IoT és GDPR
Az elmúlt napokat – a GDPR (új európai adatvédelmi szabályozás) felkészülés jegyében – egy tanfolyamon töltöttem. Mivel szembesültem azzal, hogy az új rendelet milyen kihívásokat állít a vállalkozások elé, ha akár az olyan, már megkerülhetetlen technológiákat használnak, mint az e-mail, gondoltam, hogy körüljárom egy kicsit a következő három év meghatározó technológiai tendenciáit adatvédelmi szempontból is.
Így vissza-visszatérő jelleggel megjelennek majd itt a blogon olyan összefoglaló bejegyzések is, melyek a fellelhető anyagok, szakirodalom és szaksajtó publikációk alapján ez a kérdéskört feszegetik. Első témám az IoT és az adatvédelem lesz.
IoT alapfogalmak
Az IoT eszközök esetében olyan egyedi azonosítóval ellátott tárgyak hálózatáról beszélhetünk, amelyek adatátvitelre képesek anélkül, hogy emberek közötti, vagy ember és eszköz közötti közvetlen interakcióra lenne szükség. Az IoT szélesebb értelemben vett, enyhén idealisztikus definíciója alapján olyan fizikai dolgoknak vagy a környezetünk egyes elemeinek az internet-alapú alkalmazásáról beszélhetünk amelyet a hálózatba történő csatlakozás során zökkenőmentes integráció jellemez. Természetesen az IoT ezek alapján elsősorban azokból a szabványokból és kapcsolódó technológiából áll, melyek ezt lehetővé teszik.
Az alkalmazási terület széles és egyre szélesedik. Otthonunk felokosítása – „okos fűtés, okos hűtő stb.” – mellett vonzó lehetőséget kínál a vállalatok számára is. Működésük hatékonyságának javítására több száz vagy ezer termék, céges eszköz és más “dolog” hálózatba kapcsolódhat, majd az ezek által generált adatok kielemezhetők. Egyes – kiemelten érzékeny adatokat kezelő – szektorokban, mint például az egészségügy az IoT a diagnosztika, a megelőzés és a kezelés hatékonyságához segítő alapvető technológiává válhat néhány éven belül. Az előrejelzések szerint 2025-re már közel 100 milliárd okos eszközt tartunk majd számon világszerte.
Adatvédelmi, adatbiztonsági kockázatok
Egyike a legnagyobb aggodalmaknak a dolgok internetével kapcsolatban, hogy alkalmazása jelentős adatvédelmi kockázatokkal jár. Az utóbbi időben súlyos incidensekről kaptunk híreket: hackerek járműveket törtek fel és szolgáltatásbénító támadásokat hajtottak végre hálózatba kötött IoT-eszközökkel. Ezért az eszközök, szenzorok, hálózatok és alkalmazások megfelelő védelmét minden IoT-stratégia kulcsfontosságú elemévé kell tenni. A „tudom mit ettél tegnap este” manapság már nem puszta rémisztgetés, az okos otthonokban hűtőnk valóban meg tud figyelni minket, ha nem vigyázunk és akkor még csak az IoT otthoni alkalmazásáról beszélünk, nem például arról, hogy egészségügyi diagnosztikai rendszerek és eszközök százait-ezreit integráljuk egyetlen, több felhasználós felhő alapú technológiai megoldásba.
Alapvető, hogy a biztonságos IoT világában nem közlekednek nyílt adatok a szenzorok és szerverek között, ezeket kulcsokkal titkosítják, melyek a hálózaton sosem jelennek meg, így eltulajdonítani sem lehet őket. Így persze még mindig kérdés marad, hogy ugyanezt a biztonságos környezetet kell biztosítani a rendszerek központi üzemeltetését biztosító – gyakran felhő – szolgáltatók szintjén és azoknál az applikációknál is, melyek a rendszerek használatához egy egyes személyek szintjén kapcsolódnak (pl. mobil telefonos appok).
Itt azonban nem csupán informatikai biztonsági kérdésekről van szó, hanem – ebben a világban mozogva akár felhasználóként, akár szolgáltatóként – jól látható etikai, jogi (pl. adatvédelmi) és szociális kockázatokat is kezelnünk kell.
Ki kezeli az adatot és hogyan?
Az IoT szolgáltatások során gyűjtött adatok tulajdonosa legtöbbször a rendszert üzemeltető entitás, amely egy kis zárt és személyes használatú otthoni infrastruktúra esetében (mely áll például egy okosórából, néhány otthonmanagement kiegészítőből és egy távfelügyeleti modulból) egyértelműen maga a felhasználó. Azonban ha érintettként, már egy publikus IoT szolgáltatás esetében szeretnénk meghatározni az adataink kezelőjét, már nem olyan egyértelmű a helyzetünk. Fontos kitérnünk arra is, mennyivel nagyobb kockázatot vállalunk akkor ha az IoT eszközön áthaladó adataink tulajdonosai bár mi vagyunk, vagy az adatkezelő más úton pontosan meghatározható, de maga az eszköz rendszerének szándékos vagy gondatlan „hibáiból” adódóan adataink illetéktelen harmadik felek számára is elérhetőek – hívja fel a figyelmet egy a témában készült ez év eleji tanulmány.
Az IoT eszközök, kiváltképp a hordható típusok (okosórák-, szemüvegek, de akár az okostelefonok is) természetükből adódóan folyamatosan bekapcsolt állapotban vannak, állandóan érzékelnek, adatot gyűjtenek és küldenek, kommunikálnak. Az így keletkezett óriási mennyiségű információ esetében azonban az alapvető biztonsági kérdések mellett (információ biztonság „CIA” –típusú megközelítése) felmerülnek kifejezetten GDPR szemszögéből tisztázandó – sőt állítom nem kezelhető – kérdések is. Csak a példa kedvéért felsorolnék néhányat:
- Hozzájárulás az adatkezeléshez – a legtöbb esetben valószínűleg ez lesz az adatkezelés jogalapja (ld. a rendelet 6. és 7. cikkét). Itt azonban – mint az általam elolvasott egyik tanulmány rámutat – kiemelt fontosságot kap az, hogy a hozzájárulást átlátható, világos és érthető tájékoztatás előzze meg. A gyakorlatban ezen rendkívül érzékeny személyes adatok esetében gyakran teljes mértékben hiányzik a felhasználó értesítése és tájékoztatása arról ki lesz az adatainak kezelője, mi lesz az adatkezelés célja, meddig tart maga a tárolás és esetleg harmadik félnek kerül-e átadásra bármilyen információ a termék használatával összefüggésben. Ha pedig az értesítés és a tájékoztatás hiányzik vagy nem megfelelő, azaz nem könnyen elérhető formában, hanem csak adott esetben a termék idegen nyelvű weboldalának egyik elrejtett szegletében tették közre, akkor az adatkezeléshez szükséges beleegyezést sem a megfelelő információk birtokában adja meg a felhasználó.
- Adatkezelők és adatfeldolgozók – Az e-mailhez vagy az internetes alkalmazásokhoz hasonlóan – a folyamatban adatkezelők és adatfeldolgozók sokszor akár szerepkörükben is nehezen elhatárolható láncolata jelenik meg. Pl. ha egy önkormányzat átfogó okosváros alkalmazást vezet be, akkor biztos, hogy egy szolgáltatóval/megoldás-szállítóval működik együtt. A központi rendszer az okos város agyaként szolgál és magában foglalja a különböző felhő adatközpontokat és a mindenhol jelenlévő városi hálózatokat, melyek összegyűjtik, integrálják és megosztják a városi adatokat. Így a rendszer akár 20-30 különböző cég alkalmazásait, rendszereit, sőt az általuk használt informatikai erőforrásokat szolgáltatás-alapon nyújtó vállalkozások végeláthatatlan láncolatát is integrálja majd. A rendszer folyamatosan elemzi a városi szolgáltatásokat és lehetővé teszi az egységesített koordinációt, valamint a városi szolgáltatók közötti együttműködést, de egyúttal számos magánszemély – nevezzük a rendelet szerint Érintettnek – adatait kezeli majd. Követhető, jogszerű és dokumentálható adatkezelési folyamatokat végrehajtani egy ilyen környezetben a mai rendelet szellemiségében lehetetlen lesz, de ha a „mission impossible” kereteit meg is ugorjuk, vegyük figyelembe a kapcsolódó dokumentálási kötelezettséget az „átlátható, érthető és mindenre kiterjedő” tájékoztatás jegyében.
- Harmadik országba történő továbbítás – Amennyiben akár a fenti rendszer, akár egyszerű okos nyakláncunk működéséhez csak egyetlen olyan üzemeltető illetve applikáció kell, mely EU-tagállamon kívül működik – pl. egy USA-beli szerveren – akkor felmerül az adatok harmadik országba történő továbbításának kérdésköre is, ami a GDPR rendelet szempontjából végtelen problémahalmot nyit meg.
…és akkor most dobjuk el okos eszközeinket és éljünk egy kő alatt, nehogy a hűtőnk megfigyeljen minket? Nyilván nem, de az mindenképpen fontos, hogy mind az informatikai biztonság, mind az adatkezelési/adatfeldolgozási eljárások, mind a jogalkotás tekintetében kialakuljanak, stabilizálódjanak azok a biztonságos és elfogadott, de egyúttal nem a kőkorszakba visszaléptető megoldások, melyek alkalmazkodnak a világ fejlődéséhez és az alapvető jogainkhoz – egyszerre. Ez nagy kihívás lesz a felhasználóknak, gyártóknak, szolgáltatóknak és a jogalkotóknak egyaránt.
Judit
A bejegyzés összeállításakor főképp az alábbi anyagokra támaszkodtam:
http://arsboni.hu/az-iot-eszkozok-ternyerese-az-adatvedelem-tukreben/
https://computerworld.hu/tech/nyero-iot-strategiak-240993.html
A kérdéskörrel az Európai Parlament és a Tanács WP29-es munkacsoportja részletesen is foglalkozik. Itt további állásfoglalásokat is találsz GDPR témakörben:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
FEB
2018