Internet of Things: rozvíjející se technologická budoucnost a tíživá právní přítomnost

Ale zatímco hlavní technologický boj v této oblasti (zejména s ohledem na masivnější využití potenciálu IoT) se odehraje teprve ve více či méně blízké budoucnosti, ten právní zuří již nyní.

Odhady se různí, ale lze bezpečně vyjít z předpokladu, že celosvětový objem dat se zdvojnásobí každé dva roky. Někteří pamětníci si v českém prostředí pamatují dobu, kdy jsme na přelomu tisíciletí s trochou nadsázky za největší problém z hlediska ochrany osobních údajů považovali, pokud si obsluha v půjčovně lyží vypisovala z občanského průkazu více informací, než bylo nutné k samotnému zapůjčení lyží, nebo papírové formuláře vyplňované při jakékoli příležitosti byly zbytečně „zvědavé“. Dnes se tato doba jeví zpětně jako téměř idylická.

Využijme opět dostupné odhady – podle některých je již dnes k internetu připojeno cca 25 miliard věcí (podle pesimističtějších je to zhruba polovina tohoto množství), uvedený počet by se do roku 2020 mohl zdvojnásobit. Tato zařízení z povahy věci disponují senzory, které sbírají údaje.

Jak lze odtušit z uvedeného, hlavní právní otázkou související s IoT je, jak bude zajištěna ochrana a legálnost nakládání s tak obrovským množstvím údajů. Jak si subjekty údajů udrží nad tímto nakládáním kontrolu, kterou jim právo ve vyspělé společnosti nutně musí zajistit?

Zásadní dopady GDPR na IoT

Nejde ovšem o otázku řečnickou. Shodou okolností právě v současné době odbornou veřejnost poutá téma ve vztahu k ochraně osobních údajů nadmíru aktuální – Obecné nařízení o ochraně osobních údajů (GDPR). A ze strany GDPR lze očekávat v oblasti IoT dopady velmi zásadní.

Nikoli náhodou tedy bylo k této problematice vydáno stanovisko Pracovní skupinou pro ochranu osobních údajů dle Článku 29. Konkrétně pak jde o pracovní dokument této skupiny č. 223 (WP 223)[1]. Uvedený dokument je pak velmi zásadním vodítkem pro všechny subjekty, které v rámci uvádění IoT řešení na trh budou nutně v postavení správců údajů. Tyto subjekty musí postupovat tak, aby ochrana osobních údajů byla zajištěna.

Praktických doporučení je v tomto ohledu celá řada – např. provedení posouzení dopadu na ochranu údajů (Privacy Impact Assessment) vždy před uvedením každého nového IoT řešení na trh. Zařízení v rámci IoT ekosystému rovněž velmi často sbírají nezpracovaná – surová data, která jsou pak využívána až po následném zpracování, sama o sobě bezprostředně využívána nejsou a jako taková by tedy měla být co nejdříve smazána. IoT řešení a komunikační prostředí by v sobě z povahy věci měly mít inkorporováno vždy z hlediska ochrany údajů bezpečnější řešení (Privacy by Design a Privacy by Default). Souhlas ke zpracování údajů by měl být dáván výslovně, informovaně a svobodně v uživatelsky přátelském prostředí, může být odvolán. K datům musí být v daném prostředí zajištěn přístup, data mohou být subjektem údajů editována, exportována, zařízení by mělo mít k dispozici snadno přístupnou volbu „do not connect“, možnost vyřadit senzory, atd.

Již nyní je tedy při vývoji a implementaci IoT řešení nutné věnovat značnou pozornost tomu, aby tato řešení respektovala i pravidla, která již brzy vyplynou z GDPR. Praktických velmi konkrétních doporučení je k dispozici celá řada. Sankce stanovené GDPR jsou značné a s ohledem na závažnost celé problematiky jsou rozhodně na místě. Nemyslíte?

---

[1] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf