Privacy by Design, или Принцип спроектированной приватности (ст. 25 GDPR) – есть статья, но не было санкции?

 

Как правило, нарушение принципа спроектированной приватности при создании приложения влечет за собой и другие нарушения: например, прав субъектов или принципа минимизации данных, а за это полагаются серьезные санкции.  И получалось, что надзорные органы ссылались не на 25 статью.

Год назад был обнаружен первый прецедент, где Национальный надзорный орган в области защиты персональных данных Румынии сослался на 1 параграф 25 статьи. Подразделение банка Unicredit в Румынии было уличено в нарушении принципов Privacy by Design. Они спроектировали систему платежей таким образом, что раскрыли персональные данные сотен тысяч своих клиентов.

 

Unicredit

 

Официальное сообщение Румынского надзорного органа гласило, что 337 тысяч субъектов персональных данных, которые осуществляли платежи из Unicredit, либо платежи, где данный банк выступал посредником, фактически поделились лишней информацией с получателями.

Например, вы осуществляете перевод через онлайн-банкинг в адрес  какого-либо лица и, конечно, вы бы не хотели раскрывать получателю свой адрес проживания или номер мобильного телефона (то есть, избыточные персональные данные). 

Идентификационный номер раскрывался в выписках – эта информация была получена всеми бенефициарами этих платежей. Как итог, произошло раскрытие персональных данных, а значит, была нарушена и статья 5 – принцип минимизации данных. Тем не менее, надзорный орган пришел к мнению, что здесь, в первую очередь, плохо сработали инженеры и системные администраторы, проектирующие данную систему и передавшие лишние сведения бенефициарам. 

Это решение о штрафе в 130 000 евро, наверняка не является двумя процентами от оборота румынского подразделения Unicredit, но это довольно серьезное предупреждение в адрес финансовых организаций, IT-компаний, которые выступают в качестве подрядчиков, разрабатывающих программное обеспечение для подобных учреждений.

Игнорировать принципы Privacy by Design (спроектированной приватности) нельзя. Руководством по данном вопросу может стать мануал 2014 года, разработанный Европейским агентством в области информационной и сетевой безопасности, а также чек-листы Норвежского надзорного органа. 

Для тех, у кого мало времени на реализацию подобных решений приватности, лучше не ждать, пока технические специалисты смогут хорошо разобраться в этой теме самостоятельно, а отправить их на соответствующее обучение. 

Мы готовим второй тренинг по спроектированной приватности 17-18 ноября 2020 года (первый состоялся в ноябре 2019). Strategic Privacy by Design – это уникальный мастер-класс звезды мирового уровня в сфере приватности Джейсона Кронка (США). 

Присоединившись к мастер-классу, вы:

  • познакомитесь с мировой звездой в области приватности Джейсоном Кронком
  • научитесь применять методику спроектированной приватности к своим продуктам и сервисам 
  • узнаете о сложных концепциях через простые термины и примеры
  • получите карточную игру, чтобы тренироваться с коллегами
  • понимание, как сделать Privacy by Design конкурентным преимуществом
  • сертификат о прохождении обучения по спроектированной приватности

Мы подготовили для видео, в котором подробно рассказываем о штрафах по GDPR за нарушение Privacy by Design.

 

 

Узнать подробнее

Автор:
Palina Bertash
Palina Bertash
Marketing and Communications Manager
Siarhei Varankevich CIPP/E, CIPM, MBA
Siarhei Varankevich CIPP/E, CIPM, MBA
Certified Information Privacy Professional / Europe (CIPP/E) certification MBA IGC Bremen University of Applied Sciences Certified Information Privacy Manager (CIPM) certification
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
The course is loading, wait a few seconds