On the Technological (Im)Possibility to Enforce Data Protection Laws

GDPR har blitt karakterisert som "den strengeste personvern- og sikkerhetsloven i verden". Praksis viser imidlertid at det er utfordrende å håndheve GDPR. Kravet om livslang håndhevelse av personopplysninger er spesielt sterkt: GDPR bør "reise med dataene", og følgelig følge dataene mens de overføres og behandles. En teknologisk løsning som virker essensiell for å tilfredsstille denne etterspørselen er datasporbarhet. Dette prosjektet fokuserer på tre GDPR-krav --- rett til sletting, formålsbegrensning og rettigheter i forhold til automatisert beslutningstaking og profilering --- og spør om datasporbarhet kan muliggjøre livslang håndhevelse av disse kravene (R1-3) innenfor en felles databehandlingspipeline, under hvilke forutsetninger (inkludert trusselmodellkarakterisering) og kostnad (tid, rom, infrastruktur). For å oppnå dette oppretter vi en tverrfaglig gruppe av CS- og juseksperter for å designe og implementere TracE2E, en tilpassbar mellomvare for ende-til-ende-sporing av data innenfor IoT-applikasjoner. De juridiske medlemmene av gruppen vår vil utføre en juridisk vurdering av det resulterende systemet for å juridisk argumentere for at det håndhever R1-3 under spesifikke forutsetninger. For også å vurdere gjennomførbarheten av håndhevelsen i praksis, vil TracE2E bli portert inn i en eksisterende IoT-applikasjon for å bekjempe fiskerikriminalitet, og kostnadene (tid, plass, programvare og maskinvarebehov) vil bli estimert.

GDPR has been characterized as “the toughest privacy and security law in the world”. However, practice shows that enforcing GDPR is challenging. The demand for its lifelong enforcement on personal data is particularly strong: GDPR should “travel with the data”, and thus, follow the data as it is being transferred and processed. A technological solution that seems essential to satisfy this demand is data traceability. This project focuses on three GDPR requirements---right to erasure, purpose limitation, and rights in relation to automated decision making and profiling---and asks whether data traceability can enable the lifelong enforcement of these requirements (R1-3) within a common data-processing pipeline, under what assumptions (including threat model characterization) and cost (time, space, infrastructure). To achieve this, we create an interdisciplinary group of CS and Law experts to design and implement TracE2E, a customizable middleware for end-to-end traceability of data within IoT applications. The legal members of our group will perform a legal assessment of the resulting system to legally argue that it enforces R1-3 under specific assumptions. To also assess the feasibility of the enforcement in practice, TracE2E will be ported into an existing IoT application for combating fishery crimes, and the incurred cost (time, space, software and hardware needs) will be estimated.