אירופה: הנחיה חדשה על עיצוב לפרטיות

פאנל הרגולטורים לפרטיות באיחוד האירופי (European Data Protection Board - EDPB) פרסם להערות הציבור טיוטת הנחיה על 'עיצוב לפרטיות' ו'פרטיות כברירת מחדל' לפי תקנות הגנת הפרטיות באירופה (GDPR).

ההנחיה מדגישה כי בעלי שליטה במידע (controllers) נדרשים ליישם אמצעים אפקטיביים שנועדו לממש את עקרונות הגנת הפרטיות כבר בשלב מקדמי בו מתקבלות ההחלטות על דרכי עיבוד המידע. את האמצעים שנבחרו ויושמו בשלב ההחלטה על דרכי העיבוד יש לשוב ולבחון מחדש באופן תקופתי במהלך עיבוד המידע. במסגרת תהליך היישום והבחינה, בעלי שליטה במידע נדרשים להכיר את האמצעים הטכנולוגיים הזמינים ולשקול את עלות ומורכבות ישומם ביחס למאפייני עיבוד המידע והסיכונים לפרטיות הנובעים ממנו.

ההנחיה מדגישה שפרטיות כברירת מחדל מחייבת להבטיח שייאסף רק המידע הנחוץ למטרות שנקבעו; שעיבוד המידע יצומצם כברירת מחדל רק למידה הנדרשת לשם הגשמת המטרות שנקבעו; שמשך עיבוד המידע יהיה קצר כברירת מחדל; ושהמידע ייחשף כברירת מחדל להיקף המינימלי של גורמים אחרים. הגדרות ברירת המחדל של המוצר צריכות לשקף הגנה על פרטיות, בין אם הפרמטרים המשליכים על פרטיות ניתנים לשינוי על-ידי בעל השליטה במידע ובין על-ידי נושא המידע.

הרגולטורים מדגישים בהנחיה את חשיבות יכולתו של בעל השליטה במידע להוכיח כי פעל תוך 'עיצוב לפרטיות' ו'פרטיות כברירת מחדל'. הם גם מדגישים את חשיבות תיעוד הנימוקים לבחירותיו העיצוביות של בעל השליטה מידע. בנוסף, ההנחיה מדגישה שספקי טכנולוגיה נדרשים לתמוך ביכולתם של בעלי השליטה במידע (המשתמשים בטכנולוגיה) לציית לדרישות העיצוב לפרטיות ופרטיות כברירת מחדל. מן העבר השני, בעלי שליטה במידע צריכים לבחור רק בספקים שמציעים טכנולוגיה העומדת בדרישות אלה.