Využití dat shromážděných prostřednictvím IoT služeb a právní problémy

V posledních letech se IoT zařízení, jako jsou chytré domácí spotřebiče, stále více dostávají do našich domovů. Ačkoliv jsou velmi pohodlná, kvůli připojení k internetu jsou také vystavena riziku úniku informací. Při zahájení IoT podnikání je důležité se nezaměřovat pouze na bezpečnost spotřebičů jako takových, ale také na správu bezpečnosti v síti, která je odolná proti kybernetickým útokům.

Když se podíváme na situaci v Japonsku, zjistíme, že problém s únikem osobních údajů se stává stále vážnějším. Tokyo Shoko Research oznámila, že v roce 2021 došlo k rekordnímu počtu incidentů s únikem nebo ztrátou osobních údajů u veřejně obchodovaných společností, a to 137 případů, které se týkaly údajů 5,74 milionu lidí.

V tomto článku vysvětlíme právní předpisy, které byste měli znát pro bezpečné využívání dat shromážděných prostřednictvím IoT služeb.

Právní regulace v oblasti IoT byznysu

IoT, což je zkratka pro “Internet of Things”, lze doslova přeložit jako “Internet věcí”. Jedná se o systémy a služby, které propojují běžně používané předměty s internetem a umožňují jejich dálkové ovládání, automatickou identifikaci a kontrolu, čímž usnadňují a zpříjemňují náš každodenní život.

V oblasti hardware, tedy u domácích spotřebičů, existují přísné regulace, protože tyto předměty mohou mít přímý vliv na tělo uživatele.

Co se týče softwaru, jsou zde regulace spojené s komunikačními sítěmi, jako je zákon o rádiových vlnách nebo zákon o telekomunikačních službách, které vyžadují registraci a oznámení pro provozování podnikání.

Podrobnější informace o právních regulacích týkajících se hardware a software v IoT najdete v tomto článku, proto vás zveme k jeho prostudování.

Související článek: Vysvětlení právních regulací hardwaru a softwaru, na které byste měli dát pozor v IoT byznysu[ja]

V IoT byznysu dochází k propojení tradičních zařízení s internetem a k využívání shromážděných informací. Proto je důležité nejen dodržování právních regulací hardwaru a softwaru, ale také způsob, jakým se zpracovávají nahromaděné informace, což představuje další významný problém.

Právní problémy spojené s využíváním dat získaných prostřednictvím IoT

Zařízení IoT mohou představovat riziko neúmyslného shromažďování a využívání dat o životě uživatelů.

I když uživatelé souhlasí s využíváním svých osobních údajů při registraci, kvůli povaze IoT dochází při každém použití k shromažďování informací o chování, což vede k následujícím problémům:

• Ochrana osobních údajů
• Ochrana soukromí
• Čelit kybernetickým útokům

Zde vysvětlíme právní problémy spojené s používáním zařízení IoT.

IoT a ochrana osobních údajů

Ne všechna data shromážděná IoT zařízeními jsou sama o sobě chráněna jako osobní údaje. Stávají se předmětem ochrany podle zákona o ochraně osobních údajů, pokud jsou data o uživatelské registraci a životních informacích propojena tak, že umožňují identifikaci jednotlivce.

Proto poskytovatelé služeb chytré domácnosti, kteří propojují data o životním stylu s informacemi o uživatelích, nesou povinnosti jakožto podnikatelé podle článku 2 odstavce 5 Japonského zákona o ochraně osobních údajů[ja], které zahrnují následující:

＜Povinnosti podle článků 19 až 26 Japonského zákona o ochraně osobních údajů＞

• Zajištění přesnosti dat a povinnost jejich vymazání
• Povinnost zabezpečení bezpečnostních opatření
• Povinnost dohledu nad zaměstnanci
• Povinnost dohledu nad subdodavateli
• Omezení poskytování dat třetím stranám a povinnost uchovávání záznamů

Při zpracování osobních údajů je nutné co nejvíce specifikovat účel jejich použití a tento účel oznámit nebo zveřejnit dotčené osobě. Jakmile již není potřeba osobní údaje používat, měly by být rychle zpracovány. Je také nezbytné věnovat maximální pozornost prevenci úniku informací a zajistit, aby byla tato opatření důsledně dodržována zaměstnanci a subdodavateli.

Základním pravidlem je, že poskytování získaných osobních údajů třetím stranám je omezeno. Nicméně, pro zlepšení služeb je někdy nutné poskytnout údaje třetím stranám. V takovém případě je nutné provést anonymizaci údajů do takové míry, aby nebylo možné obnovit původní osobní informace.

Dále, v dubnu 2022 (Reiwa 4) byl zaveden revidovaný Japonský zákon o ochraně osobních údajů, který nově stanovuje ochranu práv subjektů údajů, zvýšení odpovědnosti podnikatelů a pravidla pro poskytování údajů třetím stranám ze strany zahraničních podnikatelů.

Tato revize klade důraz na následujících pět hledisek, které jsou pro Osobní informační ochrannou komisi důležité:

1. Ochrana práv a zájmů jednotlivců
2. Rovnováha mezi ochranou a využíváním
3. Soulad s mezinárodními trendy
4. Reakce na změny rizik ze strany zahraničních podnikatelů
5. Adaptace na éru AI a velkých dat

Reference: Kontrolní seznam pro revidovaný Japonský zákon o ochraně osobních údajů[ja]

IoT a právo na soukromí

I když shromažďovaná data o životním stylu nemusí odpovídat osobním údajům, je třeba je pečlivě zpracovávat, protože mohou vést k pochopení chování jednotlivce. Například informace o časech používání elektřiny nebo plynu mohou být zneužity pro trestnou činnost, jako jsou vloupání, pokud dojde k jejich úniku.

Na druhé straně, pro zvýšení kvality služeb chytré domácnosti je nezbytné pochopit a využít informace o chování uživatele. Aby bylo možné využít osobní data pro zlepšení služeb a zároveň chránit soukromí, je vyžadováno, aby se i v případě, že data neodpovídají osobním údajům, zacházelo s nimi v souladu s Japonským zákonem o ochraně osobních údajů.

IoT a kybernetická bezpečnost

Podnikání v oblasti IoT (Internet věcí) stojí na shromažďování, správě a využívání informací, které mohou zasahovat do osobních údajů a práv na ochranu soukromí. Tyto informace jsou akumulovány a spravovány prostřednictvím internetu, což znamená, že opatření pro kybernetickou bezpečnost zařízení připojených k síti jsou nezbytná.

V následujícím textu vysvětlíme, jaká preventivní opatření pro kybernetickou bezpečnost byste měli přijmout a jakou odpovědnost nesete v případě, že se stanete terčem kybernetického útoku.

Odpovědnost výrobců zařízení: Zákon o odpovědnosti za výrobky

Pokud bylo zařízení IoT napadeno kybernetickým útokem, výrobce zařízení může čelit nároku na odškodnění podle Zákona o odpovědnosti za výrobky (Japanese Product Liability Law).

Kritéria pro vznik odpovědnosti podle Zákona o odpovědnosti za výrobky jsou následující:

1. Existence vady na výrobku
2. Způsobení újmy na životě, těle nebo majetku jiné osoby
3. Vznik škody

Pod bodem 1 se rozumí “vada”, kdy výrobek postrádá “běžně očekávanou bezpečnost”, a může být rozdělena na vady výrobní, konstrukční a vady v instrukcích nebo varováních.

Zda výrobce zařízení ponese odpovědnost za kybernetický útok, bude posuzováno na základě následujících okolností:

• Zda výrobek v době předání splňoval očekávanou úroveň technologie
• Zda byl v souladu s veřejně dostupnými nejnovějšími směrnicemi nebo vlastními standardy

Výrobce zařízení může uniknout odpovědnosti, pokud dokáže, že si nebyl vědom existence vady. Nicméně, musí prokázat, že ani nejvyšší úroveň technologie v době předání vady neodhalila, což znamená, že pravděpodobnost uznání takového důkazu je nízká.

Odpovědnost správce sítě: Občanský zákoník

Při kybernetickém útoku na síť a následném úniku informací může dojít k požadavku na odškodnění na základě občanského zákoníku, nikoli na základě zákona o odpovědnosti za výrobky, a to z následujících důvodů:

1. Porušení smlouvy mezi správcem sítě a uživatelem
2. Porušení povinnosti správce sítě zabezpečit adekvátní bezpečnostní opatření, což vede k nesplnění závazků
3. Odpovědnost za protiprávní jednání správce sítě způsobené nedbalostí (článek 709 Občanského zákoníku)

V každém z těchto případů bude klíčovou otázkou, zda správce sítě zanedbal “adekvátní bezpečnostní opatření” z nedbalosti.

Navíc existují soudní případy, které ukazují, že “adekvátní bezpečnostní opatření” zahrnují nejen opatření odpovídající standardům dohodnutým v době uzavření smlouvy, ale také opatření v souladu s pokyny zveřejněnými v době kybernetického útoku (Tokyo District Court, 23. ledna 2014 (Heisei 26)).

Proto je nezbytné, aby správci sítě byli neustále informováni o aktualizacích důležitých pokynů a podle potřeby aktualizovali software.

＜Aktuální pokyny pro informační bezpečnost＞

• Pokyny pro IoT bezpečnost verze 1.0[ja] | Ministerstvo hospodářství, obchodu a průmyslu
• Obecný rámec pro zabezpečení bezpečných IoT systémů[ja] | NISC
• Průvodce návrhem bezpečnosti pro vývoj IoT | IPA

Související článek: Poškození způsobené kybernetickým útokem. Jaká je odpovědnost systémového dodavatele za odškodnění? Vysvětlení s příklady z kontraktů[ja]

Shrnutí: IoT podnikání vyžaduje specializované právní porozumění

IoT podnikání se vyvíjí shromažďováním a využíváním informací o osobních údajích a soukromí uživatelů prostřednictvím internetu.

Z tohoto důvodu musí podnikatelé nést odpovědnost nejen jako výrobci spotřební elektroniky, ale také jako správci osobních údajů, a musí věnovat pozornost aktualizacím zákonů o ochraně osobních údajů a bezpečnostních směrnic.

V případě nehody výrobku může dojít nejen k ohrožení zdraví uživatele, ale také k šíření škod na neurčitý počet osob v důsledku úniku informací.

Při zahájení IoT podnikání je důležité konzultovat s právníkem, který má široké znalosti od zákonů o odpovědnosti za výrobky až po zákony o ochraně osobních údajů a nejnovější bezpečnostní směrnice.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se obchodní činnost v oblasti IoT (Internet věcí) těší rostoucí pozornosti a potřeba právního posouzení neustále narůstá. Naše kancelář poskytuje řešení související s IoT podnikáním.

Oblasti působnosti advokátní kanceláře Monolith: Právní služby pro IT a startupové společnosti[ja]