Петро Білик

керівник практики Технологій та Інвестицій Juscutum

До нас часто звертаються з питанням: «Коли почати впроваджувати захист персональних даних?». І наша рекомендація завжди – з самого початку, адже в цьому і полягає принцип Privacy by design and by default, про який і піде мова в цій статті.

Зі збільшенням кількості особистої інформації, що збирається та обробляється компаніями та організаціями, важливість приватності збільшилась, ніж будь-коли раніше. Уряди в усьому світі визнали це та прийняли різні закони та правила для захисту приватності особи. Однією з таких концепцій, яка набула популярності в останні роки, є ідея Privacy by design and by default, закріплена статтею 25 загального регламенту захист персональних даних (далі GDPR).

Що таке Privacy by default?

Privacy by default (захист даних з самого початку) — це принцип, який вимагає від компаній розробляти свої продукти та послуги із застосуванням заходів захисту даних з самого початку, за замовчуванням, без будь-яких додаткових дій з боку користувача (суб’єкта персональних даних).

Юридичні вимоги до Privacy by default:

Privacy by default має значні правові наслідки. У багатьох країнах захист даних, приватнісь є фундаментальним правом особи, і компанії мають зобов’язання захищати приватність осіб, право на недоторканність особистого життя. Недотримання цієї вимоги може призвести до значних юридичних наслідків, зокрема штрафів і шкоди репутації.

Загальний регламент захисту даних (GDPR) вимагає від компаній і організацій впровадити відповідні технічні та організаційні заходи для забезпечення захисту персональних даних за замовченням (стаття 25 GDPR). Це включає такі заходи, як:

  1. Псевдонімізувати дані (процедура управління даними та деідентифікація)  
  1. Мінімізувати дані, які збираються
  1. Забезпечити прозорість обробки персональних даних
  1. Інтегрувати необхідні засоби захисту даних, шифрування
  1. Обробляти лише персональні дані, необхідні для кожної конкретної мети обробки
  1. Мати законні підстави для обробки
  1. Обмежити строк зберігання даних
  1. Обмежити доступ до даних третіх осіб 
  1. Забезпечити дотримання інших вимог, передбачених GDPR

З чого почати:

Якщо ви тільки починаєте розробляти продукт, поставьте наступні питання перед своєю командою:

  1. Які дані ми будемо збирати?
  1. Які можуть бути потенційні ризики до захисту персональних даних?
  1. Як ми будемо повідомляти користувача про обробку його даних?
  1. Як захистити зібрані від користувача дані?
  1. Як забезпечити контроль користувача над своїми даними?

Все це включає і розміщення Політики обробки персональних даних (Privacy Notice) і редагування, видалення персональних даних, можливість обрання тих даних які збираються і можливість звернення до компанії з питань захисту даних.

Значення Privacy by default:

Privacy by default важлива з кількох причин:

  1. Цей принцип покладає відповідальність за захист персональних даних на компанії з самого початку
  1. Це гарантує, що користувачам не потрібно робити жодних додаткових кроків для захисту своєї приватності та персональних даних
  1. Сприяє довірі між користувачами та компаніями

Коли люди знають, що їхня конфіденційність захищена за замовчуванням, вони, швидше за все, довірятимуть компанії. Досить просто згадати рекламний слоган Apple: “Приватність – це iPhone”.

Що відбувається, якщо не дотримуватися даного принципу:

Як показує досвід, деякі компанії ігнорують цей принцип, що може мати серйозні наслідки.

Прикладом такої компанії є Uber, яка побудувала застосунок, який слідкував за особистими даними користувачів без їх згоди, навіть після видалення додатку. Це призвело до серйозних проблем з безпекою даних та порушень приватності, оскільки користувачі не мали контролю над тим, як їхні дані збираються та використовуються.

Протягом всього часу існування Uber зазнавала неодноразового витоку даних, останні з яких відбулися у 2022 році. Це підкреслює важливість дотримання принципу Privacy by default, щоб запобігти подібним ситуаціям.

Окрім того, порушення принципу Privacy by default може призвести до суттєвих фінансових витрат для компаній. Штрафи можуть складати до 20 мільйонів євро або 4% від річного обігу компанії. Отже, дотримання принципу Privacy by default є важливою складовою будь-якої компанії.  

Висновок:

Privacy by default — це концепція, яка стає все більш важливою в епоху цифрових технологій. Це принцип, який вимагає від компаній розробляти свої продукти та послуги із застосуванням заходів захисту даних з самого початку. Це важливо, оскільки це гарантує користувачам, що їм не потрібно вживати жодних додаткових заходів для захисту своєї інформації, і сприяє довірі між користувачами та компаніями. Компанії, які не запровадять заходи забезпечення Privacy by default, можуть зіткнутися зі значними правовими наслідками, зокрема штрафами та репутаційною шкодою.

8.2.2024
Податкове право
Власникам КІК приготуватися: термін подання звітності наближається.
Читати
26.1.2024
Лідери Juscutum увійшли до ТОП-100 юристів України 2023
Читати
25.1.2024
Артем Афян увійшов до переліку найкращих юристів світу за версією рейтингу Who’s Who Legal: Data 2024
Читати
16.1.2024
Juscutum приєднався до Глобального договору ООН в Україні
Читати
21.12.2023
Технології та інвестиції
Приватна пропозиція токенів: юридичний погляд
Читати
14.12.2023
Технології та інвестиції
Штучний Інтелект та авторське право: що врахувати юристу?
Читати
14.12.2023
Супровід бізнесу
Ризики для бізнесу за недотримання санкційного законодавства в Україні
Читати
13.12.2023
Кримінальне право та безпека бізнесу
Як захиститися від викрадення криптовалют: поради від Juscutum
Читати
6.12.2023
Вирішення спорів
Агробізнес
Пом'якшення валютних обмежень: 5 змін від НБУ
Читати
Всі новини