MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Využití dat shromážděných prostřednictvím IoT služeb a právní problémy

General Corporate

Využití dat shromážděných prostřednictvím IoT služeb a právní problémy

V posledních letech se IoT zařízení, jako jsou chytré domácí spotřebiče, stále více dostávají do našich domovů. Ačkoliv jsou velmi pohodlná, kvůli připojení k internetu jsou také vystavena riziku úniku informací. Při zahájení IoT podnikání je důležité se nezaměřovat pouze na bezpečnost spotřebičů jako takových, ale také na správu bezpečnosti v síti, která je odolná proti kybernetickým útokům.

Když se podíváme na situaci v Japonsku, zjistíme, že problém s únikem osobních údajů se stává stále vážnějším. Tokyo Shoko Research oznámila, že v roce 2021 došlo k rekordnímu počtu incidentů s únikem nebo ztrátou osobních údajů u veřejně obchodovaných společností, a to 137 případů, které se týkaly údajů 5,74 milionu lidí.

V tomto článku vysvětlíme právní předpisy, které byste měli znát pro bezpečné využívání dat shromážděných prostřednictvím IoT služeb.

Právní regulace v oblasti IoT byznysu

IoT, což je zkratka pro “Internet of Things”, lze doslova přeložit jako “Internet věcí”. Jedná se o systémy a služby, které propojují běžně používané předměty s internetem a umožňují jejich dálkové ovládání, automatickou identifikaci a kontrolu, čímž usnadňují a zpříjemňují náš každodenní život.

V oblasti hardware, tedy u domácích spotřebičů, existují přísné regulace, protože tyto předměty mohou mít přímý vliv na tělo uživatele.

Co se týče softwaru, jsou zde regulace spojené s komunikačními sítěmi, jako je zákon o rádiových vlnách nebo zákon o telekomunikačních službách, které vyžadují registraci a oznámení pro provozování podnikání.

Podrobnější informace o právních regulacích týkajících se hardware a software v IoT najdete v tomto článku, proto vás zveme k jeho prostudování.

Související článek: Vysvětlení právních regulací hardwaru a softwaru, na které byste měli dát pozor v IoT byznysu[ja]

V IoT byznysu dochází k propojení tradičních zařízení s internetem a k využívání shromážděných informací. Proto je důležité nejen dodržování právních regulací hardwaru a softwaru, ale také způsob, jakým se zpracovávají nahromaděné informace, což představuje další významný problém.

Právní problémy spojené s využíváním dat získaných prostřednictvím IoT

Problémy spojené s využíváním dat

Zařízení IoT mohou představovat riziko neúmyslného shromažďování a využívání dat o životě uživatelů.

I když uživatelé souhlasí s využíváním svých osobních údajů při registraci, kvůli povaze IoT dochází při každém použití k shromažďování informací o chování, což vede k následujícím problémům:

  • Ochrana osobních údajů
  • Ochrana soukromí
  • Čelit kybernetickým útokům

Zde vysvětlíme právní problémy spojené s používáním zařízení IoT.

IoT a ochrana osobních údajů

Ne všechna data shromážděná IoT zařízeními jsou sama o sobě chráněna jako osobní údaje. Stávají se předmětem ochrany podle zákona o ochraně osobních údajů, pokud jsou data o uživatelské registraci a životních informacích propojena tak, že umožňují identifikaci jednotlivce.

Proto poskytovatelé služeb chytré domácnosti, kteří propojují data o životním stylu s informacemi o uživatelích, nesou povinnosti jakožto podnikatelé podle článku 2 odstavce 5 Japonského zákona o ochraně osobních údajů[ja], které zahrnují následující:

<Povinnosti podle článků 19 až 26 Japonského zákona o ochraně osobních údajů>

  • Zajištění přesnosti dat a povinnost jejich vymazání
  • Povinnost zabezpečení bezpečnostních opatření
  • Povinnost dohledu nad zaměstnanci
  • Povinnost dohledu nad subdodavateli
  • Omezení poskytování dat třetím stranám a povinnost uchovávání záznamů

Při zpracování osobních údajů je nutné co nejvíce specifikovat účel jejich použití a tento účel oznámit nebo zveřejnit dotčené osobě. Jakmile již není potřeba osobní údaje používat, měly by být rychle zpracovány. Je také nezbytné věnovat maximální pozornost prevenci úniku informací a zajistit, aby byla tato opatření důsledně dodržována zaměstnanci a subdodavateli.

Základním pravidlem je, že poskytování získaných osobních údajů třetím stranám je omezeno. Nicméně, pro zlepšení služeb je někdy nutné poskytnout údaje třetím stranám. V takovém případě je nutné provést anonymizaci údajů do takové míry, aby nebylo možné obnovit původní osobní informace.

Dále, v dubnu 2022 (Reiwa 4) byl zaveden revidovaný Japonský zákon o ochraně osobních údajů, který nově stanovuje ochranu práv subjektů údajů, zvýšení odpovědnosti podnikatelů a pravidla pro poskytování údajů třetím stranám ze strany zahraničních podnikatelů.

Tato revize klade důraz na následujících pět hledisek, které jsou pro Osobní informační ochrannou komisi důležité:

  1. Ochrana práv a zájmů jednotlivců
  2. Rovnováha mezi ochranou a využíváním
  3. Soulad s mezinárodními trendy
  4. Reakce na změny rizik ze strany zahraničních podnikatelů
  5. Adaptace na éru AI a velkých dat

Reference: Kontrolní seznam pro revidovaný Japonský zákon o ochraně osobních údajů[ja]

IoT a právo na soukromí

IoT a právo na soukromí

I když shromažďovaná data o životním stylu nemusí odpovídat osobním údajům, je třeba je pečlivě zpracovávat, protože mohou vést k pochopení chování jednotlivce. Například informace o časech používání elektřiny nebo plynu mohou být zneužity pro trestnou činnost, jako jsou vloupání, pokud dojde k jejich úniku.

Na druhé straně, pro zvýšení kvality služeb chytré domácnosti je nezbytné pochopit a využít informace o chování uživatele. Aby bylo možné využít osobní data pro zlepšení služeb a zároveň chránit soukromí, je vyžadováno, aby se i v případě, že data neodpovídají osobním údajům, zacházelo s nimi v souladu s Japonským zákonem o ochraně osobních údajů.

IoT a kybernetická bezpečnost

Podnikání v oblasti IoT (Internet věcí) stojí na shromažďování, správě a využívání informací, které mohou zasahovat do osobních údajů a práv na ochranu soukromí. Tyto informace jsou akumulovány a spravovány prostřednictvím internetu, což znamená, že opatření pro kybernetickou bezpečnost zařízení připojených k síti jsou nezbytná.

V následujícím textu vysvětlíme, jaká preventivní opatření pro kybernetickou bezpečnost byste měli přijmout a jakou odpovědnost nesete v případě, že se stanete terčem kybernetického útoku.

Odpovědnost výrobců zařízení: Zákon o odpovědnosti za výrobky

Pokud bylo zařízení IoT napadeno kybernetickým útokem, výrobce zařízení může čelit nároku na odškodnění podle Zákona o odpovědnosti za výrobky (Japanese Product Liability Law).

Kritéria pro vznik odpovědnosti podle Zákona o odpovědnosti za výrobky jsou následující:

  1. Existence vady na výrobku
  2. Způsobení újmy na životě, těle nebo majetku jiné osoby
  3. Vznik škody

Pod bodem 1 se rozumí “vada”, kdy výrobek postrádá “běžně očekávanou bezpečnost”, a může být rozdělena na vady výrobní, konstrukční a vady v instrukcích nebo varováních.

Zda výrobce zařízení ponese odpovědnost za kybernetický útok, bude posuzováno na základě následujících okolností:

  • Zda výrobek v době předání splňoval očekávanou úroveň technologie
  • Zda byl v souladu s veřejně dostupnými nejnovějšími směrnicemi nebo vlastními standardy

Výrobce zařízení může uniknout odpovědnosti, pokud dokáže, že si nebyl vědom existence vady. Nicméně, musí prokázat, že ani nejvyšší úroveň technologie v době předání vady neodhalila, což znamená, že pravděpodobnost uznání takového důkazu je nízká.

Odpovědnost správce sítě: Občanský zákoník

Odpovědnost správce sítě: Občanský zákoník

Při kybernetickém útoku na síť a následném úniku informací může dojít k požadavku na odškodnění na základě občanského zákoníku, nikoli na základě zákona o odpovědnosti za výrobky, a to z následujících důvodů:

  1. Porušení smlouvy mezi správcem sítě a uživatelem
  2. Porušení povinnosti správce sítě zabezpečit adekvátní bezpečnostní opatření, což vede k nesplnění závazků
  3. Odpovědnost za protiprávní jednání správce sítě způsobené nedbalostí (článek 709 Občanského zákoníku)

V každém z těchto případů bude klíčovou otázkou, zda správce sítě zanedbal “adekvátní bezpečnostní opatření” z nedbalosti.

Navíc existují soudní případy, které ukazují, že “adekvátní bezpečnostní opatření” zahrnují nejen opatření odpovídající standardům dohodnutým v době uzavření smlouvy, ale také opatření v souladu s pokyny zveřejněnými v době kybernetického útoku (Tokyo District Court, 23. ledna 2014 (Heisei 26)).

Proto je nezbytné, aby správci sítě byli neustále informováni o aktualizacích důležitých pokynů a podle potřeby aktualizovali software.

<Aktuální pokyny pro informační bezpečnost>

Související článek: Poškození způsobené kybernetickým útokem. Jaká je odpovědnost systémového dodavatele za odškodnění? Vysvětlení s příklady z kontraktů[ja]

Shrnutí: IoT podnikání vyžaduje specializované právní porozumění

IoT podnikání se vyvíjí shromažďováním a využíváním informací o osobních údajích a soukromí uživatelů prostřednictvím internetu.

Z tohoto důvodu musí podnikatelé nést odpovědnost nejen jako výrobci spotřební elektroniky, ale také jako správci osobních údajů, a musí věnovat pozornost aktualizacím zákonů o ochraně osobních údajů a bezpečnostních směrnic.

V případě nehody výrobku může dojít nejen k ohrožení zdraví uživatele, ale také k šíření škod na neurčitý počet osob v důsledku úniku informací.

Při zahájení IoT podnikání je důležité konzultovat s právníkem, který má široké znalosti od zákonů o odpovědnosti za výrobky až po zákony o ochraně osobních údajů a nejnovější bezpečnostní směrnice.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se obchodní činnost v oblasti IoT (Internet věcí) těší rostoucí pozornosti a potřeba právního posouzení neustále narůstá. Naše kancelář poskytuje řešení související s IoT podnikáním.

Oblasti působnosti advokátní kanceláře Monolith: Právní služby pro IT a startupové společnosti[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek