Privacy by design что это
Privacy by Design, или Принцип спроектированной приватности (ст. 25 GDPR) – есть статья, но не было санкции?
Как правило, нарушение принципа спроектированной приватности при создании приложения влечет за собой и другие нарушения: например, прав субъектов или принципа минимизации данных, а за это полагаются серьезные санкции. И получалось, что надзорные органы ссылались не на 25 статью.
Год назад был обнаружен первый прецедент, где Национальный надзорный орган в области защиты персональных данных Румынии сослался на 1 параграф 25 статьи. Подразделение банка Unicredit в Румынии было уличено в нарушении принципов Privacy by Design. Они спроектировали систему платежей таким образом, что раскрыли персональные данные сотен тысяч своих клиентов.
Официальное сообщение Румынского надзорного органа гласило, что 337 тысяч субъектов персональных данных, которые осуществляли платежи из Unicredit, либо платежи, где данный банк выступал посредником, фактически поделились лишней информацией с получателями.
Например, вы осуществляете перевод через онлайн-банкинг в адрес какого-либо лица и, конечно, вы бы не хотели раскрывать получателю свой адрес проживания или номер мобильного телефона (то есть, избыточные персональные данные).
Идентификационный номер раскрывался в выписках — эта информация была получена всеми бенефициарами этих платежей. Как итог, произошло раскрытие персональных данных, а значит, была нарушена и статья 5 — принцип минимизации данных. Тем не менее, надзорный орган пришел к мнению, что здесь, в первую очередь, плохо сработали инженеры и системные администраторы, проектирующие данную систему и передавшие лишние сведения бенефициарам.
Это решение о штрафе в 130 000 евро, наверняка не является двумя процентами от оборота румынского подразделения Unicredit, но это довольно серьезное предупреждение в адрес финансовых организаций, IT-компаний, которые выступают в качестве подрядчиков, разрабатывающих программное обеспечение для подобных учреждений.
Игнорировать принципы Privacy by Design (спроектированной приватности) нельзя. Руководством по данном вопросу может стать мануал 2014 года, разработанный Европейским агентством в области информационной и сетевой безопасности, а также чек-листы Норвежского надзорного органа.
Для тех, у кого мало времени на реализацию подобных решений приватности, лучше не ждать, пока технические специалисты смогут хорошо разобраться в этой теме самостоятельно, а отправить их на соответствующее обучение.
Мы готовим второй тренинг по спроектированной приватности 28-29 октября 2021 года (первый состоялся в апреле 2021). Privacy by Design — это уникальный мастер-класс Марии Арнст, CIPP/E, CIPM, TÜV, Strategic Privacy by Design.
Присоединившись к курсу, вы узнаете как:
Мы подготовили для видео, в котором подробно рассказываем о штрафах по GDPR за нарушение Privacy by Design.
Подход Cavoukian к конфиденциальности подвергался критике как расплывчатый, сложный для обеспечения его принятия, сложный для применения в определенных дисциплинах, а также за то, что корпоративные интересы ставятся выше интересов потребителей и уделяется недостаточное внимание минимизации сбора данных.
Европейское регулирование GDPR предусматривает конфиденциальность.
СОДЕРЖАНИЕ
История и предыстория
В 2010 году эта структура получила международное признание, когда Международная ассамблея уполномоченных по вопросам конфиденциальности и органов по защите данных единогласно приняла резолюцию о конфиденциальности по дизайну, признав ее в качестве международного стандарта на своей ежегодной конференции. Среди прочего, члены комиссии приняли решение продвигать конфиденциальность посредством дизайна как можно шире и способствовать включению этого принципа в политику и законодательство.
Глобальное использование
Основополагающие принципы
Конфиденциальность по дизайну основана на семи «основополагающих принципах»:
Подробно об основополагающих принципах
Проактивный, а не реактивный; профилактический, а не лечебный
Конфиденциальность по умолчанию
Конфиденциальность встроена в дизайн
Конфиденциальность по дизайну встроена в дизайн и архитектуру ИТ-систем, а также в бизнес-практику. Постфактум он не закреплен как надстройка. В результате конфиденциальность становится важным компонентом предоставляемых основных функций. Конфиденциальность является неотъемлемой частью системы без ущерба для ее функциональности.
Конфиденциальность по дизайну направлена на удовлетворение всех законных интересов и целей с использованием принципа «выигрыш и выигрыш» с положительной суммой, а не с помощью устаревшего подхода с нулевой суммой, когда приходится идти на ненужные компромиссы. Конфиденциальность по замыслу позволяет избежать ложной дихотомии, такой как конфиденциальность и безопасность, демонстрируя, что возможно и то, и другое.
Конфиденциальность по замыслу стремится заверить все заинтересованные стороны в том, что независимо от используемой деловой практики или технологии, она на самом деле работает в соответствии с заявленными обещаниями и целями и подлежит независимой проверке. Его составные части и операции остаются видимыми и прозрачными как для пользователей, так и для поставщиков. Помните, доверяйте, но проверяйте.
Прежде всего, конфиденциальность по замыслу требует, чтобы архитекторы и операторы уделяли первостепенное внимание интересам отдельных лиц, предлагая такие меры, как строгие настройки конфиденциальности по умолчанию, соответствующее уведомление и предоставление удобных для пользователя вариантов. Держите его ориентированным на пользователя.
Дизайн и стандарты
Совет по стандартам Канады (SCC) является одним из участвующих членов и учредил зеркальный канадский комитет ISO / PC317.
Технический комитет OASIS Privacy by Design Documentation for Software Engineers (PbD-SE) предоставляет спецификацию, позволяющую реализовать конфиденциальность посредством дизайна в контексте разработки программного обеспечения. Конфиденциальность по замыслу, как и безопасность по замыслу, является нормальной частью процесса разработки программного обеспечения и является стратегией снижения рисков для разработчиков программного обеспечения. Спецификация PbD-SE переводит принципы PbD в соответствие требованиям в рамках задач разработки программного обеспечения и помогает командам разработчиков программного обеспечения создавать артефакты в качестве доказательства соблюдения принципа PbD. Следование спецификации облегчает документирование требований к конфиденциальности от концепции программного обеспечения до вывода на пенсию, тем самым обеспечивая план соблюдения конфиденциальности посредством принципов проектирования и другие рекомендации по передовым методам обеспечения конфиденциальности, такие как приложение J NIST 800-53 (NIST SP 800-53). и Принципы честной информационной практики (FIPP) (PMRM-1.0).
Связь с технологиями повышения конфиденциальности
Технологии повышения конфиденциальности позволяют онлайн-пользователям защищать конфиденциальность своей личной информации (PII), предоставляемой (и обрабатываемой) службам или приложениям. Конфиденциальность по замыслу эволюционировала с учетом более широких систем и процессов, в которые были встроены и эксплуатировались ПЭТ. Центр демократии и технологий США (CDT) в статье «Роль конфиденциальности по дизайну в защите конфиденциальности потребителей» отличает ПЭТ от конфиденциальности по дизайну, отмечая, что «ПЭТ наиболее полезны для пользователей, которые уже понимают риски конфиденциальности в Интернете. Они являются важными инструментами расширения прав и возможностей пользователей, но они составляют лишь часть более широкой структуры, которую следует учитывать при обсуждении того, как технологии могут использоваться для защиты конфиденциальности ».
Критика и рекомендации
Концепция конфиденциальности по дизайну вызвала научные дебаты, особенно после решения Комиссии по международным данным 2010 года, в котором содержится критика конфиденциальности по дизайну с предложениями юридических и технических экспертов, чтобы лучше понять, как применять эту структуру в различных контекстах.
Конфиденциальность по замыслу критиковалась как «расплывчатая», оставляющая «много открытых вопросов об их применении при проектировании систем».
Также отмечалось, что конфиденциальность по своему замыслу аналогична схемам добровольного соблюдения требований в отраслях, влияющих на окружающую среду, и, таким образом, не имеет необходимых навыков, чтобы быть эффективной, и может отличаться в зависимости от компании. Кроме того, эволюционный подход, применяемый в настоящее время к разработке концепции, будет происходить за счет нарушения конфиденциальности, поскольку эволюция подразумевает также сохранение непригодных фенотипов (продуктов, нарушающих конфиденциальность) до тех пор, пока они не будут признаны непригодными. Некоторые критики отмечают, что определенные бизнес-модели построены на слежке за клиентами и манипулировании данными, и поэтому добровольное соблюдение требований маловероятно.
В 2011 году Датское национальное агентство по информационным технологиям и телекоммуникациям опубликовало в качестве дискуссионного документа «Новые модели цифровой безопасности», в которой «Конфиденциальность по дизайну» упоминается в качестве ключевой цели в создании модели безопасности, соответствующей «Конфиденциальности по дизайну». Это достигается путем расширения концепции до «Security by Design» с целью уравновешивания анонимности и наблюдения за счет максимального исключения идентификации.
Другая критика заключается в том, что текущие определения конфиденциальности по дизайну не затрагивают методологический аспект системной инженерии, например, использование достойных методов системной инженерии, например, тех, которые охватывают всю систему и жизненный цикл данных. Концепция также фокусируется не на роли фактического держателя данных, а на роли разработчика системы. Эта роль не известна в законе о конфиденциальности, поэтому концепция конфиденциальности по дизайну не основана на законе. Это, в свою очередь, подрывает доверие субъектов данных, владельцев данных и лиц, определяющих политику.
Появление GDPR с максимальным штрафом в 4% от мирового оборота теперь обеспечивает баланс между выгодой для бизнеса и оборотом и устраняет критику добровольного соблюдения требований и требование Рубинштейна и Гуда о том, что «регулирующие органы должны делать больше, чем просто рекомендовать принятие и внедрение конфиденциальности. по дизайну». Рубинштейн и Гуд также подчеркнули, что конфиденциальность по дизайну может привести к созданию приложений, которые служат примером Privacy by Design, и их работа была хорошо принята.
В опубликованном в мае 2018 г. документе европейского надзорного органа по защите данных Джованни Буттарелли « Предварительное заключение о конфиденциальности по дизайну» говорится: «Хотя конфиденциальность по замыслу добилась значительного прогресса в юридическом, технологическом и концептуальном развитии, она все еще далека от полного раскрытия своего потенциала для защиты основные права человека. В следующих разделах этого заключения дается обзор соответствующих событий и рекомендуются дальнейшие усилия «.
Резюме содержит следующие рекомендации институтам ЕС:
Реализация конфиденциальности по дизайну
Privacy by design и privacy by default (спроектированная защита данных и конфиденциальность по умолчанию по GDPR)
В мае 2018 года вступил в силу новый закон о защите персональных данных – General Data Protection Regulation или Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее GDPR), который предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, защита которых является фундаментальным правом в Европейском союзе. Статья 25 GDPR требует от компаний создания систем со встроенной защитой персональных данных и систем конфиденциальности по умолчанию — privacy by design и privacy by default. В настоящем материале мы разберем эти понятия.
Текст статьи 25 Регламента на английском и на русском:
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
1. Принимая во внимание состояние развития науки и техники, расходы на внедрение, характер, объем, особенности и цели обработки, а также вероятностное возникновение рисков и опасности для прав и свобод физических лиц в результате обработки, контролер должен как во время определения средств обработки, так и во время самой обработки внедрить соответствующие технические и организационные меры, например, псевдонимизацию, которые предназначены для эффективной реализации принципов защиты данных, например, минимизации данных, и для интегрирования необходимых гарантий в обработку в целях выполнения требований настоящего Регламента и защиты прав субъектов данных.
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.
2. Контролер должен внедрить соответствующие технические и организационные меры для обеспечения того, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки. Указанная обязанность применяется в отношении большого количества собранных персональных данных, объема их обработки, срока их хранения и возможности доступа к ним. В частности, указанные меры должны гарантировать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному количеству физических лиц без участия отдельного лица.
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.
3. Утвержденный сертификационный механизм согласно Статье 42 может использоваться в качестве элемента для подтверждения соблюдения требований, установленных в параграфах 1 и 2 настоящей Статьи.
Это означает, что контролер данных обязуется встроить систему защиты данных во все бизнес-процессы (в том числе в процессы разработки продукта или сервиса) на раннем этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Встроенная защита данных по своему замыслу — это обязанность заблаговременно предусмотреть защиту персональных данных во всех действиях, начинаниях и решениях компании. Например, при создании мобильного приложения необходимо проанализировать и предупредить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками до написания кода.
Согласно философии privacy by design, лучший способ снизить риски, связанные с конфиденциальностью, — это, в первую очередь, не создавать их.
Privacy by default
Конфиденциальность по умолчанию подразумевает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Настройки по сохранению конфиденциальности и соответственно защите его персональных данных установлены по умолчанию. Контролеры не должны автоматически полагать, что пользователь дает согласие на обмен данными. Сбору подлежат только те данные, которые необходимы для достижения конкретных целей обработки. Для обеспечения такой конфиденциальности по умолчанию контролеры должны имплементировать соответствующие технические и организационные меры.
У сайта в профиле пользователя не должен быть автоматически отмечен чекбокс о согласии пользователя на передачу его данных третьим лицам. Пользователь должен сам отметить этот чекбокс, тем самым выразить явное согласие (см. о явном согласии ст. Статьи 4(11), 6(1)(a), 7 GDPR). Или, например, при сборе данных, необходимых для регистрации пользователя, приложение не должно требовать от пользователя предоставления данных, не являющихся необходимыми для регистрации.
Чем меньше данных компания собирает и обрабатывает, тем меньше риск нарушения GDPR.
История privacy by design, privacy by default
По мнению Европейского контролера по защите данных (European Data Protection Supervisor, далее EDPS), термины «встроенная конфиденциальность» и «конфиденциальность по умолчанию» были разработаны в 1990-х годах Энн Кавукян (Ann Cavoukian), специальным уполномоченным по информации и защите персональных данных в канадской провинции Онтарио. В 2009 году она опубликовала документ «Встроенная конфиденциальность: 7 основополагающих принципов», в котором объясняет, что «встроенная конфиденциальность» означает, что компании должны активно рассматривать вопросы конфиденциальности на протяжении всего жизненного цикла данных, начиная с фазы проектирования. Такая «защита всего жизненного цикла» (“Full Lifecycle Protection”) гарантирует, что все данные надежно сохраняются, а затем надежно своевременно уничтожаются. Таким образом, privacy by design обеспечивает непрерывное и безопасное управление жизненным циклом данных, от начала до завершения обработки. В соответствии с этими принципами эта защита может и должна действовать без ущерба для функциональности бизнеса или системы.
EDPS объясняет, что этот параметр по умолчанию означает, что субъект данных не должен нести бремя защиты своих данных при использовании каких-либо услуг или продуктов. Право на неприкосновенность частной жизни будет защищаться «автоматически» в качестве настройки по умолчанию.
Принципы privacy by design и privacy by default, разработанные Кавукян, вскоре были приняты европейскими законодателями как стандарт в области защиты персональных данных.
Проект рекомендаций European Data Protection Board от 13 ноября 2019 года
13 ноября 2019 года независимый орган по защите персональных данных на европейском уровне European Data Protection Board (Европейский совет по защите персональных данных, далее EDPB) опубликовал проект рекомендаций по применению статьи 25 GDPR о встроенной системе конфиденциальности. Эта версия не финальная, EDPB принимает комментарии от любых заинтересованных лиц до 16 января 2020 года, после чего с учетом таких комментариев публикует финальную версию рекомендаций. Рекомендации не имеют силы закона, но несмотря на их ненормативный характер, регуляторы по защите данных в странах ЕС и компании следуют им.
Ниже перечислены основные моменты этих рекомендаций, которые помогут правильно толковать, понимать требования статьи 25 GDPR.
1. Privacy by design
4. Сертификация в соответствии со статьей 42 GDPR может также использоваться, чтобы показать соответствие принципам privacy by design и privacy by default, и обеспечить конкурентное преимущество на рынке поставщиков. Важно добавить, что существуют рекомендации по сертификации в отношении ст 42, 43 GDPR, также разработанные EDPB.
5. В рекомендациях также даны практические примеры по важным элементам privacy by design, privacy by default: прозрачность, законность, добросовестность, ограничение цели, точность, ограничение хранения, целостность и конфиденциальность.
Например, к элементу “точность” EDPB представил следующую ситуацию и потенциальное ее решение:
Контролер — это медицинское учреждение, которое ищет способы обеспечения целостности и точности персональных данных в своих клиентских регистрах. В ситуациях, когда два человека прибывают в учреждение одновременно и получают одинаковое лечение, существует риск ошибки, если единственным параметром, различающим их, является имя. Для обеспечения точности контроллеру необходим уникальный идентификатор для каждого человека и, следовательно, больше информации, чем просто имя клиента. Учреждение использует несколько систем, содержащих личную информацию клиентов, и должно гарантировать, что информация, относящаяся к клиенту, является правильной, точной и согласованной во всех системах в любой момент времени. Было выявлено несколько рисков, которые могут возникнуть, если информация изменилась в одной системе, но не в другой. Чтобы снизить риски, контроллер решает использовать метод хеширования для обеспечения целостности данных в записях о лечении. Неизменяемые хэш-подписи создаются для записей лечения и связанного с ними сотрудника, чтобы любые изменения можно было распознать, сопоставить и отследить при необходимости.
Как было указано выше, это не финальная версия рекомендаций, поэтому необходимо следить за обновлением с учетом комментариев заинтересованных лиц.
Большой штраф по ст. 25 GDPR
30 октября 2019 года немецкая риэлторская компания Deutsche Wohnen SE была оштрафована на сумму 14,5 миллионов евро за неправильное хранение данных как раз со ссылкой на статью 25 (1) GDPR. Компания использовала систему архивирования для хранения персональных данных арендаторов, не обеспечивающую возможность удаления уже ненужных данных. Персональные данные арендаторов хранились без проверки на предмет допустимости дальнейшего их хранения. Таким образом, было возможно получить доступ к личным данным, которые хранились годами, когда как они уже не служили целям их первоначального сбора. Хранились данные о личном и финансовом положении арендаторов, справки о заработной плате, формы о раскрытии информации (self-disclosure forms), выписки из трудовых договоров и договоров об обучении, данные о налогах, социальном обеспечении и медицинском страховании, а также выписки с банковского счета.
Максимальный штраф за нарушение статьи 25 (1) GDPR составляет 10 миллионов евро или 2% мирового оборота. Штраф в размере 14,5 млн евро был рассчитан с использованием руководств, ранее опубликованных BBDI (Немецкий орган по защите данных, Berliner Beauftragte für Datenschutz und Informationsfreiheit).
На этом сайте (GDPR Enforcement Tracker) можно следить за штрафами и санкциями, которые налагаются в Евросоюзе в рамках GDPR.
Статья 25 GDPR накладывает значительное бремя на обеспечение встроенной защиты персональных данных и конфиденциальности по умолчанию. Для соблюдения требований этой нормы и во избежание крупных штрафов контролеры должны проанализировать, как, где и когда они обрабатывают информацию, и обеспечить, чтобы право на неприкосновенность частной жизни учитывалось на каждом этапе обработки, начиная с проектирования продукта/услуги, нового бизнес-процесса. Это должно включать следующее:
Privacy by Design. 7 основополагающих принципов (Энн Кавукиан (Ann Cavoukian), Ph.D. Уполномоченный по вопросам информации и защиты конфиденциальности, Онтарио, Канада)
Privacy by Design
7 основополагающих принципов
Энн Кавукиан (Ann Cavoukian), Ph.D.
Уполномоченный по вопросам информации и защиты конфиденциальности,
«Проектируемая конфиденциальность» исходит из того, что в будущем конфиденциальность, т.е. защита личной информации, не может быть обеспечена исключительно соблюдением нормативно-правовых актов; скорее, защита личной информации должна в идеале стать одним из высших приоритетов (более того, «правилом по умолчанию») в работе любой организации.
«Проектируемая конфиденциальность» охватывает целую триаду приложений: 1) информационные системы; 2) практику деловых отношений; 3) устройства, оборудование, сооружения и сетевую инфраструктуру.
Семь основополагающих принципов
1. Превентивные меры, а не только устранение последствий
Встраивание конфиденциальности в конструкцию системы должно быть активным, а не ограничиваться лишь мерами по устранению последствий. Такой подход предвидит и предотвращает случаи нарушения конфиденциальности еще до того, как они происходят. Подход «Проектируемая конфиденциальность» не ждет, пока факторы риска материализуются, и отнюдь не предлагает средства лечения уже возникших проблем; наоборот, он стремится не допустить их возникновения. Иными словами, личная информация должна быть защищена до того, как система запущена в работу, а не после выявления нарушений конфиденциальности.
2. Конфиденциальность как стандартная установка
3. Конфиденциальность как часть структуры
4. Полная функциональность с суммарным положительным результатом
«Проектируемая конфиденциальность» стремится учесть все законные интересы и цели «беспроигрышным» способом, т.е. получить в итоге положительную сумму результатов. Подход с нулевой суммой, при котором делаются ненужные компромиссы, является устаревшим. «Проектируемая конфиденциальность» не ищет предлогов для ложной дихотомии, таких, например, как укрепление безопасности системы в противовес защите личной информации, демонстрируя, что можно обеспечить и то, и другое.
5. Защита личной информации на протяжении всего цикла ее сбора, хранения, обработки и уничтожения
6. Доступность и открытость
«Проектируемая конфиденциальность» стремится гарантировать всем заинтересованным сторонам, что, вне зависимости от вида бизнеса или технологии, система действительно работает в соответствии с заявленными принципами и целями (это должно быть подтверждено независимой проверкой). Все компоненты и операции «Проектируемой конфиденциальности» остаются открытыми и доступными, как для пользователей, так и для обеспечивающих данный вид сервиса. Иными словами, доверяй, но проверяй.
7. Соблюдение конфиденциальности пользователей: система должна быть ориентирована на пользователя
«Проектируемая конфиденциальность» требует от разработчиков и операторов системы соблюдения, в первую очередь, интересов индивидуальных пользователей. Это достигается такими мерами, как защита личной информации по умолчанию, своевременное уведомление о сборе личной информации, предоставление пользователю свободы выбора в удобной и понятной форме. Иными словами, система должна быть ориентирована на пользователя.
Published: February 2011
Translation provided by: Dr. Sagi Leizerov and Ekaterina Shangina,
Ernst & Young LLP; and Dr. Alex Stoianov, IPC
Information and Privacy Commissioner of Ontario
2 Bloor Street East, Suite 1400 •Toronto, Ontario • CANADA • M4W 1A8