PRIVACY BY DESIGN – ΑΣΦΑΛΕΙΑ ΑΠΟ ΜΕΣΑ ΠΡΟΣ ΤΑ ΕΞΩ

Το Privacy by Design σαν όρος αναπτύχθηκε τη δεκαετία του ’90 από την Ann Cavoukian, πρώην Επίτροπο αρμόδια για ζητήματα Πληροφοριών & Προστασίας της Ιδιωτικής Ζωής στο Οντάριο του Καναδά, προκειμένου να αντιμετωπίσει τις συνεχώς αυξανόμενες και συστηματικές επιπτώσεις των νέων τεχνολογιών. Η αρχή του Privacy By Design (στο εξής «PbD») βασίζεται στην άποψη ότι για την προστασία της ιδιωτικής ζωής δεν αρκεί η συμμόρφωση με τα υφιστάμενα κανονιστικά πλαίσια. Η λειτουργία μίας επιχείρησης πρέπει ιδανικά να έχει σχεδιαστεί με γνώμονα τη διασφάλιση προστασίας της ιδιωτικής ζωής.

 

Η αρχή του «PbD» έχει αναγνωριστεί σε παγκόσμιο και όχι μόνο σε ευρωπαϊκό επίπεδο εν όψει εφαρμογής του Νέου Κανονισμού, ως ο πλέον σταθερός και αξιόπιστος οδηγός για την προστασία των προσωπικών δεδομένων.

 

Ακολουθούν οι 7 θεμελιώδεις αρχές του «privacy by design»

 

1. Προληπτική όχι Επανορθωτική δράση

Η αρχή του «PbD» χαρακτηρίζεται από τη λήψη προδραστικών και όχι αντιδραστικών μέτρων. Προλαμβάνει επεμβατικά στην ιδιωτικότητα γεγονότα πριν πραγματοποιηθούν. Το «PbD» δεν περιμένει την εμφάνιση των κινδύνων, ούτε παρέχει θεραπείες για την αντιμετώπιση των παραβιάσεων της ιδιωτικότητας, αλλά αποσκοπεί στην πρόληψη τους. Εν συντομία το «PbD» εφαρμόζεται πριν και όχι μετά την παραβίαση δεδομένων.

Είτε αφορά στην εφαρμογή τεχνολογικών/ ψηφιακών συστημάτων, είτε σε ζητήματα οργάνωσης, η αρχή του «PbD» εκκινεί από την σαφή παραδοχή της αξίας και των ωφελειών της έγκαιρης και διαρκούς υιοθέτησης ισχυρών πρακτικών προστασίας της ιδιωτικότητας. Τέτοιες πρακτικές περιλαμβάνουν:

  • Μία καθαρή δέσμευση, και των υψηλά ιστάμενων στελεχών, να καθορίσουν και να εφαρμόσουν υψηλά πρότυπα ασφάλειας – και μάλιστα υψηλότερα από αυτά που τίθενται από τους νόμους και τους κανονισμούς παγκοσμίως.
  • Τον προσδιορισμό τρόπων αναγνώρισης τυχόν ασθενών πρακτικών ασφάλειας της ιδιωτικότητας, την διόρθωση και πρόληψη των αρνητικών συνεπειών πολύ πριν εμφανιστούν με συστηματικότητα και μεθοδικότητα.

2. Η τήρηση του απορρήτου ως προεπιλεγμένη ρύθμιση

Η αρχή του «PbD» αποσκοπεί στην επίτευξη του μέγιστου βαθμού προστασίας της ιδιωτικότητας, εξασφαλίζοντας ότι τα προσωπικά δεδομένα προστατεύονται αυτόματα σε οποιοδήποτε σύστημα πληροφορικής της επιχείρησης. Εάν ένα άτομο δεν κάνει τίποτα, η ιδιωτική του ζωή παραμένει ανέπαφη. Δεν απαιτείται καμία ενέργεια από μέρους του ατόμου για την προστασία του απορρήτου του – η προστασία είναι ενσωματωμένη στο σύστημα και τις επιχειρηματικές πρακτικές, από προεπιλογή (by default).
Ως εκ τούτου η αρχή του «PbD» υπό το πρίσμα του «Privacy by Default» διαπνέεται από τις ακόλουθα:

  • Εξειδίκευση του σκοπού- το Υποκείμενο Δεδομένων θα πρέπει να είναι ενήμερο για τους σκοπούς για τους οποίους τα δεδομένα του συλλέγονται, αποθηκεύονται, χρησιμοποιούνται και γνωστοποιούνται σε τρίτους, ενώ η ενημέρωση αυτή θα πρέπει να πραγματοποιείται είτε πριν είτε κατά τη στιγμή της συλλογής των δεδομένων. Επίσης, θα πρέπει να διευκρινίζονται πλήρως ειδικοί σκοποί, σχετικοί και ανάλογοι των περιστάσεων επεξεργασίας.
  • Περιορισμοί συλλογής- η συλλογή προσωπικών πληροφοριών πρέπει να είναι σύννομη, δίκαιη και να περιορίζεται στις πληροφορίες που είναι απολύτως αναγκαίες για την εξυπηρέτηση συγκεκριμένων μόνο σκοπών.
  • Ελαχιστοποίηση δεδομένων- η συλλογή προσωπικών δεδομένων που μπορούν να συνδεθούν με συγκεκριμένο πρόσωπο πρέπει να περιοριστεί στο ελάχιστο. Ο σχεδιασμός προγραμμάτων και τεχνολογικών συστημάτων θα πρέπει να βασίζεται σε μεταφορές δεδομένων που δεν μπορούν ευχερώς να αποδοθούν σε συγκεκριμένο πρόσωπο, ως προεπιλογή. Οποτεδήποτε είναι δυνατόν, ο εντοπισμός και η σύνδεση προσωπικών δεδομένων με συγκεκριμένα πρόσωπα θα πρέπει να αποφεύγεται.
  • Χρήση, αποθήκευση και περιορισμός δημοσιοποίησης δεδομένων- η χρησιμοποίηση, αποθήκευση και δημοσιοποίηση προσωπικών δεδομένων θα πρέπει να πραγματοποιείται περιοριστικά για συγκεκριμένους σκοπούς, που θα κοινοποιούνται στο Υποκείμενο Δεδομένων και για τους οποίους το τελευταίο θα συναινεί, εκτός αν προβλέπεται διαφορετικά από τον νόμο. Τα προσωπικά δεδομένα θα πρέπει να αποθηκεύονται μόνο για όσο χρονικό διάστημα είναι απολύτως απαραίτητο για την εκπλήρωση των σκοπών της επεξεργασίας, για τους οποίους το Υποκείμενο έχει ενημερωθεί και παράσχει τη συναίνεσή του και μετά να καταστρέφονται με ασφάλεια.

Όταν δεν είναι σαφές κατά πόσον είναι αναγκαία η χρήση των προσωπικών δεδομένων, πρέπει να τηρείται η αρχή της προφύλαξης της ιδιωτικότητας: οι προεπιλεγμένες ρυθμίσεις πρέπει να έχουν ως πρωταρχικό σκοπό τους την προστασία της ιδιωτικής ζωής.

3. Η προστασία του απορρήτου είναι ενσωματωμένη στο σχεδιασμό

Η αρχή του «PbD» ενσωματώνεται στο σχεδιασμό και την αρχιτεκτονική των συστημάτων πληροφορικής. Με άλλα λόγια, η αρχή του «PbD» αναγάγει την προστασία της ιδιωτικής ζωής σε βασικό στοιχείο της επιχειρηματικής πρακτικής. Στόχος είναι να ενσωματώνονται μηχανισμοί προστασίας της ιδιωτικότητας στα πληροφοριακά συστήματα, χωρίς ωστόσο να μειώνεται η λειτουργικότητά τους.

Μηχανισμοί προστατευτικοί της ιδιωτικότητας πρέπει να ενσωματωθούν στις λειτουργίες των πληροφοριακών συστημάτων με τρόπο που να αναβαθμίζεται η υπάρχουσα τεχνογνωσία της επιχείρησης, λαμβάνοντας υπόψη τα συμφέροντα και τα δικαιώματα όλων των εμπλεκόμενων σε μια διαδικασία επεξεργασίας προσωπικών δεδομένων μερών.

Η τήρηση της αρχής της προστασίας της ιδιωτικής ζωής πρέπει να βασίζεται σε αποδεκτά διεθνώς πρότυπα τεχνολογικών συστημάτων, τα οποία υπόκεινται ευχερώς σε αναθεωρήσεις και ελέγχους. Θα πρέπει να διεξάγονται και να δημοσιεύονται λεπτομερείς αξιολογήσεις των επιπτώσεων και των κινδύνων που απορρέουν από μια διαδικασία επεξεργασίας προσωπικών δεδομένων, με σαφή τεκμηρίωση όλων των μέτρων που ελήφθησαν για τον μετριασμό των κινδύνων που ενδεχομένως προέκυψαν, συμπεριλαμβανομένης της ανάλυσης τυχόν εναλλακτικών λύσεων. Οι ενδεχόμενες αρνητικές επιπτώσεις στην ιδιωτική ζωή θα πρέπει να ελαχιστοποιούνται.

4. Πλήρης λειτουργικότητα

Η αρχή του «PbD» αποσκοπεί στην εξυπηρέτηση όλων των εννόμων συμφερόντων με τρόπο «κερδοφόρο» τόσο για την επιχείρηση όσο και για τα υποκείμενα των προσωπικών δεδομένων. Η προστασία απορρήτου από το σχεδιασμό αποδεικνύει ότι είναι δυνατό να συνδυαστεί η λειτουργικότητα της επιχείρησης με την ασφάλεια και την προστασία των προσωπικών δεδομένων.

Κατά την ενσωμάτωση μηχανισμών προστασίας της ιδιωτικής ζωής σε μια συγκεκριμένη τεχνολογική διαδικασία ή σε κάποιο πληροφοριακό σύστημα της επιχείρησης, θα πρέπει να διασφαλίζεται η πλήρης λειτουργικότητά τους και, στο μέγιστο δυνατό βαθμό, να βελτιστοποιούνται όλες οι δυνατότητές τους.

Το ιδιωτικό απόρρητο συχνά έρχεται σε δεύτερη μοίρα όταν συγκρούεται με κάποιο άλλο έννομο συμφέρον. Η προστασία της ιδιωτικής ζωής από το σχεδιασμό απορρίπτει την υιοθέτηση μιας τέτοιας προσέγγισης – που εξυψώνει τα έννομα συμφέροντα της εταιρείας σε ανώτερη θέση από την προστασία της ιδιωτικής ζωής.

Όλα τα συμφέροντα και οι στόχοι της επιχείρησης σχετικά με μια διαδικασία επεξεργασίας προσωπικών δεδομένων πρέπει να τεκμηριώνονται σαφώς, κατόπιν ενδελεχών αναλύσεων ως προς την αναγκαιότητα διεξαγωγής της διαδικασίας της επεξεργασίας. Η αρχή «PbD» φέρνει την καινοτομία στην επίτευξη των επιχειρηματικών στόχων με έναν θετικό- ενοποιητικό τρόπο. Επιχειρήσεις που καταφέρνουν να απορρίψουν τις ξεπερασμένες τεχνολογικές λύσεις αναδεικνύονται σε ηγετικά πρότυπα επιχειρήσεων στον ιδιωτικό τομέα, κερδίζοντας την εμπιστοσύνη των πελατών τους.

5. Ασφάλεια δεδομένων – Προστασία καθ’ όλη τη διάρκεια ζωής των δεδομένων

Πρόκειται για την προστασία της ιδιωτικής ζωής μέσα από το σχεδιασμό του προϊόντος/ υπηρεσιών, όπως ενσωματώνεται στην επιχειρηματική πρακτική από την αρχή έως το τέλος. Όλα τα δεδομένα πρέπει να τηρούνται με ασφάλεια, καθώς και να καταστρέφονται εγκαίρως και ασφαλώς στο τέλος της διαδικασίας της επεξεργασίας. Έτσι, η αρχή του «PbD» εξασφαλίζει από την αρχή έως το τέλος την ασφαλή διαχείριση των προσωπικών δεδομένων σε ολόκληρη τη διάρκεια διατήρησής τους. Η υιοθέτηση ισχυρών μέτρων ασφαλείας είναι απαραίτητη για την προστασία της ιδιωτικής ζωής από την αρχή μέχρι το τέλος της σχέσης της επιχείρησης με τον πελάτη. Δεν πρέπει να υπάρχουν κενά ούτε στην προστασία ούτε στη λογοδοσία σχετικά με την διαχείριση των δεδομένων. Τα μέτρα ασφαλείας αποκτούν ιδιαίτερη σημασία διότι, στην ουσία, χωρίς ισχυρή ασφάλεια, δεν δύναται να υπάρξει προστασία της ιδιωτικότητας.

Πρακτικά, οι επιχειρήσεις πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των προσωπικών πληροφοριών που επεξεργάζονται ανάλογα με τον βαθμό ευαισθησίας τους (πχ. δεδομένα υγείας) καθ ‘όλη τη διάρκεια του «κύκλου ζωής» τους (=χρόνος διατήρησής τους), σύμφωνα με τα πρότυπα που έχουν αναπτυχθεί διεθνώς ή από τις εκάστοτε εθνικές εποπτικές αρχές (πχ. ΑΠΔΠΧ), τα οποία διασφαλίζουν με σύννομο τρόπο την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των προσωπικών δεδομένων.

6. Έλεγχος και διαφάνεια

Η αρχή του «PbD» επιδιώκει να διασφαλίσει ότι υπάρχει η δυνατότητα ελέγχου της τήρησης των θεμιτών σκοπών σε μια διαδικασία επεξεργασίας προσωπικών δεδομένων. Οι λειτουργίες του συστήματος επεξεργασίας παραμένουν διαφανείς τόσο στους χρήστες όσο και στους παρόχους. Η δυνατότητα ελέγχου και η διαφάνεια είναι απαραίτητες για την καθιέρωση της υπευθυνότητας και της εμπιστοσύνης. Η αρχή του «PbD» παρακολουθεί τις ορθές πρακτικές πληροφόρησης στο σύνολό τους, για λόγους ελέγχου. Πρακτικά, μπορεί να δοθεί ιδιαίτερη έμφαση στην:

  1. Υποχρέωση Λογοδοσίας – Η συλλογή προσωπικών πληροφοριών δημιουργεί το ειδικό βάρος προστασίας τους. Η ευθύνη για όλες τις επιχειρηματικές πολιτικές και διαδικασίες που σχετίζονται με την προστασία της ιδιωτικής ζωής, πρέπει να τεκμηριώνεται και να ανατίθεται σε συγκεκριμένο υπάλληλο της επιχείρησης. Κατά τη διαβίβαση προσωπικών πληροφοριών σε τρίτους, πρέπει να εξασφαλίζεται ισοδύναμη προστασία της ιδιωτικής ζωής με άλλα μέσα (πχ. ειδικοί όροι συμβάσεων, ρήτρες εμπιστευτικότητας).
  2. Διαφάνεια – Η διαφάνεια είναι το κλειδί της λογοδοσίας. Οι πληροφορίες σχετικά με τις επιχειρηματικές πολιτικές και τις πρακτικές που σχετίζονται με τη διαχείριση των προσωπικών πληροφοριών πρέπει να είναι άμεσα διαθέσιμες στα υποκείμενα που αφορούν τα δεδομένα (πελάτες).
  3. Συμμόρφωση – Πρέπει να θεσπιστούν μηχανισμοί καταγγελίας σε περίπτωση που προσβάλλεται το δικαίωμα στην ιδιωτική ζωή του υποκειμένου των δεδομένων. Επιπλέον, πρέπει να ληφθούν τα απαραίτητα μέτρα για την παρακολούθηση, την αξιολόγηση και την επαλήθευση της συμμόρφωσης της επιχείρησης με τις πολιτικές και τις διαδικασίες απορρήτου που απαιτεί το ισχύον νομικό πλαίσιο.

7. Σεβασμός στο απόρρητο των χρηστών

Η αρχή του «PbD» απαιτεί να διασφαλίζονται τα συμφέροντα του υποκείμενου των δεδομένων, με την υιοθέτηση κατάλληλων μέτρων ασφαλείας, (όπως ισχυρούς μηχανισμούς απορρήτου, μηχανισμούς άμεσης και κατάλληλης ειδοποίησης του υποκειμένου κλπ). Τα καλύτερα αποτελέσματα για την προστασία της ιδιωτικής ζωής του πελάτη, (ήδη κατά το σχεδιασμό του προϊόντος/ της υπηρεσίας), επέρχονται όταν το ίδιο το προϊόν ή η προσφερόμενη υπηρεσία παρέχονται με σεβασμό προς τα προσωπικά δεδομένα του ίδιου του πελάτη. Η επιχειρηματική πολιτική πρέπει να αναγνωρίζει ενεργό ρόλο στον πελάτη αναφορικά με τη διαχείριση των προσωπικών δεδομένων του. Δίδεται ιδιαίτερη έμφαση στα ακόλουθα:

  1.  Συναίνεση – Η ελεύθερη, ρητή, ειδική συναίνεση του υποκειμένου απαιτείται για τη συλλογή, χρήση ή αποκάλυψη των προσωπικών πληροφοριών του, εκτός αν προβλέπεται άλλως από το νόμο. Όσο μεγαλύτερη είναι η ευαισθησία των δεδομένων, τόσο σαφέστερη και πιο συγκεκριμένη πρέπει να είναι η απαιτούμενη συγκατάθεση του υποκειμένου των δεδομένων.
  2. Ακρίβεια – Οι προσωπικές πληροφορίες πρέπει να είναι ακριβείς, πλήρεις και επικαιροποιημένες.
  3. Πρόσβαση – Οι πελάτες πρέπει να έχουν πρόσβαση στα προσωπικά τους δεδομένα και να ενημερώνονται σχετικά με τη διαχείρισή τους. Τα υποκείμενα των δεδομένων πρέπει να μπορούν να αμφισβητούν την ακρίβεια και την πληρότητα του συνόλου των προσωπικών πληροφοριών τους, που επεξεργάζεται η επιχείρηση.
  4. Συμμόρφωση- Οι επιχειρήσεις πρέπει να καθιερώσουν μηχανισμούς καταγγελίας και επανόρθωσης σε περίπτωση ενδεχόμενης παραβίασης των προσωπικών δεδομένων, ενημερώνοντας τα υποκείμενα των δεδομένων για τις εκ του νόμου δυνατότητές τους προς αποκατάσταση της τρωθείσης ιδιωτικότητάς τους (πχ. δυνατότητα άσκησης προσφυγής).

Ο σεβασμός της ιδιωτικής ζωής στοχεύει στην διασύνδεση ανθρώπου-μηχανής. Ο χαρακτήρας των επιχειρήσεων που επεξεργάζονταν μέχρι σήμερα προσωπικά δεδομένα τείνει να γίνει πιο ανθρωποκεντρικός, φιλικός προς το χρήστη-πελάτη. Την ίδια στιγμή το ίδιο το υποκείμενο των δεδομένων, ευρισκόμενο στο επίκεντρο των εργασιών επεξεργασίας, αναλαμβάνει ένα σημαντικό έργο, την δική του συμβολή και ανταπόκριση στις νέες επιχειρηματικές πρακτικές προστασίας του ιδιωτικού απορρήτου.

 

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top