General data protection regulation (GDPR) prináša v rámci mnohých legislatívnych požiadaviek na prevádzkovateľov informačných systémov aj veľmi zaujímavú novinku s názvom "Privacy by Design and by Default". Prevádzkovatelia informačných systémov, ktorí doposiaľ fungovali v režime zákona č. 122/2013 Z. z. o ochrane osobných údajov sa nemali možnosť stretnúť s týmito fundamentálnymi princípmi ochrany súkromia. Táto novinka však vo svete "Data protection" nie je ničím novým. Pre mnohých právnikov doposiaľ neznámy pojem pre prevádzkovateľov príliš všeobecné a ťažko uchopiteľné pravidlá. Čo sa vlastne skrýva pod pojmom Privacy by Design and by Default?

Podľa Článku 25 GDPR, má každý prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania osobných údajov, ako aj na riziká spojené s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, v čase určenia prostriedkov spracúvania ako aj v čase samotného spracúvania prijať primerané technické a organizačné opatrenia.

Definícia podľa článku 25 GDPR je natoľko všeobecná a filozofická, že nie je možné bez poskytnutia širšieho kontextu tohto práva pokračovať v ďalšej diskusii. Tieto technické a organizačné opatrenia upravené v článku 25 GDPR možno vyjadriť 7 princípmi ochrany súkromia, ktoré sú kreované so zreteľom na predmetnú legislatívu niekoľko desiatok rokov. Autorkou filozofických princípov Privacy by Design je Dr. Ann Cavoukian - kanadská doktorka psychológie, právnička a šéfka Privacy and Big Data Institute na Ryerson University. Pre tých čo nemajú čas a záujem študovať filozofické aspekty špecifickej a štandardnej ochrany súkromia predstavím v krátkosti 7 základných princípov.

  1. Pro- aktívny nie reštriktívny prístup; Preventívne nie nápravné opatrenia
  2. Ochrana súkromia ako predvolené nastavenie
  3. Ochrana súkromia ako súčasť dizajnovania procesov
  4. Plná funkcionalita
  5. End-to-end bezpečnosť informačných systémov
  6. Transparentnosť
  7. Rešpektovanie súkromia užívateľov - orientovať sa na dátový subjekt

So zreteľom na prichádzajúcu legislatívu GDPR sa naskytuje otázka čo s tým? Ako implementovať tieto princípy v organizácii?

Privacy by design a by default je potrebné vnímať ako komplexnú zmenu kultúry v danej spoločnosti. Táto zmena kultúry sa odzrkadľuje nie len v implementovaní požiadaviek GDPR, ale aj v reálnom uplatňovaní týchto pravidiel. Aspekty Privacy by design and by default musia byť viditeľné vo všetkých procesoch a na všetkých úrovniach riadenia. Istým predpokladom pre správne implementovanie Privacy by design by default  je funkčná "Data governance". 

Nie je možné túto tému uchopiť nijak inak len tak, že spoločnosť, ktorá doposiaľ dizajnovala svoje produkty a procesy musí zohľadniť špecificky navrhnutú ochranu súkromia. Každý nový produkt využívajúci osobné údaje musí predpokladať dopad na dátové subjekty, vziať do úvahy nie len bezpečnosť spracúvania údajov, ale aj rešpektovanie oprávneného záujmu danej osoby na ochranu súkromia.  Je potrebné konať proaktívne nie reaktívne pričom prevencia a transparentnosť sú kľúčové pojmy. Prijatie primeraných opatrení pred a počas spracúvania osobných údajov je potrebné preukázať.

Mnohí prevádzkovatelia sa snažia uchopiť túto tému najmä prostredníctvom informačnej bezpečnosti. Tento prístup vychádza z pragmatického transformovania skúseností zo súčasnej legislatívy konkrétne zákona o ochrane osobných údajov, ktorý upravuje v Článku 19 povinnosť mať vypracovaný bezpečnostný projekt. Bezpečnostný projekt vypracovaný v súlade s normou ISO 27001 sa v praxi ukázal z hľadiska ochrany osobných údajov ako bezvýznamný. Prax ukázala, že tento dokument je striktne formálny a neodzrkadľuje reálne aspekty spracúvania osobných údajov v danej organizácii. Slúžil výlučne pre potreby výkonu dohľadu zo strany Úradu na Ochranu osobných údajov. Istým predpokladom kvality vypracovania bezpečnostných projektov okrem spomínanej ISO normy bola resp. stále je  vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z.  o rozsahu a dokumentácii bezpečnostných opatrení. V predmetnej vyhláške nachádzame drobné náznaky Privacy by desing by default nie však reflektujúce na požiadavky GDPR. Tento trend kontinuity bezpečnostných projektov je podporovaný aj niektorými poradenskými spoločnosťami. Ich motiváciu v tomto smere nie je potrebné hlbšie odôvodňovať. Ak sa prevádzkovateľ rozhodne preukázať súlad Privacy by design and by default prostredníctvom bezpečnostného projektu, tak nie je vylúčené, že od roku 2018 toto opatrenie bude vyhodnotené ako nedostatočné.

Vzhľadom na vyššie uvedené, je potrebné spomenúť jeden významný aspekt štandardnej a špecificky navrhnutej ochrany súkromia, ktorý sa vzhľadom na slovenský preklad článku 25 GDPR môže ľahko prehliadnuť. Je to pojem "state of the art" čo v preklade znamená podľa najnovších poznatkov. Polemika ohľadom významu "state of the art" je bohatá. Nie je to vôbec jednoduchá diskusia a na úrovni IT obzvlášť rezonujúca. Čo sa skrýva pod týmto pojmom upraveným v legislatíve nie je otázka na právnikov. Je to otázka najmä na odborníkov v oblasti informačných technológií a skúsených privacy officerov.

Privacy by design and by default nie je prínosné chápať len ako povinnosť. Je to zároveň príležitosť pre prevádzkovateľov ako definovať základné pravidlá a princípy dátovej governance čo nepochybne prispeje k zvýšeniu kvality dát a pripraví platformu k rozvoju nového obchodného potenciálu každej spoločnosti.