Privacy by Design

Privacy by design je princip, který vyžaduje, aby organizace zabudovaly ochranu údajů a ochranu soukromí do systémů, procesů a služeb od samého začátku, nikoli je přidávaly později jako dodatečnou úvahu. Podle práva EU to znamená začlenění opatření na ochranu soukromí do všech fází zpracování—od počátečního návrhu až po vymazání—a nastavení ochrany údajů jako výchozího nastavení pro uživatele.

Právní základ

„Správce … provede vhodná technická a organizační opatření … která jsou určena k provádění zásad ochrany údajů, jako je minimalizace údajů, účinným způsobem a k začlenění nezbytných záruk do zpracování za účelem splnění požadavků tohoto nařízení a ochrany práv subjektů údajů."

— Článek 25 odst. 1, nařízení (EU) 2016/679 (GDPR)

Proč na tom záleží

Privacy by design je základní povinností podle GDPR a vztahuje se na kohokoli, kdo zpracovává osobní údaje v EU—včetně zadavatelů, vydavatelů politické reklamy a poskytovatelů služeb politické reklamy, na které se vztahuje nařízení TTPA. Pokud tyto subjekty používají osobní údaje pro cílení nebo doručování reklam, musí navrhnout své systémy tak, aby minimalizovaly shromažďování údajů, maximalizovaly transparentnost a chránily práva subjektů údajů od samého počátku.

Pro politickou reklamu má tento princip přímý praktický dopad. Platformy, poskytovatelé ad-tech a kampaně musí nakonfigurovat své nástroje a postupy tak, aby osobní údaje byly shromažďovány a zpracovávány pouze v případě nezbytnosti, byly udržovány v bezpečí a mazány, když již nejsou potřeba. Privacy by design také znamená nabízet uživatelům smysluplné možnosti ochrany soukromí jako výchozí nastavení—například nepředvyplňovat pole pro souhlas nebo nenastavovat výchozí nejinvazivnější nastavení soukromí.

Nezačlenění privacy by design může vést k regulačním sankcím, narušení ochrany údajů a narušení důvěry veřejnosti—což je obzvláště škodlivé v politicky citlivém kontextu voleb a referend.

Klíčové body

Proaktivní, nikoli reaktivní: Ochrana soukromí musí být zabudována do systémů od fáze návrhu, nikoli dodatečně připojena po nasazení.
Výchozí ochrana soukromí: Systémy by měly fungovat s nejpříznivějším nastavením ochrany soukromí jako výchozím, aniž by uživatelé museli odmítat invazivní praktiky.
Minimalizace údajů: Shromažďujte a zpracovávejte pouze osobní údaje přísně nezbytné pro stanovený účel.
Ochrana po celý životní cyklus: Opatření na ochranu soukromí se vztahují na celý životní cyklus údajů—od shromažďování a ukládání po použití, sdílení a vymazání.
Odpovědnost: Organizace musí být schopny prokázat, jak byla privacy by design implementována do jejich systémů a procesů.
Posílení postavení uživatelů: Návrh by měl uživatelům umožnit snadné uplatňování jejich práv (přístup, oprava, výmaz, námitka) bez technických překážek.

Privacy by Design vs. Privacy by Default

Privacy by design se vztahuje na začlenění ochrany údajů do architektury systémů a procesů od počátku. Privacy by default je související, ale užší koncept: vyžaduje, aby systémy automaticky aplikovaly nejvíce ochranná nastavení soukromí bez zásahu uživatele. Jinými slovy, privacy by design se týká toho, jak systémy vytváříte; privacy by default se týká toho, jaká nastavení dodáváte. Obojí je vyžadováno podle článku 25 GDPR. Pro platformy politické reklamy privacy by design znamená navrhování systémů, které minimalizují shromažďování údajů a chrání práva uživatelů, zatímco privacy by default znamená, že například možnosti cílení nepředvyplňují kategorie citlivých údajů a profily uživatelů nejsou sdíleny šířeji, než je nezbytné.

Související pojmy

Minimalizace údajů
Privacy by Default
Posouzení dopadu na ochranu údajů (DPIA)
Osobní údaje
Souhlas
Správce
Zpracovatel
Techniky cílení
GDPR (obecné nařízení o ochraně údajů)
Oznámení o transparentnosti

Ano. Jako nařízení EU je TTPA přímo použitelné ve všech členských státech, aniž by vyžadovalo národní transpozici. Členské státy musí pouze určit příslušné orgány a stanovit sankce.

Požadavky na transparentnost zajišťují, že všichni političtí aktéři fungují podle stejných pravidel. Voliči mohou vidět, kdo má prostředky a jak jsou využívány, což podporuje spravedlivou soutěž.

Transparentnost buduje důvěru tím, že voličům ukazuje, že političtí aktéři jednají otevřeně. Skryté financování nebo cílení podkopává důvěru v demokratické procesy.

Tím, že TTPA vyžaduje jasné označování a přístupné informace o transparentnosti, pomáhá lidem rozpoznat politickou reklamu a pochopit, kdo se je snaží ovlivnit.

Komunikace členům založená pouze na údajích o předplatném, bez dodatečného cílení, je osvobozena od pravidel pro cílení. Základní požadavky na transparentnost mohou stále platit.

Politická reklama zahrnuje jakékoli placené sdělení, které propaguje politického aktéra, ovlivňuje volební chování, působí na výsledek voleb nebo referend či ovlivňuje legislativní nebo regulační procesy. Zahrnuje rovněž jakoukoli reklamu politickým aktérem nebo jménem politického aktéra.

Ne. TTPA neovlivňuje vnitrostátní předpisy týkající se obsahu politické reklamy, financování kampaní, volebních období nebo obecných zákazů politické reklamy. Přidává požadavky na transparentnost nad rámec stávajících vnitrostátních právních předpisů.

Oficiální název je nařízení Evropského parlamentu a Rady (EU) 2024/900 o transparentnosti a cílení politické reklamy. Bylo zveřejněno dne 20. března 2024.