私は最近、データプライバシー規制を目的としたEU一般データ保護規則(GDPR)に出会いました。GDPRの最終バージョンは 2015年12月にリリースされました。
GDPRに完全に準拠していることがわかっている監視カメラまたはデバイスはありますか?EUGDPRガイドラインから派生したコンプライアンス/認証プログラムはありますか?
EUが販売中のデバイスに対してGDPRを確実に/強制するためにどのように計画しているかを理解できません
回答:
Simonの答えに加えて、GDPRは、より詳細に見ると、ITシステムよりもプロセスに関するものです。確かに、そこにはいくつかの技術的なものがあります(主に暗号化と仮名化)が、大部分は、データを使用して何を実行できるかを決定します。以下のすべてについて覚えておいてください。私は弁護士ではありません。GDPRの準備をした経験のある人だけです。
TL; DR:デバイス自体は、デバイス自体に準拠または非準拠にすることはできません。ただし、カメラは扱いにくい場合があります。認定に関する質問については、回答はまだではないようです。
まず第一に、顧客データの特定のオプトインメカニズムを定義します。これは、データ処理法人として、その同意を与えた顧客の記録を保持する必要があり、その同意には、使用するデータとその使用目的を指定する必要があることを意味します。Wikiセクション2.4および2.5を参照してください。
次に、会社が保存したすべてのデータを取得する権利をユーザーに明示的に与えます。つまり、特定のユーザーに結び付けることができるすべてのシステムのすべてのデータを提供する必要があります。あらゆる種類のシステムが何らかの形で面倒なユーザーに何らかの形で接続されているデータを保持している大企業では、想像できるでしょう。Netflixのシステムを見てみると、Netflixにはある程度の楽しみがあると思います。
次の記事は、誤ったデータを修正して完全に消去する権利を与えるものです。もちろん、他の法律でデータを保持することが要求されていない場合(税や法案の監査法など)のみです。
もちろん、私が言及しなかったあなたの責任と消費者の権利を定義する最初の50の他の40代の記事にはたくさんの落とし穴があります。EUの基準が満たされていない場所にデータを配置できないのと同じです。これを読むと、どこにでもあるように見えますが、米国ではありません。
デバイスに影響を与える可能性のあるもう1つの興味深いものは、32条「処理のセキュリティ」です。これは少しあいまいですが、カメラが医療施設の前にある場合、エンドツーエンドの暗号化とカメラに保存されているすべてのデータも。
最先端の技術、実装のコスト、処理の性質、範囲、コンテキスト、目的、および自然人の権利と自由に対するさまざまな可能性と重大度のリスクを考慮に入れて、コントローラーとプロセッサーは実装する必要があります。とりわけ適切な場合を含め、リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的対策:
(a)個人データの仮名化および暗号化。
(b)処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を保証する機能。
(c)物理的または技術的な事件が発生した場合に、可用性と個人データへのアクセスを適時に復元する機能。
(d)処理のセキュリティを確保するための技術的および組織的対策の有効性を定期的にテスト、評価、評価するプロセス。
EU法の後、人物の写真は(ありがたいことに)個人データと見なされるため、写真またはビデオを仮名化または暗号化する必要がある可能性があります。
規制自体に基づくものは見つかりませんでした。もちろん、GDPRのような「認証」を販売している人はたくさんいますが、今日のところ、規制の要件を満たしているものはありません(私が見つけたものはありません)。
Taking into account the ...... ... ... .. ... (sic)弁護士たちは野戦の日を迎えようとしている。少なくとも私の会社で、開発者などのためにGDPRの内部コンサルティングを行っている人たちは、興味を持って今後数か月を見ていて、彼らの手をいっぱいにしています。そうは言っても、カメラについては、VPNエンドポイントとして機能するルーターと一緒にカメラを確実にロックボックスに入れるか、統合されたVPNでWIFI /セルカメラを使用することは非常に簡単で十分です。
GDPRへの準拠はシステムの残りの部分であるため、デバイスをGDPRに準拠させることはできません。
カメラはGDPR準拠として販売できた、または販売できなかったが、どちらの方法でもほとんど違いがない。カメラはシステムに接続でき、データを数秒で削除できるため(人数のカウントに使用される場合がある)、GDPRに準拠するのはかなり簡単です。まったく同じカメラを、顔認識を行い、データを他のシステムと共有するシステムで使用できます。GDPRに準拠することは決してありません。
デルなどのPCメーカーは、ラップトップがGDPRに準拠していると言ったことはありますか?そのラップトップを使用してFacebookにログインする場合、GDPRはFacebookの問題であり、Dellの問題ではありません。
システム全体を見る必要があります。GDPRはデバイスの問題だけではありません。
診断またはログ記録のために独自のサービスにデータを送信する可能性があるため、デバイスサプライヤーに他の場所にデータを送信していないことを証明してもらいたい場合があります。これはGDPRではおそらく重要ですが、セキュリティとプライバシー全般にとっても重要かつ必要です。
いかなる仮定も行わず、インターネット上の見知らぬ人からのアドバイスに注意してください。それが重要な場合は、専門的な法的助言を求めてください。たとえば、デバイスのセキュリティを積極的に推進していますが、GDPR ではエンドツーエンドの暗号化は必要ない場合があります。「適切な技術的対策」は、プライベートネットワークでのエンドツーエンドの暗号化の(プロセッサ、バッテリーなどに関して)コストのかかる規定にまで及ばない場合があります。Webサイトの場合、はい、SSLを追加します。SSLが不要な場合でも、コストはごくわずかです。デバイスはより複雑です。ご提案のとおり、認定可能なデバイスが存在しない可能性があります。不明確なGDPR要件を満たすためだけにカスタムデバイスを作成するのは適切ですか。