Innbyggð og sjálfgefin persónuvernd 

Ný reglugerð Evrópusambandsins um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga (hér eftir nefnd GDPR) felur í sér stórfelldar breytingar á evrópskum lögum um persónuvernd.

Meðal þeirra breytinga sem löggjöfin felur í sér eru ákvæði um „innbyggð og sjálfgefna persónuvernd“ (e. Privacy by Design and Privacy by Default). Þrátt fyrir að hugtökin birtist nú í fyrsta sinn sem lagaákvæði í GDPR þá eru þau þó ekki ný af nálinni en í þeim endurspeglast mikilvægi þess að persónuverndarmálum sé gefinn gaumur frá upphafi, eigi meðferð slíkra mála að vera fullnægjandi.

Þungavigtarákvæði í nýrri löggjöf

Hugtakið „innbyggð persónuvernd“ felur í sér að huga þarf að persónuvernd strax í upphafi hönnunar og í gegnum allt þróunarferli nýrra vara, ferla eða þjónustu sem fela í sér vinnslu persónuupplýsinga. Í hugtakinu „sjálfgefin persónuvernd“ felst svo að þegar kerfi eða þjónusta býður einstaklingi val um hversu miklar upplýsingar hann veitir aðgang að, þarf sjálfgefin stilling í slíkum kerfum ávallt að veita hámarks vernd.

Aukin skilvirkni til lengri tíma

Sem fyrr segir krefjast hin nýju ákvæði GDPR þess af fyrirtækjum að þau hugi að gagnavernd strax á upphafsstigum verkefna. Verndin verði þannig að vera grundvallaratriði í upphafi þegar vara eða þjónusta er skipulögð eða hönnuð í stað þess að vera bætt við í enda ferlisins.

Þetta kann að hljóma flókið en reyndin er sú að slíkt fyrirkomulag er töluvert viðráðanlegra en þegar reynt er að koma persónuverndarsjónarmiðum að eftir að hönnun er lokið. Ef litið er til þess frá upphafi hvaða persónugögn verða notuð, í hvaða tilgangi og hvernig ákvæði laga verða uppfyllt þá dregur það úr líkum á hindrunum á síðari stigum sem geta reynst erfiðar, dýrar og jafnvel ómögulegar viðureignar.

Beiting innbyggðrar persónuverndar eykur því skilvirkni þróunarverkefna. Auk þess eykur fyrirfram skilgreind notkun persónuupplýsinga og aukið val einstaklinga, samhliða sjálfgefinni persónuvernd, gagnsæi gagnvart hinum skráðu aðilum. Slíkt gagnsæi er síðan lykilatriði þegar kemur að því að öðlast traust þeirra sem gögnin snúa að. Með öðrum orðum: „innbyggð og sjálfgefin persónuvernd“ er einfaldlega góð hugmynd.

Hvar er best að byrja?

Þegar fella á persónuvernd með þessum hætti inní þróun og hönnun verkefna og þjónustu er mikilvægt að taka tillit til nokkurra atriða.

Skylt að sýna fram á fylgni við reglurnar

Samkvæmt ákvæðum GDPR verður fyrirtækjum ekki aðeins skylt að fylgja settum reglum um persónuvernd heldur verða þau einnig að geta sýnt fram á fylgni við reglurnar. Persónuverndarstefna er því nauðsynleg og mikilvægt að ákvarðanir um það hvernig fara eigi með persónuverndarmál séu teknar á upphafsstigum hönnunar á nýjum vörum og þjónustu. Mikilvægt er að spyrja sig strax að því hvort að unnt sé að framkvæma hugmynd innan ramma laganna. Til að auðvelda svarið við þeirri spurningu er gott að vera búin að framkvæma áhættugreiningu á þeim persónuupplýsingum sem fyrirtækið vinnur með (e. Privacy Impact Assessment) sem hjálpar starfsmönnum að koma auga á áhættu sem falist getur í nýrri hönnun. Mikilvægt er að halda vel utan um þær niðurstöður sem fást úr slíkri áhættugreiningu enda geta þær síðar meir hjálpað viðeigandi aðilum að rökstyðja ákvarðanir um áhættusöm atriði þegar kemur að vinnslu gagna.

Siðferðisspurningar

Mikilvægt er að spyrja siðferðilegra spurninga strax í upphaf en fyrirtæki þarf til að mynda að vera búið að ákvarða fyrirfram hversu gagnsæ og ýtarleg vinnsla persónuupplýsinga á að vera. Í þessu tilviki er hjálplegt að spyrja sig hvort að maður myndi sjálfur vilja notfæra sér tiltekna vöru eða þjónustu?

Samskipti eru lykilatriði

Samskipti við skráða aðila sem persónuupplýsingarnar lúta að eru mikilvæg og þeim þarf að huga að strax í upphafi, sem og á síðari stigum þróunarferlis. Samskiptaleiðir verða ávallt að vera skýrar og þá einnig þegar eitthvað fer úrskeiðis. Það verður að vera skýrt fyrir skráðan aðila hvert hann á að snúa sér ef hann vill fá að vita meira um vinnslu sinna persónuupplýsinga og fá úrlausn sinna mála í samræmi við ákvæði GDPR.

Gagnaöryggi, gæði og lok vinnslu

Loks er mikilvægt að huga að nauðsynlegum öryggisráðstöfunum, hvernig tryggja eigi gæði gagna og hvað verður gert við þau þegar vinnslu í tengslum við selda vöru eða veitta þjónustu er lokið.

Innleiðing

Árangursrík innleiðing innbyggðrar og sjálfgefinnar persónuverndar krefst þess að starfsmenn, sérstaklega þeir sem taka þátt í þróun nýrrar vöru og þjónustu, búi yfir nauðsynlegri grunnþekkingu á persónuvernd. Þróun og framsetning á skýrri stefnu, leiðbeiningum og starfsreglum um vinnslu og meðferð gagna er mikilvæg hvað þetta varðar.

Taka verður tillit til þróunaraðferða sem notaðar eru innan fyrirtækisins (t.d. agile, waterfall o.s.frv.) svo unnt sé að innleiða persónuvernd á öllum stigum. Það hjálpar þróunarteymum að grípa til viðeigandi ráðstafana þegar á reynir.

Einfaldlega góð ákvörðun

Öflug innleiðing á innbyggðri og sjálfgefinni persónuvernd er einfaldlega góð ákvörðun. Eitt af meginmarkmiðum GDPR er að gefa skráðum aðilum meira vald yfir persónuupplýsingum sínum og slík innleiðing endurspeglar það markmið á skýran hátt. Hún gerir það enda að verkum að fólk hefur raunverulega eitthvað um það að segja hvernig persónuupplýsingar um það eru notaðar.

Eina leiðin til að tryggja skilvirka persónuvernd er að hún sé innbyggð og sjálfvirk frá fyrstu stigum. Slík forsjárhyggja eykur skilvirkni og eflir traust viðskiptavina til fyrirtækisins og er því svo sannarlega ómaksins virði.