Προστασία προσωπικών δεδομένων σε έξυπνα περιβάλλοντα

Abstract

The advances of the Information and Communication Technologies have boosted the provision of advanced services to the users. However, the provision of these services demands the transmission and processing of personal data, thus, putting personal life into danger. The present Thesis targets the protection of personal data, through the design and development of a novel system that mediates between users and service providers and caters for the fair use of the personal data. The goal of the proposed system is the enforcement of the Legal requirements concerning the collection and use of personal data in the context of services' provision. In that respect, a survey of the relevant Legal framework is performed, since this framework constitutes the source of the requirements for the design of the proposed system. As the basis of the system's operation, a semantic model, based on an ontology, has been designed, which models the fundamental principles stemming from the Legislation regarding personal data protection. The ontology constitutes in essence the formal definition of the related rules that govern access control and the execution of the complementary tasks, so that to be feasible for the Legal provisions to constitute input to software systems and be taken under consideration in every decision. The proposed system makes use of several innovative models and tools that have been specified in the context of the Thesis, such as the Privacy Rules Description Language, which is used for the formal specification of the users' preferences regarding the protection of their privacy, as well as the Privacy Workflow Specification Language, which is used for the ad hoc specification of the actions that must be executed in the context of a service's provision, in order for the service to be compliant with both the provisions of the Legal framework and the privacy preferences of the users. For the enforcement of the concepts described above, a distributed software system has been specified, which mediates between the users and the service providers and is controlled by some Privacy Authority. The system caters for the enforcement of the legal rules regarding personal data protection, as well as of the corresponding users' preferences. The system is further documented with use cases of its operation, as well as its evaluation by means of well appreciated criteria.

Η πρόοδος των Τεχνολογιών Πληροφορίας και Επικοινωνιών έχει δώσει ώθηση στην παροχή προηγμένων υπηρεσιών στους χρήστες. Ωστόσο, η παροχή των υπηρεσιών αυτών απαιτεί τη μετάδοση και επεξεργασία προσωπικών δεδομένων και, ως εκ τούτου, εγκυμονεί κινδύνους για την προσωπική ζωή. Η παρούσα Διατριβή έχει σαν αντικείμενο την προστασία των προσωπικών δεδομένων κατά την παροχή υπηρεσιών, μέσω της σχεδίασης και ανάπτυξης ενός πρωτότυπου συστήματος το οποίο παρεμβάλλεται μεταξύ χρηστών και παροχών υπηρεσιών και μεριμνά για την ορθή χρήση των προσωπικών δεδομένων. Στόχος του προτεινόμενου συστήματος είναι η εφαρμογή των απαιτήσεων της Νομοθεσίας αναφορικά με τη συλλογή και χρήση προσωπικών δεδομένων κατά την παροχή υπηρεσιών. Για το λόγο αυτό, πραγματοποιείται μία επισκόπηση του Νομικού Πλαισίου αναφορικά με την προστασία των προσωπικών δεδομένων, το οποίο αποτελεί την πηγή των απαιτήσεων για τη σχεδίαση του προτεινόμενου συστήματος. Ως βάση της λειτουργίας του συστήματος, σχεδιάστηκε ένα σημασιολογικό πλαίσιο, βασισμένο σε μία οντολογία, το οποίο μοντελοποιεί τις θεμελιώδεις αρχές αναφορικά με την προστασία των προσωπικών δεδομένων, όπως αυτές πηγάζουν από τη Νομοθεσία. Η οντολογία αποτελεί ουσιαστικά το φορμαλιστικό ορισμό των σχετικών κανόνων πρόσβασης και εκτέλεσης συμπληρωματικών ενεργειών, ούτως ώστε οι αρχές της Νομοθεσίας να μπορούν να λειτουργήσουν ως είσοδος σε συστήματα λογισμικού και να ληφθούν υπόψη σε κάθε απόφαση. Το προτεινόμενο σύστημα χρησιμοποιεί διάφορα πρωτότυπα μοντέλα και εργαλεία τα οποία προδιαγράφηκαν στο πλαίσιο της Διατριβής, όπως είναι η Γλώσσα Περιγραφής Κανόνων Ιδιωτικότητας, η οποία χρησιμοποιείται για το φορμαλιστικό προσδιορισμό των απαιτήσεων των χρηστών αναφορικά με την προστασία της ιδιωτικότητάς τους, και η Γλώσσα Προδιαγραφής Ροής Εργασιών Ιδιωτικότητας, η οποία χρησιμοποιείται για τον κατά περίπτωση προσδιορισμό των ενεργειών που πρέπει να πραγματοποιηθούν στο πλαίσιο της παροχής μίας υπηρεσίας, προκειμένου αυτή να είναι συμβατή τόσο με τις απαιτήσεις του Νομικού Πλαισίου όσο και με τις προτιμήσεις ιδιωτικότητας των χρηστών. Για την εφαρμογή των ανωτέρω, προδιαγράφηκε ένα κατανεμημένο σύστημα λογισμικού το οποίο παρεμβάλλεται μεταξύ των χρηστών και των παροχών υπηρεσιών και ελέγχεται από κάποια Αρχή Ιδιωτικότητας, μεριμνώντας για την εφαρμογή των νομικών κανόνων αναφορικά με την προστασία των προσωπικών δεδομένων αλλά και των αντίστοιχων προτιμήσεων των χρηστών. Το σύστημα τεκμηριώνεται επιπλέον με παραδείγματα της λειτουργίας του καθώς και με την αξιολόγησή του βάσει αναγνωρισμένων κριτηρίων.