Regulamentul general privind protecția datelor (GDPR) a introdus multe schimbări în modul în care întreprinderile și organismele publice se gândesc la confidențialitate. Una dintre aceste modalități constă în decizia de a codifica conceptul de „Privacy by Design” (PbD) în lege prin articolul 25.
Din păcate, spre deosebire de o mare parte din GDPR, conceptul de Privacy by Design este destul de bine pus la punct.
Ce este Privacy by Design, de ce îl impune GDPR și cum puteți implementa PbD în propria afacere? Veți găsi răspunsurile și listele de verificare care să vă ajute pe parcurs sunt mai jos.
Aveți nevoie de o politică de confidențialitate? Generatorul nostru de politici de confidențialitate vă va ajuta să creați o politică personalizată pe care o puteți utiliza pe site-ul dvs. web și pe aplicația mobilă. Urmați doar acești câțiva pași simpli:
- Click pe „Începeți să vă creați politica de confidențialitate” pe site-ul nostru.
- Selectați platformele unde va fi folosită politica dvs. de confidențialitate și treceți la pasul următor.
- Adăugați informații despre afacerea dvs.: site-ul dvs. web și/sau aplicația.
- Selectați țara:
- Răspundeți la întrebările din asistentul nostru legate de tipul de informații pe care le colectați de la utilizatorii dvs.
-
Introduceți adresa de e-mail la care doriți să vi se trimită Politica de confidențialitate și faceți clic pe „Generate”.
Și ați terminat! Acum puteți să copiați sau să creați un link către Politica de confidențialitate găzduită.
- Ce este confidențialitatea prin proiectare?
- Cele 7 principii ale confidențialității prin proiectare
- Privacy by Design: Cui se adresează?
- Ce se întâmplă dacă GDPR nu se aplică afacerii mele?
- Cum să implementați confidențialitatea prin proiectare: Article 25 Checklists
- Lista de verificare a sistemelor
- Lista de verificare a proceselor
- Lista de verificare a gestionării riscurilor
- Privacy by Design este o bună practică
Ce este confidențialitatea prin proiectare?
Cea mai elementară explicație a confidențialității prin proiectare este puțin mai mult decât „protecția datelor prin proiectarea tehnologiei.”
În esență, înseamnă că trebuie să integrați caracteristicile de protecție a datelor și de confidențialitate în ingineria, practicile și procedurile sistemului dumneavoastră. Nu ar trebui să fie o gândire ulterioară sau un supliment la procesele sau infrastructura dumneavoastră.
Un mod de a o descrie este prin conturarea a ceea ce nu este Privacy by Design. De exemplu, dacă sunteți un individ care navighează pe internet, nu contează dacă folosiți un VPN și un firewall pentru a vă proteja calculatorul dacă folosiți, de asemenea, parola: „parola123” pe fiecare cont în parte. Un VPN nu va compensa utilizarea unor parole slabe. Trebuie să integrați confidențialitatea la fiecare nivel și apoi puteți adăuga funcții de securitate suplimentare, cum ar fi un VPN.
Ce înseamnă acest lucru în practică pentru întreprinderi? Câteva exemple de confidențialitate prin proiectare includ:
- Realizarea unei evaluări a impactului asupra protecției datelor (DPIA) înainte de a utiliza informațiile personale în orice mod
- Furnizarea detaliilor de contact ale responsabilului cu protecția datelor (DPO) sau ale altei părți responsabile
- Scrierea unei politici de confidențialitate ușor de citit și actualizată
Chiar și așa, confidențialitatea prin proiectare merge mult mai departe de atât și are impact asupra aproape fiecărui domeniu al utilizării tehnologiei și al prelucrării datelor dumneavoastră. Aceste exemple nu fac decât să demonstreze câteva dintre modalitățile prin care puteți inginera confidențialitatea în procesele dumneavoastră.
Cele 7 principii ale confidențialității prin proiectare
Există șapte principii în conceptul de confidențialitate prin proiectare și fiecare dintre ele este la fel de important ca și următorul. Aceste principii sunt:
- Proactiv, nu reactiv/Preventiv, nu remedial
- Privacy as the Default
- Privacy Embedded into Design
- Funcționalitate completă
- End-to-End Security
- Vizibilitate și transparență
- Respect pentru confidențialitatea utilizatorului
Să începem cu principiul 1: Proactivitate, nu reactivitate/Prevenție, nu remediere.
Primul principiu susține că confidențialitatea datelor trebuie să apară la începutul procesului de planificare. Dacă practica dvs. de securitate constă în a stinge incendii și a face față încălcărilor, atunci sunteți reactivi. Acesta stabilește nucleul filozofic al restului principiilor.
Principiul 2 Confidențialitatea ca setare implicită este poate cel mai dificil principiu pe care companiile îl înțeleg cel mai bine. Acesta susține că viața privată trebuie să fie în prim-planul a ceea ce faceți. Aceasta înseamnă că trebuie să restricționați partajarea, să folosiți minimizarea datelor, să ștergeți datele pe care nu le mai folosiți și să operați întotdeauna pe o bază legală. Înseamnă, de asemenea, utilizarea funcțiilor și a garanțiilor de tip opt-in și opt-out pentru datele consumatorilor.
În Principiul 3, ideea este că viața privată trebuie să își găsească un loc în designul sau atât în arhitectura, cât și în activitatea dumneavoastră. Cu alte cuvinte, confidențialitatea este o funcționalitate de bază a produsului. Ar trebui să folosiți criptarea, autentificarea și să testați în mod regulat vulnerabilitățile. Nu contează dacă procesul dvs. funcționează așa cum ar trebui; are un defect de proiectare dacă există o vulnerabilitate de securitate.
Principiul 4 pune în evidență faptul că nu există niciun motiv să vă fie frică de Privacy by Design. Dacă sacrificați funcționalitatea pentru confidențialitate, atunci o faceți greșit. Este mai degrabă o schimbare de cultură care necesită un echilibru între creștere și securitate.
În cadrul principiului securității de la un capăt la altul (#5), există un argument conform căruia protecția confidențialității urmează datele pe tot parcursul ciclului de viață, de la colectare până la ștergere/arhivare. Criptarea și autentificarea sunt standardul în fiecare etapă, dar trebuie să mergeți mai departe în alte etape. De exemplu, ar trebui să colectați doar datele de care aveți nevoie și pentru care aveți un temei juridic. Iar când terminați cu datele, ar trebui să folosiți metode de ștergere/distrugere conforme cu GDPR pentru o protecție de la un capăt la altul.
În penultimul Principiu 6 Vizibilitate și transparență, aflați că confidențialitatea nu este doar de dragul confidențialității. Persoanele vizate ar trebui să știe despre practicile dvs. de confidențialitate (și de prelucrare) și ar trebui să le împărtășiți în mod deschis. Principiul pledează în favoarea unei politici de confidențialitate bine scrise, care este esențială dacă vă aflați sub jurisdicția GDPR sau a unei alte legi precum CalOPPA, oricum. De asemenea, susține că trebuie să existe un mecanism prin care persoanele vizate să își exprime nemulțumirile, să pună întrebări și să ceară schimbări.
În cele din urmă, principiul 7 susține că totul trebuie să rămână centrat pe utilizator. Aceasta înseamnă recunoașterea faptului că, chiar dacă dețineți datele, acestea aparțin consumatorului de la care le-ați colectat. Persoana vizată își poate acorda și retrage consimțământul pentru utilizarea de către dvs. a datelor sale – nu invers.
Privacy by Design: Cui se adresează?
Privacy by Design este pentru toată lumea, dar este deosebit de important pentru afacerea dvs. dacă sunteți un operator de date care intră în domeniul de aplicare al GDPR.
GDGPR cuprinde și menționează Privacy by Design în articolul 25. Cu toate acestea, legislația nu numește măsurile exacte care trebuie luate dincolo de caracteristici precum pseudonimizarea sau criptarea și anonimizarea. În schimb, GDPR dorește ca funcțiile de confidențialitate să fie rezonabile și adecvate atât pentru procesele pe care le utilizați, cât și pentru datele pe care le colectați.
Articolul 25 alineatul (2) spune în mod explicit:
„Operatorul ar trebui să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării.”
Articolul 25 face apoi trimitere la articolul 42 și descrie măsurile de certificare pentru mai multă claritate cu privire la conformitate.
La publicare, RGPD nu a inclus claritate cu privire la ceea ce ar fi măsurile de certificare și cine sunt organismele de certificare. În februarie 2019, Comisia Europeană a publicat studiul privind articolele 42 și 43 (organismele de certificare). Puteți citi raportul complet aici.
Ce se întâmplă dacă GDPR nu se aplică afacerii mele?
Inclusiv dacă nu veți respecta sau nu trebuie să respectați GDPR, Privacy by Design este în continuare o idee bună pentru afacerea dumneavoastră.
Implementarea Privacy by Design reflectă o înțelegere a valorii informațiilor personale atât pentru afacerea dumneavoastră, cât și pentru clienții dumneavoastră. Recunoaște că intimitatea și controlul personal asupra datelor este o libertate importantă și este una pe care legea nu numai că o reflectă din ce în ce mai mult, dar și pe care trebuie să o susțineți pe cont propriu în cadrul pieței.
Dacă credeți că oamenii nu sunt atât de îngrijorați de confidențialitatea consumatorilor, gândiți-vă din nou. Un sondaj realizat de ExpressVPN a constatat că 71% dintre oameni sunt îngrijorați de modul în care comercianții le colectează și le utilizează datele.
Și 68% dintre utilizatorii americani de internet au declarat că ar susține o reglementare asemănătoare GDPR în Statele Unite.
Abordarea confidențialității dintr-o perspectivă de gândire a designului asigură faptul că aceasta face parte integrantă din operațiunile dvs. de la planificare până la execuție. Vă permite să vă pregătiți afacerea pentru viitor atât din perspectiva clienților, cât și din cea a reglementărilor.
Cum să implementați confidențialitatea prin proiectare: Article 25 Checklists
Articolul 25 este notoriu de vag, dar rigurozitatea este totuși importantă atât pentru protecția împotriva amenințărilor, cât și împotriva amenzilor GDPR. Indiferent dacă administrați un site web, o aplicație sau un produs SaaS, Privacy by Design trebuie să aibă loc:
- În faza de proiectare
- În tot ciclul său de viață
- Între angajarea de la un capăt la altul
- După angajare
- După ce site-ul/aplicația dvs. se desființează
GDGPR solicită „măsuri tehnice și organizaționale” precum criptarea și pseudonimizarea, dar acesta nu este începutul și sfârșitul Privacy by Design. Din păcate, GDPR în sine nu oferă o listă de verificare. Trebuie să vă puneți propriile întrebări și să oferiți propriile răspunsuri cu puține indicații din partea legii sau a considerentelor sale.
Un mod util de a descompune implementarea Privacy by Design este să o urmăriți în trei părți: sisteme, procese și gestionarea riscurilor.
Lista de verificare a sistemelor
Privacy by Design începe cu sistemele existente. Pentru că începe de la început, de acolo începe lista dvs.
Pentru a încorpora confidențialitatea în sistemele dumneavoastră, ar trebui să începeți cu următoarele puncte (cel puțin):
- Având un angajament organizațional documentat față de standardele de protecție a datelor (inclusiv în cultura corporativă, practicile de afaceri și serviciile de afaceri)
- Numirea unui responsabil cu protecția datelor (DPO), dacă este cazul, sau utilizarea unui consilier în domeniul protecției datelor (cazuri care nu țin de RGPD)
- Stabilirea unui cadru de protecție a datelor (inclusiv criptarea și anonimizarea)
- Crearea și documentarea unui sistem de păstrare a înregistrărilor pentru activitățile de prelucrare
- Identificarea unui sistem de gestionare a riscurilor (inclusiv gestionarea conformității)
- Actualizarea formării în materie de confidențialitate pentru angajații care manipulează date cu caracter personal (atât pentru clienți, cât și pentru alți angajați)
- Utilizarea autoevaluare pentru auditarea și monitorizarea implementării sistemelor documentate de mai sus
- Stabilirea măsurilor de securitate utilizate pentru evitarea incidentelor și a încălcărilor
Cu respectarea acestei liste de verificare, veți fi mai bine pregătit pentru a vă proiecta apoi procesele de date.
Lista de verificare a proceselor
Cel mai mare accent al activității dvs. de Privacy by Design și de conformitate cu GDPR are loc în secțiunea de procese, dar nu funcționează fără a începe mai întâi în sistemele dvs.
Elementele de pe lista dvs. includ:
- Alocarea responsabilităților de păstrare a porții (IT, juridic, achiziții etc.)
- Identificarea riscurilor de confidențialitate în toate procesele dumneavoastră
- Documentarea prelucrării datelor (utilizând sistemul de păstrare a înregistrărilor conceput în Lista de verificare a sistemelor)
- Utilizarea DPIA-urilor, a evaluărilor de risc și de conformitate înainte de colectarea datelor pentru utilizare sau stocare
- Adăugarea de controale de confidențialitate, cum ar fi un Centru de confidențialitate, care permit persoanelor vizate să aibă acces la datele lor cu caracter personal în condițiile lor
- Implementarea măsurilor din Lista de verificare a sistemelor de mai sus
Lista de verificare a gestionării riscurilor
Inclusiv dacă integrați confidențialitatea în proiectarea proceselor dumneavoastră, tot trebuie să gestionați riscurile pe tot parcursul ciclului de viață al datelor. Gestionarea riscurilor începe la nivelul sistemelor și se continuă în procesare.
Ar trebui să fiți capabil să:
- Descrieți scopul prelucrării (baza legală)
- Identificați măsurile care împiedică prelucrarea datelor în alte scopuri decât cele de mai sus
- Monitorizați măsurile de minimizare a datelor și implementați controale adecvate (minimizare suplimentară, anonimizare, și pseudonimizare)
- Identificați măsurile utilizate pentru a asigura acuratețea datelor
- Denumiți și documentați persoanele și echipele care au acces la date
- Descrieți controalele pentru accesul la date
- Crearea acordurilor de prelucrare a datelor (DPA) și revizuirea acestora cu fiecare terțparte împuternicită de procesator
- Monitorizați practicile de securitate implementate
- Identificați sursa de informare și de notificare a persoanelor vizate cu privire la prelucrarea datelor
- Scrieți procesul urmat în caz de încălcare a securității și a datelor (în conformitate cu normele de notificare din RGPD)
- Implementați măsurile din ambele liste de verificare a sistemelor și proceselor de mai sus
Amintiți-vă principiile articolului 25 din RGPD atunci când aplicați listele de verificare.
Articolul 25 alineatul (1) include următoarele obligații și limitări care trebuie luate în considerare:
- Starea actuală a tehnicii (nu uitați că aceasta se schimbă)
- Costul de punere în aplicare
- Natura, domeniul de aplicare, contextul și scopurile prelucrării
- Riscuri de probabilitate și gravitate diferite pentru drepturile și libertățile persoanelor fizice
- Măsuri tehnice și organizatorice adecvate
Toate acestea contribuie la cele mai bune practici pentru Privacy by Design fără a le face inaccesibile pentru IMM-uri și pentru cei care nu iau parte la activități de prelucrare care vin cu riscuri semnificative.
Cu alte cuvinte, nu este nevoie să cheltuiți milioane de euro pe un sistem de securitate pentru a colecta doar adrese de e-mail și a trimite un buletin informativ. Practica dvs. ar trebui să fie adecvată la natura, domeniul de aplicare, contextul, scopurile și riscurile trimiterii unui buletin informativ. Dacă sunteți Deutschebank, atunci este o altă poveste.
Privacy by Design este o bună practică
Chiar dacă trebuie sau nu să vă conformați cu GDPR, Privacy by Design este considerat în prezent o bună practică pentru toate organizațiile care se angajează în procesarea datelor, indiferent cât de mari sau mici sunt acestea.
Privacy by Design înseamnă să luați în considerare confidențialitatea de la începutul unui proiect și să o integrați în sistemele și operațiunile dumneavoastră. Nu este o practică sau un instrument de securitate care să fie adăugat ulterior. Să o faci corect înseamnă să încurajezi o cultură organizațională dedicată recunoașterii și respectării valorii datelor cu caracter personal, atât pentru compania dumneavoastră, cât și pentru clienții dumneavoastră.
Listele de verificare de mai sus vă vor ajuta să implementați Privacy by Design în compania dumneavoastră. Dar nu uitați că GDPR dorește, de asemenea, să luați în considerare aspecte cum ar fi costul implementării, natura și domeniul de aplicare a prelucrării și riscurile cu care se confruntă clienții dvs. în cazul unei încălcări.
În conformitate cu GDPR, Privacy by Design este realizabil pentru toate întreprinderile, așa că nu există nicio scuză pentru a nu începe.