornih organov iz celega sveta / 314 naprav

6.
GPEN Sweep 2016
60 % naprav brez pojasnila, kako se osebni podatki zbirajo, uporabljajo, komu so
razkriti.
Skoraj 70% brez pojasnila, kako so podatki hranjeni.
Več kot 70% brez pojasnila, kako se lahko podatki iz naprave izbrišejo (npr. na
daljavo, če je ukradena, ali če bi jo želeli prodati).
Skoraj 40% brez kontaktnega podatka v primeru vprašanj o zasebnosti.
Nekatere medicinske naprave so pošiljale poročila zdravnikom po nekriptirani e-
pošti.

7.
Priporočila WP29 za IoT
— Ocena učinka na varstvo osebnih podatkov
— Brisanje surovih podatkov
— Omogočiti, da uporabnik uporablja „nepovezano“ verzijo naprave/storitve
— Informiranje uporabnikov na njim prijazen in dostopen način
— Ustrezno zavarovanje: Security by design in kriptiranje
— Minimalen nabor OP
— Privzeto ne-deljenje na družbenih omrežjih/objava

8.
Splošna uredba o varstvu osebnih podatkov:
― osebni podatek: tudi spletni identifikatorji, ID piškotkov, RFID oznake in IP
naslovi/ genetski in biometrični podatki občutljivi
― več odgovornosti za upravljavce
― nove pravice za posameznike
― strožje sankcije
Kaj pa po 25. maju 2018?

9.
Privolitev
Soglašate, da družba XXX in njeni partnerji vaše osebne podatke
obdelujejo za namen izvajanja storitve in za druge povezane
namene. Vaše podatke bomo skrbno varovali skladno z Zakonom
o varstvu osebnih podatkov.
Pogoji za privolitev (7. člen):
— privolitev v enega ali več namenov
— dokazljiva
— jasno ločena od drugih zadev (npr. v splošnih pogojih)
— v razumljivi in dostopni obliki, v jasnem in preprostem jeziku
— posameznik lahko privolitev kadarkoli prekliče – o tem mora biti obveščen
— prostovoljna privolitev (ali je bila pogoj za izvedbo pogodbe?)
— stare privolitve veljavne le, če upoštevajo našteto

10.
Obvestilo o obdelavi OP
Smernice IP o oblikovanju obvestila o obdelavi OP

11.
Obvestilo o obdelavi OP
Širši nabor informacij, ki jih je treba sporočiti posamezniku (13. člen)
— informacije o upravljavcu in DPO (če obstaja)
— nameni obdelave in pravna podlaga za obdelavo
— kadar je pravna podlaga zakoniti interes, tudi navedba zakonitega interesa
— uporabniki OP
— prenos podatkov v tretje države
Dodatno tudi :
— roki hrambe ali merila za roke hrambe
— informacije o pravicah posameznikov in
pravici do preklica privolitve
— pravica do pritožbe k IP
— obstoj profiliranja, razlogi zanj, posledice

12.
Profiliranje
― 22. člen … vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje
uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s
posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu,
ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja,
lokacije ali gibanja tega posameznika.
― le če je nujno za izvajanje pogodbe, ga dovoljuje zakon ali če je izrecna privolitev
posameznika
― pravica do osebnega posredovanja, do izražanja lastnega stališča in izpodbijanja
odločitve

13.
Pravice posameznika
Pravica dostopa do svojih podatkov (15. člen)
— Ne le nameni, vrste OP, uporabniki, roki hrambe
— tudi profiliranje, informacije o razlogih za profiliranje, pomen in predvidene
posledice za posameznika.
Pravica do prenosljivosti (20. člen)
― Posameznik ima pravico, da od upravljavca pridobi kopijo svojih podatkov v
standardnem formatu, ki dovoljuje nadaljnjo uporabo.
― Lock-in

14.
Premik k odgovornosti upravljavcev
— ocena vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če
obdelava pomeni tveganje za posameznika (35. člen)
— oseba, zadolžena za varstvo osebnih podatkov (37. – 39. člen)
— poročanje o incidentih v zvezi z osebnimi podatki (33. in 34. člen)
— vgrajeno varstvo osebnih podatkov, zasebnosti prijazne začetne nastavitve
(25. člen)

15.
Hvala za pozornost.