Vastaus
Yrityksiä/organisaatioita kannustetaan panemaan täytäntöön teknisiä ja organisatorisia toimenpiteitä käsittelytoimintojen suunnittelun alkuvaiheessa, jotta yksityisyys- ja tietosuojaperiaatteita suojellaan alusta saakka ('sisäänrakennettu tietosuoja'). Yritysten/organisaatioiden on oletusarvoisesti varmistettava, että henkilötiedot käsitellään korkea yksityisyydensuoja varmistaen (esimerkiksi vain välttämättömiä tietoja olisi käsiteltävä, lyhyt säilytysaika, rajoitettu pääsy) ja etteivät henkilötiedot ole oletusarvoisesti rajoittamattomien henkilöiden käytettävissä ('oletusarvoinen tietosuoja').
Esimerkkejä
Sisäänrakennettu tietosuoja
Pseudonymisointi (tunnistamisen mahdollistavat tiedot korvataan keinotekoisilla tunnisteilla) ja salaaminen (viestit koodataan niin, että vain valtuutetut henkilöt voivat lukea niitä).
Oletusarvoinen tietosuoja
Sosiaalisen median alustoja on kannustettava varmistamaan käyttäjäasetuksissaan mahdollisimman pitkälle käyttäjien yksityisyydensuoja esimerkiksi rajoittamalla pääsy käyttäjien profiileihin vain rajatulle henkilömäärälle.
Viitteet
Examples
Data protection by design
The use of pseudonymisation (replacing personally identifiable material with artificial identifiers) and encryption (encoding messages so only those authorised can read them).
Data protection by default
A social media platform should be encouraged to set users’ profile settings in the most privacy-friendly setting by, for example, limiting from the start the accessibility of the users’ profile so that it isn’t accessible by default to an indefinite number of persons.