Η έννοια της αρχής προστασίας δεδομένων ήδη από τον σχεδιασμό
Η αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό (privacy by design) θεσμοθετείται στον Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΓΚΠΔ) με την αιτιολογική σκέψη 78 και το άρθρο 25, τα οποία προβλέπουν ότι η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων που αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων από τον υπεύθυνο επεξεργασίας τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας, όσο και κατά την επεξεργασία. Παράγοντες που πρέπει να συνεκτιμώνται σε αυτή τη διαδικασία είναι οι τελευταίες τεχνολογικές εξελίξεις, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς και οι ενδεχόμενοι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.
Η έννοια της αρχής προστασίας δεδομένων ήδη από τον σχεδιασμό αναπτύχθηκε στα μέσα της δεκαετίας του ’90 από την Δρ. Ann Cavoukian, πρώην Επίτροπο της Αρχής Προστασίας Προσωπικών Δεδομένων του Οντάριο, και αναγνωρίστηκε το 2010 από την Οικουμενική Συνέλευση για την Προστασία Δεδομένων (Global Privacy Assembly) ως βασικό συστατικό της θεμελιώδους προστασίας της ιδιωτικής ζωής. Πέρα από τον ΓΚΠΔ, απαντάται και σε άλλα ρυθμιστικά πλαίσια και κατευθυντήριες γραμμές σχετικά με την ιδιωτικότητα και την κυβερνοασφάλεια, όπως ο UK GDPR, το NIST Cybersecurity Framework και το OWASP Security Knowledge Framework.
Οι θεμελιώδεις αρχές στις οποίες στηρίζεται η αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό σύμφωνα με την Δρ. Cavoukian αφορούν:
α) στον προληπτικό, μη κατασταλτικό χαρακτήρα των μέτρων για την προστασία δεδομένων προσωπικού χαρακτήρα (Proactive not Reactive; Preventative not Remedial),
β) στην προστασία των δεδομένων ως προεπιλογή (Privacy as the Default Setting),
γ) στην προστασία των δεδομένων κατά το στάδιο του σχεδιασμού (Privacy Embedded into Design),
δ) στην εξασφάλιση πλήρους λειτουργικότητας με θετική στάθμιση των συμφερόντων του υποκειμένου των δεδομένων (Full Functionality: Positive-Sum, not Zero-Sum),
ε) στην ασφάλεια των δεδομένων από τη συλλογή έως και την οριστική διαγραφή τους (End-to-End Security – Full Lifecycle Protection),
στ) στη διαφάνεια ως προς τις διαδικασίες και τεχνολογίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα (Visibility and Transparency – Keep it Open), και
ζ) στον σεβασμό για την ιδιωτικότητα του χρήστη και τη διαμόρφωση των πληροφοριακών συστημάτων με γνώμονα τις ανάγκες του χρήστη (Respect for User Privacy – Keep it User-Centric).
Πεδίο εφαρμογής και εμπλεκόμενα μέρη
Βάσει του ΓΚΠΔ, η υποχρέωση για συμμόρφωση με την αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό έχει ως αποδέκτες, πέραν του υπεύθυνου επεξεργασίας, και τρίτα μέρη. Πιο αναλυτικά, ο Κανονισμός προβλέπει ότι οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη το δικαίωμα προστασίας των δεδομένων στα στάδια ανάπτυξης και σχεδιασμού, ώστε να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις αντίστοιχες υποχρεώσεις τους.
Στο αντικειμενικό πεδίο εφαρμογής της αρχής εμπίπτει ένα ευρύ φάσμα διαδικασιών και δραστηριοτήτων ενός οργανισμού, συμπεριλαμβανομένων του σχεδιασμού λογισμικών συστημάτων, της διαχείρισης προϊόντων, καινοτομίας, αποθετηρίων και πλεγμάτων δεδομένων (data lakes/mesh), της ανάλυσης δεδομένων (data analytics), καθώς και της διακυβέρνησης, δικαιοσύνης και διαφάνειας εφαρμογών τεχνητής νοημοσύνης. Αξίζει να σημειωθεί ότι η αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό δεν αφορά αποκλειστικά νέες διαδικασίες, προϊόντα, πολιτικές, συστήματα και υποστηρικτικές υποδομές μίας επιχείρησης, αλλά και ήδη υπάρχοντα. Επιτρέπει, μάλιστα, σε οργανισμούς να επανεξετάσουν τρέχουσες πρακτικές ακολουθώντας μια προσέγγιση βασισμένη στον κίνδυνο και λαμβάνοντας υπόψη τις λειτουργικές και εμπορικές προτεραιότητές τους.
Στρατηγικής σημασίας στο πλαίσιο της διαδικασίας αυτής είναι ο ρόλος των επικεφαλής ιδιωτικότητας (Chief Privacy Officer), διαχείρισης δεδομένων (Chief Data Officer) και ασφάλειας των συστημάτων πληροφοριών (Chief Information Security Officer), οι οποίοι καλούνται να ταυτοποιήσουν, να αξιολογήσουν και να αναδείξουν τα αντίστοιχα ζητήματα σε μια επιχείρηση. Παράλληλα, είναι απαραίτητη η συμμετοχή και συνεργασία διάφορων τμημάτων, όπως της τεχνολογίας πληροφοριών (ΙΤ), πωλήσεων και εμπορίας (sales and marketing) και διαχείρισης έργων και προγραμμάτων (project and programme management).
Στρατηγικές και μέτρα εφαρμογής
Η σημαντικότερη προϋπόθεση για τη βέλτιστη εφαρμογή της αρχής προστασίας δεδομένων ήδη από τον σχεδιασμό είναι η επιλογή των κατάλληλων στρατηγικών σχεδιασμού και αντίστοιχων μέτρων με βασικό κριτήριο τις ανάγκες της εκάστοτε επιχείρησης. Οι στρατηγικές προτεραιότητες, η κλίμακα, τα διαθέσιμα κεφάλαια, η τεχνολογική υποδομή και η κουλτούρα ενός οργανισμού αποτελούν τους βασικούς άξονες στα πλαίσια αυτού του εγχειρήματος. Γενικές, μη προσαρμοσμένες προσεγγίσεις είναι δυσκολότερο να αποκτήσουν την υποστήριξη της ανώτερης διοίκησης ενός οργανισμού, παρουσιάζουν περισσότερες δυσχέρειες στο στάδιο της εφαρμογής και είναι εν τέλει πιο κοστοβόρες, καθώς η απόδοση επένδυσης (ROI) είναι συνήθως μικρότερη της αναμενόμενης.
Το πρώτο στάδιο για την δημιουργία μίας κατάλληλης μεθοδολογίας είναι η επαρκής κατανόηση των διαδικασιών σχεδιασμού του οργανισμού, οι οποίες ποικίλλουν αναλόγως με τον σκοπό που εξυπηρετούν (π.χ. ανάπτυξη προϊόντων, συστημάτων, εμπορικές καμπάνιες), και η χαρτογράφηση των επιμέρους βημάτων που πρέπει να ακολουθηθούν. Το επόμενο στάδιο περιλαμβάνει την επιλογή των κατάλληλων μέτρων ώστε να διασφαλιστεί ότι θέματα ιδιωτικότητας εξετάζονται και αξιολογούνται σε κατάλληλο χρόνο και με ικανοποιητικό τρόπο. Τα μέτρα αυτά θα πρέπει να έχουν εφαρμογή από τον σχεδιασμό και καθ’ όλη τη διάρκεια του κύκλου ζωής ενός π.χ. προϊόντος ή λογισμικού, από το αρχικό στάδιο του σχεδιασμού μέχρι την ανάπτυξη, τη χρήση και την τελική διάθεσή του.
Ο ΓΚΠΔ αναφέρει ενδεικτικά παραδείγματα κατάλληλων τεχνικών και οργανωτικών μέτρων, όπως η ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα, η κρυπτογράφηση και η ελαχιστοποίηση της επεξεργασίας των δεδομένων. Ένας οργανισμός μπορεί να επιλέξει μεμονωμένες ή συνδυαστικές λύσεις μεταξύ των ακόλουθων στρατηγικών σχεδιασμού και των αντίστοιχων τακτικών τους:
- Ελαχιστοποίηση των δεδομένων μέσω της αποφυγής επεξεργασίας δεδομένων, της επιλογής επεξεργασίας συγκεκριμένων τύπων δεδομένων ή/και της διαγραφή μέρους ή του συνόλου των δεδομένων (Minimise – exclude, select, strip, destroy).
- Διαχωρισμός των δεδομένων μέσω του διαμερισμού τους ή/και της ανεξάρτητης επεξεργασίας τους σε τμήματα (Separate – distribute, isolate).
- Περιορισμός της λεπτομέρειας των δεδομένων σε επεξεργασία στον μέγιστο δυνατό βαθμό μέσω της επεξεργασίας κοινών στοιχείων, κοινών κατηγοριών ή/και της προσθήκης θορύβου (Abstract – summarise, group, pertrub).
- Απόκρυψη των δεδομένων και των αλληλεπιδράσεών τους μέσω της παρεμπόδισης πρόσβασης σε αυτά, της επεξεργασίας με τυχαίο τρόπο, της παρεμπόδισης κατανόησης ή/και του διαχωρισμού τους σε τμήματα (Hide – restrict, mix, obfuscate, dissociate).
- Ενημέρωση των υποκείμενων των δεδομένων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων έγκαιρα και με επαρκή τρόπο μέσω της παροχής πολλαπλών τρόπων ενημέρωσης, της έγκαιρης ειδοποίησης για αλλαγές ή/και της παροχής εύληπτων λεπτομερειών (Inform – supply, notify, explain).
- Παροχή ελέγχου στα υποκείμενα δεδομένων μέσω της ειδικής και ελεύθερης συγκατάθεσης, δυνατότητας επιλογής, τροποποίησης και διαγραφής των δεδομένων του χρήστη (Control – consent, choose, update, retract).
- Εκτέλεση των υφιστάμενων πολιτικών σχετικά με την ιδιωτικότητα μέσω της δημιουργίας, επικαιροποίησης και διασφάλισης υλοποίησης των πολιτικών προστασίας προσωπικών δεδομένων (Enforce – create, maintain, uphold).
- Επίδειξη συμμόρφωσης με τις υφιστάμενες πολιτικές και ισχύοντα ρυθμιστικά πλαίσια περί ιδιωτικότητας μέσω της καταγραφής ενεργειών, του ελέγχου και της αναθεώρησης πρακτικών και διαδικασιών βάσει των ευρημάτων σχετικών αναφορών (Demonstrate – log, audit, report).
Οι διαθέσιμες Τεχνολογίες Ενίσχυσης της Ιδιωτικότητας (Privacy Enhancing Technologies – PETs) μπορούν να λειτουργήσουν επίσης ενισχυτικά στην επιλογή τεχνικών μέτρων από τον υπεύθυνο επεξεργασίας. Σε σχετική έκθεσή του ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), παραθέτει ενδεικτικά τεχνολογίες όπως η επαλήθευση ταυτότητας (authentication), η κρυπτογράφηση (encryption), τα διαπιστευτήρια βασισμένα σε χαρακτηριστικά γνωρίσματα (attributed-based credentials), το απόρρητο αποθήκευσης (storage privacy), η ανώνυμη επικοινωνία (anonymous communication), το απόρρητο βάσης δεδομένων (database privacy), οι υπολογισμοί διατήρησης απορρήτου (privacy-preserving computations), καθώς και η διαφάνεια και οι μηχανισμοί ελέγχου (transparency and control mechanisms).
Το τελικό στάδιο για τη δημιουργία μίας κατάλληλης μεθοδολογίας αφορά στην εφαρμογή των επιλεχθέντων μέτρων στις διαδικασίες σχεδιασμού και στην εκπαίδευση του ανθρώπινου δυναμικού της επιχείρησης που συμμετέχει σε αυτές τις διαδικασίες προκειμένου να διασφαλιστεί η σωστή κατανόηση και συνεπής εκτέλεση των μέτρων. Το τελευταίο κομμάτι είναι καθοριστικής σημασίας για τη βιωσιμότητα ενός πλαισίου εφαρμογής, ιδίως αν συνυπολογίσουμε το γεγονός ότι τα στελέχη που εκτελούν τα σχετικά μέτρα δεν είναι συνήθως εξειδικευμένα σε θέματα ιδιωτικότητας.
Κατά συνέπεια, για την επιτυχή εφαρμογή μίας μεθοδολογίας σχετικά με την αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό απαιτείται από τους οργανισμούς να επανασχεδιάσουν υφιστάμενα συστήματα, διαδικασίες και προϊόντα με μια νέα ματιά προς την ιδιωτικότητα και τον κίνδυνο μη συμμόρφωσης, αλλά και να ενσωματώσουν αρμονικά τις αντίστοιχες αλλαγές στην κουλτούρα τους.
Προκλήσεις, οφέλη και ευκαιρίες
Υποστηρίζεται συχνά ότι η προστασία προσωπικών δεδομένων και η τεχνολογική εξέλιξη είναι αντίπαλα δέη, υπό την έννοια ότι η κανονιστική ρύθμιση αποτελεί τροχοπέδη για την καινοτομία και αντίστροφα, ότι η υιοθέτηση καινοτόμων πρακτικών έχει ως απόρροια την ελλιπή προστασία των δικαιωμάτων των υποκειμένων των δεδομένων προσωπικού χαρακτήρα.
Όσον αφορά στην αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό, είναι γεγονός ότι η εφαρμογή της παρουσιάζει προκλήσεις για έναν οργανισμό. Για παράδειγμα, μεγάλες επιχειρήσεις ενδέχεται να χρησιμοποιούν καθιερωμένες μεθοδολογίες διαχείρισης έργων και ανάπτυξης προϊόντων, με αποτέλεσμα να έχουν μικρότερη ευελιξία ως προς την αναθεώρησή τους. Επιπρόσθετα, οι υπεύθυνοι επεξεργασίας, μολονότι πρέπει να καταβάλουν τη δέουσα επιμέλεια σε περιπτώσεις εξωτερικής ανάθεσης υπηρεσιών, δεν ελέγχουν πάντοτε καθολικά ή κατά περιπτώσεις, έστω μερικώς, τον σχεδιασμό των προϊόντων που προμηθεύονται και χρησιμοποιούν.
Παρά ταύτα, οργανισμοί που έχουν υιοθετήσει κατάλληλες στρατηγικές και μέτρα εφαρμογής είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με την αντίστοιχη υποχρέωση που απορρέει από τον ΓΚΠΔ βάσει της αρχής της λογοδοσίας, ενώ έχουν επίσης τη δυνατότητα να αποκομίσουν σημαντικά λειτουργικά και εμπορικά οφέλη. Ειδικότερα, ένα αποτελεσματικό πλαίσιο μπορεί να οδηγήσει σε μεγαλύτερες αποδόσεις και μειωμένο κόστος για μια επιχείρηση που είναι σε θέση να προκαθορίσει σε ικανοποιητικό βαθμό από το στάδιο του σχεδιασμού τους σκοπούς επεξεργασίας, τους τύπους δεδομένων που είναι αναγκαίοι για να επιτευχθούν αυτοί οι σκοποί και τα απαραίτητα τεχνικά και οργανωτικά μέτρα, διότι η εκ των υστέρων συμμόρφωση είναι κατά κανόνα πιο δαπανηρή και οδηγεί στις περισσότερες περιπτώσεις σε συμβιβαστικές λύσεις που δεν εξυπηρετούν τις ανάγκες της επιχείρησης σε επίπεδο τεχνολογίας ή/και συμμόρφωσης. Σε εμπορικό επίπεδο, τα οφέλη είναι επίσης πολλαπλά και αφορούν κυρίως στην οικοδόμηση εμπιστοσύνης μεταξύ μίας επιχείρησης και των πελατών της, η οποία λειτουργεί ενισχυτικά και ως προς τη φήμη ενός οργανισμού, πολλώ μάλλον σε μία εποχή που οι καταναλωτές αποκτούν ολοένα και μεγαλύτερη γνώση των δικαιωμάτων τους σε σχέση με την ιδιωτικότητα. Σε συνδυασμό με αυτό το ανταγωνιστικό πλεονέκτημα, δημιουργείται επίσης εσωτερικά μεγαλύτερη βεβαιότητα σχετικά με τους ενδεδειγμένους τρόπους χρήσης καινοτόμων τεχνολογιών από την εταιρία.
Η αρχή προστασίας δεδομένων ήδη από τον σχεδιασμό μπορεί να λειτουργήσει ως καταλύτης για την προώθηση της καινοτομίας, ωθώντας τις επιχειρήσεις να σκεφτούν δημιουργικά κατά τον σχεδιασμό διαδικασιών, υπηρεσιών και προϊόντων που ανταποκρίνονται αφενός στις ανάγκες της ζήτησης στην αγορά και αφετέρου, στις κανονιστικές επιταγές. Η καινοτομία ως ένα ευρύτερο φάσμα που περιλαμβάνει τόσο τεχνολογικά, όσο και οργανωτικά μέτρα, αποτυπώνεται και στο σχετικό Εγχειρίδιο του ΟΟΣΑ (OECD Oslo Manual), ο οποίος κάνει αναφορά σε νέες μεθόδους παραγωγής, μοντέλα διανομής υπηρεσιών, καθώς και τρόπους οργάνωσης της συλλογής και διανομής δεδομένων μέσα σε έναν οργανισμό ως παραδείγματα καινοτομίας. Βασιζόμενος σε αυτή την αφετηρία επομένως, ένας οργανισμός μπορεί να εξετάσει την υιοθέτηση μέτρων και διαδικασιών, όπως η ομομορφική κρυπτογραφία (homomorphic encryption), η διενέργεια εκτίμησης αντικτύπου για την προστασία των δεδομένων και ελέγχων ιδιωτικότητας (privacy audits), καθώς και η διάθεση στα υποκείμενα δεδομένων ειδικών χώρων δεδομένων προσωπικού χαρακτήρα (data vaults) με σκοπό την ενίσχυση της αυτονομίας, ελέγχου και επιλογών του χρήστη.