Gibt es Überwachungskameras / -geräte, die der EU-Datenschutzgrundverordnung (DSGVO) entsprechen?

7

Ich bin kürzlich auf die EU-Datenschutzgrundverordnung (DSGVO) gestoßen , die für die Datenschutzverordnung bestimmt ist. Die endgültige Version der DSGVO wurde im Dezember / 2015 veröffentlicht.

Gibt es eine Überwachungskamera oder Geräte, von denen bekannt ist, dass sie vollständig GDPR-konform sind? Gibt es Compliance- / Zertifizierungsprogramme, die aus der EUGDPR-Richtlinie abgeleitet wurden?

Ich kann nicht verstehen, wie die EU möglicherweise plant, sicherzustellen, dass die DSGVO für die verkauften Geräte angewendet wird?

Schluchzen
quelle
2
Geräte sind nicht konform. Datencontroller - dh Menschen - sind.
pjc50

Antworten:

10

Neben Simons Antwort geht es in der DSGVO mehr um Prozesse als um IT-Systeme, wenn Sie sie genauer betrachten. Sicher, es gibt einige technische Dinge (hauptsächlich Verschlüsselung und Pseudonymisierung), aber zum größten Teil bestimmt es, was Sie überhaupt mit Daten tun dürfen. Denken Sie bei allem, was folgt, daran, dass ich kein Anwalt bin - nur jemand, der Erfahrung darin hat, seine Sachen für die DSGVO vorzubereiten.


TL; DR: Geräte selbst können für sich selbst nicht konform oder nicht konform sein. Kameras können jedoch schwierig sein. In Bezug auf Ihre Zertifizierungsfrage scheint die Antwort noch nicht zu sein .


Einige allgemeine Dinge über GDPR

Zunächst wird ein spezifischer Opt-In-Mechanismus für Kundendaten definiert. Dies bedeutet, dass Sie als juristische Person für die Datenverarbeitung Aufzeichnungen über den Kunden führen müssen, der diese Einwilligung erteilt, und dass in dieser Einwilligung angegeben werden muss, welche Daten Sie verwenden und für welche Zwecke Sie sie verwenden. Siehe Wiki-Abschnitte 2.4 und 2.5 .

Zweitens gibt es dem Benutzer das ausdrückliche Recht , alle Daten zu erhalten, die das Unternehmen über ihn gespeichert hat. Das bedeutet, dass alle Daten in jedem System, die an den jeweiligen Benutzer gebunden werden können, bereitgestellt werden müssen. Sie können sich vorstellen, dass in größeren Unternehmen, in denen alle Arten von Systemen Daten enthalten, die irgendwie mit einem Benutzer verbunden sind, was eine Art Ärger darstellt. Ich denke, Netflix hat ein bisschen Spaß damit, wenn man sich ihre Systeme ansieht:

Netflix-Dienste Quelle (Folie 12)

In den folgenden Artikeln wird das Recht eingeräumt, falsche Daten zu korrigieren und vollständig zu löschen - natürlich nur, wenn Sie nach keinem anderen Gesetz verpflichtet sind, die Daten aufzubewahren (z. B. Steuer- oder Prüfungsgesetze für Rechnungen).

Natürlich gibt es in den anderen vierzig Artikeln der ersten fünfzig Unmengen von Fallstricken, die Ihre Verantwortlichkeiten und Verbraucherrechte definieren, die ich noch nicht einmal erwähnt habe. Als ob Sie die Daten nicht an einem Ort ablegen könnten, an dem die EU-Standards nicht eingehalten werden - was, wenn Sie das lesen, überall zu sein scheint, schon gar nicht in den USA .

Überlegungen zur Kamera

Eine weitere interessante Sache, die sich auf ein Gerät auswirken könnte, ist Artikel 32 - "Sicherheit der Verarbeitung" -, der etwas unscharf ist. Wenn sich Ihre Kamera jedoch vor einem medizinischen Gebäude befindet, kann argumentiert werden, dass Sie eine End-to-End-Verschlüsselung mit Verschlüsselung von benötigen Alle Daten ruhen auch auf der Kamera.

Unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere der Rechte und Freiheiten natürlicher Personen setzen der für die Verarbeitung Verantwortliche und der Verarbeiter um geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus, unter anderem gegebenenfalls:

(a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

(b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten sicherzustellen;

(c) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;

(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Da nach EU-Recht das Bild einer Person (dankenswerterweise) als personenbezogene Daten betrachtet wird, müssen Sie die Bilder oder Videos wahrscheinlich entweder pseudonymisieren oder verschlüsseln.

Über Zertifizierungen

Ich konnte keine finden, die auf der Verordnung selbst basieren. Es gibt natürlich eine Menge Leute, die Ihnen GDPR-klingende "Zertifizierungen" verkaufen, aber keine (die ich finden konnte) scheint die Anforderungen der Verordnung bis heute zu erfüllen.

Helmar
quelle
Taking into account the ...... ... ... .. ... (sic)Die Anwälte werden einen Feldtag haben. Zumindest die Leute in meiner Firma, die interne Beratung zu GDPR für die Entwickler usw. durchführen, blicken interessiert auf die kommenden Monate und haben alle Hände voll zu tun. Für Kameras sollte es jedoch ziemlich einfach und ausreichend sein, die Kamera zusammen mit ihrem Router, der als VPN-Endpunkt fungiert, in eine verschlossene Box zu stecken oder eine WIFI- / Zellenkamera mit integriertem VPN zu verwenden.
AnoE
11

Es ist nicht möglich, ein Gerät GDPR-konform zu machen, da der Rest des Systems für die Einhaltung der GDPR verantwortlich ist.

Eine Kamera könnte oder könnte nicht als GDPR-konform vermarktet werden, aber es macht in beiden Fällen kaum einen Unterschied. Eine Kamera könnte an ein System angeschlossen werden, das Daten innerhalb von Sekunden löscht (wie es zum Zählen von Personen verwendet werden kann) und daher relativ einfach GDPR-konform ist. Die exakt gleiche Kamera könnte in einem System verwendet werden, das Gesichtserkennung durchführt und die Daten mit anderen Systemen teilt, die möglicherweise niemals GDPR-konform sind.

Würde ein PC-Hersteller wie Dell jemals sagen, dass ein Laptop GDPR-konform ist? Wenn Sie diesen Laptop verwenden, um sich bei Facebook anzumelden, ist GDPR ein Facebook-Problem, kein Dell-Problem.

Sie müssen sich das gesamte System ansehen, GDPR ist nicht nur ein Geräteproblem.

Möglicherweise möchten Sie einen Gerätelieferanten bitten, zu bestätigen, dass er keine Daten an andere Orte sendet, da er möglicherweise Daten zur Diagnose oder Protokollierung an seine eigenen Dienste sendet. Das ist wahrscheinlich wichtig in der DSGVO, aber auch wichtig und notwendig für Sicherheit und Datenschutz im Allgemeinen.

Machen Sie keine Annahmen und seien Sie vorsichtig mit Ratschlägen von Fremden im Internet. Wenn es kritisch ist, suchen Sie professionellen Rechtsbeistand. Obwohl ich die Gerätesicherheit aggressiv fördere, ist unter GDPR möglicherweise keine End-to-End-Verschlüsselung erforderlich. "Geeignete technische Maßnahmen" erstrecken sich möglicherweise nicht auf die kostspielige (in Bezug auf Prozessoren, Batterie usw.) Bereitstellung einer End-to-End-Verschlüsselung in einem privaten Netzwerk. Fügen Sie für Websites SSL hinzu, auch wenn es nicht benötigt wird, sind die Kosten vernachlässigbar. Geräte sind komplexer. Wie Sie vorschlagen, gibt es möglicherweise keine zertifizierbaren Geräte. Ist es daher angebracht, ein benutzerdefiniertes Gerät zu erstellen, um eine unklare GDPR-Anforderung zu erfüllen?

Simon Munro
quelle