Το τελευταίο χρονικό διάστημα, έχει παρατηρηθεί η ταχεία εξέλιξη της καινοτομίας στον τομέα των τεχνολογιών και των υπηρεσιών πληροφοριών. Συνεπώς, η συνεχώς αυξανόμενη πολυπλοκότητα του συστήματος, έχει θέσει σοβαρούς κινδύνους για το απόρρητό μας.

Το κύριο ερώτημα είναι πώς να εξισορροπήσουμε τα οφέλη της καινοτομίας με το δικαίωμά μας να ελέγχουμε τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά μας δεδομένα;

Η Προστασία της Ιδιωτικότητας ήδη από τον σχεδιασμό (Privacy by design), προσπαθεί να απαντήσει σε αυτό το ερώτημα. Δηλαδή, προσεγγίζει αυτήν την καινοτομία από τη σκοπιά της σχεδιαστικής σκέψης.

Η προέλευση του Privacy by Design.

Είναι πολύ πιθανό, να συναντήσατε πρώτη φορά αυτό τον όρο, με την έλευση του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR). Συγκεκριμένα, ο κανονισμός προέβλεψε την εφαρμογή τεχνικών και οργανωτικών μέτρων που σχεδιάστηκαν με γνώμονα τις αρχές προστασίας δεδομένων.

Ωστόσο, το απόρρητο από σχεδιασμό είναι μια ιδέα που επινοήθηκε εδώ και πολύ καιρό από την Ann Cavoukian. Βάσει αυτής της ιδέας, η πρώην Επίτροπος Πληροφοριών και Προστασίας Προσωπικών Δεδομένων του Οντάριο, επιχείρησε να αντιμετωπίσει τις διαρκώς αυξανόμενες και συστημικές επιπτώσεις των Τεχνολογιών Πληροφορίας και Επικοινωνιών στο απόρρητό μας.

Όπως επεσήμανε η Ann Cavoukian, «Το Privacy by Design προωθεί την άποψη ότι το μέλλον της ιδιωτικής ζωής δεν μπορεί να διασφαλιστεί αποκλειστικά με τη συμμόρφωση με τα ρυθμιστικά πλαίσια. Αντίθετα, η διασφάλιση απορρήτου πρέπει ιδανικά να γίνει ο προεπιλεγμένος τρόπος λειτουργίας ενός οργανισμού».

Ο ορισμός του Privacy By Design (PbD).

Το Privacy by Design (PbD) είναι ένα σύνολο μεθόδων για την προληπτική ενσωμάτωση της προστασίας των δεδομένων. Αυτό το σύνολο λαμβάνει χώρα στην τεχνολογία πληροφοριών, στις εταιρικές πρακτικές, στην αρχιτεκτονική των χώρων και στις δικτυακές υποδομές. Τα μέτρα του PbD είναι σχεδιασμένα ώστε να προβλέπουν και να αποτρέπουν τα παρεμβατικά γεγονότα πριν αυτά συμβούν.

Ο ρόλος του Privacy By Design στο GDPR.

Το PbD σημαίνει ότι το απόρρητο είναι ήδη ενσωματωμένο στην τεχνολογία, τα συστήματα πληροφορικής, τις υπηρεσίες και τα προϊόντα για να διασφαλιστεί η προστασία των δεδομένων. Βασικά, ολόκληρη η διαδικασία μηχανικής διεξάγεται με γνώμονα το απόρρητο.

Επομένως, ο GDPR ενσωμάτωσε το απόρρητο βάσει σχεδιασμού αναθέτοντας την ευθύνη στον υπεύθυνο επεξεργασίας και προστασίας δεδομένων (DPO). Συνεπώς, ο DPO οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα στο σχεδιασμό και τη λειτουργία συστημάτων και υποδομής.

Τα μέτρα αυτά έχουν σχεδιαστεί για την αποτελεσματική εφαρμογή των αρχών προστασίας δεδομένων. Επίσης σχεδιάστηκαν και για την ενσωμάτωση των απαραίτητων διασφαλίσεων στην επεξεργασία για την εκπλήρωση των κανονιστικών απαιτήσεων και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.

Ποιες είναι οι 7 Θεμελιώδεις Αρχές του Privacy By Design.

Καθώς οι τεχνολογίες εξελίσσονται γρήγορα, η καινοτομία πρέπει να προσεγγίζεται με γνώμονα το απόρρητο. Συνεπώς, αυτό θα επιτευχθεί με την ενσωμάτωση του στην τεχνολογία και τα συστήματα. Υπάρχουν επτά αρχές του Privacy by Design (Προστασία της Ιδιωτικότητας από τον σχεδιασμό). Ας δούμε ποιές είναι και πως αυτές περιγράφονται σύμφωνα με τη μελέτη του δικηγόρου, Κου Δημήτρη Τζέλλη:

1.Πρόληψη, όχι Αντίδραση – Αποτροπή, όχι Επανόρθωση.

Το PbD περιλαμβάνει την πρόβλεψη γεγονότων που επηρεάζουν την ιδιωτικότητα πριν αυτά πραγματοποιηθούν. Επομένως, κάθε σύστημα, διαδικασία ή υποδομή που χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα πρέπει, ήδη από τη σύλληψή του και από τον αρχικό του σχεδιασμό, να λαμβάνει υπόψη πιθανούς κινδύνους. Συγκεκριμένα αυτοί οι κίνδυνοι δεν πρέπει να επηρεάσουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Επίσης, οι κίνδυνοι αυτοί πρέπει να ελαχιστοποιούνται πριν προκληθούν πραγματικές ζημίες.

Το PbD χαρακτηρίζεται από την υιοθέτηση προληπτικών μέτρων που προλαμβάνουν τις απειλές. Συνεπώς, εντοπίζουν αδυναμίες των συστημάτων για εξουδετέρωση ή ελαχιστοποίηση των κινδύνων, νωρίς και με τρόπο συνεπή. Επομένως, έχουν την πρόληψη της αποφυγής διορθωτικών μέτρων για την επίλυση των συμβάντων ασφαλείας μετά την επέλευσή τους.

Αυτό περιλαμβάνει:

  • Σαφή δέσμευση του οργανισμού, που πρέπει να προωθηθεί από τα υψηλότερα επίπεδα της Διοίκησης.
  • Ανάπτυξη νοοτροπίας δέσμευσης και συνεχούς βελτίωσης από όλους τους εργαζομένους, καθώς η πολιτική δεν σημαίνει τίποτε παρά μόνο αν μεταφραστεί σε συγκεκριμένες πρακτικές που τροφοδοτούνται από αποτελέσματα.
  • Καθορισμό και ανάθεση συγκεκριμένων αρμοδιοτήτων έτσι ώστε κάθε μέλος του οργανισμού να γνωρίζει σαφώς τα καθήκοντά του όσον αφορά στην προστασία της ιδιωτικής ζωής.
  • Ανάπτυξη συστηματικών μεθόδων, βασισμένων σε δείκτες, ώστε να εντοπίζονται έγκαιρα οι διαδικασίες και οι πρακτικές που είναι ανεπαρκείς για την προστασία της ιδιωτικής ζωής.

2. Προστασία των δεδομένων ως Προεπιλεγμένη Ρύθμιση.

Το PbD επιδιώκει να παρέχει στον χρήστη το μέγιστο επίπεδο προστασίας των προσωπικών του δεδομένων. Άρα, αυτό θα το πετύχουμε λαμβάνοντας υπόψη τις τελευταίες εξελίξεις και κυρίως το να προστατεύονται τα προσωπικά δεδομένα με τρόπο αυτόματο σε κάθε σύστημα, εφαρμογή, προϊόν ή υπηρεσία. Η προεπιλεγμένη ρύθμιση πρέπει να καθορίζεται ήδη από τον σχεδιασμό στο επίπεδο που παρέχει τη μέγιστη προστασία των προσωπικών δεδομένων. Δεν απαιτείται καμία ενέργεια εκ μέρους του ατόμου για την προστασία της ιδιωτικότητας του. Η προστασία της ιδιωτικότητας του είναι ενσωματωμένη στο σύστημα από προεπιλογή. Στην πράξη, η αρχή αυτή στηρίζεται στην ελαχιστοποίηση των δεδομένων κατά τα στάδια της επεξεργασίας. Συγκεκριμένα η αρχή έχει βάση κυρίως στη συλλογή, τη χρήση, την αποθήκευση και τη διαβίβαση.

Για αυτό τον παραπάνω σκοπό, είναι συνεπώς απαραίτητο:

  • Ο περιορισμός της πρόσβασης στα προσωπικά δεδομένα μόνο στα μέρη που συμμετέχουν στην επεξεργασία με βάση την αρχή της «ανάγκης για γνώση». Επίσης, μόνο σύμφωνα με τους κανόνες που χρησιμοποιούνται για τη διαμόρφωση προφίλ πρόσβασης στα δεδομένα.
  • Να προσδιοριστούν αυστηρά όρια για τη διάρκεια αποθήκευσης και να καθιερωθούν λειτουργικοί μηχανισμοί που εγγυούνται τη συμμόρφωση.
  • Να δημιουργηθούν τεχνικά και διαδικαστικά εμπόδια στη μη εξουσιοδοτημένη σύνδεση ανεξάρτητων πηγών δεδομένων. Όταν η ανάγκη ή ο τρόπος χρήσης προσωπικών πληροφοριών δεν είναι σαφής, πρέπει να υπάρχει τεκμήριο ιδιωτικότητας και να εφαρμόζεται η αρχή της προφύλαξης. Δηλαδή, οι προεπιλεγμένες ρυθμίσεις πρέπει να είναι οι πλέον προστατευτικές για την προστασία της ιδιωτικής ζωής.

3. Προστασία των δεδομένων Ενσωματωμένη στον σχεδιασμό.

Το PbD πρέπει να είναι αναπόσπαστο και εγγενές τμήμα των συστημάτων, των εφαρμογών, των προϊόντων και των υπηρεσιών. Επίσης, πρέπει να είναι αναπόσπαστο και εγγενές τμήμα και των επιχειρηματικών πρακτικών και των διαδικασιών ενός οργανισμού. Δηλαδή, δεν είναι μόνο ένα επιπλέον πρόσθετο σχήμα, το οποίο προσαρτάται σε μια προϋφιστάμενη οντότητα. Αλλά και πρέπει να ενσωματώνεται στο σύνολο των προϋποθέσεων λειτουργίας, ήδη από το στάδιο της σύλληψης και του σχεδιασμού. Η προστασία της ιδιωτικότητας είναι ενσωματωμένη στο σύστημα, χωρίς να μειώνεται η λειτουργικότητα.

Η προστασία της ιδιωτικότητας πρέπει να ενσωματωθεί στην αρχιτεκτονική των τεχνολογιών, των λειτουργιών και της πληροφορικής με τρόπο ολιστικό, ενοποιητικό και δημιουργικό.

  • Ολιστικό καθώς πρέπει να λαμβάνονται πάντα υπόψη και άλλες, ευρύτερες περιστάσεις.
  • Ενοποιητικό επειδή πρέπει να υπάρχει διαβούλευση με όλα τα ενδιαφερόμενα μέρη ώστε να εκφραστούν για τα συμφέροντα και τα δικαιώματά τους.
  • Δημιουργικό καθότι ορισμένες φορές η ενσωμάτωση της προστασίας της ιδιωτικότητας σημαίνει την επανεφεύρεση υφιστάμενων επιλογών, για τον λόγο ότι οι εναλλακτικές λύσεις είναι απαράδεκτες.

Θα πρέπει να υιοθετηθεί μια συστημική, συνεπής στις αρχές προσέγγιση. Συγκεκριμένα αυτή η προσέγγιση θα πρέπει να βασίζεται σε αποδεκτά πρότυπα και πλαίσια, τα οποία υπόκεινται σε εξωτερικές αναθεωρήσεις και ελέγχους.

Επομένως, για να εγγυηθούμε ότι η προστασία της ιδιωτικότητας είναι μέρος του αρχικού σταδίου του σχεδιασμού θα πρέπει:

  • Να θεωρείται η προστασία της ιδιωτικότητας ως ουσιώδης απαίτηση εντός του πλαισίου του κύκλου ζωής των συστημάτων και των υπηρεσιών, καθώς και στον σχεδιασμό των οργανωτικών διαδικασιών.
  • Να διεξάγονται και να δημοσιεύονται λεπτομερείς αξιολογήσεις των επιπτώσεων και των κινδύνων για την ιδιωτική ζωή, με σαφή τεκμηρίωση των κινδύνων για την προστασία της ιδιωτικής ζωής και όλων των μέτρων που ελήφθησαν για τον περιορισμό αυτών των κινδύνων, συμπεριλαμβανομένης της ανάλυσης εναλλακτικών λύσεων και της επιλογής μετρήσεων.
  • Κατά περίπτωση, να διεξάγεται Εκτίμηση Αντικτύπου, ως αναπόσπαστο μέρος κάθε νέας πρωτοβουλίας επεξεργασίας.
  • Να τεκμηριώνονται όλες οι αποφάσεις που υιοθετεί ο οργανισμός από την προοπτική του «σχεδιασμού της προστασίας της ιδιωτικότητας».

4. Πλήρης Λειτουργικότητα: Θετικό Άθροισμα, όχι Μηδενικό Άθροισμα.

Παραδοσιακά έχει θεωρηθεί ότι η προστασία της ιδιωτικότητας αποκτάται σε βάρος άλλων δυνατοτήτων. Ως αποτέλεσμα έχουμε τη δημιουργία διχοτομιών όπως ιδιωτικότητα σε αντιδιαστολή προς την ευχρηστία, τη λειτουργικότητα, το επιχειρηματικό κέρδος, ακόμα και ιδιωτικότητα εναντίον ασφάλειας.

Αυτή είναι μια μεθοδευμένη προσέγγιση. Το PbD επιδιώκει να ικανοποιήσει όλα τα νόμιμα συμφέροντα και στόχους με τρόπο που δημιουργεί θετικά αποτελέσματα για όλα τα μέρη. Ωστόσο αυτό θέλει να το πετύχει χωρίς την παρωχημένη προσέγγιση μηδενικού αθροίσματος, όπου γίνονται άσκοπες αντισταθμίσεις.

Το PbD δεν συνεπάγεται απλώς τη διατύπωση δηλώσεων και δεσμεύσεων. Αφορά επίσης στην ικανοποίηση όλων των θεμιτών στόχων – όχι μόνο τους στόχους προστασίας της ιδιωτικής ζωής.

Το PbD έχει διπλό χαρακτήρα που επιτρέπει την πλήρη λειτουργικότητα. Αυτό σημαίνει – πραγματικά, πρακτικά αποτελέσματα και ευεργετικά αποτελέσματα που πρέπει να επιτευχθούν για πολλά μέρη.

Η ενσωμάτωση της προστασίας της ιδιωτικής ζωής σε μια συγκεκριμένη τεχνολογία, διαδικασία ή σύστημα θα πρέπει να γίνεται με αντίληψη ανοιχτή. Δηλαδή με μια αντίληψη που αποδέχεται νέες λύσεις για πλήρη λειτουργικότητα. Με άλλα λόγια, λύσεις αποδοτικές και αποτελεσματικές τόσο στο επίπεδο της επιχείρησης όσο και στο επίπεδο της προστασίας της ιδιωτικότητας.

Για να το πετύχει αυτό, ο οργανισμός θα πρέπει:

  • Να αποδεχθεί ότι μπορούν να συνυπάρξουν διάφορα νόμιμα συμφέροντα: Αυτά του οργανισμού και αυτά των χρηστών στους οποίους παρέχει υπηρεσίες. Συγκεκριμένα, αυτά είναι απαραίτητο να προσδιοριστούν, να εκτιμηθούν και να εξισορροπηθούν ανάλογα.
  • Να καθιερώσει διαύλους επικοινωνίας για συνεργασία και διαβούλευση με τους συμμετέχοντες. Με αυτό τον τρόπο θα κατανοηθούν και να προσεγγιστούν πολλαπλά συμφέροντα που, εκ πρώτης όψης, φαίνεται να αποκλίνουν.
  • Εάν οι προτεινόμενες λύσεις απειλούν την προστασία της ιδιωτικής ζωής, ο οργανισμός πρέπει να αναζητήσει νέες και εναλλακτικές λύσεις για την επίτευξη της επιδιωκόμενης λειτουργικότητας και σκοπών. Ωστόσο, δεν πρέπει ποτέ ο οργανισμός να παραβλέψει το ότι πρέπει να διαχειριστεί επαρκώς τους κινδύνους για την ιδιωτικότητα του χρήστη.

5. Καθολική Ασφάλεια: Προστασία Καθ’ όλη τη διάρκεια του κύκλου ζωής.

Με την ενσωμάτωση του PbD στο σύστημα, πριν ακόμα γίνει η συλλογή του το πρώτου στοιχείου πληροφοριών, επεκτείνεται σε όλη τη διάρκεια του κύκλου ζωής των εμπλεκόμενων δεδομένων.

Η ύπαρξη ισχυρών μέτρων ασφαλείας είναι απαραίτητη για την χρονικά καθολική προστασία της ιδιωτικής ζωής. Κατοχυρώνεται ότι κατά την επεξεργασία τα δεδομένα διατηρούνται με ασφαλή τρόπο. Έτσι στο τέλος της επεξεργασίας, καταστρέφονται εγκαίρως με ασφαλή τρόπο. Οπότε, το PbD εξασφαλίζει την ασφαλή διαχείριση των πληροφοριών από την αρχή μέχρι το τέλος της επεξεργασίας.

Δεν πρέπει να υπάρχουν κενά ούτε στην προστασία ούτε στη λογοδοσία. Στην ουσία, χωρίς ισχυρή ασφάλεια, δεν μπορεί να υπάρξει ιδιωτικότητα.

Οι οργανισμοί πρέπει να αναλάβουν την ευθύνη για την προστασία των προσωπικών δεδομένων καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Συγκεκριμένα, αυτό θα γίνει σύμφωνα με πρότυπα που έχουν αναπτυχθεί από αναγνωρισμένους φορείς ανάπτυξης προτύπων.

Τα εφαρμοσμένα πρότυπα ασφάλειας πρέπει να διασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των προσωπικών δεδομένων.

Αυτό θα πρέπει να γίνεται καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Επίσης θα πρέπει να συμπεριλαμβάνονται, μεταξύ άλλων, μέθόδοι ασφαλούς καταστροφής, κατάλληλης κρυπτογράφησης και ισχυρών μεθόδων ελέγχου και καταγραφής πρόσβασης. Περιλαμβάνεται, εδώ, η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων. Η προστασία της ιδιωτικής ζωής εγγυάται επίσης την αδυναμία διασύνδεσης (unlinkability), τη διαφάνεια και την ικανότητα παρέμβασης και ελέγχου του υποκειμένου των δεδομένων στην επεξεργασία (παρεμβατικότητα).

Για την ενσωμάτωση της προστασίας της ιδιωτικότητας σε όλα τα στάδια της επεξεργασίας δεδομένων, πρέπει να αναλυθούν διεξοδικά οι διαφορετικές ενέργειες επεξεργασίας (συλλογή, καταγραφή, ταξινόμηση, διατήρηση, διαβούλευση, διανομή, περιορισμός, διαγραφή, κλπ.). Επιπλέον, πρέπει να εφαρμοστούν τα πλέον κατάλληλα, κατά περίπτωση, μέτρα για την προστασία των πληροφοριών, όπως:

  • Τεχνικές ψευδωνυμοποίησης ή ανωνυμοποίησης όπως k-ανωνυμία, από τα πρώτα στάδια.
  • Ταξινόμηση και οργάνωση των δεδομένων και των επεξεργασιών βάσει των προφίλ πρόσβασης.
  • Προεπιλογή της κρυπτογράφησης. Έτσι ώστε, όταν κλαπούν τα υλικά μέσα αποτύπωσης των προσωπικών δεδομένων ή όταν υποκλαπούν τα προσωπικά δεδομένα, η «φυσική» κατάσταση των δεδομένων να είναι «δυσανάγνωστη».
  • Ασφαλής και εγγυημένη καταστροφή των πληροφοριών στο τέλος του κύκλου ζωής τους.

6. Ορατότητα και Διαφάνεια: Διατήρηση Ανοιχτής Προσέγγισης.

Ένα από τα κλειδιά για την εγγύηση της προστασίας της ιδιωτικής ζωής είναι το ότι ο οργανισμός είναι σε θέση να αποδείξει τη συμμόρφωση με τις υποχρεώσεις του. Έτσι επαληθεύει ότι η επεξεργασία είναι σύμφωνη με τις περιστάσεις. Αντίστοιχα, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να επαληθεύσουν την εμπιστοσύνη που επέδειξαν. Trust, but verify.

Οι οργανισμοί θα πρέπει να δώσουν έμφαση κυρίως στη:

  • Λογοδοσία: Η συλλογή προσωπικών δεδομένων συνεπάγεται καθήκον φροντίδας για την προστασία τους. Η ευθύνη για όλες τις πολιτικές και διαδικασίες που σχετίζονται με την προστασία της ιδιωτικής ζωής πρέπει να τεκμηριώνεται. Επίσης πρέπει να κοινοποιείται κατά περίπτωση, και να ανατίθεται σε συγκεκριμένο άτομο. Κατά τη διαβίβαση προσωπικών πληροφοριών σε τρίτους, εξασφαλίζεται ισοδύναμη προστασία της ιδιωτικής ζωής μέσω συμβάσεων ή με άλλα μέσα.
  • Διαφάνεια: Η ανοιχτή νοοτροπία και η διαφάνεια είναι το κλειδί της λογοδοσίας. Τα άτομα πρέπει να έχουν στη διάθεσή τους τις πληροφορίες που αφορούν στις πολιτικές και στις πρακτικές οι οποίες αποβλέπουν στη διαχείριση των προσωπικών πληροφοριών.
  • Συμμόρφωση: Θα πρέπει να θεσπιστούν μηχανισμοί καταγγελίας και έννομης προστασίας. Επίσης, πρέπει να γνωστοποιηθούν αυτοί στα υποκείμενα, συμπεριλαμβανομένου του τρόπου πρόσβασης στο επόμενο προβλεπόμενο επίπεδο προσφυγής. Θα πρέπει να ληφθούν τα αναγκαία μέτρα για την παρακολούθηση, την αξιολόγηση και την επαλήθευση της συμμόρφωσης με τις πολιτικές και τις διαδικασίες προστασίας της ιδιωτικότητας.

Η προώθηση της διαφάνειας και της ορατότητας απαιτεί την υιοθέτησης μιας σειράς μέτρων, όπως:

  • Δημοσιοποίηση των πολιτικών προστασίας της ιδιωτικής ζωής που διέπουν τη λειτουργία του οργανισμού.
  • Ανάπτυξη και δημοσίευση σύντομων, σαφών και κατανοητών ρητρών πληροφόρησης. Αυτές οι ρήτρες θα πρέπει να είναι εύκολα προσβάσιμες και να επιτρέπουν στα υποκείμενα των δεδομένων να κατανοούν το εύρος της επεξεργασίας των δεδομένων τους. Επίσης θα πρέπει να γνωρίζουν τους κινδύνους στους οποίους ενδέχεται να εκτεθούν, καθώς και τον τρόπο άσκησης των δικαιωμάτων τους όσον αφορά στην προστασία δεδομένων.
  • Αν και δεν είναι υποχρεωτική για όλους τους υπεύθυνους επεξεργασίας, η δημοσιοποίηση ή τουλάχιστον η εύκολη πρόσβαση των υποκειμένων των δεδομένων στον κατάλογο όλων των επεξεργασιών που διεξάγονται στον οργανισμό.
  • Δημοσιοποίηση των στοιχείων επικοινωνίας του προσώπου που είναι υπεύθυνο για την οργάνωση των μέτρων προστασίας της ιδιωτικότητας εντός του οργανισμού.
  • Δημιουργία προσιτών, απλών και αποτελεσματικών μηχανισμών επικοινωνίας, καταγγελιών, και αποζημίωσης για τα υποκείμενα των δεδομένων.

7. Σεβασμός προς την Ιδιωτικότητα των Χρηστών: Διατήρηση του Χρήστη στο Επίκεντρο

Αναμφίβολα, δεν πρέπει να λησμονούμε τα έννομα συμφέροντα του οργανισμού όσον αφορά στην επεξεργασία δεδομένων. Ωστόσο ο τελικός στόχος πρέπει να είναι η διασφάλιση των δικαιωμάτων και των ελευθεριών των χρηστών, των οποίων τα δεδομένα αποτελούν αντικείμενο επεξεργασίας. Ω εκ τούτου, κάθε μέτρο που πρέπει να ληφθεί πρέπει να επικεντρώνεται στην εξασφάλιση της ιδιωτικής τους ζωής. Αυτό συνεπάγεται τον σχεδιασμό διαδικασιών, εφαρμογών, προϊόντων και υπηρεσιών «προσανατολισμένων στον χρήστη», που να προβλέπουν τις ανάγκες του.

Ο χρήστης πρέπει να διαδραματίσει ενεργό ρόλο στη διαχείριση των δεδομένων του και στον έλεγχο του τι κάνουν οι άλλοι με αυτά. Η αδράνειά του δεν πρέπει να συνεπάγεται μείωση της προστασίας της ιδιωτικής ζωής, βάσει και της προαναφερθείσας αρχής που υποστηρίζει την ιδιωτικότητα ως προεπιλεγμένη ρύθμιση, προσφέροντας το υψηλότερο δυνατό επίπεδο προστασίας.

Ο σχεδιασμός διαδικασιών, εφαρμογών, προϊόντων και υπηρεσιών που επικεντρώνεται στην εξασφάλιση της ιδιωτικής ζωής των υποκειμένων των δεδομένων περιλαμβάνει:

  • Εφαρμογή ρυθμίσεων απορρήτου που είναι «στιβαρές» από προεπιλογή. Επίσης οι χρήστες ενημερώνονται για τις συνέπειες που θα επιφέρει στην ιδιωτικότητα τους η τροποποίηση των παραμέτρων.
  • Παροχή πλήρων και κατάλληλων πληροφοριών που οδηγούν σε μια ενημερωμένη, ελεύθερη, συγκεκριμένη και σαφή συγκατάθεση. Αυτή η συγκατάθεση πρέπει να είναι ρητή σε όλες τις περιπτώσεις που το απαιτούν. Επίσης, μπορεί αργότερα να ανακληθεί.
  • Παροχή στα υποκείμενα των δεδομένων πρόσβασης στα δεδομένα τους. Επιπλέον, παροχή σε λεπτομερείς πληροφορίες σχετικά με τους σκοπούς επεξεργασίας και τις διαβιβάσεις που πραγματοποιούνται. Τα υποκείμενα πρέπει να μπορούν να αμφισβητήσουν την ακρίβεια και την πληρότητα των δεδομένων και να τα διορθώσουν.
  • Εφαρμογή αποδοτικών και αποτελεσματικών μηχανισμών που επιτρέπουν στα υποκείμενα των δεδομένων να ασκούν τα δικαιώματά τους για την προστασία των δεδομένων.

Πώς μπορούν οι οργανισμοί να εφαρμόσουν το Privacy by Design;

Όπως συμβαίνει συνήθως με τον GDPR, υπάρχει μονάχα ο ορισμός του PbD, αλλά δεν υπάρχει αναλυτική περιγραφή των τεχνικών βημάτων που μπορούν να κάνουν οι οργανισμοί για να συμμορφωθούν.

Οι οργανισμοί θα πρέπει να λαμβάνουν υπόψη πολλούς παράγοντες κατά την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων. Ειδικότερα δε, από την στιγμή που δεν υπάρχει πιστοποίηση που τους επιτρέπει να αποδεικνύουν τη συμμόρφωση με το Άρθρο 25 και το PbD.

Παράγοντες όπως:

  • Το εύρος, τη φύση, το πλαίσιο και τους σκοπούς της επεξεργασίας.
  • Τους κινδύνους για τα δικαιώματα και τις ελευθερίες των ατόμων.
  • Την ελαχιστοποίηση του όγκου των προσωπικών δεδομένων που επεξεργάζονται.
  • Την κρυπτογράφηση και την ψευδωνυμοποίηση
  • Να επιτρέπουν στα άτομα να διαχειρίζονται τη συγκατάθεση και τις προτιμήσεις τους και να τους δίνουν μεγαλύτερο έλεγχο στα προσωπικά τους δεδομένα.
  • Τη χαρτογράφηση όπου ο οργανισμός αποθηκεύει προσωπικά δεδομένα, επισήμανση προσωπικών δεδομένων και επιτρέποντας την εύκολη αναζήτηση.
  • Τη ρύθμιση του χρονοδιαγράμματος διαγραφής και διατήρησης δεδομένων.
  • Να επιτρέπουν τη φορητότητα των δεδομένων με τη δόμηση των προσωπικών δεδομένων σε μορφή αναγνώσιμη από μηχανή και συνήθως χρησιμοποιούμενη.

Εν κατακλείδι.

Διαβάζοντας αυτό το άρθρο, μπορεί να σκεφτείτε ότι το PbD ισχύει μόνο κατά τον σχεδιασμό και την εκτέλεση νέων τεχνολογιών, συστημάτων ή προϊόντων.

Ωστόσο, το απόρρητο από τον σχεδιασμό θα πρέπει επίσης να ενσωματωθεί στις συνεχιζόμενες λειτουργίες. Έτσι, θα μπορέσουν οι οργανισμοί να αντιμετωπίσουν πλήρως τη συμμόρφωση με τον GDPR και να εξασφαλίσουν αποτελεσματική διαχείριση προσωπικών δεδομένων.

Κατά το στάδιο του σχεδιασμού και της ανάπτυξης, θα πρέπει να δημιουργείτε έχοντας κατά νου το απόρρητο και να αναπτύσσετε προϊόντα που έχουν ενσωματωμένη ικανότητα διαχείρισης και εκπλήρωσης όλων των υποχρεώσεων που σχετίζονται με το GDPR.

Ωστόσο, για τις συνεχιζόμενες διαδικασίες, οι λύσεις και οι πλατφόρμες απορρήτου μπορούν να καλύψουν αυτό το κενό. Με αυτό τον τρόπο θα σας βοηθήσουν να αυξήσετε το απόρρητο σχεδιάζοντας συστήματα, τεχνολογίες και διεργασίες που σχεδιάστηκαν ή εφαρμόστηκαν πριν από την πλήρη ισχύ του GDPR και που ως εκ τούτου, μπορεί να μην έχουν διάσταση απορρήτου.

Οι λύσεις απορρήτου μπορούν να σας βοηθήσουν να ορίσετε χρονοδιαγράμματα διατήρησης και διαγραφής δεδομένων. Επίσης, μπορούν να σας βοηθήσουν να χαρτογραφήσετε πού βρίσκονται τα δεδομένα σας. Τέλος, θα μπορείτε διαχειριστείτε τα αιτήματα των υποκειμένων δεδομένων, μεταξύ άλλων.

Πηγή: Dataprivacy.net