Zasada „privacy by design and default”

gru 21, 2020 | Aktualności

Zasada „privacy by design and default” określona została w art. 25 RODO i polega na obowiązku skutecznego wdrażania zasad ochrony danych osobowych już w fazie projektowania danego rozwiązania. W związku z tym wymagane jest, aby administratorzy danych osobowych zastosowali odpowiednie środki techniczne i rozwiązania organizacyjne oraz niezbędne zabezpieczenia, których celem będzie skuteczne wdrożenie zasad bezpieczeństwa danych oraz przede wszystkim ochrona praw i wolności osób, których te dane dotyczą. Środki te muszą skutecznie zmniejszać ryzyko naruszenia bezpieczeństwa danych osobowych. Artykuł 25 RODO nie wskazuje wprost żadnych zalecanych środków technicznych i organizacyjnych ani zabezpieczeń – wymaga jedynie, że powinny być zaprojektowane tak, aby były solidne i można je było dostosowywać w miarę wzrostu ryzyka.

RODO przyjmuje elastyczne podejście do zasady „privacy by design”. Oznacza to, że wdrażając nowe rozwiązania administrator danych od samego początku musi wziąć pod uwagę takie czynniki jak stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania, a także prawdopodobieństwo i dotkliwość materializacji zagrożeń dla praw i wolności osób fizycznych wynikających z przetwarzania ich danych osobowych. Posiadając tak szeroką wiedzę w kontekście implementacji nowego rozwiązania w organizacji powinien być w stanie tak zrealizować jej wdrożenie, aby ryzyko naruszenia bezpieczeństwa danych osobowych było możliwie jak najniższe. Elastyczne podejście RODO daje administratorom danych możliwość określenia swojego poziomu zgodności w odpowiedzi na zidentyfikowane zagrożenia, ale jednocześnie powoduje niepewność jaki w rzeczywistości ten poziom zgodności powinien być. A jest to dość istotne biorąc pod uwagę ustawowe grzywny w wysokości do 10 000 000 EUR lub do 2% rocznego światowego obrotu (w zależności od tego, która z tych wartości jest wyższa)… Dlatego tak ważne jest, aby na bieżąco oceniać zgodność z obowiązującymi zasadami prywatności, na przykład przeprowadzając regularnie ocenę skutków dla ochrony danych osobowych (DPIA), nie tylko w przypadku czynności spełniających wymagania art. 35 RODO.

W rezolucji przyjętej na 32. Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności określono 7 podstawowych zasad privacy by design:

  1. Podejście proaktywne – nie reaktywne, zaradcze – nie naprawcze (Proactive not Reactive; Preventative not Remedia)

Każdy system czy proces w organizacji, w którym przetwarza się dane osobowe, powinien być zaprojektowany z uwzględnieniem możliwych zagrożeń dla praw i wolności osób, których dane dotyczą, i minimalizowania ich. Polityka ochrony danych osobowych danej organizacji powinna zakładać podejście proaktywne – należy stosować środki i rozwiązania, które przewidują zagrożenia i identyfikują podatności w celu minimalizacji ryzyka przed jego materializacją zamiast rozwiązywać problemy związane z naruszeniem bezpieczeństwa danych po jego wystąpieniu.

  1. Domyślna ochrona prywatności

Stosując tę zasadę administrator powinien wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to przede wszystkim zakresu i kategorii danych osobowych. Mając to na uwadze, administrator jeszcze przed uzyskaniem danych osobowych od osoby fizycznej powinien stosować zasadę ich minimalizacji, jako wyjściową kierując się podstawą prawną danego przetwarzania.

  1. Prywatność włączona w projekt (prywatność jako składowa projektu)

Uwzględnianie prywatności jako składowej projektu w oznacza, że jest ona na stałe włączona jako element konstrukcji systemów informacyjnych, ale fakt ten nie ma wpływu na obniżenie ich funkcjonalności.

  1. Pełna funkcjonalność jako suma dodatnia, nie suma zerowa (zasada win-win)

Najprościej zasadę tę można podsumować stwierdzeniem, iż dbanie o prywatność danych osobowych opłaca się wszystkim zaangażowanym w ich ochronę stronom: zarówno organizacjom je przetwarzającym, jak i osobom, których dane te dotyczą.

  1. Ochrona od początku do końca cyklu życia informacji (bezpieczeństwo danych od chwili ich zebrania do usunięcia)

Zasada ta określa potrzebę stosowania odpowiedniej ochrony danych na każdym etapie „życia” informacji – od jej utworzenia, zebrania poprzez jej przetwarzanie, aż do archiwizacji i usunięcia.

  1. Widoczność i przejrzystość

Należy informować osoby o przetwarzaniu ich danych w taki sposób, aby już na początku danego procesu, w którym przetwarzane będą jej dane osobowe mogły świadomie i dobrowolnie podjąć decyzję o ich przekazaniu. Podmiot danych musi mieć możliwość realizacji swoich praw wynikających z RODO, których realizację administrator ma obowiązek zapewnić: usunięcie danych, wycofanie zgody na przetwarzanie danych osobowych, kopiowanie danych, przeniesienie danych do innej organizacji, sprostowanie danych itd.

  1. Poszanowanie dla prywatności użytkowników

Istotą ochrony prywatności jest odpowiednie wykorzystanie danych osobowych w określonym zakresie oraz zapewnienie im odpowiedniego poziomu bezpieczeństwa.

Autor: Tomasz Cieślik