Yleinen tietosuoja-asetus (GDPR) toi monia muutoksia siihen, miten yritykset ja julkiset elimet ajattelevat yksityisyydensuojasta. Yksi näistä tavoista on päätös koodata ”sisäänrakennetun yksityisyyden suojan” (Privacy by Design, PbD) käsite lakiin 25 artiklan kautta.
Se onneksi, toisin kuin suuri osa GDPR:stä, sisäänrakennetun yksityisyyden suojan käsite on melko pitkälle käyty.
Mitä on sisäänrakennettu yksityisyyden suoja (Privacy by Design, PbD), miksi GDPR:ssä edellytetään yksityisyyden suojan suojaa ja miten PbD:n voi ottaa käyttöön omassa yrityksessäsi? Löydät vastaukset ja tarkistuslistat, jotka auttavat sinua matkan varrella, alta.
Tarvitsetko tietosuojaselosteen? Tietosuojakäytäntöjen generaattorimme auttaa sinua luomaan mukautetun käytännön, jota voit käyttää verkkosivustollasi ja mobiilisovelluksessasi. Seuraa vain näitä muutamia helppoja vaiheita:
- Klikkaa verkkosivustollamme ”Aloita tietosuojakäytännön luominen”.
- Valitse alustat, joilla tietosuojakäytäntöäsi käytetään, ja siirry seuraavaan vaiheeseen.
- Lisää tietoja yrityksestäsi: verkkosivusto ja/tai sovellus.
- Valitse maa:
- Vastaa ohjatun toiminnon kysymyksiin, jotka liittyvät siihen, millaisia tietoja keräät käyttäjiltäsi.
-
Syötä sähköpostiosoitteesi, johon haluat tietosuojaselosteen lähetettävän, ja napsauta ”Luo”.
Ja olet valmis! Nyt voit kopioida isännöidyn tietosuojakäytäntösi tai linkittää sen.
- Mitä on Privacy by Design?
- Seitsemän Privacy by Design -periaatetta
- Privacy by Design: Kenelle se on tarkoitettu?
- Mitä jos GDPR ei koske yritystäni?
- How to Implement Privacy by Design: 25 artiklan tarkistuslistat
- Systeemien tarkistuslista
- Prosessien tarkistuslista
- Riskienhallinnan tarkistuslista
- Privacy by Design on paras käytäntö
Mitä on Privacy by Design?
Perusteellisin selitys Privacy by Design -tekniikasta on vähän enemmän kuin ”tietosuojaa teknologiasuunnittelun keinoin”.
Ydinasiassa se tarkoittaa sitä, että tietosuoja- ja yksityisyydensuoja-ominaisuudet on integroitava järjestelmäsuunnitteluun, -käytänteisiin ja -menettelyihin. Sen ei pitäisi olla jälkikäteen mietittyä tai täydentää prosesseja tai infrastruktuuria.
Yksi tapa kuvata sitä on hahmotella, mitä Privacy by Design ei ole. Jos esimerkiksi olet yksityishenkilö, joka selaa internetiä, ei ole väliä, käytätkö VPN:ää ja palomuuria tietokoneesi suojaamiseen, jos käytät myös salasanaa: ”password123” jokaisella tililläsi. VPN ei korvaa heikkojen salasanojen käyttöä. Sinun on integroitava yksityisyys kaikilla tasoilla, ja sitten voit lisätä ylimääräisiä turvaominaisuuksia, kuten VPN:n.
Mitä tämä tarkoittaa käytännössä yrityksille? Joitakin esimerkkejä sisäänrakennetun yksityisyyden suojan periaatteesta ovat:
- Tietosuojaa koskevan vaikutustenarvioinnin (DPIA) tekeminen ennen kuin henkilötietoja käytetään millään tavalla
- tietosuojavastaavan tai muun vastuullisen tahon yhteystietojen ilmoittaminen
- tietosuojaselosteen kirjoittaminen, joka on helppolukuinen ja joka pidetään ajan tasalla
Siltikin sisäänrakennettu yksityisyydensuoja ulottuu paljon pidemmälle, ja se vaikuttaa melkeinpä jokaiseen teknologiasi käyttö- ja tietojenkäsittelytoimintoon. Nämä esimerkit havainnollistavat vain joitakin tapoja, joilla voit suunnitella yksityisyyden suojan osaksi prosessejasi.
Seitsemän Privacy by Design -periaatetta
Privacy by Design -käsitteessä on seitsemän periaatetta, ja jokainen niistä on yhtä tärkeä kuin toinenkin. Nämä periaatteet ovat:
- Proaktiivinen, ei reaktiivinen/ennaltaehkäisevä, ei korjaava
- Privacy as the Default
- Privacy Embedded into Design
- Full Functionality
- End-to-End Security
- Visibility and Transparency
- Respect for User Privacy
Aloitetaan periaatteesta 1: Ennaltaehkäisevä, ei reaktiivinen / ennaltaehkäisevä, ei korjaava.
Ensimmäisen periaatteen mukaan tietosuoja on otettava esille suunnitteluprosessin alussa. Jos tietoturvakäytäntösi koostuu tulipalojen sammuttamisesta ja tietoturvaloukkausten käsittelystä, olet reaktiivinen. Se muodostaa muiden periaatteiden filosofisen ytimen.
Periaate 2 Tietosuoja oletusasetuksena on yrityksille ehkä vaikein periaate, jota heidän on vaikea käsittää. Sen mukaan yksityisyyden suojan on oltava etusijalla kaikessa toiminnassa. Se tarkoittaa jakamisen rajoittamista, tietojen minimointia, sellaisten tietojen poistamista, joita ei enää käytetä, ja toimintaa aina laillisin perustein. Se tarkoittaa myös opt-in- ja opt-out-toimintojen käyttämistä ja suojatoimia kuluttajatietoja varten.
Periaatteessa 3 ajatellaan, että yksityisyydensuojan on löydettävä paikka sekä arkkitehtuurisi että liiketoimintasi suunnittelussa. Toisin sanoen yksityisyys on tuotteen ydintoiminto. Sinun tulisi käyttää salausta, todennusta ja testata haavoittuvuuksia säännöllisesti. Ei ole väliä, toimiiko prosessisi niin kuin sen pitäisi; siinä on suunnitteluvirhe, jos siinä on tietoturvahaavoittuvuus.
Periaate 4 esittää, ettei Privacy by Designia tarvitse pelätä. Jos uhraat toiminnallisuuden yksityisyyden vuoksi, teet sen väärin. Kyse on pikemminkin kulttuurin muutoksesta, joka edellyttää tasapainoa kasvun ja turvallisuuden välillä.
End-to-End Security -periaatteessa (#5) esitetään väite, jonka mukaan yksityisyyden suoja seuraa tietoja koko elinkaaren ajan niiden keräämisestä poistamiseen/arkistointiin. Salaus ja todennus ovat standardi jokaisessa vaiheessa, mutta muissa vaiheissa on mentävä pidemmälle. Esimerkiksi tietoja pitäisi kerätä vain, jos niitä tarvitaan ja jos niillä on oikeusperusta. Ja kun lopetat tietojen käsittelyn, sinun tulisi käyttää GDPR:n mukaisia poistamis-/hävittämismenetelmiä, jotta suojaus olisi kattavaa.
Toiseksi viimeisessä periaatteessa 6 Näkyvyys ja läpinäkyvyys opit, että yksityisyyden suoja ei ole vain yksityisyyden suojan vuoksi. Rekisteröityjen tulisi tietää yksityisyyden suojaa (ja käsittelyä) koskevista käytännöistäsi, ja sinun tulisi jakaa ne avoimesti. Periaate puoltaa hyvin kirjoitettua tietosuojakäytäntöä, joka on joka tapauksessa olennaisen tärkeä, jos kuulut GDPR:n tai muun lain, kuten CalOPPA:n, piiriin. Periaatteessa esitetään myös, että rekisteröidyille on oltava mekanismi, jonka avulla he voivat esittää valituksensa, esittää kysymyksiä ja pyytää muutoksia.
Loppujen lopuksi periaatteessa 7 esitetään, että kaiken on pysyttävä käyttäjäkeskeisenä. Se tarkoittaa sen tunnustamista, että vaikka sinulla on tiedot, ne kuuluvat kuluttajalle, jolta olet ne kerännyt. Rekisteröity voi antaa ja peruuttaa suostumuksensa tietojensa käyttöön – ei päinvastoin.
Privacy by Design: Kenelle se on tarkoitettu?
Privacy by Design on tarkoitettu kaikille, mutta se on erityisen tärkeää yrityksellesi, jos olet rekisterinpitäjä, joka kuuluu yleisen tietosuoja-asetuksen soveltamisalaan.
GDPR:n 25 artiklassa yksityisyydensuojaa muotoilemalla hyväksytään ja nimetään. Lainsäädännössä ei kuitenkaan nimetä täsmällisiä toimenpiteitä, jotka on toteutettava pseudonymisoinnin tai salauksen ja anonymisoinnin kaltaisten ominaisuuksien lisäksi. Sen sijaan GDPR:ssä halutaan, että tietosuojaominaisuudet ovat kohtuullisia ja tarkoituksenmukaisia sekä käytettäviin prosesseihin että kerättäviin tietoihin nähden.
25 artiklan 2 kohdassa sanotaan nimenomaisesti:
”Rekisterinpitäjän olisi toteutettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia henkilötietoja, jotka ovat välttämättömiä kullekin tietylle käsittelytarkoitukselle.”
Sen jälkeen 25 artiklassa viitataan 42 artiklaan ja kuvataan sertifiointitoimenpiteet vaatimustenmukaisuuden selventämiseksi.
Julkaisemisen yhteydessä tietosuoja-asetus ei sisältänyt selkeyttä siitä, mitä sertifiointitoimenpiteet olisivat ja keitä sertifiointielimet ovat. Euroopan komissio julkaisi helmikuussa 2019 tutkimuksen 42 ja 43 artiklasta (sertifiointielimet). Voit lukea koko raportin täältä.
Mitä jos GDPR ei koske yritystäni?
Sitä huolimatta, että sinun ei tarvitse tai ei tarvitse noudattaa GDPR:ää, yksityisyydensuojan suunnittelu on silti hyvä ajatus yrityksellesi.
Tietosuojan suunnittelun toteuttaminen kuvastaa ymmärrystä henkilötietojen arvosta sekä yrityksellesi että asiakkaillesi. Siinä tunnustetaan, että yksityisyys ja henkilökohtainen tiedonhallinta on tärkeä vapaus, jota laki paitsi heijastaa yhä enemmän, myös sinun on itse puolustettava sitä markkinoilla.
Jos luulet, että ihmiset eivät ole niin huolissaan kuluttajien yksityisyydestä, mieti uudestaan. ExpressVPN:n tekemän kyselyn mukaan 71 prosenttia ihmisistä oli huolissaan tavoista, joilla markkinoijat keräävät ja käyttävät heidän tietojaan.
Ja 68 prosenttia amerikkalaisista internetin käyttäjistä sanoi, että he kannattaisivat GDPR:n kaltaista sääntelyä Yhdysvalloissa.
Käsittelemällä yksityisyyttä suunnittelunäkökulmasta varmistetaan, että yksityisyydensuoja on olennainen osa toimintojasi suunnittelusta aina toteutukseen asti. Sen avulla voit varmistaa liiketoimintasi tulevaisuuden sekä asiakkaiden että sääntelyn näkökulmasta.
How to Implement Privacy by Design: 25 artiklan tarkistuslistat
25 artikla on tunnetusti epämääräinen, mutta perusteellisuus on silti tärkeää sekä uhkilta että GDPR-sakkoilta suojautumisen kannalta. Riippumatta siitä, ylläpidätkö verkkosivustoa, sovellusta tai SaaS-tuotetta, Privacy by Designin on tapahduttava:
- Suunnitteluvaiheessa
- Kautta sen elinkaaren
- Loppupään sitouttamisen välillä
- Sitouttamisen jälkeen
- Sivuston/sovelluksen lakkauttamisen jälkeen
GDPR:ssä pyydetään ”teknisiä ja organisatorisia toimenpiteitä”, kuten salausta ja pseudonymisointia, mutta se ei ole Privacy by Designin alku ja pää. Valitettavasti GDPR ei itsessään tarjoa tarkistuslistaa. Sinun on esitettävä omat kysymyksesi ja annettava omat vastauksesi, eikä laki tai sen johdanto-osan kappaleet anna juurikaan ohjeita.
Yksi hyödyllinen tapa jaotella Privacy by Designin toteuttaminen on noudattaa sitä kolmessa osassa: järjestelmät, prosessit ja riskienhallinta.
Systeemien tarkistuslista
Privacy by Design alkaa käytössä olevista järjestelmistä. Koska se alkaa huipulta, listasi alkaa sieltä.
Voidaksesi sisällyttää yksityisyydensuojan järjestelmiisi, sinun tulisi aloittaa (vähintään) seuraavista kohdista:
- Organisaation dokumentoitu sitoutuminen tietosuojastandardeihin (mukaan lukien yrityskulttuuriin, liiketoimintakäytäntöihin ja yrityspalveluihin)
- Tietosuojavastaavan (DPO) nimeäminen tarvittaessa, tai tietosuojaneuvonantajan käyttäminen (muut kuin GDPR-tapaukset)
- Tietosuojakehyksen luominen (mukaan lukien salaus ja anonymisointi)
- Käsittelytoimien kirjaamisjärjestelmän luominen ja dokumentointi
- Riskienhallintajärjestelmän määrittäminen (mukaan lukien vaatimustenmukaisuuden hallinta)
- Henkilötietoja käsittelevien työntekijöiden yksityisyydensuojakoulutuksen ajantasaistaminen (sekä asiakkaiden että muiden työntekijöiden osalta)
- Omatoimistenarviointia edellä dokumentoitujen järjestelmien toteuttamisen tarkastamiseksi ja valvomiseksi
- Turvallisuustoimenpiteiden vahvistaminen, joita käytetään vaaratilanteiden ja tietoturvaloukkausten välttämiseksi
Tämän tarkistuslistan noudattamisella, olet paremmin valmistautunut suunnittelemaan tietoprosessisi.
Prosessien tarkistuslista
Prosessien tarkistuslista
Privacy by Design- ja GDPR-vaatimustenmukaisuustyösi suurin painopiste tapahtuu prosessien osiossa, mutta se ei onnistu ilman, että aloitat ensin järjestelmistäsi.
Luettelossasi on muun muassa seuraavia kohtia:
- Vastuualueiden (gatekeeping-vastuualueet (tietohallinto, lakimieskomitea, julkiset hankintatoimet, jne.)
- Yksityisyyden suojaan liittyvien riskien tunnistaminen kaikissa prosesseissasi
- Tietojenkäsittelyn dokumentointi (käyttämällä järjestelmien tarkistuslistassa suunniteltua kirjanpitojärjestelmää)
- Tietosuojaa koskevien vaikutustenarviointien, riskinarviointien ja vaatimustenmukaisuuden arvioinnin käyttäminen ennen tietojen keräämistä käytettäväksi tai tallennettavaksi
- Yksityisyyden suojaa koskevien valvontatoimien lisääminen, kuten tietosuojakeskus, jotka mahdollistavat rekisteröidyille pääsyn henkilötietoihinsa heidän omilla ehdoillaan
- Toteutetaan edellä olevan Järjestelmien tarkistuslistan toimenpiteet
Riskienhallinnan tarkistuslista
Kaikkakin yksityisyydensuoja on sisällytetty prosessisuunnitteluun, riskejä on silti hallinnoitava koko tietojen elinkaaren ajan. Riskienhallinta alkaa järjestelmätasolta ja jatkuu käsittelyssä.
Sinun pitäisi pystyä:
- Kuvata käsittelyn tarkoitus (oikeusperusta)
- Tunnistaa toimenpiteet, jotka estävät tietojen käsittelyn muihin kuin edellä mainittuihin tarkoituksiin
- Valvoa tietojen minimointitoimenpiteitä ja ottaa käyttöön asianmukaiset kontrollit (edelleen minimointi, anonymisointi, ja pseudonymisointi)
- Tunnista toimenpiteet, joilla varmistetaan tietojen oikeellisuus
- Nimeä ja dokumentoi henkilöt ja tiimit, joilla on pääsy tietoihin
- Määrittele tietojen saatavuuden valvonta
- Kirjoita tietojenkäsittelysopimukset (DPA) ja tarkista ne jokaisen kolmannen osapuolen kanssa.
- Valvo toteutettuja tietoturvakäytäntöjä
- Määritä tietolähde ja ilmoitus rekisteröidyille tietojenkäsittelystä
- Kuvaile prosessi, jota noudatetaan tietoturva- ja tietosuojaloukkaustapauksissa (GDPR:n ilmoitussääntöjä noudattaen)
- Toteuta sekä järjestelmien että prosessien tarkistuslistojen toimenpiteet edellä
Muista tietosuoja-asetuksen 25 artiklassa esitetyt periaatteet soveltaessasi tarkistuslistoja.
25 artiklan 1 kohta sisältää seuraavat velvoitteet ja rajoitukset, jotka on otettava huomioon:
- Tekniikan taso (muista, että se muuttuu)
- Toteutuskustannukset
- Luonne, laajuus, asiayhteys ja käsittelyn tarkoitukset
- Riskit, joiden todennäköisyys ja vakavuus luonnollisten henkilöiden oikeuksiin ja vapauksiin vaihtelevat
- Tarkoituksenmukaiset tekniset ja organisatoriset toimenpiteet
Kaikki nämä edistävät parhaita käytäntöjä sisäänrakennetun yksityisyyden suojan osalta tekemättä siitä tavoittamattomissa olevaa käytäntöä pk-yrityksille ja niille, jotka eivät osallistu käsittelytoimiin, joihin liittyy merkittäviä riskejä.
Ei siis tarvitse käyttää miljoonia turvajärjestelmään kerätäkseen vain sähköpostiosoitteita ja lähettäkseen uutiskirjeitä. Käytäntösi olisi oltava sopiva uutiskirjeen lähettämisen luonteeseen, laajuuteen, asiayhteyteen, tarkoituksiin ja riskeihin nähden. Jos olet Deutschebank, tilanne on toinen.
Privacy by Design on paras käytäntö
Olipa sinun sitten pakko noudattaa GDPR:ää tai ei, Privacy by Designia pidetään nyt parhaana käytäntönä kaikille tietojenkäsittelyä harjoittaville organisaatioille riippumatta siitä, kuinka suuria tai pieniä ne ovat.
Privacy by Design tarkoittaa, että yksityisyydensuoja otetaan huomioon projektin alusta alkaen ja että yksityisyydensuoja integroidaan osaksi järjestelmiäsi ja toimintaasi. Se ei ole turvallisuuskäytäntö tai työkalu, joka lisätään myöhemmin. Sen toteuttaminen oikein tarkoittaa sellaisen organisaatiokulttuurin edistämistä, joka on omistautunut henkilötietojen arvon tunnustamiselle ja kunnioittamiselle sekä yrityksesi että asiakkaidesi kannalta.
Yllä olevat tarkistuslistat auttavat sinua toteuttamaan yksityisyydensuojan suunnittelun yrityksessäsi. Muista kuitenkin, että GDPR:n mukaan sinun on otettava huomioon myös sellaiset seikat kuin toteutuksen kustannukset, käsittelyn luonne ja laajuus sekä riskit, joita asiakkaasi kohtaavat tietoturvaloukkauksen sattuessa.
GDPR:n mukaan sisäänrakennettu yksityisyyden suoja on kaikkien yritysten saavutettavissa, joten ei ole mitään tekosyytä olla aloittamatta sitä.