Нещодавно експерт з приватності Ann Cavoukian опублікувала статтю, де розглядається важливість приватності у світі штучного інтелекту (ШІ). Ключові моменти статті вказують на те, що принципи захисту приватності є важливими для усунення ризиків, пов’язаних із ШІ, і міжнародні стандарти, такі як ISO 31700-1, сприяють просуванню інновацій з урахуванням цінностей приватності.
Сьогодні ми нагадаємо, що означає privacy by design and by default, як з'явився цей термін та чому це важливо зараз.
Одна зі статей GDPR, а саме, Стаття 25 висуває таку вимогу до онлайн бізнесу: створювати системи із вбудованим захистом персональних даних користувачів та системи «приватності за умовчанням» - Privacy by Design and by Default
Що це означає?
Історія самого терміну «privacy by design and privacy by default» сягає корінням у 90-ті роки, коли світ ще тільки починав замислюватися про те, що захист персональних даних колись стане в основу всієї онлайн діяльності.
У 2009 році Ann Cavoukian, спеціальний уповноважений з інформації та захисту персональних даних Онтаріо, опублікувала документ під назвою «Вбудована приватність: 7 основних принципів». У цьому документі наголошується, що онлайн-бізнес повинен приділяти увагу питанням приватності протягом усього життєвого циклу персональних даних користувачів. Причому початок цього процесу лежить ще у фазі проектування. Такий захист забезпечує користувачеві надійне збереження та своєчасне знищення його персональних даних. Privacy by design забезпечує безперервне та безпечне управління життєвим циклом даних та має діяти без шкоди для бізнесу.
Принципи, викладені у цьому документі, живуть і зараз. І, не лише живуть, а й є своєрідною філософією захисту персональних даних у мережі:
Ось вони:
1. Застосовувати превентивні заходи, а не лише усувати наслідки
2. Керуватися принципом Privacy by default (приватність за умовчанням)
3. Сповідати Privacy by Design (Вбудована приватність)
4. Забезпечувати функціональність із взаємною користю – для бізнесу та для користувача
5. Захищати особисту інформацію протягом усього циклу її збирання, зберігання, обробки та знищення
6. Доступність та прозорість
7. Повага до приватності. Система має бути орієнтована на користувача
Принципи privacy by design та privacy by default, розроблені Cavoukian, сьогодні є стандартом у сфері захисту персональних даних.
Система захисту персональних даних має бути вбудована у всі процеси на ранньому етапі розробки. При цьому ця система повинна підтримуватися безперервно на всіх етапах проектування та функціонування.
Privacy by design – це зобов'язання, яке бере на себе бізнес щодо захисту персональних даних. Це зобов'язання заздалегідь передбачити ризики, пов'язані з приватністю
Privacy by default передбачає (за умовчанням), що користувач, вступаючи у взаємодію з бізнесом, не повинен робити жодних кроків щодо захисту своєї приватності. Приватність має бути за замовчуванням (by default).
Privacy by default (Приватність за замовчуванням) означає, що принцип вбудованої приватності Privacy by design повинен бути включений за умовчанням у будь-яку систему чи бізнес, щоб особисті дані автоматично були захищені без будь-яких дій з боку користувача.
Право на недоторканність приватного життя має бути захищене «автоматично» як налаштування by default.
Найважливішими елементами підходу privacy by design and by default є прозорість, законність, сумлінність, обмеження мети, точність, обмеження зберігання, цілісність і приватність.
Насправді філософія privacy by design and by default виходить далеко за межі інформаційних технологій та юриспруденції. Можна сказати, це має стати життєвим принципом розробки будь-якого продукту: захист даних, «вбудований» спочатку в проект і ретельно «охоронюваний» протягом усього життя Керуючись цим принципом, багато європейських стартапів виграють саме за цим критерієм.
Privacy by design та privacy by default – це принципи, які підвищують інвестиційну привабливість проекту, можуть бути елементом «унікальної торгової пропозиції» компанії та бути виграшним критерієм «відбудови» від конкурентів.
Сьогодні перед розробниками вже не стоїть питання «що краще» - забезпечувати захист персональних даних користувачів у готовому продукті чи сервісі або спочатку вбудовувати приватність в систему. Privacy by design і privacy by default стає професійним, а й життєвим принципом розробника.
Повертаючись до юридичного аспекту підходу Privacy by design і privacy by default, слід сказати, що Стаття 25 GDPR висуває особливі вимоги щодо забезпечення вбудованого захисту персональних даних та приватності за умовчанням. Сьогодні для дотримання вимог статті 25 GDPR, а також для того, щоб уникнути великих штрафів, кожен онлайн-бізнес повинен проаналізувати, як, де і коли обробляються персональні дані користувачів, а також забезпечити, щоб одне з головних прав людини - право на недоторканність приватного життя - враховувалося на кожному етапі обробки, починаючи з початкової фази проектування.
Якщо у вас є питання щодо дотримання вимог GDPR, звертайтесь до юристів Avitar.
Підписуйтесь на наші канали у соціальних мережах:
Зв'яжіться з нами:
business@avitar.legal
Сергій Флорескул
,
Віолетта Лосєва
,
