Có máy ảnh / thiết bị giám sát nào tuân thủ Quy định bảo vệ dữ liệu chung (GDPR) của EU không?

Gần đây tôi đã xem qua Quy định bảo vệ dữ liệu chung của EU (GDPR) dành cho quy định bảo mật dữ liệu. Các phiên bản cuối cùng của GDPR được phát hành tháng mười hai / năm 2015.

Bất kỳ camera giám sát hoặc thiết bị nào được biết là hoàn toàn tuân thủ GDPR? Có các chương trình tuân thủ / chứng nhận được lấy từ hướng dẫn EUGDPR không?

Tôi không thể hiểu làm thế nào EU có thể lập kế hoạch để đảm bảo / thực thi GDPR cho các thiết bị được bán?

Thêm vào câu trả lời của Simon, GDPR thiên về các quy trình hơn các hệ thống CNTT nếu bạn xem xét chi tiết hơn. Chắc chắn, có một số thứ kỹ thuật trong đó (chủ yếu là mã hóa và bút danh) nhưng đối với phần lớn hơn, nó chỉ ra những gì bạn được phép làm với dữ liệu. Hãy ghi nhớ mọi thứ sau đây, rằng tôi không phải là một luật sư chỉ là một người có kinh nghiệm làm cho GDPR của anh ấy sẵn sàng.

TL; DR: Bản thân các thiết bị không thể tuân thủ hoặc không tuân thủ. Máy ảnh có thể là khó khăn mặc dù. Về câu hỏi chứng nhận của bạn, câu trả lời dường như vẫn chưa có .

Một số điều chung về GDPR

Trước hết, nó xác định một cơ chế chọn tham gia cụ thể cho dữ liệu của khách hàng. Điều này có nghĩa là thực thể pháp lý xử lý dữ liệu bạn sẽ cần lưu giữ hồ sơ về việc khách hàng đồng ý và sự đồng ý đó phải chỉ định dữ liệu nào bạn sẽ sử dụng và mục đích bạn đang sử dụng cho mục đích gì. Xem Wiki phần 2.4 & 2.5 .

Thứ hai, nó cung cấp cho người dùng quyền được thể hiện để có được tất cả dữ liệu mà công ty đã lưu trữ về anh ta hoặc cô ta. Điều đó có nghĩa là mọi dữ liệu trong mọi hệ thống có thể được liên kết với người dùng cụ thể phải được cung cấp. Bạn có thể tưởng tượng rằng trong các công ty lớn hơn, nơi tất cả các loại hệ thống lưu trữ dữ liệu bằng cách nào đó được kết nối với người dùng là một rắc rối. Tôi đoán Netflix có một số niềm vui với điều đó nếu bạn nhìn vào hệ thống của họ:

Nguồn (Slide 12)

Các bài viết sau đây tiếp tục trao quyền khắc phục dữ liệu không chính xác và xóa hoàn toàn dữ liệu chỉ khi không có luật nào khác yêu cầu bạn giữ dữ liệu (ví dụ luật thuế hoặc kiểm toán đối với các hóa đơn).

Tất nhiên, có hàng tấn cạm bẫy trong bốn mươi điều khác của năm mươi đầu tiên xác định trách nhiệm và quyền lợi người tiêu dùng của bạn mà tôi chưa từng đề cập. Giống như không thể đưa dữ liệu vào bất cứ nơi nào mà các tiêu chuẩn của EU không đáp ứng được mà nếu bạn đọc điều đó dường như ở khắp mọi nơi, chắc chắn không phải là Hoa Kỳ .

Cân nhắc máy ảnh

Một điều thú vị khác có thể ảnh hưởng đến một thiết bị là bài viết 32 "bảo mật xử lý" của Wapwhich hơi mờ nhưng nếu máy ảnh của bạn ở trước tòa nhà y tế, có thể lập luận rằng bạn cần mã hóa đầu cuối với mã hóa tất cả dữ liệu ở phần còn lại trên máy ảnh.

Có tính đến tình trạng của nghệ thuật, chi phí thực hiện và tính chất, phạm vi, bối cảnh và mục đích xử lý cũng như rủi ro thay đổi khả năng và mức độ nghiêm trọng đối với quyền và tự do của thể nhân, bộ điều khiển và bộ xử lý sẽ thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro, bao gồm cả các vấn đề phù hợp:

(a) bút danh và mã hóa dữ liệu cá nhân;

(b) khả năng đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý;

(c) khả năng khôi phục tính khả dụng và truy cập dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật;

(d) một quy trình để thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh cho quá trình xử lý.

Vì sau luật pháp EU, hình ảnh của một người (rất may) được coi là dữ liệu cá nhân, bạn có khả năng phải giả danh hoặc mã hóa hình ảnh hoặc video.

Trên giấy chứng nhận

Tôi đã không thể tìm thấy bất kỳ cái gì dựa trên chính quy định. Tất nhiên có một nhóm người bán cho bạn các "chứng chỉ" nghe có vẻ GDPR nhưng không ai (mà tôi có thể tìm thấy) dường như đáp ứng các yêu cầu của quy định như ngày nay.

Không thể thực hiện bất kỳ thiết bị nào tuân thủ GDPR, vì đó là phần còn lại của hệ thống chịu trách nhiệm tuân thủ GDPR.

Một máy ảnh có thể, hoặc không thể, được bán trên thị trường dưới dạng tuân thủ GDPR, nhưng nó cũng tạo ra rất ít sự khác biệt. Một máy ảnh có thể được kết nối với một hệ thống xóa dữ liệu trong vài giây (như có thể được sử dụng cho những người đang đếm) và do đó khá đơn giản để tuân thủ GDPR. Máy ảnh chính xác tương tự có thể được sử dụng trong một hệ thống nhận dạng khuôn mặt và chia sẻ dữ liệu với các hệ thống khác, có thể không bao giờ tuân thủ GDPR.

Một nhà sản xuất PC, chẳng hạn như Dell, có bao giờ nói rằng một máy tính xách tay tuân thủ GDPR không? Nếu bạn sử dụng máy tính xách tay đó để đăng nhập vào Facebook, GDPR là một vấn đề của Facebook, không phải của Dell.

Bạn cần xem xét toàn bộ hệ thống, GDPR không chỉ là vấn đề của thiết bị.

Bạn có thể muốn nhờ một nhà cung cấp thiết bị chứng thực rằng họ không gửi bất kỳ dữ liệu nào ở nơi khác, vì họ có thể gửi dữ liệu đến các dịch vụ của họ để chẩn đoán hoặc ghi nhật ký. Điều đó có thể quan trọng trong GDPR, nhưng cũng quan trọng và cần thiết cho bảo mật và quyền riêng tư nói chung.

Đừng đưa ra bất kỳ giả định nào, và hãy cẩn thận với lời khuyên từ những người lạ trên Internet. Nếu nó là quan trọng, tìm kiếm tư vấn pháp lý chuyên nghiệp. Ví dụ: mặc dù tôi tích cực thúc đẩy bảo mật thiết bị, mã hóa đầu cuối có thể không được yêu cầu theo GDPR. 'Các biện pháp kỹ thuật phù hợp' có thể không mở rộng đến việc cung cấp chi phí (về bộ xử lý, pin, v.v.) về mã hóa đầu cuối trên mạng riêng. Đối với các trang web, có, thêm SSL, ngay cả khi không cần thiết, chi phí không đáng kể. Các thiết bị phức tạp hơn. Như bạn đề xuất, các thiết bị có thể chứng nhận có thể không tồn tại, vậy nó có phù hợp để bạn xây dựng một thiết bị tùy chỉnh, chỉ để đáp ứng yêu cầu GDPR không rõ ràng?