Internet stvari i GDPR

Internet stvari

Pojam “internet stvari” (IoT) se odnosi na infrastrukturu u kojoj milijarde senzora koji su ugrađeni u obične, svakodnevne uređaje pretvaraju iste u “pametne stvari” koje su dizajnirane da neprekidno snimaju, obrađuju i prenose podatke. Na osnovu podataka koje prikupljaju ovi uređaji, kompanije koje upravljaju IoT (u daljem tekstu: upravitelji IoT) nude aplikacije i usluge na osnovu analize podataka koji se odnose na navike ili aktivnosti korisnika, kao što je npr. praćenje fizičkog stanja subjekta podataka (fitness apps).

IoT se oslanja na princip obimne obrade podataka radi merenja okruženja korisnika ili njegovog ponašanja, a takva obrada se često odnosi na osobu koja se može identifikovati, što nas dovodi do primenljivosti GDPR-a.

Pravna osnova za obradu kod IoT

S obzirom na to da je obrada podataka ključna za IoT, zakonitost ove obrade je ključno pitanje za upravitelje IoT, koje moraju pronaći validan pravni osnov za obradu ovih podataka. Obrada može biti zakonita ukoliko je zasnovana na obligacionom odnosu između korisnika i upravitelja IoT.

Međutim, ovaj pravni osnov može biti validan jedino ako je aktivnost obrade u direktnoj vezi sa svrhom obrade. Međutim, kako se većina IoT uređaja oslanja na obradu podataka u velikom obimu, a sve obuhvaćene aktivnosti se ne bi mogle smatrati neophodnim za ispunjenje ugovorne obaveze, ovaj pravni osnov se može koristiti samo u ograničenom broju slučajeva.

Upravo iz tog razloga, obrada može biti zakonita i kada je zasnovana na preovlađujućim zakonitim interesima upravitelja IoT.

Doduše, ova pravna osnova je rizična, jer zahteva ocenu interesa od strane kontrolora za čiji rezultat može biti odgovoran.

S obzirom na sve jaču međusobnu interkonekciju podataka sa svakodnevnim stavkama IoT, interesi subjekta podataka mogu brzo nadjačati interes kontrolora prilikom obrade.

Ovo je zbog činjenice da će se ovakva obrada putem IoT, neminovno odnositi na pravo na privatnost subjekta podataka, i to u znatnoj meri, a posebno na zdravstveno stanje, lokaciju ili mnoge druge aspekte privatnog života.

Iz tog razloga, ekonomski interesi upravitelja IoT će teško opravdati ovakav način obrade.

Što se tiče pametnih uređaja, njihovi korisnici verovatno neće biti svesni koji je obim obrade podataka, a ovaj nedostatak informacija predstavlja ozbiljnu prepreku za upravitelje IoT da dokažu validnu saglasnost subjekta podataka za obradu, u okviru GDPR-a.

Kao što je upravo navedeno, alternativni osnovi za obradu podataka možda neće biti podesni, te je gotovo izvesno da će saglasnost subjekta podataka za obradu putem IoT, i dalje biti najsigurniji pravni osnov za obradu u smislu odredbi GDPR-a.

Ono što bi upravitelji IoT trebalo da učine, je da povećaju napore da svojim korisnicima pruže informacije o nameravanim procesima obrade, kao i da za to da dobiju validnu saglasnost.

U tom smislu, mogu razmisliti o razvijanju novih načina za dobijanje saglasnosti krajnjih korisnika, uključujući i primenu mehanizama za davanje saglasnosti putem samih pametnih uređaja.