Privacy by design и privacy by default (спроектированная защита данных и конфиденциальность по умолчанию по GDPR)

В мае 2018 года вступил в силу новый закон о защите персональных данных – General Data Protection Regulation или Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее GDPR), который предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными, защита которых является фундаментальным правом в Европейском союзе. Статья 25 GDPR требует от компаний создания систем со встроенной защитой персональных данных и систем конфиденциальности по умолчанию — privacy by design и privacy by default. В настоящем материале мы разберем эти понятия.

Текст статьи 25 Регламента на английском и на русском:

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

1. Принимая во внимание состояние развития науки и техники, расходы на внедрение, характер, объем, особенности и цели обработки, а также вероятностное возникновение рисков и опасности для прав и свобод физических лиц в результате обработки, контролер должен как во время определения средств обработки, так и во время самой обработки внедрить соответствующие технические и организационные меры, например, псевдонимизацию, которые предназначены для эффективной реализации принципов защиты данных, например, минимизации данных, и для интегрирования необходимых гарантий в обработку в целях выполнения требований настоящего Регламента и защиты прав субъектов данных.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.

2. Контролер должен внедрить соответствующие технические и организационные меры для обеспечения того, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки. Указанная обязанность применяется в отношении большого количества собранных персональных данных, объема их обработки, срока их хранения и возможности доступа к ним. В частности, указанные меры должны гарантировать, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному количеству физических лиц без участия отдельного лица.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

3. Утвержденный сертификационный механизм согласно Статье 42 может использоваться в качестве элемента для подтверждения соблюдения требований, установленных в параграфах 1 и 2 настоящей Статьи.

Что это?

Privacy by design

Это означает, что контролер данных обязуется встроить систему защиты данных во все бизнес-процессы (в том числе в процессы разработки продукта или сервиса) на раннем этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Встроенная защита данных по своему замыслу — это обязанность заблаговременно предусмотреть защиту персональных данных во всех действиях, начинаниях и решениях компании. Например, при создании мобильного приложения необходимо проанализировать и предупредить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками до написания кода.

Согласно философии privacy by design, лучший способ снизить риски, связанные с конфиденциальностью, — это, в первую очередь, не создавать их.

Privacy by default

Конфиденциальность по умолчанию подразумевает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Настройки по сохранению конфиденциальности и соответственно защите его персональных данных установлены по умолчанию. Контролеры не должны автоматически полагать, что пользователь дает согласие на обмен данными. Сбору подлежат только те данные, которые необходимы для достижения конкретных целей обработки. Для обеспечения такой конфиденциальности по умолчанию контролеры должны имплементировать соответствующие технические и организационные меры.

У сайта в профиле пользователя не должен быть автоматически отмечен чекбокс о согласии пользователя на передачу его данных третьим лицам. Пользователь должен сам отметить этот чекбокс, тем самым выразить явное согласие (см. о явном согласии ст. Статьи 4(11), 6(1)(a), 7 GDPR). Или, например, при сборе данных, необходимых для регистрации пользователя, приложение не должно требовать от пользователя предоставления данных, не являющихся необходимыми для регистрации.

Чем меньше данных компания собирает и обрабатывает, тем меньше риск нарушения GDPR.

История privacy by design, privacy by default

По мнению Европейского контролера по защите данных (European Data Protection Supervisor, далее EDPS), термины «встроенная конфиденциальность» и «конфиденциальность по умолчанию» были разработаны в 1990-х годах Энн Кавукян (Ann Cavoukian), специальным уполномоченным по информации и защите персональных данных в канадской провинции Онтарио. В 2009 году она опубликовала документ «Встроенная конфиденциальность: 7 основополагающих принципов», в котором объясняет, что «встроенная конфиденциальность» означает, что компании должны активно рассматривать вопросы конфиденциальности на протяжении всего жизненного цикла данных, начиная с фазы проектирования. Такая «защита всего жизненного цикла» (“Full Lifecycle Protection”) гарантирует, что все данные надежно сохраняются, а затем надежно своевременно уничтожаются. Таким образом, privacy by design обеспечивает непрерывное и безопасное управление жизненным циклом данных, от начала до завершения обработки. В соответствии с этими принципами эта защита может и должна действовать без ущерба для функциональности бизнеса или системы.

Кавукян разработала следующие принципы:

1. Превентивные (проактивные) меры, а не только устранение последствий
2. Конфиденциальность по умолчанию
3. Встроенная конфиденциальность
4. Полная функциональность с обоюдной пользой
5. Защита личной информации на протяжении всего цикла ее сбора, хранения, обработки и уничтожения
6. Доступность и прозрачность
7. Уважение приватности пользователей: система должна быть ориентирована на пользователя

Конфиденциальность по умолчанию, в свою очередь, означает, что принцип встроенной конфиденциальности должен быть включен по умолчанию в любую систему или бизнес — так, чтобы личные данные автоматически защищались без каких-либо действий со стороны субъекта данных. От человека не должно требоваться никаких действий для защиты его частной жизни — все встроено в систему по умолчанию.

EDPS объясняет, что этот параметр по умолчанию означает, что субъект данных не должен нести бремя защиты своих данных при использовании каких-либо услуг или продуктов. Право на неприкосновенность частной жизни будет защищаться «автоматически» в качестве настройки по умолчанию.

Принципы privacy by design и privacy by default, разработанные Кавукян, вскоре были приняты европейскими законодателями как стандарт в области защиты персональных данных.

Проект рекомендаций
European Data Protection Board от 13 ноября 2019 года

13 ноября 2019 года независимый орган по защите персональных данных на европейском уровне European Data Protection Board (Европейский совет по защите персональных данных, далее EDPB) опубликовал проект рекомендаций по применению статьи 25 GDPR о встроенной системе конфиденциальности. Эта версия не финальная, EDPB принимает комментарии от любых заинтересованных лиц до 16 января 2020 года, после чего с учетом таких комментариев публикует финальную версию рекомендаций. Рекомендации не имеют силы закона, но несмотря на их ненормативный характер, регуляторы по защите данных в странах ЕС и компании следуют им.

Ниже перечислены основные моменты этих рекомендаций, которые помогут правильно толковать, понимать требования статьи 25 GDPR.

1. Privacy by design

• Контролеры могут показать эффективность мер, направленных на выполнение требования о встроенной конфиденциальности, используя показатели эффективности. Например, количественные показатели: уменьшение количества жалоб, уменьшение времени реагирования на запросы пользователей об их конфиденциальности. Или качественные показатели: анализ производительности, использование оценочных шкал или экспертные заключения.
• Техническими или организационными мерами могут быть как использование продвинутых комплексных технологий, так и базовый тренинг сотрудников, например, как обращаться с данными субъектов данных (пользователей). То есть нет необходимости принимать сложные меры — главное, чтобы меры эффективно работали.
• Меры могут включать: предоставление субъектам данных возможности вмешиваться в обработку их данных, напоминание о хранении данных в базе, внедрение системы обнаружения вредоносных программ и базовую «кибергигиену».
• Пример технической меры: псевдонимизация данных (см. статью 4(5) GDPR). Это, в частности, хэширование и шифрование.
• Хотя нет необходимости использовать передовые технологии, меры должны учитывать развитие технологий (‘state of the art’ — технологический уровень услуги или продукта, который существует на рынке и является наиболее эффективным в достижении поставленных целей). Это означает, что контролеры должны быть в курсе последних технологических достижений, а также принимать соответствующие организационные меры. Отсутствие адекватных организационных мер может снизить или даже полностью подорвать эффективность выбранной технической меры. Таким образом, использование защитного программного обеспечения с известными уязвимостями, скорее всего, не будет считаться мерой, учитывающей современные технологии.
• В обсуждаемой статье 25 (1) GDPR говорится, что расходы на имплементацию (‘cost of implementation’) должны быть приняты во внимание при выборе применяемых мер. В рекомендациях уточняется, что такие расходы необходимо рассматривать в широком смысле. Таким образом, речь идет не только о денежных затратах, но и о временных затратах, человеческих ресурсах. «Неспособность нести расходы не оправдывает несоблюдение требований GDPR». Тем не менее, EDPB также предупреждает, что высокая стоимость технологии не означает, что она обязательно эффективна. Ведь в некоторых случаях простые недорогие решения могут быть в итоге более эффективны, чем дорогостоящие технологии.

2. Privacy by default

• Термины “технические и организационные меры" следует рассматривать только в рамках принципа минимизации данных, как и в privacy by design.
• «По умолчанию» (by default) в информатике означает предварительно выбранное значение, настраиваемый параметр, который назначается компьютерной программе или устройству. Следовательно, согласно EDPB, «защита данных по умолчанию» — это задача контроллера об установлении преднастроек. Такие преднастройки должны, в частности, регулировать объем собираемых персональных данных, степень их обработки, срок хранения и доступность. Если бы не было настроек по умолчанию, субъекты данных были бы перегружены различными опциями, которые они не могут проанализировать и понять.
• Организационные меры должны быть также направлены на то, чтобы с самого начала обрабатывался минимальный объем персональных данных или только персональные данные, которые необходимы для конкретных операций и целей.
• Такие меры должны минимизировать излишнюю обработку персональных данных, ограничить доступ к персональным данным для соответствующих лиц.

3. Ответственность за соответствие принципам privacy by design, by default лежит на контроллере данных, но EDPB подчеркивает, что процессоры и поставщики также играют важную роль в соблюдении принципов. Контроллеры часто передают данные на обработку на процессору (например, поставщику облачных услуг) или приобретают технологические решения для обработки данных (например, устройство, позволяющее обрабатывать биометрические данные). Эти лица лучше всего могут определить риски, связанные с персональными данными в рамках использования той или иной услуги. Процессоры и поставщики должны использовать свой опыт для разработки продуктов, в которых реализованы принципы privacy by design, default. Примеры решений поставщиков: автоматическое удаление данных по истечении определенного времени или немедленная псевдонимизация данных после их сбора.

4. Сертификация в соответствии со статьей 42 GDPR может также использоваться, чтобы показать соответствие принципам privacy by design и privacy by default, и обеспечить конкурентное преимущество на рынке поставщиков. Важно добавить, что существуют рекомендации по сертификации в отношении ст 42, 43 GDPR, также разработанные EDPB.

5. В рекомендациях также даны практические примеры по важным элементам privacy by design, privacy by default: прозрачность, законность, добросовестность, ограничение цели, точность, ограничение хранения, целостность и конфиденциальность.

Например, к элементу “точность” EDPB представил следующую ситуацию и потенциальное ее решение:

Контролер — это медицинское учреждение, которое ищет способы обеспечения целостности и точности персональных данных в своих клиентских регистрах. В ситуациях, когда два человека прибывают в учреждение одновременно и получают одинаковое лечение, существует риск ошибки, если единственным параметром, различающим их, является имя. Для обеспечения точности контроллеру необходим уникальный идентификатор для каждого человека и, следовательно, больше информации, чем просто имя клиента. Учреждение использует несколько систем, содержащих личную информацию клиентов, и должно гарантировать, что информация, относящаяся к клиенту, является правильной, точной и согласованной во всех системах в любой момент времени. Было выявлено несколько рисков, которые могут возникнуть, если информация изменилась в одной системе, но не в другой. Чтобы снизить риски, контроллер решает использовать метод хеширования для обеспечения целостности данных в записях о лечении. Неизменяемые хэш-подписи создаются для записей лечения и связанного с ними сотрудника, чтобы любые изменения можно было распознать, сопоставить и отследить при необходимости.

Как было указано выше, это не финальная версия рекомендаций, поэтому необходимо следить за обновлением с учетом комментариев заинтересованных лиц.

Большой штраф по ст. 25 GDPR

30 октября 2019 года немецкая риэлторская компания Deutsche Wohnen SE была оштрафована на сумму 14,5 миллионов евро за неправильное хранение данных как раз со ссылкой на статью 25 (1) GDPR. Компания использовала систему архивирования для хранения персональных данных арендаторов, не обеспечивающую возможность удаления уже ненужных данных. Персональные данные арендаторов хранились без проверки на предмет допустимости дальнейшего их хранения. Таким образом, было возможно получить доступ к личным данным, которые хранились годами, когда как они уже не служили целям их первоначального сбора. Хранились данные о личном и финансовом положении арендаторов, справки о заработной плате, формы о раскрытии информации (self-disclosure forms), выписки из трудовых договоров и договоров об обучении, данные о налогах, социальном обеспечении и медицинском страховании, а также выписки с банковского счета.

Максимальный штраф за нарушение статьи 25 (1) GDPR составляет 10 миллионов евро или 2% мирового оборота. Штраф в размере 14,5 млн евро был рассчитан с использованием руководств, ранее опубликованных BBDI (Немецкий орган по защите данных, Berliner Beauftragte für Datenschutz und Informationsfreiheit).

На этом сайте (GDPR Enforcement Tracker) можно следить за штрафами и санкциями, которые налагаются в Евросоюзе в рамках GDPR.

Заключение

Статья 25 GDPR накладывает значительное бремя на обеспечение встроенной защиты персональных данных и конфиденциальности по умолчанию. Для соблюдения требований этой нормы и во избежание крупных штрафов контролеры должны проанализировать, как, где и когда они обрабатывают информацию, и обеспечить, чтобы право на неприкосновенность частной жизни учитывалось на каждом этапе обработки, начиная с проектирования продукта/услуги, нового бизнес-процесса. Это должно включать следующее:

• Разработка программы конфиденциальности для всей организации, которая определяет, где и когда обрабатываются персональные данные, и гарантирует, что в каждом департаменте, занимающемся обработкой персональных данных, имеется план защиты персональных данных.
• План защиты персональных данных, который должен являться частью любого нового бизнес процесса, который может включать обработку персональных данных.
• Минимизация обработки персональных данных (обработка только тех персональных данных, которые необходимы для достижения целей обработки).
• Псевдонимизация или шифрование данных, когда это возможно.
• Обеспечение прозрачности любой обработки персональных данных для субъектов данных и информирование субъектов данных о том, как используются их персональные данные.
• Обеспечение для субъектов данных возможности осуществить свои права.
• Быть в курсе последних достижений технологий в области защиты данных, обновлять свою политику, способы защиты данных соответственно.
• Следить за рекомендациями EDPB.