Блог

By design and by default. Что такое приватность по замыслу и умолчанию

Десятки статей о защите персональных данных начинаются именно этими словами:
В мае 2020 исполнилось два года со дня вступления в силу GDPR

Весна этого года вместе с пандемией, карантином, изоляцией и вынужденным переходом на удаленную работу, внесла свои коррективы в ожидания пользователей. 

Тем не менее, вопрос соответствия требованиям Регламента не только не отодвинулся на второй план, а, можно сказать, стал одним из самых важных вопросов для разработчиков, юристов и пользователей. Многие онлайн-бизнесы, едва выдерживая сегодня нагрузку на свои системы, задают себе вопрос: «Почему же я не сделал этого раньше? Почему не «заложил» защиту персональных данных в основу своего бизнеса на самом раннем этапе разработки? Почему не задумался о том, что данные пользователей должны быть защищены by Design and by Default?»

Итак,

В мае 2020 исполнилось два года со дня вступления в силу GDPR – Регламента ЕС, который обеспечивает резидентов ЕС рычагами контроля над своими персональными данными.

Одна из статей GDPR, а именно, Статья 25 выдвигает следующее требование к онлайн бизнесу: создавать системы со встроенной защитой персональных данных пользователей и системы «конфиденциальности по умолчанию» - Privacy by Design and by Default

Что это значит?

История самого термина «privacy by design and privacy by default» уходит корнями в 90-е годы, когда мир еще только начинал задумываться о том, что защита персональных данных когда-нибудь станет во главу угла всей онлайн деятельности.

В 2009 году Ann Cavoukian, специальный уполномоченный по информации и защите персональных данных  Онтарио, опубликовала документ под названием «Встроенная конфиденциальность: 7 основополагающих принципов». В этом документе подчеркивается, что онлайн бизнес должен уделять внимание вопросам конфиденциальности на протяжении всего жизненного цикла персональных данных пользователей. Причем, начало этого процесса лежит еще в фазе проектирования. Такая защита обеспечивает пользователю надежное сохранение и своевременное уничтожение его персональных данных. Privacy by design обеспечивает непрерывное и безопасное управление жизненным циклом данных и должна действовать без ущерба для бизнеса.

Принципы, изложенные в этом документе, живут и сейчас. И, не только живут, но и являются своеобразной философией защиты персональных данных в сети:

Вот они:
1.  Применять превентивные меры, а не только устранять последствия
2.  Руководствоваться принципом Privacy by default (приватность по умолчанию)
3.  Исповедовать Privacy by Design (Встроенная приватность)
4.  Обеспечивать функциональность с обоюдной пользой – для бизнеса и для пользователя
5.  Защищать персональные данные на протяжении всего цикла их сбора, хранения, обработки и уничтожения
6.  Доступность и прозрачность
7.  Уважение приватности. Система должна быть ориентирована на пользователя

Принципы privacy by design и privacy by default, разработанные Cavoukian, сегодня являются стандартом в области защиты персональных данных.

Что подразумевает Privacy by design

Прежде всего – этап проектирования. Система защиты персональных данных должна быть встроена во все процессы на самом раннем этапе разработки. При этом, эта система должна поддерживаться непрерывно на всех этапах проектирования и функционирования.

Privacy by design  - это обязательство, которое берет на себя бизнес в отношении защиты персональных данных. Это – обязательство заранее предусмотреть риски, связанные с конфиденциальностью, во всех действиях, решениях и прогнозах бизнеса.
Философия privacy by design гласит: лучший способ снизить риски приватности – не создавать их!

Что стоит за Privacy by default

Privacy by default предполагает (по умолчанию), что пользователь, вступая во взаимодействие с бизнесом, не должен предпринимать никаких шагов в отношении защиты своей конфиденциальности. Конфиденциальность должна быть по умолчанию (by default)

Privacy by default (Конфиденциальность по умолчанию) означает, что принцип встроенной конфиденциальности Privacy by design должен быть включен по умолчанию в любую систему или бизнес — так, чтобы личные данные автоматически были защищены без каких-либо действий со стороны пользователя. Право на неприкосновенность частной жизни должно быть защищено «автоматически» в качестве настройки by default.

Важнейшие элементы подхода privacy by design and by default – это: прозрачность, законность, добросовестность, ограничение цели, точность, ограничение хранения, целостность и конфиденциальность.

На самом деле философия privacy by design and by default выходит далеко за рамки информационных технологий и юриспруденции. Можно сказать, это должно стать жизненным принципом разработки любого продукта: защита данных, «встроенная» изначально в проект и тщательно «охраняемая» в течение всего жизненного цикла проекта.
Плюс отсутствие необходимости у человека (пользователя) предпринимать самостоятельные шаги по защите своих персональных данных.

Руководствуясь этим принципом, многие европейские стартапы выигрывают именно по этому критерию. Рrivacy by design и privacy by default – это принципы, которые повышают инвестиционную привлекательность проекта, могут являться элементом «уникального торгового предложения» компании и быть выигрышным критерием «отстройки» от конкурентов.

Сегодня перед разработчиками уже не стоит вопрос «что лучше» - обеспечивать защиту персональных данных пользователей в уже готовом продукте или сервисе или изначально встраивать конфиденциальность в систему. Рrivacy by design и privacy by default становится не только профессиональным, но и жизненным принципом разработчика.

Возвращаясь к юридическому аспекту подхода Рrivacy by design и privacy by default, нужно сказать, что Статья 25 GDPR выдвигает особые требования к обеспечению встроенной защиты персональных данных и конфиденциальности по умолчанию.

Так в конце 2019 года на немецкую компанию Deutsche Wohnen SE был наложен штраф в 14 с половиной миллионов евро со ссылкой на статью 25 GDPR.
Риєлторская компания хранила архивы с персональными данными арендаторов, не обеспечивая возможности удалить эти данные. В проект системы не была заложена проверка на предмет допустимости дальнейшего хранения данных.

Таким образом, данные хранились годами, но уже не служили тем целям, ради которых они были собраны. Это были данные о финансовом положении людей, об уплате налогов, о социальном обеспечении и медицинском страховании и т.д.
Проблема компании возникла из-за того, что Рrivacy by design и privacy by default не была заложена в систему на начальном этапе проектирования.

Сегодня для соблюдения требований статьи 25 GDPR, а также, для того, чтобы избежать крупных штрафов, каждый онлайн- бизнес должен проанализировать, как, где и когда обрабатываются персональные данные пользователей, а также, обеспечить, чтобы одно из главных прав человека - право на неприкосновенность частной жизни - учитывалось на каждом этапе обработки, начиная с начальной фазы проектирования.


Читайте по теме:
Как легально вести онлайн-бизнес в Украине
Набор документов для онлайн бизнеса
Онлайн медицина и персональные данные пациентов
Нужны ли документы для сайта, если я продаю свой товар на рынке Европы?
Юридическая поддержка онлайн медицины
Как избежать рисков от использования некорректных документов на сайте?
Юридические фишки онлайн-бизнеса. Как документ Terms of Use помогает владельцу интернет-магазина урегулировать отношения с пользователем
Собираетесь открывать интернет-магазин? Начинаем подготовку документов для сайта


Made on
Tilda