DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Privacy by Design, или Принцип спроектированной приватности (ст. 25 GDPR) – есть статья, но не было санкции?

 

 

Как правило, нарушение принципа спроектированной приватности при создании приложения влечет за собой и другие нарушения: например, прав субъектов или принципа минимизации данных, а за это полагаются серьезные санкции.  И получалось, что надзорные органы ссылались не на 25 статью.

Год назад был обнаружен первый прецедент, где Национальный надзорный орган в области защиты персональных данных Румынии сослался на 1 параграф 25 статьи. Подразделение банка Unicredit в Румынии было уличено в нарушении принципов Privacy by Design. Они спроектировали систему платежей таким образом, что раскрыли персональные данные сотен тысяч своих клиентов.

 

Unicredit

 

Официальное сообщение Румынского надзорного органа гласило, что 337 тысяч субъектов персональных данных, которые осуществляли платежи из Unicredit, либо платежи, где данный банк выступал посредником, фактически поделились лишней информацией с получателями.

Например, вы осуществляете перевод через онлайн-банкинг в адрес  какого-либо лица и, конечно, вы бы не хотели раскрывать получателю свой адрес проживания или номер мобильного телефона (то есть, избыточные персональные данные). 

Идентификационный номер раскрывался в выписках — эта информация была получена всеми бенефициарами этих платежей. Как итог, произошло раскрытие персональных данных, а значит, была нарушена и статья 5 — принцип минимизации данных. Тем не менее, надзорный орган пришел к мнению, что здесь, в первую очередь, плохо сработали инженеры и системные администраторы, проектирующие данную систему и передавшие лишние сведения бенефициарам. 

Это решение о штрафе в 130 000 евро, наверняка не является двумя процентами от оборота румынского подразделения Unicredit, но это довольно серьезное предупреждение в адрес финансовых организаций, IT-компаний, которые выступают в качестве подрядчиков, разрабатывающих программное обеспечение для подобных учреждений.

Игнорировать принципы Privacy by Design (спроектированной приватности) нельзя. Руководством по данном вопросу может стать мануал 2014 года, разработанный Европейским агентством в области информационной и сетевой безопасности, а также чек-листы Норвежского надзорного органа. 

Для тех, у кого мало времени на реализацию подобных решений приватности, лучше не ждать, пока технические специалисты смогут хорошо разобраться в этой теме самостоятельно, а отправить их на соответствующее обучение. 

Мы готовим второй тренинг по спроектированной приватности 28-29 октября 2021 года (первый состоялся в апреле 2021). Privacy by Design — это уникальный мастер-класс Марии Арнст, CIPP/E, CIPM, TÜV, Strategic Privacy by Design.

Присоединившись к курсу, вы узнаете как:

  • Идентифицировать источники угроз для компании. 
  • Выстраивать и внедрять Спроектированную приватность с нуля.
  • Прогнозировать нарушения приватности.
  • Использовать тактики и стратегии, уменьшающие риски нарушения приватности.
  • Рассчитывать последствия нарушения приватности для пользователя.
  • Создавать модель оценки рисков по FAIR (Factor analysis of information risk).
  • Создавать план и пошаговое руководство по применению принципов Спроектированной приватности к вашим продуктам и сервисам.

Мы подготовили для видео, в котором подробно рассказываем о штрафах по GDPR за нарушение Privacy by Design.

 

Узнать подробнее

Расписание курсов загружается, подожди несколько секунд