7 Принципы обеспечения конфиденциальности при проектировании — Усильте соблюдение требований по защите данных

Конфиденциальность по проекту (Privacy by Design): это семь принципов, которые повысят степень соблюдения требований по защите данных независимо от того, где вы ведете бизнес на Земле.

В последние годы все больше и больше заголовков в законах о конфиденциальности, и эта тенденция будет продолжаться по мере того, как цифровизация станет стремительной тенденцией почти в каждом секторе экономики. Столь же сильной движущей силой, которая будет поддерживать высокий уровень защиты данных в рамках усилий компаний по соблюдению законодательства и регулятивного контроля, является растущая осведомленность субъектов данных, т.е. таких простых людей, как мы с вами, об их правах в соответствии с законами о защите данных во всем мире.

Конечно, по мере того, как конфиденциальность становится глобальной тенденцией, количество законов, направленных на кодификацию прав и обязанностей, относящихся к персональным данным, продолжает расти. EU’s GDPR установил тенденцию около года назад, за которой последовал Indian Data Protection Bill (IDPB) ожидается, что режим защиты данных Индии будет на той же длине волны, что и в Европе. Калифорния, американский штат с крупнейшей экономикой, проголосовал за новый режим защиты данных, CCPA, который стремится предоставить калифорнийским потребителям сопоставимые права на свои персональные данные с теми, которыми пользуются европейцы. И последнее, но не менее важное: недавно Китай объявил о том, что он начал работу над своим первым законом, полностью посвященным защите данных. Personal Information Protection Law (PIPL).

Добавьте к этим границам десятки национальных юрисдикций, которые обновляют свое существующее (например, Япония) или впервые вводят законодательство о защите данных (например, Таиланд), и вы получите нормативный ландшафт, который не является «куском пирога» для организаций, ведущих бизнес в нескольких регионах мира.

В то время как единственным безопасным и надежным способом достижения надежных стандартов конфиденциальности являются программы соблюдения требований, учитывающие конкретные требования всех режимов защиты данных, которые компания должна соблюдать в зависимости от того, где и кому она предлагает свои продукты и услуги, существует семь основополагающих принципов, которые, если они будут соблюдаться, принесут только пользу и не причинят вреда вашим усилиям по обеспечению соблюдения требований по защите данных. Коллективно называемые конфиденциальность по замыслу — «Privacy by Design» (часто сокращенно «PbD»), эти семь основных правил лежат в основе каждой нормативно-правовой базы по защите данных, в то время как многие такие законы на самом деле содержат положения, делающие соблюдение этого инструментария конфиденциальности явным требованием.

7 принципы конфиденциальности по дизайну

Это «септалог» Конфиденциальности от Дизайна (Privacy by Design):

1. Упреждающий, не реагирующий, превентивный, не корректирующий.

ваши усилия по обеспечению конфиденциальности должны быть проактивными, а не реактивными, превентивными, а не корректирующими. Другими словами, разумная программа защиты данных должна быть нацелена на обеспечение конфиденциальности, а не только на подготовку к смягчению ущерба, наносимого конфиденциальности.

2. Конфиденциальность как настройка по умолчанию

предлагать свои продукты и услуги с сохранением конфиденциальности в качестве настройки по умолчанию. Заманивание людей в неосознанное предоставление вам своих данных не принесет вам пользы в долгосрочной перспективе. Нужно всего лишь один отчет в орган по защите данных, чтобы пролить свет на все злонамеренные действия организации, связанные со сбором данных.

3. Конфиденциальность, встроенная в дизайн

Начиная с сегодняшнего дня, сделайте функции конфиденциальности неотъемлемой частью процесса проектирования каждого вашего продукта и услуги уже на этапе разработки концепции. Если вы не можете позволить себе массово просматривать существующий каталог продукции, сделайте проверку конфиденциальности одним из главных приоритетов при следующем обновлении продукции.

4. Положительная сумма, а не нулевая сумма

Полная функциональность — положительная сумма, а не нулевая сумма. Вы не должны заставлять потребителей выбирать между кажущимися противоречащими друг другу вариантами, такими как конфиденциальность или безопасность. Эти две цели являются и должны быть взаимодополняющими, и организация обязана заставить работать оба варианта. Передача этого бремени выбора вашим клиентам не заставит вас ждать.

5. сквозная безопасность

Полная защита в течение всего жизненного цикла. Конфиденциальность по замыслу не означает, что только потому, что вы предлагаете конфиденциальность по умолчанию в стандартном выпуске вашей продукции, ваши обязательства как организации, собирающей данные, заканчиваются на этом. Законный сбор данных идет рука об руку с их надлежащей защитой, когда они находятся в вашем распоряжении, а также с их тщательной и безопасной утилизацией, когда они вам больше не нужны. Повышенные настройки конфиденциальности и безопасности должны определять вас как сборщика и обладателя данных с первого момента, когда вы получаете данные людей, и до тех пор, пока вы безопасно и безвозвратно не избавитесь от них.

6. Держите его открытым

Видимость и прозрачность — держите ее открытой. Будьте откровенны со своими клиентами, не просто уверяя их в том, что вы заботитесь об их данных, а на самом деле объясняя им, как вы это делаете. Чем прозрачнее вы говорите о том, какие именно усилия вы прилагаете для того, чтобы жить в соответствии с вашим словом о конфиденциальности, тем лучше. Это может быть легко проверено более снисходительными организациями, которые получают информацию о нарушениях данных, если они откровенно говорят о том, что пошло не так, и обо всех усилиях, которые они предприняли, чтобы предотвратить несчастный случай.

7. Сохраняйте его ориентированным на пользователя

Уважение частной жизни пользователей — держите ее ориентированной на пользователя. В целом, конфиденциальность должна быть видимой, легко воспринимаемой и управляемой, а главное, легко восстанавливаемой для рядового пользователя. Другими словами, ваша программа по защите конфиденциальности не сможет убедить контролирующий орган, если она обширна, но сложна. Софискация — это хорошо, но она не должна означать сложность; не все ваши клиенты — контрольные уродцы, которые копаются в настройках вашего продукта, чтобы убедиться, что вы хорошо заботитесь о их личных данных, и не должны этого делать.

Xenofon Kontargyris

Xenofon Kontargyris is a lawyer specializing in data protection and IT law, particularly in cybersecurity and IT outsourcing. He holds a PhD from the Faculty of Law of the University of Hamburg (UHH) for writing a doctoral thesis on “IT Laws in the Era of Cloud-Computing; A Comparative Analysis between EU and US Law on the Case Study of Data Protection and Privacy” (2018, NOMOS Verlag). Xenofon is also a CIPP/E certified member of the International Association of Privacy Professionals (IAPP).