"Мила кукло Барби" или можем ли да запазим личното си пространство в ерата на IoT?

Няколко месеца след влизането в изпълнение на Общия регламент за защита на личните данни (известен като GDPR и наричан по-долу в изложението за краткост Регламента) все още сред обществеността и бизнеса се поставят редица въпроси, но най-вече един основен – кому беше нужна тази свръхрегулация и безконечни документи?

Отговорите, както и въпросите, са много. Хубаво е обаче да си даваме сметка за една от основните цели на новата регулация, а именно: да помогне на всеки от нас да избира доколко и как искаме технологиите да са част от и да навлизат в личното ни пространство. А когато направим своя избор – да имаме сигурността, че са взети поне основни мерки за опазване на личната ни информацията, която споделяме с всички онези устройства, улесняващи ежедневието ни.

В ерата на Четвъртата индустриална революция е невъзможно да ограничим изцяло ползването на технологични устройства, подпомагащи нашето ежедневие. Най-голям дял от тях все по-убедително заемат устройствата, наречени „интернет на нещата“ (иначе казано, всички тези вещи за ежедневна употреба, свързани с интернет) – от умна бяла техника, през детски играчки до устройства, следящи активността ни, и такива, подпомагащи здравето ни (напр. байпас с чип, предаващ данни за сърдечната дейност в реално време).

Според изследвания в областта през 2017 г. има над 25 милиарда устройства, свързани с интернет, а през 2020 г. броят им се очаква да се удвои. Ползите във всички аспекти на личния и бизнес живота са безброй като някои от тях дори не можем да си представим в момента.

По-голямата част от тези устройства получават, обработват или дори създават лични данни за нас ежедневно. Като оставим настрана чисто човешкия аспект на промяната в ценностите, начина на „пълноценна“ комуникация (или липсата на такава) и други подобни, правните рискове в основата на интернет на нещата са свързани основно със сигурността и защитата на личните данни.

От повече от 10 години търсенето на баланса между тези правни рискове и всички ползи за обществото от устройствата интернет на нещата са във фокуса на законодателните органи на Европейския съюз. Още от началния етап на развитието на тези технологии регулаторните и законодателни органи следят за основните правни рискове в тази връзка. Мащабите и скоростта, с които интернет на нещата „превзеха“ живота ни, доведоха и до неизбежна нужда от регулация.

Основна стъпка в тази посока е Становище 8/2014 относно настоящото развитие на интернет на нещата. В него компетентният орган по защита на личните данни на ЕС към 2014 г., а именно Работна група по чл. 29 от Директива 95/46/ЕС, подробно разглежда различните аспекти на основната група правни рискове, идентифицирани при употребата на интернет на нещата, и по-конкретно – сигурността и неприкосновеността на личните данни и личния живот.
Най-лесно тези аспекти могат да се илюстрират, използвайки за пример интернет на нещата устройство, което може да присъства във всеки дом.

Да вземем за пример неизменно желания коледен подарък за всяко малко момиченце – куклата Барби.

През 2015 г. Matel в колаборация с Toy Talk, за радост на децата, пускат на пазара говореща кукла Барби. Тя се различава от останалите говорещи играчки с това, че детето ви с просто натискане на един бутон започва да говори с нея и да получава отговори в реално време. Говорещата кукла Барби води истински двустранен разговор, а не използва предварително записана реч.

Куклата, освен че говори, продължава да е толкова прекрасна, че децата не откриват видима разликата с останалите видове нетехнологични Барбита. Това е защото производителите й са успели да запазят същите визия и размери, макар и внедрявайки редица технологии.
За да се постигне този ефект, както и да се поддържа сравнително приемлива цена на продукта и лесната му употреба, производителите на куклата са създали сложна мрежа за събиране и предоставяне на информация (лични данни), изобразена в схемата по-долу. 

Подобна мрежа от отношения и устройства е типична за повечето устройства от типа интернет на нещата. В тази връзка възникват и част от основните правни рискове по отношение на сигурността на данните, чиито обмен се осъществява през няколко точки на достъп, между редица получатели и чрез wi-fi свързаност, а именно:

Липса на контрол и информация

Можете ли да си представите колко от родителите, закупили тази кукла Барби за коледен подарък, си дават сметка за горната мрежа от действия, компании и устройства, през които минава звуковият запис на разговора с детето им.

Най-често ние не обръщаме внимание на сложните отношения, които стоят зад функционалността на „нормалните“ и „ежедневни“ вещи от бита ни.
Целта на куклата Барби обаче е да стане онзи най-добър приятел на детето ви, с когото то да може да споделя всичко. При тестовете на продукта записаните разговори с едно от децата, участвали в теста, са меко казано притеснителни. Детето до такава степен се доверява на куклата (която определено го „подстрекава“ за това), че се стига до разкриване на сексуално насилие в семейството.

Отделно голяма част от интернет на нещата правят запис и продължително съхранение на данните с цел „подобряване качеството на услугите“.
Сега вече има ли значение през колко уязвими точки на достъп и до колко различни лица ще стигне подобен запис?

Ето защо Общият регламент за защита на личните данни изисква при обработване на лични данни, включително чрез интернет на нещата, предварително да бъде дадена пълна информация и възможност за контрол от страна на субектите на данни, като например:

• Кой ни наблюдава (т.е. кои са всички получатели на данните ни по веригата)
• Каква точно информация предоставяме, за да получим дадена услуга
• Има ли допълнително автоматично обработване на данните ни, водещо до последици, които трябва да знаем (напр. профилирането ни като потребители)
• За какви цели и на какво основание се съхраняват данните ни
• За какви срокове се съхранява информацията ни
• Какви права имаме в тази връзка и как можем да ги осъществим
• Къде се обработват данните ни – във или извън Европейския съюз

Липса на съгласие

Преди влизането в изпълнение на Регламента, при повечето устройства тип интернет на нещата се наблюдаваше, че информацията (напр. тази по-горе), предоставена с цел даване на валидно съгласие за обработване на данни, е крайно недостатъчна. Включително имаше устройства, за които въобще нямаше информация, че обработват лични данни.

За да се избегне рискът по-горе и да се осигури възможност на гражданите на ЕС да взимат единствено и само информирано решение за собствените си данни, Общият регламент въведе строги изисквания за това как следва да се получава съгласие за обработване на данни. То трябва да е най-малкото конкретно и информирано, свободно и предварително дадено, изрично за всеки отделен случай и да може да се оттегли точно толкова лесно, колкото е дадено.

Промяна в целите на обработването

При много от интернет на нещата се наблюдава един вторичен на горните проблем – устройствата използват и обработват допълнителна първична и вторична информация на субектите на данни, създадена на база алгоритми.

Това води до появата на вторични ползватели на информацията ни (обработващи), използващи я за правене на съвсем различни от първоначално обявените изводи – напр. за определяне на потребителско поведение, за което лицето не е информирано.

Според Регламента, информацията за това вторично обработване, както и за всички процеси, които се случват с нашите данни, следва да бъде изчерпателно поднесена по лесно разбираем и четим от всеки потребител начин. Още повече, всякакви такива допълнителни действия следва да са част от даденото от нас съгласие.

Отделно Регламентът най-накрая въведе правило, обработващите нашите лични данни да са първично отговорни и да могат да бъдат самостоятелно разследвани и глобявани, ако правят вторично обработване за техни собствени цели, различни от тези, за които ние, като субекти на данните, сме уведомени/съгласни. Това идва да защити личността сега, когато нашите данни са се превърнали в много ценна валута на пазара.

Ограничаване на възможността за анонимно ползване на услуги и за несвързаност при ползване на две и повече услуги

За да използва вашето дете кукла Барби за съкровени диалози, трябва да инсталирате мобилно приложение. В него обикновено трябва да попълните редица лични данни. Това приложение най-вероятно може да получава и информация за вашето местоположение, достъп до снимките в телефона ви и др. В комбинация със записаните разговори в семейството ви, представете си как една нормална делнична вечер в къщи, където смятаме, че сме анонимни, свободни и сами, е на практика споделена с всички по веригата, осъществяваща разговори с детето ви.

Вероятно целта на производителите е да няма как да ползвате куклата без приложението или без разговорите с нея да се записват. Защо ли? Защото вашите данни струват пари, е най-простият отговор.

Именно заради горното Регламентът създаде две основни задължения на разработчиците на технологии, включително на интернет на нещата – а именно да създават своите продукти така, че още на ниво проектиране и по подразбиране те да ви дават възможността да сте анонимни или поне максимално защитени, да обработват и съхраняват данните ви само доколкото и за колкото време е наистина необходимо.

И нищо от горното не следва да има негативни последици за вас или да ви лишава от основните функционалности на избрания от вас продукт. Например Вайбър е създаден за кратки съобщения, което е постижимо и без да приложението да има достъп до камерата или локацията ви. Ако вие искате допълнителна функционалност, която идва с допълнително навлизане в личното ви пространство – нека да е ваша волята за това – за всеки случай поотделно. 

Риск за сигурността на данните

Най–големите и важни рискове обаче са свързани с осигуряване сигурността на данните ни. Преди да се въведе строгата регулация, скрепена с тежки санкции от Регламента, пред производителите на интернет на нещата основна дилема често беше сигурност или ефективност.

Така например, за голяма част от устройствата със сензори (напр. часовник) беше изключително трудно и ако не невъзможно, то поне много скъпо, да се осигури криптирана връзка за комуникация с устройствата за съхранение поради редица причини, една от които - ниската мощност на батериите им.

Сигурността на свързаността при преноса на данни в момента обаче става първи приоритет заради особената важност на предотвратяването, докладването и бързата реакция при нарушения на сигурността, залегнали в Регламента. За интернет на нещата това е голямо предизвикателство, но и от особена важност, тъй като рисковете за нарушение на сигурността при тях са многократно мултиплицирани най-малкото поради простия факт, че връзката между устройството и сървъра, на който се обработват данните (ако въобще е един) е опосредена от поне една междинна точка на свързване – рутера за безжичен интернет. Всеки начинаещ хакер пък знае как най-лесната за манипулиране точка на свързване е именно публично достъпният или домашен рутер.

Освен всичко по-горе, нашата кукла Барби, както и редица други устройства в ежедневието ни идват от държави извън ЕС. Както не веднъж е оценявано от експерти и регулаторни органи, голяма част от тези държави имат законодателство, позволяващо недопустим, според правото на ЕС, достъп до данни на лица от страна на държавни органи.

И тук Регламентът идва с решение – правилата и големите глоби важат за всички, които обработват данни на лица от ЕС. Това допринесе за създаване на редица дейта центрове в Европа на големи доставчици на стоки и услуги, базирани в държави извън ЕС.

В заключение – да – регулацията в областта на личните данни е тежка. Също толкова агресивно и безкомпромисно обаче, чрез устройства от типа интернет на нещата, не един личен живот може да бъде дискредитиран. Кое е по-важно тогава – да се отнасяме с грижа към обществото, правейки бизнес, или да правим бизнес на всяка цена… Цена, която най-често ще плащат децата ни!