GDPR artikkel 25 praktikas. Mida privaatsus arhitektuuris tegelikult nõuab, kui seda tõsiselt võtta.

Igaüks, kes Saksamaal väikest rakendust alustab ja tahab andmekaitses aus olla, jookseb varakult kokku fraasiga „privaatsus arhitektuuris”. See ilmub privaatsusteadetesse, turundustekstidesse, tootekirjeldustesse. See on ka mõiste GDPR artiklist 25 ja selles rollis pole valikuline, vaid kohustuslik. Küsimus on, mida see kohustus praktikas tähendab.

Mida artikkel 25 tegelikult ütleb

Artikkel 25 lõige 1 nõuab vastutavalt töötlejalt, võttes arvesse tehnika taset, rakendamise kulu ja töötlemise laadi, ulatust, konteksti ja eesmärke ning füüsiliste isikute õigustele tulenevaid eri tõenäosuse ja raskusega riske, et ta rakendaks nii töötlemisvahendite määramise ajal kui ka töötlemise enda ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, mis on kavandatud andmekaitse põhimõtete tõhusaks elluviimiseks ja vajalike kaitsemeetmete lõimimiseks töötlemisse, et täita GDPR nõuded ja kaitsta andmesubjektide õigusi.

Artikkel 25 lõige 2 lisab teise kohustuse: vaikeseaded peavad olema sellised, et vaikimisi töödeldakse ainult konkreetseks eesmärgiks vajalikke isikuandmeid. See kehtib kogutavate andmete koguse, töötlemise ulatuse, säilitusaja ja kättesaadavuse kohta. Rakendus, mis saadab vaikimisi telemeetriat pilveteenusele, seda kohustust ei täida, isegi kui telemeetria saab välja lülitada.

Mõlemad kohustused on suunatud vastutavale töötlejale, tavaliselt rakenduse või teenuse haldajale. EDPB juhend 4/2019 rõhutab, et artikkel 25 katab töötlemise kogu elutsükli, alates nõuete määratlemisest läbi rakendamise käitamiseni ja hilisemate kohandusteni.

Mida „tehnika tase” tähendab

Määrus nõuab asjakohaseid meetmeid, võttes arvesse tehnika taset. See pole kohustus kasutada kõige kallimat saadaolevat lahendust, vaid kohustus teada välja kujunenud tavasid ja osata põhjendada, miks konkreetne variant valiti. Pseudonüümimine, krüpteerimine, andmete eraldatud salvestamine, juurdepääsu kontrollid, automaatsed kustutamise tähtajad, ainult kohapealne salvestus on kõik näited meetmetest, mida kirjeldatakse asjasse puutuvates juhendites, näiteks BSI ja ENISA omades.

Väike praktika ei saa kõike teoreetiliselt võimalikku rakendada. Ta peab aga dokumenteerima, mida ta kaalus ja miks ta otsustas konkreetse meetme poolt või vastu. Riski hindamine on osa vastavusest.

Vaikeseaded on praktiline süda

Artikkel 25 lõige 2 on praktikas sageli kõige tõhusam säte, sest see kandub konkreetseteks liidese ja arhitektuuri otsusteks. Uudiskirja vorm, kus jälgimisküpsised on vaikimisi väljas, rahuldab seda. Rakendus, mis küsib asukohta ainult siis, kui funktsioonil seda päriselt vaja on, rahuldab seda. Patsiendi kaart, mis kuvab vaikimisi ainult praeguseks seansiks vajalikke välju, rahuldab seda.

Kohustus on seega kohustus olla algusest peale säästlik. See pöörab ümber tavalise mustri, kus kasutajad peavad välja lülitama kõik, mida nad ei taha. Selle asemel peab pakkuja sisse lülitama kõik, mida ta töödelda tahab.

Vaikimisi privaatsus on GDPRis üks koht, kus määrus paneb pakkujale konkreetse liidese kohustuse. Vaikeseade ise on meede.

Ainult kohapealne salvestus tehnilise meetmena

Üks tõhusamaid meetmeid artikli 25 alusel on ainult kohapealne salvestus: isikuandmete hoidmine kasutaja seadmes ja töötlemine seal, ilma neid pakkuja serveritesse edastamata. Kui isikuandmed seadme salvestusalast kunagi välja ei lähe, ei saa kolmandad osapooled neid kätte. Pilvesünki riske pole, pakkuja andmerikkumise mõju pole, riigi taotlusi pole, Schrems II küsimusi kolmandasse riiki edastusest pole.

Ainult kohapealne salvestus ei sobi igale rakendusele. Kui rakenduse väärtus on mitme seadme vahelises sünkroniseerimises või serveripoolses analüüsis, pole see võimalik. Paljudele rakendustele, eriti tervishoius ja sotsiaalvaldkonnas, on see realistlik. Arhitektuuripoolse täiendava vaate leiad essees Privaatsus arhitektuuris terviserakendustes.

Hoiatus: ainult kohapealne salvestus iseenesest artikli 25 automaatselt ei rahulda. Seda tuleb dokumenteerida, selge loendiga, millised andmed jäävad kohapeal, milline telemeetria (kui üldse) jõuab serverini, kuidas käideldakse varukoopiaid (kui kohapeal, siis kohapeal krüpteeritult; kui pilvevarukoopia, siis on see edastus), ja kuidas see seostub artikli 5 andmekaitse põhimõtetega.

Mida järelevalveasutused tegelikult kontrollivad

Saksa andmekaitseasutused töötavad standardse andmekaitse mudeliga, mis tõlgib andmekaitse põhimõtted seitsmeks kaitse-eesmärgiks: kättesaadavus, terviklus, konfidentsiaalsus, läbipaistvus, sekkutavus, sidumatus, andmete minimeerimine. Iga eesmärgiga käivad kaasas konkreetsed auditi kriteeriumid.

Auditis uurivad järelevalveasutused tavaliselt:

• artikli 30 alusel töötlemise toimingute dokumentatsiooni,
• põhjendust, miks teatud andmeid kogutakse ja teisi mitte,
• rakenduse vaikeseadeid,
• säilitamise ja kustutamise kontseptsiooni,
• konfidentsiaalsuse ja terviklikkuse tehnilisi meetmeid (krüpteerimine, juurdepääsu kontroll),
• dokumenteeritud riski hindamist,
• andmekaitse mõjuhinnangut, kui artikkel 35 seda nõuab.

Kõige olulisem on järjepidevus dokumentatsiooni ja praktika vahel. Hoolikalt kirjutatud töötlemise kirje, mis reaalsusega kokku ei lange, on halvem kui lühike kirje, mis kirjeldab täpselt, mida rakendus teeb.

Mis jääb väikese praktika osaks

Väikese stuudio jaoks taandub artikkel 25 mõnele praktilisele punktile. Enne koodi kirjutamist: milliseid andmeid me tegelikult vajame ja milliseid mitte? Millised vaikeseaded valime? Kus andmed asuvad? Arendamise ajal: kas need otsused on versioonihalduses dokumenteeritud? Kas neid vaadatakse üle, kui nõuded muutuvad? Pärast väljaandmist: kas on protsess, mis hoiab töötlemise kirjet ajakohasena?

Selleks ei ole vaja vastavusosakonda. See on hoolikas toote inseneritöö, mis juhtub langema kokku seadusega. Määrus ei küsi rohkem, aga ka mitte vähem.

Sagedased küsimused

Mida GDPR artikkel 25 tegelikult nõuab?

Artikkel 25 lõige 1 nõuab vastutavalt töötlejalt, võttes arvesse tehnika taset, rakendamise kulu ja töötlemise riske, et ta rakendaks asjakohaseid tehnilisi ja korralduslikke meetmeid andmekaitse põhimõtete elluviimiseks. Artikkel 25 lõige 2 nõuab privaatsust soosivaid vaikeseadeid: vaikimisi töödeldakse ainult konkreetseks eesmärgiks vajalikke isikuandmeid. Mõlemad kohustused on kohustuslikud; rikkumiste eest võib trahvida kuni 10 miljoni euro või 2 protsendi suuruses ülemaailmsest aastakäibest.

Kas piisab privaatsust arhitektuuris privaatsuspoliitikas mainida?

Ei. Artikkel 25 nõuab rakendatud meetmeid, mitte deklaratsiooni. EDPB juhend 4/2019 teeb selgeks, et kohustus on jätkuv: kohal juba planeerimisetapis, seejärel töötlemise enda ajal. Klausel privaatsusteates ilma dokumenteeritud otsusteta seda ei rahulda.

Kas ainult kohapealne salvestus aitab artikli 25 puhul?

Ainult kohapealne salvestus on üks kõige tõhusamaid tehnilisi meetmeid artikli 25 alusel, sest see vähendab töötlemise riski lähtekohas. Kui isikuandmed kasutaja seadmelt välja ei lähe, ei ole need kolmandate osapoolte jaoks kättesaadavad: ei pakkuja andmerikkumiste ega riigi taotluste kaudu. Meede peab aga olema dokumenteeritud, koos selge kirjeldusega, millised andmed jäävad kohapeal ja millised (kui üldse) jõuavad serverini.

Mida järelevalveasutused artikli 25 alusel kontrollivad?

Saksa andmekaitseasutused töötavad standardse andmekaitse mudeliga (SDM), mis tõlgib GDPR põhimõtted seitsmeks kaitse-eesmärgiks: kättesaadavus, terviklus, konfidentsiaalsus, läbipaistvus, sekkutavus, sidumatus, andmete minimeerimine. Auditid uurivad tavaliselt dokumenteeritud otsuseid andmete minimeerimise kohta, vaikeseadeid, säilitamise kontseptsiooni, andmekaitse mõjuga arhitektuuriotsuseid ja seda, kas rakendamine vastab dokumenteeritud meetmetele.