Články označené ako BrandCom sú pripravené a publikované v spolupráci s komerčnými partnermi. Hoci redakcia TRENDU nie je ich autorom, ich obsah považuje za prínosný pre čitateľa a preto umožnila ich publikovanie. Viac o BrandCom

BLOG Martin Sasinek

Privacy by design by default kde končí filozofia a začína prax?

23.03.2017 | Martin Sasinek

Čo prinesie implementácia General Data Protection Regulation (GDPR)

  • Tlačiť
  • 0

General data protection regulation (GDPR) prináša v rámci mnohých legislatívnych požiadaviek na prevádzkovateľov informačných systémov aj veľmi zaujímavú novinku s názvom "Privacy by Design and by Default". Prevádzkovatelia informačných systémov, ktorí doposiaľ fungovali v režime zákona č. 122/2013 Z. z. o ochrane osobných údajov sa nemali možnosť stretnúť s týmito fundamentálnymi princípmi ochrany súkromia. Táto novinka však vo svete "Data protection" nie je ničím novým. Pre mnohých právnikov doposiaľ neznámy pojem pre prevádzkovateľov príliš všeobecné a ťažko uchopiteľné pravidlá. Čo sa vlastne skrýva pod pojmom Privacy by Design and by Default?

Podľa Článku 25 GDPR, má každý prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania osobných údajov, ako aj na riziká spojené s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, v čase určenia prostriedkov spracúvania ako aj v čase samotného spracúvania prijať primerané technické a organizačné opatrenia.

Definícia podľa článku 25 GDPR je natoľko všeobecná a filozofická, že nie je možné bez poskytnutia širšieho kontextu tohto práva pokračovať v ďalšej diskusii. Tieto technické a organizačné opatrenia upravené v článku 25 GDPR možno vyjadriť 7 princípmi ochrany súkromia, ktoré sú kreované so zreteľom na predmetnú legislatívu niekoľko desiatok rokov. Autorkou filozofických princípov Privacy by Design je Dr. Ann Cavoukian - kanadská doktorka psychológie, právnička a šéfka Privacy and Big Data Institute na Ryerson University. Pre tých čo nemajú čas a záujem študovať filozofické aspekty špecifickej a štandardnej ochrany súkromia predstavím v krátkosti 7 základných princípov.

  1. Pro- aktívny nie reštriktívny prístup; Preventívne nie nápravné opatrenia
  2. Ochrana súkromia ako predvolené nastavenie
  3. Ochrana súkromia ako súčasť dizajnovania procesov
  4. Plná funkcionalita
  5. End-to-end bezpečnosť informačných systémov
  6. Transparentnosť
  7. Rešpektovanie súkromia užívateľov - orientovať sa na dátový subjekt

So zreteľom na prichádzajúcu legislatívu GDPR sa naskytuje otázka čo s tým? Ako implementovať tieto princípy v organizácii?

Privacy by design a by default je potrebné vnímať ako komplexnú zmenu kultúry v danej spoločnosti. Táto zmena kultúry sa odzrkadľuje nie len v implementovaní požiadaviek GDPR, ale aj v reálnom uplatňovaní týchto pravidiel. Aspekty Privacy by design and by default musia byť viditeľné vo všetkých procesoch a na všetkých úrovniach riadenia. Istým predpokladom pre správne implementovanie Privacy by design by default  je funkčná "Data governance". 

Nie je možné túto tému uchopiť nijak inak len tak, že spoločnosť, ktorá doposiaľ dizajnovala svoje produkty a procesy musí zohľadniť špecificky navrhnutú ochranu súkromia. Každý nový produkt využívajúci osobné údaje musí predpokladať dopad na dátové subjekty, vziať do úvahy nie len bezpečnosť spracúvania údajov, ale aj rešpektovanie oprávneného záujmu danej osoby na ochranu súkromia.  Je potrebné konať proaktívne nie reaktívne pričom prevencia a transparentnosť sú kľúčové pojmy. Prijatie primeraných opatrení pred a počas spracúvania osobných údajov je potrebné preukázať.

Mnohí prevádzkovatelia sa snažia uchopiť túto tému najmä prostredníctvom informačnej bezpečnosti. Tento prístup vychádza z pragmatického transformovania skúseností zo súčasnej legislatívy konkrétne zákona o ochrane osobných údajov, ktorý upravuje v Článku 19 povinnosť mať vypracovaný bezpečnostný projekt. Bezpečnostný projekt vypracovaný v súlade s normou ISO 27001 sa v praxi ukázal z hľadiska ochrany osobných údajov ako bezvýznamný. Prax ukázala, že tento dokument je striktne formálny a neodzrkadľuje reálne aspekty spracúvania osobných údajov v danej organizácii. Slúžil výlučne pre potreby výkonu dohľadu zo strany Úradu na Ochranu osobných údajov. Istým predpokladom kvality vypracovania bezpečnostných projektov okrem spomínanej ISO normy bola resp. stále je  vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z.  o rozsahu a dokumentácii bezpečnostných opatrení. V predmetnej vyhláške nachádzame drobné náznaky Privacy by desing by default nie však reflektujúce na požiadavky GDPR. Tento trend kontinuity bezpečnostných projektov je podporovaný aj niektorými poradenskými spoločnosťami. Ich motiváciu v tomto smere nie je potrebné hlbšie odôvodňovať. Ak sa prevádzkovateľ rozhodne preukázať súlad Privacy by design and by default prostredníctvom bezpečnostného projektu, tak nie je vylúčené, že od roku 2018 toto opatrenie bude vyhodnotené ako nedostatočné.

Vzhľadom na vyššie uvedené, je potrebné spomenúť jeden významný aspekt štandardnej a špecificky navrhnutej ochrany súkromia, ktorý sa vzhľadom na slovenský preklad článku 25 GDPR môže ľahko prehliadnuť. Je to pojem "state of the art" čo v preklade znamená podľa najnovších poznatkov. Polemika ohľadom významu "state of the art" je bohatá. Nie je to vôbec jednoduchá diskusia a na úrovni IT obzvlášť rezonujúca. Čo sa skrýva pod týmto pojmom upraveným v legislatíve nie je otázka na právnikov. Je to otázka najmä na odborníkov v oblasti informačných technológií a skúsených privacy officerov.

Privacy by design and by default nie je prínosné chápať len ako povinnosť. Je to zároveň príležitosť pre prevádzkovateľov ako definovať základné pravidlá a princípy dátovej governance čo nepochybne prispeje k zvýšeniu kvality dát a pripraví platformu k rozvoju nového obchodného potenciálu každej spoločnosti. 

  • Tlačiť
  • 0

Diskusia (0 reakcií)

Martin Sasinek

Martin Sasinek
  • Počet článkov: 5
  • Priemerná čítanosť: 3261
  • Priemerná diskutovanosť: 2
  • RSS blogu

O blogu

V súčasnosti pôsobím ako manažér pre oblasť práva a compliance v medzinárodnej spoločnosti pôsobiacej v automobilovom priemysle. Pred tým som pracoval na viacerých pozíciách ako právnik a poradca pre oblasť compliance v sektore bankovníctva a poisťovníctva. Odborne ma veľmi zaujíma oblasť ochrany osobných údajov, ktorá prešla v posledných rokoch zásadnými zmenami a predstavuje stále oblasť nepochopenú a neprebádanú. Tento blog má za cieľ odpovedať na niektoré otázky z oblasti ochrany osobných údajov, digitalizácie a technológií využívajúcich údaje fyzických osôb. Obsah a názory prezentované v tomto blogu sa nevzťahujú a nesúvisia s mojou prácou Manažéra pre Právo a Compliance a nie sú oficiálnym stanoviskom spoločnosti, v ktorej pôsobím.

Martin Sasinek

Martin Sasinek
  • Počet článkov: 5
  • Priemerná čítanosť: 3261
  • Priemerná diskutovanosť: 2
  • RSS blogu

O blogu

V súčasnosti pôsobím ako manažér pre oblasť práva a compliance v medzinárodnej spoločnosti pôsobiacej v automobilovom priemysle. Pred tým som pracoval na viacerých pozíciách ako právnik a poradca pre oblasť compliance v sektore bankovníctva a poisťovníctva. Odborne ma veľmi zaujíma oblasť ochrany osobných údajov, ktorá prešla v posledných rokoch zásadnými zmenami a predstavuje stále oblasť nepochopenú a neprebádanú. Tento blog má za cieľ odpovedať na niektoré otázky z oblasti ochrany osobných údajov, digitalizácie a technológií využívajúcich údaje fyzických osôb. Obsah a názory prezentované v tomto blogu sa nevzťahujú a nesúvisia s mojou prácou Manažéra pre Právo a Compliance a nie sú oficiálnym stanoviskom spoločnosti, v ktorej pôsobím.

Kalendár sa načítava...