Az általános adatvédelmi rendelet (GDPR) számos változást vezetett be abban, ahogyan a vállalkozások és a közintézmények az adatvédelemről gondolkodnak. Az egyik ilyen mód az a döntés, hogy a 25. cikkel törvénybe foglalták az “Adatvédelem a tervezés útján” (Privacy by Design, PbD) fogalmát.
Szerencsére, ellentétben a GDPR nagy részével, az Adatvédelem a tervezés útján fogalma meglehetősen jól kitaposott.
Mi az Adatvédelem a tervezés útján, miért írja elő a GDPR, és hogyan valósíthatja meg a PbD-t saját vállalkozásánál? Az alábbiakban megtalálod a válaszokat és az utadat segítő ellenőrző listákat.
Adatvédelmi szabályzatra van szükséged? Adatvédelmi szabályzat-generátorunk segít egyéni szabályzatot készíteni, amelyet weboldalán és mobilalkalmazásán használhat. Csak kövesse ezt a néhány egyszerű lépést:
- Kattintson weboldalunkon a “Kezdje el az adatvédelmi szabályzat létrehozását” gombra.
- Válassza ki azokat a platformokat, ahol az adatvédelmi szabályzatát használni fogják, és lépjen a következő lépésre.
- Adjon hozzá információkat a vállalkozásáról: a weboldaláról és/vagy az alkalmazásáról.
- Válassza ki az országot:
- Válaszoljon a varázslónk kérdéseire azzal kapcsolatban, hogy milyen típusú információkat gyűjt a felhasználóitól.
-
Adja meg az e-mail címét, ahová szeretné elküldeni az adatvédelmi nyilatkozatot, és kattintson a “Generálás” gombra.
És kész is! Most már másolhatja vagy hivatkozhat a hosztolt adatvédelmi szabályzatára.
- Mi az Adatvédelem a tervezéssel?
- A Privacy by Design 7 alapelve
- Privacy by Design:
- Mi van, ha a GDPR nem vonatkozik a vállalkozásomra?
- How to Implement Privacy by Design: A 25. cikk szerinti ellenőrzőlisták
- Rendszerek ellenőrzőlista
- Folyamatok ellenőrzőlista
- Kockázatkezelési ellenőrzőlista
- A Privacy by Design a legjobb gyakorlat
Mi az Adatvédelem a tervezéssel?
A Privacy by Design legegyszerűbb magyarázata alig több, mint “adatvédelem a technológia tervezésén keresztül.”
A lényegét tekintve azt jelenti, hogy az adatvédelmi és adatvédelmi funkciókat integrálni kell a rendszer tervezésébe, gyakorlatába és eljárásaiba. Ez nem lehet utólagos gondolat vagy a folyamatok vagy az infrastruktúra kiegészítése.
Az egyik módja annak, hogy leírjuk, mi nem a Privacy by Design. Ha például Ön egy magánszemély, aki az interneten böngészik, nem számít, hogy VPN-t és tűzfalat használ-e a számítógépe védelmére, ha minden egyes fiókjánál a következő jelszót használja: “password123”. A VPN nem fog kárpótolni a gyenge jelszavak használatáért. Minden szinten integrálnia kell az adatvédelmet, és csak ezután adhat hozzá olyan extra biztonsági funkciókat, mint a VPN.
Mit jelent ez a gyakorlatban a vállalkozások számára? A beépített adatvédelem néhány példája:
- Adatvédelmi hatásvizsgálat elvégzése a személyes adatok bármilyen módon történő felhasználása előtt
- Az adatvédelmi tisztviselő vagy más felelős fél elérhetőségének megadása
- Egy könnyen olvasható és naprakész adatvédelmi szabályzat megírása
A beépített adatvédelem azonban ennél sokkal tovább megy, és a technológiahasználat és az adatfeldolgozás szinte minden területére hatással van. Ezek a példák csupán néhány módot mutatnak be arra, hogyan építheti be az adatvédelmet a folyamataiba.
A Privacy by Design 7 alapelve
A Privacy by Design koncepció hét alapelvből áll, és mindegyik ugyanolyan fontos, mint a másik. Ezek az elvek a következők:
- Proaktív, nem reaktív/megelőző, nem orvosló
- Az adatvédelem mint alapértelmezett
- A tervezésbe beágyazott adatvédelem
- Teljes funkcionalitás
- End…to-End Security
- Visibility and Transparency
- Respect for User Privacy
Kezdjük az 1. alapelvvel: Proaktív, nem reaktív/megelőző, nem javító jellegű.
Az első elv amellett érvel, hogy az adatvédelemnek már a tervezési folyamat elején szóba kell kerülnie. Ha az Ön biztonsági gyakorlata a tűzoltásból és a jogsértések kezeléséből áll, akkor Ön reaktív. Ez megalapozza a többi alapelv filozófiai szívét.
A 2. alapelv Az adatvédelem mint alapértelmezett beállítás talán a legnehezebben elsajátítható alapelv a vállalatok számára. Azt állítja, hogy az adatvédelemnek kell az első helyen állnia minden tevékenységünkben. Ez azt jelenti, hogy korlátozza a megosztást, alkalmazza az adatminimalizálást, törölje a már nem használt adatokat, és mindig jogi alapon működjön. Ez azt is jelenti, hogy opt-in és opt-out funkciókat és biztosítékokat kell alkalmazni a fogyasztói adatokra vonatkozóan.
A 3. alapelv lényege, hogy az adatvédelemnek helyet kell kapnia mind a felépítésében, mind az üzleti tevékenységében. Más szóval, az adatvédelem a termék alapvető funkciója. Titkosítást, hitelesítést kell használnia, és rendszeresen tesztelnie kell a sebezhetőségeket. Nem számít, hogy a folyamatod úgy működik-e, ahogy kell; tervezési hiba van benne, ha van biztonsági rés.
A 4. elv azt állítja, hogy nincs okod félni a Privacy by Designtól. Ha feláldozza a funkcionalitást az adatvédelemért, akkor rosszul csinálja. Ez inkább egy kultúraváltás, amely egyensúlyt igényel a növekedés és a biztonság között.
A végponttól végpontig tartó biztonság (#5) elvében az az érv szerepel, hogy az adatvédelem végigkíséri az adatokat a gyűjtéstől a törlésig/archiválásig. A titkosítás és a hitelesítés minden szakaszban szabvány, de más szakaszokban tovább kell menni. Például csak olyan adatokat szabad gyűjtenie, amelyekre szüksége van, és amelyekre jogalapja van. És amikor befejezi az adatok kezelését, a GDPR-nak megfelelő törlési/megsemmisítési módszereket kell alkalmaznia a végponttól végpontig tartó védelem érdekében.
A 6., utolsó előtti alapelvben (Láthatóság és átláthatóság) megtudhatja, hogy az adatvédelem nem csak az adatvédelem kedvéért van. Az érintetteknek tudniuk kell az Ön adatvédelmi (és adatfeldolgozási) gyakorlatáról, és azokat nyíltan meg kell osztania. Az elv egy jól megírt adatvédelmi szabályzat mellett érvel, ami egyébként is elengedhetetlen, ha a GDPR vagy más törvény, például a CalOPPA hatálya alá tartozik. Az elv amellett is érvel, hogy szükség van egy olyan mechanizmusra, amellyel az érintettek szóvá tehetik sérelmeiket, kérdéseket tehetnek fel, és változtatásokat kérhetnek.
Végezetül a 7. elv amellett érvel, hogy mindennek felhasználó-központúnak kell maradnia. Ez annak elismerését jelenti, hogy még ha az adatok az Ön birtokában is vannak, azok a fogyasztóhoz tartoznak, akitől összegyűjtöttük őket. Az érintett megadhatja és visszavonhatja hozzájárulását az adatai felhasználásához – nem pedig fordítva.
Privacy by Design:
A beépített adatvédelem mindenkinek szól, de különösen fontos az Ön vállalkozása számára, ha Ön olyan adatkezelő, aki a GDPR hatálya alá tartozik.
A GDPR a 25. cikkben felöleli és név szerint is említi a beépített adatvédelmet. A jogszabály azonban nem nevezi meg a pontos intézkedéseket, amelyeket az olyan jellemzőkön túl, mint az álnevesítés vagy a titkosítás és az anonimizálás, meg kell tenni. Ehelyett a GDPR azt kívánja, hogy az adatvédelmi jellemzők ésszerűek és megfelelőek legyenek mind az alkalmazott eljárásokhoz, mind az összegyűjtött adatokhoz.
A 25. cikk (2) bekezdése kifejezetten kimondja:
“Az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak biztosítására, hogy alapesetben csak olyan személyes adatok feldolgozására kerüljön sor, amelyek az adatkezelés minden egyes konkrét céljához szükségesek.”
A 25. cikk ezt követően a 42. cikkre hivatkozik, és a tanúsítási intézkedéseket írja le a megfelelés további tisztázása érdekében.
A GDPR kihirdetésekor nem tartalmazott egyértelműséget arra vonatkozóan, hogy mik a tanúsítási intézkedések, és kik a tanúsító szervek. 2019 februárjában az Európai Bizottság közzétette a 42. és 43. cikkről (tanúsító szervek) szóló tanulmányt. A teljes jelentést itt olvashatja el.
Mi van, ha a GDPR nem vonatkozik a vállalkozásomra?
Még ha nem kell vagy nem is kell megfelelnie a GDPR-nek, az Adatvédelem a tervezéssel még mindig jó ötlet a vállalkozása számára.
Az Adatvédelem a tervezéssel bevezetése tükrözi a személyes adatok értékének megértését mind a vállalkozása, mind az ügyfelei számára. Elismeri, hogy az adatvédelem és az adatok feletti személyes ellenőrzés fontos szabadság, amelyet a jogszabályok nemcsak egyre inkább tükröznek, hanem Önnek is fenn kell tartania a piacon belül.
Ha azt gondolja, hogy az emberek nem aggódnak annyira a fogyasztók adatvédelme miatt, gondolja újra. Az ExpressVPN által végzett felmérés szerint az emberek 71 százaléka aggódik amiatt, ahogyan a marketingesek gyűjtik és használják az adataikat.
Az amerikai internetezők 68 százaléka pedig azt mondta, hogy támogatná a GDPR-hez hasonló szabályozást az Egyesült Államokban.
Az adatvédelem tervezési szempontból történő megközelítése biztosítja, hogy a tervezéstől a végrehajtásig a működésének szerves részét képezze. Ez lehetővé teszi, hogy mind az ügyfelek, mind a szabályozás szempontjából jövőállóvá tegye vállalkozását.
How to Implement Privacy by Design: A 25. cikk szerinti ellenőrzőlisták
A 25. cikk közismerten homályos, de az alaposság mégis fontos mind a fenyegetésekkel szembeni védelem, mind a GDPR-bírságok elleni védelem szempontjából. Akár webhelyet, alkalmazást vagy SaaS-terméket üzemeltet, a Privacy by Designnak meg kell történnie:
- A tervezés szakaszában
- A teljes életciklusa alatt
- A végponttól végpontig tartó bevonás között
- A bevonás után
- A webhelye/alkalmazása leállítása után
A GDPR olyan “technikai és szervezési intézkedéseket” kér, mint a titkosítás és az álnevesítés, de ez nem a Privacy by Design kezdete és vége. Sajnos maga a GDPR nem tartalmaz ellenőrző listát. Saját kérdéseket kell feltennie, és saját válaszokat kell adnia, a törvény vagy annak preambulumbekezdései kevés útmutatást adnak.
A Privacy by Design végrehajtásának egyik hasznos módja, ha három részre bontjuk: rendszerek, folyamatok és kockázatkezelés.
Rendszerek ellenőrzőlista
A Privacy by Design a meglévő rendszerekkel kezdődik. Mivel a tetején kezdődik, ott kezdődik a lista.
Az adatvédelem beépítéséhez a rendszerekbe (legalább) a következő pontokkal kell kezdenie:
- Az adatvédelmi normák iránti dokumentált szervezeti elkötelezettség (beleértve a vállalati kultúrába, az üzleti gyakorlatba és az üzleti szolgáltatásokba)
- Adott esetben adatvédelmi tisztviselő (DPO) kinevezése, vagy adatvédelmi tanácsadó igénybevétele (nem GDPR-ügyekben)
- Adatvédelmi keretrendszer létrehozása (beleértve a titkosítást és az anonimizálást)
- Az adatkezelési tevékenységek nyilvántartási rendszerének létrehozása és dokumentálása
- Kockázatkezelési rendszer meghatározása (beleértve a megfelelőségmenedzsmentet)
- A személyes adatokat kezelő alkalmazottak adatvédelmi képzésének aktualizálása (mind az ügyfelek, mind más alkalmazottak számára)
- Egyéniönértékelés alkalmazása a fentiekben dokumentált rendszerek végrehajtásának ellenőrzésére és nyomon követésére
- Az incidensek és jogsértések elkerülésére alkalmazott biztonsági intézkedések megállapítása
Az ellenőrző lista követésével, Ön jobban fel lesz készülve azután az adatfolyamatok megtervezésére.
Folyamatok ellenőrzőlista
A Privacy by Design és a GDPR-megfelelőséggel kapcsolatos munkájának legnagyobb hangsúlya a folyamatok szakaszban történik, de ez nem működik anélkül, hogy előbb ne a rendszereiben kezdené.
A listáján szereplő tételek a következők:
- A kapuőri feladatok kiosztása (IT, jogi, beszerzési stb.)
- Az adatvédelmi kockázatok azonosítása a folyamatai során
- Az adatfeldolgozás dokumentálása (a Rendszerellenőrzési listában tervezett nyilvántartási rendszer használatával)
- Adatvédelmi hatásvizsgálatok, kockázat- és megfelelőségértékelések használata, mielőtt adatokat gyűjtene felhasználásra vagy tárolásra
- Adatvédelmi ellenőrzések hozzáadása, például adatvédelmi központ, amelyek lehetővé teszik az érintettek számára a személyes adataikhoz való hozzáférést a saját feltételeik szerint
- A fenti Rendszerek ellenőrzőlista intézkedéseinek végrehajtása
Kockázatkezelési ellenőrzőlista
Még ha a folyamatok tervezésébe beépíti is az adatvédelmet, a kockázatokat az adatok teljes életciklusa során kezelni kell. A kockázatkezelés a rendszerek szintjén kezdődik, és a feldolgozásban folytatódik.
Az alábbiakra kell képesnek lennie:
- Leírni az adatkezelés célját (jogalap)
- Azonosítani azokat az intézkedéseket, amelyek megakadályozzák, hogy az adatokat a fentiektől eltérő célokra dolgozzák fel
- Figyelni az adatminimalizálási intézkedéseket és megfelelő ellenőrzéseket végrehajtani (további minimalizálás, anonimizálás, és álnevesítés)
- Az adatok pontosságának biztosítására alkalmazott intézkedések meghatározása
- Az adatokhoz hozzáféréssel rendelkező személyek és csoportok megnevezése és dokumentálása
- Az adatokhoz való hozzáférés ellenőrzésének felvázolása
- Adatkezelési megállapodások (DPA) létrehozása és azok felülvizsgálata minden harmadik féllel.fél adatfeldolgozóval
- A végrehajtott biztonsági gyakorlatok ellenőrzése
- Az adatkezeléssel kapcsolatos információk forrásának és az érintettek értesítésének meghatározása
- A biztonság és az adatok megsértése esetén követett eljárás ismertetése (a GDPR értesítési szabályait követve)
- A fenti Rendszerek és folyamatok ellenőrző listák intézkedéseinek végrehajtása
Az ellenőrző listák alkalmazása során ne feledje a GDPR 25. cikkében foglalt elveket.
A 25. cikk (1) bekezdése a következő kötelezettségeket és korlátozásokat tartalmazza, amelyeket figyelembe kell venni:
- A technika állása (ne feledje, hogy ez változik)
- A végrehajtás költségei
- A természet, hatály, az adatkezelés kontextusa és céljai
- A természetes személyek jogait és szabadságait érintő különböző valószínűségű és súlyosságú kockázatok
- A megfelelő technikai és szervezési intézkedések
Mindezek hozzájárulnak a beépített adatvédelem legjobb gyakorlatához anélkül, hogy elérhetetlenné tennék azt a kkv-k és azok számára, akik nem vesznek részt jelentős kockázattal járó adatkezelési tevékenységekben.
Más szóval nem kell milliókat költenie biztonsági rendszerre ahhoz, hogy csak e-mail címeket gyűjtsön és hírlevelet küldjön. Az Ön gyakorlatának meg kell felelnie a hírlevél-küldés jellegének, terjedelmének, kontextusának, céljainak és kockázatainak. Ha Ön a Deutschebank, akkor más a helyzet.
A Privacy by Design a legjobb gyakorlat
Függetlenül attól, hogy meg kell-e felelnie a GDPR-nak, a Privacy by Design ma már minden adatfeldolgozással foglalkozó szervezet számára legjobb gyakorlatnak számít, függetlenül attól, hogy mekkora vagy kicsi.
A Privacy by Design azt jelenti, hogy az adatvédelmet a projekt kezdetétől fogva figyelembe kell venni, és integrálni kell a rendszerekbe és műveletekbe. Ez nem egy később hozzáadandó biztonsági gyakorlat vagy eszköz. A helyes megvalósítása azt jelenti, hogy olyan szervezeti kultúrát kell ösztönözni, amely elkötelezett a személyes adatok értékének elismerése és tiszteletben tartása iránt mind a vállalat, mind az ügyfelek számára.
A fenti ellenőrző listák segítenek Önnek abban, hogy a Privacy by Design-t megvalósítsa vállalatánál. Ne feledje azonban, hogy a GDPR olyan kérdéseket is figyelembe kell vennie, mint a végrehajtás költségei, az adatfeldolgozás jellege és terjedelme, valamint az ügyfeleivel szembeni kockázatok, ha megsértésre kerül sor.
A GDPR értelmében a beépített adatvédelem minden vállalkozás számára elérhető, így nincs mentség arra, hogy ne kezdje el.