Počiatky Privacy by design ako modernej koncepcie ochrany osobných údajov vznikli v roku 1995, keď spoločný tím zložený z ľudí pracujúcich pre kanadský a holandský dozorný orgán vytvorili správu o technológiách zlepšujúcich ochranu súkromia (Privacy-Enhancing Technologies, PETs). PETS ako pojem vo všeobecnosti zahŕňa súbor počítačových nástrojov, aplikácií a mechanizmov, ktoré sú integrované v online službách alebo aplikáciách a ktoré umožňujú užívateľom, resp. dotknutým osobám chrániť ich súkromie a osobné údaje. Postupom času sa začal v odborných kruhoch presadzovať názor, že len technológie podporujúce ochranu súkromia nestačia a dnes je viac ako zrejmé, že rozvíjajúci sa digitálny vek si vyžaduje nasadenie dôkladnejšieho prístupu – tzv. PETS Plus, kde sa prevádzkovateľ (subjekt spracúvajúci osobné údaje na vymedzené / ustanovené účely) bude musieť zaoberať viacerými aspektami ochrany osobných údajov, ktoré by mali mať vplyv na primeranú optimalizáciu vnútorných procesov prevádzkovateľa ešte pred ich reálnym získaním a ďalším využívaním. Koncept Privacy by design bol v zahraničí už aplikovaný alebo akademicky skúmaný v nižšie uvedených oblastiach:
- využívanie kamerových systémov v prostriedkoch verejnej dopravy,
- biometria využívaná v kasínach alebo herných zariadeniach,
- pri využívaní inteligentných meračov,
- pri využívaní mobilných zariadení a telekomunikácii,
- RFID a NFIC technológie,
- geolokalizácia,
- konzultovanie zdravotného stavu na diaľku,
- big Data analýzach.
Na Slovensku je Privacy by design neznámym, resp. neobjaveným trendom. V našich podmienkach je vhodné aplikovať Privacy by design napríklad pri vytváraní bezpečnostného projektu, čo si však vyžaduje, aby dodávateľ bezpečnostného projektu nebol iba predajca draftov, ale aby išlo o erudovaného, skúseného, interdisciplinárne zorientovaného odborníka, ktorý bude dostatočne proaktívny pri komunikácii s objednávateľom (prevádzkovateľom / sprostredkovateľom) a bude s ním konzultovať zistené riziká ako aj možnosti ich zmiernenia alebo odstránenia.
Privacy by design pokrýva tri hlavné oblasti: 1) systémy, 2) obchodné postupy, 3) bezpečnosť a sieťovú infraštruktúru. Cieľom privacy by design je okrem ochrany súkromia a zaistenia osobnej kontroly užívateľov nad vlastnými dátami aj dôraz na vytváranie konkurenčnej výhody prevádzkovateľa. Na dosiahnutie týchto cieľov bolo sformulovaných 7 základných princípov:[1]
- proaktívny prístup (prevencia pred nápravou) – Pre koncept Privacy by Design sú charakteristické skôr proaktívne než reaktívne opatrenia, ktoré spočívajú v predvídaní udalostí zasahujúcich do súkromia užívateľov, resp. dotknutých osôb ako aj v ich predchádzaní skôr než nastanú,
- ochrana súkromia je vopred definovaná / nastavená hodnota – prednastavenie dostupnej technológie je pravidlom. Privacy by design na usiluje poskytnúť maximum súkromia prostredníctvom automatickej ochrany dát v každom jednotlivom IT systéme alebo obchodnom postupe. Od užívateľa sa nevyžaduje, aby sám niečo vykonával / nastavoval za účelom ochrany svojho súkromia,
- ochrana súkromia je v rámci Privacy by design prístupu integrovaná už priamo do návrhu architektúry IT systémov a obchodných postupov, čím sa vo výsledkoch dosahuje to, že ochrana súkromia je neoddeliteľnou súčasťou základnej / dodávanej funkcionality,
- plná funkčnosť – Privacy by design sa usiluje zabezpečiť oprávnené záujmy prevádzkovateľa pri dosiahnutí dostatočnej bezpečnosti a ochrane súkromia – schéma „win / win“,
- bezpečnosť počas celého cyklu spracúvania – ochrana osobných údajov je koncipovaná od začiatku (získania) až po koniec (likvidáciu),
- transparentnosť – stála otvorenosť Privacy by design sa pre všetky zainteresované strany usiluje zaistiť, aby akákoľvek obchodná procedúra alebo technológia fungovala v súlade s uvedenými, nezávisle overiteľnými prísľubmi a cieľmi. Jednotlivé súčasti sú s ohľadom na atribút bezpečnosti dostupné rovnakou mierou pre užívateľa ako aj pre prevádzkovateľa.
Vyššie uvedené princípy je bez odbornej zdatnosti a interdisciplinárnej spolupráce právnikov, compliance špecialistov a IT expertov skoro nemožné všetky dosiahnuť, resp. priebežne dosahovať. Význam ochrany osobných údajov sa neustále z viacerých dôvodov zvyšuje, čo sa v blízkej budúcnosti ešte umocní po definitívnom schválení finálneho znenia nariadenia GDPR (General Data Protection Regulation – všeobecné nariadenie ), ktoré v znení konsolidovaného návrhu pripomienkovaného výborom Európskeho parlamentu LIBE zverejnenom 12. marca 2014 už počíta s konceptom privacy by design pri právnej úprave činnosti zodpovedných osôb, či pri možnosti Európskej Komisie vydávať v tejto oblasti delegované a implementačné akty. [2] Tento fakt hypoteticky vytvára de lege ferenda priestor pre možnú legislatívnu úpravu tejto problematiky.
JUDr. Ondrej Zimen
Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.
Poznámky pod čiarou:
[1] CAVOUKIAN, A. Privacy by design – The 7th foundational principles [online]. [cit. 09.06.2015] Dostupné na internete: https://www.privacybydesign.ca/index.php/about-pbd/translations
[2] European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) [online]. [cit. 09.06.2015]. Dostupné na internete: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN
