我最近遇到了旨在保护数据隐私的欧盟通用数据保护条例(GDPR)。 GDPR的最终版本已于2015年12月发布。

是否有已知完全符合GDPR要求的监视摄像机或设备?
是否有源自EUGDPR指南的遵从性/认证程序?

我无法理解欧盟可能如何计划确保/强制执行针对所售设备的GDPR?

评论

设备不兼容。数据控制器-即人类-是。

#1 楼

如果您更详细地了解GDPR,那么,除GDPR之外,GDPR还涉及流程而不是IT系统。当然,其中存在一些技术问题(主要是加密和假名化),但大部分情况下,它决定了您可以对数据做些什么。请记住以下所有内容,我不是律师,而是一个有一定经验的人,可以为GDPR准备好自己的东西。

TL; DR:设备本身不能兼容或不兼容。相机可能会很棘手。关于您的认证问题,答案似乎还没有。

关于GDPR的一些一般问题
首先,它定义了一种用于客户数据的特定选择机制。这意味着作为数据处理法人实体,您需要保留给予同意的客户记录,并且该同意必须指定您将使用哪些数据以及将其用于什么目的。请参阅Wiki第2.4和2.5节。
其次,它赋予用户明确的权利,以获取公司已存储的有关他或她的所有数据。这意味着必须提供每个系统中可以绑定到特定用户的每个数据。您可以想象,在大型公司中,各种系统保存的数据都以某种方式连接到用户,这很麻烦。我认为,如果您研究一下Netflix的系统,Netflix会为您带来一些乐趣:

源(幻灯片12)
接下来的文章继续为您提供纠正错误数据并完全删除数据的权利。 —当然,只有在没有其他法律要求您保留数据(例如税法或账单审计法)的情况下。
当然,前50条中的其他40条定义您的数据有很多陷阱我什至没有提到的责任和消费者权益。就像无法将数据放置在不符合欧盟标准的地方一样(如果您阅读该书似乎无处不在,肯定不是美国)。
相机注意事项
可能会影响设备的另一件有趣的事情是第32条,即“处理的安全性”,这有点模糊,但是如果您的相机在医疗大楼前,则可能会争辩说您需要使用加密功能进行端到端加密

考虑到现有技术,实施成本以及处理的性质,范围,背景和目的,以及各种可能性和风险的风险。对于自然人的权利和自由的严重性,控制者和处理者应采取适当的技术和组织措施,以确保适合风险的安全水平,其中包括以下适当措施:
(a)假名和加密个人数据;
(b)确保处理系统和服务的持续保密性,完整性,可用性和弹性的能力;
(c)恢复个人计算机中可用性和访问个人数据的能力及时曼er,如果发生物理或技术事故;
(d)定期测试,评估和评估技术和组织措施的有效性以确保加工安全的过程。

由于根据欧盟法律,(很可能)将人的照片视为个人数据,因此您可能需要假名化或加密照片或视频。
关于认证
我无法找到任何基于法规本身。当然,有一堆人向您出售听起来像GDPR的“证明”,但到目前为止,似乎还没有人(我能找到)满足该法规的要求。

评论


考虑到………………(原文如此)律师们将度过一个愉快的日子。至少我公司中的那些正在为开发人员等进行GDPR内部咨询的人对未来几个月充满兴趣,并且全力以赴。也就是说,对于摄像头而言,将摄像头与其充当VPN端点的路由器一起放到一个锁盒中,或者使用带有集成VPN的WIFI /手机摄像头,都应该非常容易且足够。

– AnoE
18年4月30日在11:56



#2 楼

不可能使任何设备都符合GDPR,因为系统的其余部分负责遵守GDPR。

相机可以或不能以GDPR兼容的方式进行销售,但无论哪种方式都没什么区别。摄像机可以连接到可在几秒钟内删除数据的系统(可能用于人数统计),因此很容易兼容GDPR。完全相同的相机可用于进行面部识别并与其他系统共享数据的系统,而该系统可能永远不会符合GDPR。

戴尔等PC制造商会说笔记本电脑符合GDPR要求吗?如果您使用那台笔记本电脑登录Facebook,那么GDPR就是Facebook的问题,而不是戴尔的问题。

您需要查看整个系统,GDPR不仅仅是设备问题。

您可能想让设备供应商证明他们没有在其他地方发送任何数据,因为他们可能会将数据发送到他们自己的服务以进行诊断或记录。这可能在GDPR中很重要,但对于总体上的安全性和隐私来说也很重要和必要。

不要做任何假设,请小心来自Internet的陌生人的建议。如果很关键,请寻求专业的法律建议。例如,尽管我积极提升设备安全性,但GDPR可能不需要端到端加密。 “适当的技术措施”可能不会扩展到在专用网络上提供昂贵的端到端加密(就处理器,电池等而言)。对于网站,是的,添加SSL,即使不需要SSL,费用也可以忽略不计。设备更复杂。正如您所建议的那样,可能不存在可认证的设备,因此仅为了满足不清楚的GDPR要求而构建自定义设备是否合适?