Privacy by default

Петро Білик

керівник практики Технологій та Інвестицій Juscutum

‍

До нас часто звертаються з питанням: «Коли почати впроваджувати захист персональних даних?». І наша рекомендація завжди – з самого початку, адже в цьому і полягає принцип Privacy by design and by default, про який і піде мова в цій статті.

Зі збільшенням кількості особистої інформації, що збирається та обробляється компаніями та організаціями, важливість приватності збільшилась, ніж будь-коли раніше. Уряди в усьому світі визнали це та прийняли різні закони та правила для захисту приватності особи. Однією з таких концепцій, яка набула популярності в останні роки, є ідея Privacy by design and by default, закріплена статтею 25 загального регламенту захист персональних даних (далі GDPR).

Що таке Privacy by default?

Privacy by default (захист даних з самого початку) — це принцип, який вимагає від компаній розробляти свої продукти та послуги із застосуванням заходів захисту даних з самого початку, за замовчуванням, без будь-яких додаткових дій з боку користувача (суб’єкта персональних даних).

Юридичні вимоги до Privacy by default:

Privacy by default має значні правові наслідки. У багатьох країнах захист даних, приватнісь є фундаментальним правом особи, і компанії мають зобов’язання захищати приватність осіб, право на недоторканність особистого життя. Недотримання цієї вимоги може призвести до значних юридичних наслідків, зокрема штрафів і шкоди репутації.

Загальний регламент захисту даних (GDPR) вимагає від компаній і організацій впровадити відповідні технічні та організаційні заходи для забезпечення захисту персональних даних за замовченням (стаття 25 GDPR). Це включає такі заходи, як:

1. Псевдонімізувати дані (процедура управління даними та деідентифікація)  

2. Мінімізувати дані, які збираються

3. Забезпечити прозорість обробки персональних даних

4. Інтегрувати необхідні засоби захисту даних, шифрування

5. Обробляти лише персональні дані, необхідні для кожної конкретної мети обробки

6. Мати законні підстави для обробки

7. Обмежити строк зберігання даних

8. Обмежити доступ до даних третіх осіб 

9. Забезпечити дотримання інших вимог, передбачених GDPR

З чого почати:

Якщо ви тільки починаєте розробляти продукт, поставьте наступні питання перед своєю командою:

1. Які дані ми будемо збирати?

2. Які можуть бути потенційні ризики до захисту персональних даних?

3. Як ми будемо повідомляти користувача про обробку його даних?

4. Як захистити зібрані від користувача дані?

5. Як забезпечити контроль користувача над своїми даними?

Все це включає і розміщення Політики обробки персональних даних (Privacy Notice) і редагування, видалення персональних даних, можливість обрання тих даних які збираються і можливість звернення до компанії з питань захисту даних.

Значення Privacy by default:

Privacy by default важлива з кількох причин:

1. Цей принцип покладає відповідальність за захист персональних даних на компанії з самого початку

2. Це гарантує, що користувачам не потрібно робити жодних додаткових кроків для захисту своєї приватності та персональних даних

3. Сприяє довірі між користувачами та компаніями

Коли люди знають, що їхня конфіденційність захищена за замовчуванням, вони, швидше за все, довірятимуть компанії. Досить просто згадати рекламний слоган Apple: “Приватність – це iPhone”.

Що відбувається, якщо не дотримуватися даного принципу:

Як показує досвід, деякі компанії ігнорують цей принцип, що може мати серйозні наслідки.

Прикладом такої компанії є Uber, яка побудувала застосунок, який слідкував за особистими даними користувачів без їх згоди, навіть після видалення додатку. Це призвело до серйозних проблем з безпекою даних та порушень приватності, оскільки користувачі не мали контролю над тим, як їхні дані збираються та використовуються.

Протягом всього часу існування Uber зазнавала неодноразового витоку даних, останні з яких відбулися у 2022 році. Це підкреслює важливість дотримання принципу Privacy by default, щоб запобігти подібним ситуаціям.

Окрім того, порушення принципу Privacy by default може призвести до суттєвих фінансових витрат для компаній. Штрафи можуть складати до 20 мільйонів євро або 4% від річного обігу компанії. Отже, дотримання принципу Privacy by default є важливою складовою будь-якої компанії.  

Висновок:

Privacy by default — це концепція, яка стає все більш важливою в епоху цифрових технологій. Це принцип, який вимагає від компаній розробляти свої продукти та послуги із застосуванням заходів захисту даних з самого початку. Це важливо, оскільки це гарантує користувачам, що їм не потрібно вживати жодних додаткових заходів для захисту своєї інформації, і сприяє довірі між користувачами та компаніями. Компанії, які не запровадять заходи забезпечення Privacy by default, можуть зіткнутися зі значними правовими наслідками, зокрема штрафами та репутаційною шкодою.