Các thiết bị thông minh có thể được yêu cầu cho phép nhập và xuất dữ liệu theo GDPR?

Vào tháng 5 năm 2018, Quy định bảo vệ dữ liệu chung của Liên minh châu Âu sẽ có hiệu lực và công dân EU sẽ được trao thêm quyền liên quan đến dữ liệu của họ. Cũng như điều này, các bộ điều khiển dữ liệu (các tổ chức thu thập dữ liệu về người dùng) sẽ có thêm các nghĩa vụ được đặt ra đối với họ.

Thật thú vị, một trong những quyền mới được trao cho người dùng là quyền chuyển đổi dữ liệu . Wikipedia định nghĩa nó như vậy:

Một người sẽ có thể chuyển dữ liệu cá nhân của họ từ một hệ thống xử lý điện tử sang một hệ thống khác mà không bị ngăn chặn bởi bộ điều khiển dữ liệu. Ngoài ra, dữ liệu phải được cung cấp bởi bộ điều khiển ở định dạng điện tử có cấu trúc và thường được sử dụng. Quyền chuyển đổi dữ liệu được quy định tại Điều 18 của GDPR. Các chuyên gia pháp lý nhìn thấy trong phiên bản cuối cùng của biện pháp này, một "quyền mới" được tạo ra "vượt quá phạm vi tính di động dữ liệu giữa hai bộ điều khiển theo quy định tại Điều 18."

Với mục đích của câu hỏi này, hãy lấy ví dụ về máy theo dõi sức khỏe thông minh (chẳng hạn như FitBit). Tôi có thể xuất dữ liệu từ trình theo dõi FitBit của mình và sau đó nhập dữ liệu vào trình theo dõi của đối thủ cạnh tranh không?

Ngoài ra, tôi sẽ phải tuân thủ quy định này như thế nào nếu tôi thiết kế thiết bị IoT của riêng mình đồng bộ hóa với Internet?

Tôi nghĩ rằng điều này sẽ khó trả lời, yêu cầu ba luật sư nhận được bốn câu trả lời, chưa kể rằng đó là một cái gì đó trong tương lai. Tuy nhiên, tôi sẽ lập luận rằng không phải mỗi thiết bị (theo nghĩa kỹ thuật) sẽ được yêu cầu tuân thủ quy tắc này.

Xem xét trường hợp sử dụng khi các thiết bị thông minh hoạt động mà không có dịch vụ dữ liệu bên ngoài hoặc trên nền tảng đám mây, ví dụ: hệ thống nhà thông minh nơi thiết bị IoT báo cáo đến một nút trung tâm trong nhà nói trên, nhưng không tải lên bất cứ điều gì. Trong trường hợp này đơn giản là không có bộ điều khiển dữ liệu .

Mặt khác, nếu một hệ thống sử dụng các dịch vụ dữ liệu của bộ điều khiển dữ liệu để thu thập, xử lý và lưu trữ dữ liệu người dùng (ví dụ FitBit đã đề cập), họ sẽ được yêu cầu cho phép bạn giữ dữ liệu này và sử dụng nó với nhà cung cấp khác. Tôi cho rằng hệ thống xử lý điện tử không nhất thiết là thiết bị của bạn (bản thân trình theo dõi) mà là dịch vụ dữ liệu ngoài mà nhà cung cấp này cung cấp. Điều này (với tôi) cũng ngụ ý rằng quyền của bạn để có được dữ liệu này ở định dạng điện tử có cấu trúc và thường được sử dụng không yêu cầu nhà cung cấp đầu tiên cung cấp cho bạn dữ liệu ở định dạng tệp của nhà cung cấp thứ hai nếu định dạng của họ là độc quyền và không được sử dụng phổ biến. Từ quan điểm kỹ thuật, chúng tôi hy vọng một API chung sẽ cho phép trao đổi dữ liệu này nhưng tôi dám nói rằng chúng tôi sẽ phải chờ đợi điều này trong một thời gian và khá nhiều quyết định của tòa án đang tranh chấp.

Ngoài ra, tôi sẽ phải tuân thủ quy định này như thế nào nếu tôi thiết kế thiết bị IoT của riêng mình đồng bộ hóa với Internet?

Nếu đó là DIY và chỉ có bạn sử dụng thì rất có thể bạn sẽ ổn. Nếu bạn bắt đầu biến điều này thành một doanh nghiệp nhiều quy định bao gồm cả quy định này sẽ đánh bạn.