IoT-teenustega kogutud andmete kasutamine ja õiguslikud probleemid

Viimastel aastatel on IoT-seadmed, nagu näiteks nutikad kodumasinad, üha enam levinud ka kodudes. Kuigi need on väga mugavad, tuleb arvestada, et internetiühenduse tõttu on nad ka infolekkimise ohtudele avatud. IoT-äri alustamisel on oluline mitte ainult tagada seadmete ohutus kodumasinate tasandil, vaid ka hallata nende turvalisust võrgus, et seista vastu küberrünnakutele.

Kui vaadata Jaapani siseriiklikku olukorda, siis on isikuandmete lekkimise probleemid muutunud tõsiseks. Tokyo Shoko Research on teatanud, et 2021. aastal (Reiwa 3) toimus börsil noteeritud ettevõtetes rekordarv isikuandmete lekkeid ja kadumisi – kokku 137 juhtumit, mõjutades 5,74 miljonit inimest.

Käesolevas artiklis selgitame, milliseid seadusandlikke regulatsioone tuleks teada, et tagada IoT-teenuste kaudu kogutud andmete turvaline kasutamine.

IoT-äri seonduvad õigusnormid

IoT tähistab “Internet of Things” ehk eesti keeles “asjade internet”. See viitab süsteemidele ja teenustele, mis ühendavad meie igapäevaselt kasutatavad esemed internetiga, võimaldades nende kaugjuhtimist, automaatset tuvastamist ja kontrolli, muutes seeläbi meie elu mugavamaks.

Koduelektroonika riistvara puhul kehtivad ranged regulatsioonid, kuna need võivad otseselt mõjutada kasutaja füüsilist heaolu.

Samuti nõuavad tarkvara aspektis sidevõrkude reguleerimisega seotud Japanese Radio Law ja Japanese Telecommunications Business Law ettevõtlusega tegelemiseks registreerimist ja teavitamist.

IoT riistvara ja tarkvara õigusnormide kohta leiate üksikasjalikumat teavet järgnevast artiklist, mida soovitame lugeda.

Seotud artikkel: IoT-äri seonduvad õigusnormid[ja]

IoT-äris ühendatakse traditsioonilised seadmed internetiga ja kasutatakse kogutud teavet. Seetõttu on lisaks riistvara ja tarkvara õigusnormidele oluline ka kogutud teabe töötlemise küsimus.

IoT-seadmetega kogutud andmete kasutamisega seotud õiguslikud probleemid

IoT-seadmed võivad koguda ja kasutada kasutajate eluandmeid viisil, mis ei pruugi olla ette nähtud ning see kujutab endast riske.

Isegi kui kasutajad on registreerimisel nõustunud oma isikuandmete kasutamisega, koguvad IoT-seadmed nende olemuse tõttu iga kasutuskorra ajal käitumisandmeid, mis toob kaasa järgmised probleemid:

• Isikuandmete kaitse
• Privaatsuse kaitse
• Küberattackidele reageerimine

Siin selgitame selliste IoT-seadmetega kaasnevaid õiguslikke probleeme.

IoT ja isikuandmed

IoT-seadmete poolt kogutud andmete hulk ei pruugi alati olla kaitstud isikuandmetena. Kui kasutajaregistreerimise ja elustiiliandmed on seotud nii, et on võimalik isikut tuvastada, muutuvad need andmed Jaapani isikuandmete kaitse seaduse[ja] kohaselt kaitstavaks.

Seetõttu peavad ettevõtted, mis pakuvad elustiiliandmeid ja kasutajateavet sidudes nutikodu teenuseid, Jaapani isikuandmete kaitse seaduse paragrahvi 2 lõike 5 alusel järgima järgmisi kohustusi:

＜Jaapani isikuandmete kaitse seaduse paragrahvid 19–26 kohased kohustused＞

• Andmete täpsuse tagamine ja kustutamiskohustus
• Turvalisuse tagamise meetmete kohustus
• Töötajate järelevalve kohustus
• Alltöövõtjate järelevalve kohustus
• Kolmandatele osapooltele edastamise piirangud ja arvestuse pidamise kohustus

Isikuandmete käsitlemisel tuleb võimalikult täpselt määratleda kasutuseesmärk ning teavitada sellest või avaldada see andmesubjektile. Kui andmete kasutamise vajadus kaob, tuleb isikuandmed kiiresti töödelda. Samuti tuleb lekete vältimiseks rakendada äärmiselt hoolikaid meetmeid ning tagada nende range järgimine nii töötajate kui ka alltöövõtjate poolt.

Üldjuhul on omandatud isikuandmete kolmandatele osapooltele edastamine piiratud. Siiski võib teenuse parendamise eesmärgil mõnikord olla vajalik kolmandatele osapooltele andmete edastamine. Sellisel juhul tuleb tagada, et algset isikuandmeid ei oleks võimalik taastada, rakendades piisavat anonüümset töötlemist.

Lisaks sätestati 2022. aasta aprillis (2022) jõustunud Jaapani isikuandmete kaitse seaduse muudatustega uued nõuded, sealhulgas isikute õiguste tugevdamine, ettevõtjate vastutuse suurendamine ning kolmandatele osapooltele edastamise reeglid välisettevõtjatele.

Selle muudatusega rõhutas Jaapani isikuandmete kaitse komisjon järgmisi viit vaatenurka:

1. Isikute õiguste ja huvide kaitse
2. Kaitse ja kasutamise tasakaal
3. Kooskõla rahvusvaheliste suundumustega
4. Välisettevõtjate riskimuutustega kohanemine
5. Kohanemine AI ja suurandmete ajastuga

Viide: Jaapani isikuandmete kaitse seaduse muudatuste kontrollpunktid[ja]

IoT ja privaatsusõigused

Isegi kui kogutavad eluandmed ei kvalifitseeru isikuandmetena, tuleb elutegevuse infot käsitleda ettevaatlikult, kuna see võib viia isiku käitumise mõistmiseni. Näiteks võib elektri või gaasi kasutamise aja kohta käiv teave, kui see lekib, olla kurjasti kasutatav näiteks varguste planeerimisel.

Teisalt, et tõsta nutikodu teenuste kvaliteeti, on vaja mõista ja kasutada isiku käitumisinfot. Privaatsuse kaitsmise ja isikuandmete teenuste parandamiseks kasutamise ühitamiseks, isegi kui andmed ei kvalifitseeru isikuandmetena, võib olla vajalik rakendada meetmeid, mis on kooskõlas isikuandmete kaitse seadusega (Japanese Personal Information Protection Law).

IoT ja küberjulgeolek

IoT-äri põhineb isikuandmete ja privaatsusõigusi puudutava teabe kogumisel, haldamisel ja kasutamisel, mis on selle edenemise aluseks. Kuna andmed kogutakse ja hallatakse interneti kaudu, on ülioluline tagada võrku ühendatud seadmete küberjulgeolek.

Allpool selgitame, milliseid küberjulgeoleku meetmeid tuleks ette võtta ja millist vastutust võib kaasneda küberattackide korral.

Seadmevalmistajate vastutus: tootevastutuse seadus

Kui küberrünnaku objektiks on IoT-seade, võib seadmevalmistaja olla vastutav tootevastutuse seaduse alusel kahjude hüvitamise nõuete ees.

Tootevastutuse seaduse alusel vastutuse tekkimise kriteeriumid on järgmised:

1. Tootel oli puudus.
2. Selle tulemusena rikuti kellegi elu, keha või vara.
3. Tekkis kahju.

Punktis 1 mainitud “puudus” tähendab olukorda, kus toode ei vasta “tavaliselt eeldatavale ohutusele” ja see jaguneb tootmisdefektideks, disainivigadeks ning juhiste ja hoiatuste puudulikkuseks.

Tegelik vastutus küberrünnaku korral sõltub järgmistest asjaoludest:

• Kas toode vastas üleandmise hetkel oodatud tehnilisele tasemele?
• Kas see vastas avaldatud uusimatele juhenditele või omastandarditele?

Seadmevalmistaja võib vastutusest pääseda, tõendades, et puudust ei olnud võimalik tuvastada. Siiski peab ta tõestama, et isegi tolleaegse kõrgeima tehnilise taseme juures ei olnud puudust võimalik tuvastada, mistõttu on tegelik vastutusest vabastamine ebatõenäoline.

Võrguhalduri vastutus: tsiviilõigus

Kui võrgu vastu suunatud küberrünnaku tagajärjel toimub andmeleke, võib võrguhaldurit vastutusele võtta tsiviilõiguse, mitte tootevastutuse seaduse alusel järgmistel põhjustel:

1. Võrguhalduri ja kasutaja vahelise lepingu rikkumine
2. Võrguhalduri turvameetmete kohustuse rikkumisest tulenev kohustuste täitmata jätmine
3. Võrguhalduri hooletusest tingitud õigusvastane tegu (tsiviilseadustiku artikkel 709)

Igal juhul on vaidluse keskmes küsimus, kas võrguhaldur on jätnud hooletusest tulenevalt rakendamata vajalikud turvameetmed.

Ja “vajalikud turvameetmed” tähendavad mitte ainult lepingu sõlmimise ajal kehtinud standardeid, vaid ka küberrünnaku toimumise ajal avaldatud juhenditele vastavaid meetmeid, nagu on näidanud kohtupraktika (Tokyo ringkonnakohtu otsus 26.1.23 (2014)).

Seetõttu peab võrguhaldur olema teadlik oluliste juhendite uuendustest ka pärast tarnimist ja vajadusel tarkvara uuendama.

Praegused infoturbe juhendid:

• IoT turbejuhend ver1.0[ja] | Majandus-, Kaubandus- ja Tööstusministeerium
• Turvaliste IoT-süsteemide üldine turberaamistik[ja] | NISC
• IoT arenduse turvakujunduse juhend | IPA

Seotud artikkel: Kahju küberrünnaku tagajärjel. Mis on süsteemi müüja kahjutasu vastutus? Lepingus näidete selgitus[ja]

Kokkuvõte: IoT-äris on vajalik spetsiifiline õigusalane mõistmine

IoT-äri omab iseloomulikku joont, kus edasiminek saavutatakse kasutajate isikuandmete ja privaatsusega seotud teabe interneti kaudu kogumise ning kasutamise kaudu.

Seetõttu peavad ettevõtjad kandma vastutust mitte ainult kodumasinate tootjavastutuse osas, vaid peavad olema tähelepanelikud ka isikuandmete kaitse seaduse ja infoturbe juhendite uuenduste suhtes, kui nad tegelevad isikuandmete töötlemisega.

Tooteõnnetuse korral võib see mõjutada mitte ainult kasutaja füüsilist heaolu, vaid andmelekked võivad põhjustada kahju ka laiemale avalikkusele.

IoT-äri alustamisel on oluline konsulteerida laia erialaste teadmistega advokaadiga, alates tootjavastutuse seadusest kuni isikuandmete kaitse seaduse ja kõige uuemate infoturbe juhenditeni.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT ja eriti interneti ning õiguse valdkonnas rikkaliku kogemusega õigusbüroo. Viimasel ajal on IoT-äri saanud palju tähelepanu ja õiguslike kontrollide vajadus on üha kasvamas. Meie büroo pakub lahendusi, mis on seotud IoT-äri vajadustega.

Monolith õigusbüroo tegevusvaldkonnad: IT ja start-up ettevõtete äriõigus[ja]