Tasarımla Gizlilik

Tasarımla Gizlilik (GDPR)

1) Neyle ilgili ve neden

Privacy by Design (PbD), gizliliğin en başından itibaren bir ürüne yerleştirildiği ilkedir: iş gereksinimlerinde, mimaride, kodda, süreçlerde ve operasyonda. GDPR açısından, bu "tasarım ve varsayılan olarak gizlilik" (ücretleri en aza indirgemek, varsayılan ayarlar mümkün olduğunca özeldir, şeffaflık ve hesap verebilirlik) ile kendini gösterir.

• Kişisel verilerin toplanmasını ve işlenmesini en aza indirin (PD).
• Yasallık, şeffaflık, doğruluk, hedeflerin ve son tarihlerin sınırlandırılmasını sağlayın.
• Riskleri azaltın (teknik ve yasal), denetimleri basitleştirin ve uygunluğu kanıtlayın.

2) GDPR rolleri, yasal çerçeveler ve ilkeler

2. 1 Roller

Kontrolör-Hedefleri/işleme araçlarını tanımlar.
İşlemci-DPA sözleşmesi kapsamında denetleyici adına kişisel verileri işler.
Veri Konusu: Kişisel verilerin ait olduğu bir birey.
DPO (Veri Koruma Görevlisi): talep üzerine - bağımsız izleme ve danışma.

2. 2 Yasal dayanaklar (seçme ve belge)

Rıza, sözleşme, meşru menfaat, yasal görev, hayati menfaatler, kamu görevi. Her biri için - hedef, veri, saklama, iptal (onay için).

2. 3 İşleme prensipleri (Madde 5)

Yasallık, adalet, şeffaflık

Hedef sınırlaması

Veri küçültme

Doğruluk

Depolama kısıtlaması

Bütünlük ve gizlilik

Hesap verebilirlik - uyumu kanıtlama yeteneği.

3) SDLC'de PbD süreci (referans çerçevesi)

1. Başlatma: işleme hedeflerinin ve yasal zeminlerin oluşturulması, veri sahiplerinin atanması ve DPO noktası.
2. Verilerin haritalanması (Data Mapping): kaynaklar - alanlar - gizli model - nerede akış - okuyan - nerede saklanır - terim.
3. Risk Değerlendirmesi/DPIA: Gizlilik tehditlerinin LINDDUN modeli, etki değerlendirmesi, azaltma önlemleri.
4. Mimari çözümler: minimizasyon seçimi, takma isimlendirme, şifreleme, ayrım şemaları.
5. UX/onaylar/bildirimler için gereksinimler: açık metinler, ayrıntılı onay, varsayılan ayar.
6. Uygulama: özel varsayılanlar, güvenli telemetri, gizli-ücretsiz günlük kaydı/PII.
7. Doğrulama: gizlilik testleri, statik analiz, özel birim testleri, DPIA protokolleri.
8. Operasyon: DSAR süreçleri, tutma ve elden çıkarma, olay izleme, satıcı incelemeleri.
9. Düzenli gözden geçirme: Hedefleri/teknolojileri değiştirirken yeniden DPIA.

4) Mühendislik PbD kalıpları

4. 1 Minimizasyon ve ayrışma

Sadece gerekli alanları toplamak; Aşamalı profilleme uygulayın.
Ayrı kimlik ve içerik: Bağlantı anahtarını ayrı olarak saklayın (belirteç/referans).

4. 2 Aliasing ve anonimleştirme

Aliasing - Gerçek kimliği ayrı olarak saklayın; Çalışan katman belirteci görür.
Anonimleştirme: k-anonimlik, l-çeşitlilik, t-kapatma kullanın; Analitik için - diferansiyel gizlilik (ε budget).

4. 3 Erişim kontrolü ve rol ayrımı

PoLP, ABAC/RBAC, görevlerin ayrımı, yöneticiler ve analistler için ayrı konturlar.
Şunlar. Önlemler: mTLS, SSO/OIDC, kapsamlı belirteçler, kişisel verilere erişim için geçici hesaplar.

4. 4 Şifreleme ve izolasyon

Geçiş sırasında: TLS 1. 3/mTLS; Dinlenme sırasında: AEAD/Envelope + KMS/HSM.
Kiracı/veri kümesi için ayrı anahtarlar; "Unutulma hakkı" için kripto silme.

4. 5 Tutma ve kaldırma

Alan/hedef başına açık TTL politikaları; Boru hatlarında otomatik temizleme; "iki fazlı" silme (mantıksal - fiziksel).
Yedeklemeler için - kişisel anlık görüntüler için ayrı anahtarlar ve kısa depolama pencereleri.

4. 6 Özel telemetri ve kayıt

Varsayılan hiçbir PII; Jeton/tuz ile hashing kullanın.
Üretici üzerindeki hassas alanların maskelenmesi/tokenizasyonu.

4. 7 UX Gizlilik ve Onay

Kategoriye göre ayrıntılı onay (analitik, pazarlama, kişiselleştirme).
"Özel varsayılanlar": her şey kritik değil - kabul edilene kadar kapatıldı.
Açık seçenek "Onayı geri çek've yeni kullanımda tam zamanında bildirim.

5) DPIA ve LINDDUN (kısa)

DPIA (Veri Koruma Etki Değerlendirmesi): yüksek risk altında gereklidir (büyük ölçekli izleme, değerlendirme, yeni teknoloji). İşleme, gereklilik/orantılılık, risk değerlendirmesi, azaltma önlemlerinin bir tanımından oluşur.
LINDDUN угрозы: Bağlanabilirlik, Tanımlanabilirlik, Reddedilmeme, Tespit edilebilirlik, Bilgilerin açıklanması, Farkındalık, Uyumsuzluk. Her tehdit için - karşı önlemler (minimizasyon, takma isim, DP, şeffaflık, onay yönetimi, denetim).

6) Sınır ötesi transferler

Satıcı depolama/erişim yerlerini belirleyin.
SCC (standart sözleşme hükümleri) kullanın ve Transfer Etki Değerlendirmesi yapın.
Teknik önlemler: uçtan uca şifreleme, özellikle hassas veriler için istemci kriptografisi, uzaktan erişimin kısıtlanması.

7) Satıcılar ve işlemciler (Satıcı Yönetimi)

DPA/iç içe işlemciler, teknik ve organizasyonel önlemler, alt işlemciler - kontrol altında.
Düzenli incelemeler ve denetimler; teftiş hakkı; Veri ihracat planı.

8) Veri Özne Hakları (DSAR)

Erişim, iyileştirme, silme, kısıtlama, taşınabilirlik, itiraz, AADM (profilleme/otomasyon) nesnesi olmamak.
SLA ve otomasyon: istek izleme, kimlik kanıtı, yanıt günlüğü.
Üründeki teknik kancalar: ID'ye göre hızlı arama ve dışa aktarma; Tutma yoluyla kademeli kaldırma.

9) Otomatik çözümler ve profil oluşturma (Md. 22)

"Önemli bir etkiye" sahip kararlar otomatik olarak alınırsa - insan müdahalesi, açıklanabilirlik, işaretlerin şeffaflığı hakkını sağlamak için.
Günlük kaydı yolu ve model sürüm oluşturma; Temyiz mekanizması.

10) İşleme güvenliği (M. 32) ve olaylar (M. 33/34)

Risk odaklı önlemler: şifreleme, bütünlük, esneklik, kurtarma planları (RTO/RPO).
PD olayları: - triyaj tespit süreci - risk değerlendirmesi - 72 saat ≤ (gerektiğinde) düzenleyicinin ve deneklerin (yüksek riskli ise) bildirilmesi.
Ayrı oyun kitabı, DPO/avukatlar iletişim listesi, bildirim şablonları.

11) Gizlilik ve ML/Analytics

Veri Yönetişimi setleri: veri hattı, lisanslar/gerekçeler, onaylar.
Teknikler: diferansiyel gizlilik, federe öğrenme, güvenli toplama, özellikleri en aza indirme.
Saldırılara karşı koruma: üyelik/model inversiyonu - düzenli sızıntı değerlendirmeleri, ε ayarları, gürültü/klip.
Sentetik veriler - sadece kişilerin restorasyonunun yokluğunun doğrulanmasıyla.

12) Mimari diyagramlar (desenler)

12. 1 "Çift Döngü" Kimlik Mimarisi

Döngü A (PDS - Kişisel Veri Deposu): gerçek tanımlayıcı veriler (RID), erişim - kesinlikle sınırlı, anahtarlar/şifreleme/denetim.
Anahat B (Operasyonel): belirteçli iş verileri; Limitleri ve denetimleri olan bir token brokeri aracılığıyla iletişim.

12. 2 Rıza Hizmeti

Onay sürümlerini ve geçmişini saklayan merkezi bir hizmet.
SDK: 'Can _ use (kategori, amaç)' - anında çözer; Her şey kaydedilmiş.

12. 3 Kod olarak saklama politikaları

YAML Configuration - Entity> Field> TTL> Expiration Action (Anonymize/Delete/Coarse).
Zamanlayıcı işleri gerçekleştirir, raporlama DPO'ya açıktır.

13) Mini tarifler

def collect(field, purpose):
if not is_required(field, purpose):
return None # do not collect v = read_input (field)
return truncate(v, policy. max_length(field))

yaml dataset: users fields:
email: { ttl: P18M, on_expire: pseudonymize }
phone: { ttl: P12M, on_expire: delete }
session_logs: { ttl: P3M, on_expire: aggregate }
consent: { ttl: P7Y, on_expire: archive }

analytics:
default: deny legal_basis: consent scope: anonymous_metrics marketing:
default: deny legal_basis: consent scope: email,push

GET /privacy/export? subject_id=... -> zip:
- profile. json (metadata, legal basis)
- activity. ndjson (events, aggregates)
- consents. json (consent history)
- processors. json (list of processors and transfers)

14) Dokümantasyon ve Sorumluluk

ROPA (İşleme Faaliyetlerinin Kayıtları) - faaliyetlerin kaydı: amaç, yasal dayanak, veri/konu kategorileri, transferler, saklama süreleri, önlemler.
Politikalar: gizlilik, çerezler, üründeki bilgi bildirimleri (düz dilde).
Personel eğitimi ve yıllık değerlendirmeler.

15) Sık yapılan hatalar

Koleksiyon "sadece durumda've depolama" sonsuza kadar ".
Sözleşme/meşru menfaat uygun olmasına rağmen, tek zemin olarak rıza.
Gerçek anahtarlar olmadan "boş" çerez afişleri.
Veri eşleme yok ve DSAR için hazır değil.
PII, korumasız yedeklemeler, REED ve operasyonel verilerin karıştırılması.
Tedarikçilerin ve sınır ötesi transferlerin kontrolü yoktur.

16) Kontrol listeleri

• İşleme amacı ve yasal dayanak belirlenir; ROPA tarafından güncellendi.
• Veri haritalama ve DPIA gerçekleştirildi (gerekirse).
• Uygulanan minimizasyon, aliasing, şifreleme (yolda/dinlenirken).
• Onaylar net UX ile granülerdir; Varsayılanlar özeldir.
• Kod olarak saklama politikaları oluşturdunuz; silme/anonimleştirme kontrol edildi.
• Günlükleri/Telemetri - hiçbir PII; maskeleme etkinleştirildi.
• DSAR kancaları ve hazırlanan ihracat.
• Takım eğitimi ve DPO onayı tamamlandı.

• Retentions ve yasal gerekçelerin üç ayda bir gözden geçirilmesi.
• Periyodik işlemci/alt işlemci denetimleri.
• Olayların izlenmesi ve 72 saat ≤ bildirime hazır olunması.
• Süreç/teknoloji değişiklikleri ile DPIA'nın gözden geçirilmesi.
• Uyumluluk eserlerinin depolanması (DPIA, ROPA, test raporları).

17) SSS

S: Rızadan tamamen "kaçmak" mümkün mü?
C: Bazen evet (sözleşme/yasal görev/yasal çıkar), ancak sadece kesinlikle gerekli olduğunda ve çıkar dengesinin değerlendirilmesiyle. Pazarlama ve kritik olmayan analitik - çoğu zaman onay gerektirir.

S: Aliasing yeterli mi?
A: Hayır, hala kişisel veriler. GDPR alanından çıkmak için güvenilir anonimleştirmeye ihtiyacınız vardır (yeniden tanımlamanın imkansızlığı açısından kontrol edilir).

S: ML ve kişiselleştirme hakkında ne düşünüyorsunuz?
C: Özellikleri en aza indirin, DP/federe yaklaşımları kullanın, kararları kaydedin, insan müdahalesi ve profil oluşturmama hakkını sağlayın.

S: İş ve gizlilik çatışması olduğunda ne yapmalı?
C: Koleksiyonu yeniden tasarlayın (aşamalı profilleme), agregalara/sentetiklere geçin, yasal temeli yeniden değerlendirin, izlemeden bir seçenek sunun.

• "Gizli yönetim"
• "Dinlenme Şifreleme"
• "Transit Şifrelemede"
• "Denetim ve değişmez günlükler"
• "İstekleri İmzala ve Doğrula"
• "Anahtar Yönetimi ve Rotasyon"