GDPRに基づくデータのインポートとエクスポートを許可するには、「スマート」デバイスが必要ですか?


7

2018年5月に、欧州連合の一般データ保護規則が施行され、EU市民にはデータに関する追加の権利が与えられます。これに加えて、データ管理者(ユーザーに関するデータを収集する組織)には、追加の義務が課せられます。

興味深いことに、ユーザーに与えられる新しい権利の1つは、データの移植性に対する権利です。ウィキペディアはそれを次のように定義しています:

人は、データコントローラーによって妨げられることなく、1つの電子処理システムから別の電子処理システムに自分の個人データを転送できなければなりません。さらに、データは、構造化された一般的に使用される電子形式でコントローラーから提供される必要があります。データの移植性に対する権利は、GDPRの第18条によって提供されます。法務専門家は、この措置の最終版で、「第18条に規定されているように、2つのコントローラー間のデータの移植性の範囲を超える」「新しい権利」を生み出したと見ています。

この質問のために、スマートヘルストラッカー(FitBitなど)の例を取り上げます。FitBitトラッカーからデータをエクスポートして、そのデータを競合他社のトラッカーにインポートできますか?

さらに、インターネットと同期する独自のIoTデバイスを設計した場合、この規制にどのように準拠すると予想されますか?

回答:


7

これは答えるのが難しいと思います。将来的には言うまでもなく、3人の弁護士に4つの答えを求めてください。ただし、各デバイス(技術的な意味で)がこのルールに準拠する必要があるわけではないと主張します。

スマートデバイスが外部またはクラウドベースのデータサービスなしで機能するユースケースを考えてみます。たとえば、スマートデバイスシステムは、家の中央ノードにレポートしますが、何もアップロードしません。この場合、データコントローラーはありません。

一方、システムがデータコントローラーのデータサービスを使用してユーザーデータ(上記のFitBitなど)を収集、処理、および保存する場合は、このデータを取得して別のプロバイダーで使用できるようにする必要があります。電子処理システムは必ずしもデバイス(トラッカー自体)ではなく、このプロバイダーが提供する外部データサービスであると私は主張します。これは(私にとって)、構造化された一般的に使用される電子形式でこのデータを取得する権利は、独自の形式が一般的に使用されていない場合、最初のプロバイダーが2番目のプロバイダーのファイル形式でデータを提供する必要がないことも意味します。技術的な観点からは、共通のAPIがこのデータ交換を可能にすることを期待しますが、私はこれをしばらく待って、かなりの数の係争中の裁判所の決定を待たなければならないでしょう。

さらに、インターネットと同期する独自のIoTデバイスを設計した場合、この規制にどのように準拠すると予想されますか?

それがDIYであり、あなただけがそれを使用しているなら、おそらく大丈夫でしょう。あなたがこれをビジネスに変え始めたら、これを含む多くの規制があなたを襲うでしょう。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.