Data protection by design & by default:When to act and what to do
Zaštita osobnih podataka ne smije se promatrati kao naknadna administrativna obveza, već kao sastavni dio planiranja, razvoja, odabira i uporabe sustava, proizvoda, aplikacija i usluga koji uključuju obradu osobnih podataka. Članak 25. Opće uredbe o zaštiti podataka obvezuje voditelje obrade da već u fazi osmišljavanja postupka obrade, kao i tijekom same obrade, provedu odgovarajuće tehničke i organizacijske mjere kojima se učinkovito štite načela zaštite podataka i prava ispitanika. EDPB naglašava da se ta obveza mora razmatrati prije početka obrade, ali i kontinuirano tijekom njezina trajanja, uključujući i postojeće sustave u kojima se obrađuju osobni podaci.
To znači da poduzeća, javna tijela i druge organizacije moraju već pri dizajniranju tehnologije ili poslovnog procesa razmotriti koja će se vrsta osobnih podataka obrađivati, u koju svrhu, u kojem opsegu, koliko dugo, tko će imati pristup podacima, kako će ispitanici biti informirani te kako će moći ostvariti svoja prava. Zaštita podataka treba biti ugrađena u samu arhitekturu sustava, a ne dodana tek nakon što je sustav već razvijen ili stavljen u uporabu.
Primjena mjera zaštite podataka ne bi se trebala doživljavati kao prepreka funkcionalnosti proizvoda ili usluge. Naprotiv, dobro osmišljene mjere zaštite privatnosti mogu povećati povjerenje korisnika, smanjiti regulatorne i sigurnosne rizike te pridonijeti kvaliteti i pouzdanosti proizvoda ili usluge. EDPB posebno ističe da svi voditelji obrade, neovisno o veličini organizacije, imaju obvezu tehničke i integrirane zaštite podataka, pri čemu se složenost provedbe može razlikovati ovisno o prirodi i rizicima konkretne obrade.
Tehnička zaštita podataka
Tehnička zaštita podataka podrazumijeva primjenu tehničkih i organizacijskih mjera koje su osmišljene tako da učinkovito provode načela zaštite podataka, primjerice zakonitost, poštenost i transparentnost, ograničavanje svrhe, smanjenje količine podataka, točnost, ograničenje pohrane te cjelovitost i povjerljivost. Takve mjere trebaju biti primjerene konkretnoj obradi, uzimajući u obzir najnovija dostignuća, trošak provedbe, prirodu, opseg, kontekst i svrhu obrade te rizike različite vjerojatnosti i ozbiljnosti za prava i slobode ispitanika.
Primjeri tehničkih i organizacijskih mjera mogu uključivati pseudonimizaciju, enkripciju, kontrolu pristupa, vođenje evidencija pristupa, sustave za detekciju zlonamjernog softvera, redovito testiranje sigurnosti, ograničavanje ovlasti zaposlenika, osposobljavanje zaposlenika o zaštiti podataka i kibernetičkoj sigurnosti, upravljanje rokovima pohrane, kao i ugovorno obvezivanje izvršitelja obrade na poštovanje konkretnih mjera zaštite podataka. EDPB kao primjere navodi i uspostavu sustava za upravljanje privatnošću i informacijskom sigurnošću te mjere koje omogućuju ispitanicima da imaju stvaran utjecaj na obradu svojih podataka.
Pseudonimizacija znači zamjenu identifikacijskih podataka umjetnim identifikatorima, tako da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija. Enkripcija znači kodiranje podataka na način da ih mogu čitati samo osobe koje imaju odgovarajući ključ ili ovlaštenje. Te mjere ne uklanjaju uvijek status osobnih podataka, ali značajno smanjuju rizik za ispitanike u slučaju neovlaštenog pristupa, gubitka ili zlouporabe podataka.
Integrirana zaštita podataka
Integrirana zaštita podataka znači da su, prema zadanim postavkama, obrađuju samo oni osobni podaci koji su nužni za svaku pojedinu svrhu obrade. Sustav, aplikacija ili usluga trebaju biti postavljeni tako da se ne prikuplja više podataka nego što je potrebno, da podaci nisu dostupni neograničenom broju osoba, da se ne čuvaju dulje nego što je nužno te da nisu automatski dostupni javnosti ili trećim osobama bez valjane svrhe i pravne osnove.
Primjer integrirane zaštite podataka je društvena mreža čije su početne postavke privatnosti podešene tako da korisnički profil, objave i kontaktni podaci nisu javno dostupni svim korisnicima interneta, već samo ograničenom krugu osoba koji korisnik sam odabere. Ako korisnik želi širu dostupnost svojih podataka, takvu opciju može naknadno aktivirati vlastitom odlukom. Takav pristup bolje odražava načelo smanjenja količine podataka i omogućuje korisniku veću kontrolu nad vlastitim osobnim podacima.
Slično tome, internetska trgovina ne bi trebala unaprijed prikupljati datum rođenja, spol, broj telefona ili podatke o lokaciji ako ti podaci nisu nužni za kupnju i dostavu proizvoda. Aplikacija ne bi trebala imati unaprijed uključeno praćenje lokacije ako funkcionalnost aplikacije može raditi bez stalnog praćenja. Sustav za upravljanje korisničkim računima ne bi trebao prema zadanim postavkama omogućiti vidljivost profila svim korisnicima ako je za pružanje usluge dovoljna ograničena vidljivost.
Praktična poruka za organizacije
Organizacije bi trebale prije uvođenja novog sustava, proizvoda ili usluge postaviti najmanje sljedeća pitanja: koji su osobni podaci zaista nužni, može li se svrha ostvariti s manje podataka, mogu li se podaci pseudonimizirati ili anonimizirati, tko mora imati pristup podacima, koliko se dugo podaci čuvaju, jesu li zadane postavke privatnosti najzaštitnije za ispitanika, kako se ispitanik informira i kako može ostvariti svoja prava.
Drugim riječima, članak 25. zahtijeva da zaštita podataka bude ugrađena u poslovni i tehnički dizajn obrade. Organizacija koja tek nakon incidenta, pritužbe ispitanika ili nadzora nadzornog tijela počne razmišljati o smanjenju količine podataka, rokovima pohrane, pristupnim pravima ili transparentnosti, ne postupa u skladu s idejom tehničke i integrirane zaštite podataka.
