Dane osobowe po nowemu (2), czyli privacy by design i privacy by default

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) zmienia podejście do procedur przetwarzania danych osobowych, wprowadzając nowe zasady – privacy by design  oraz privacy by default.  Administratorzy i podmioty przetwarzające dane będą musieli stosować nowe zasady systemowego podejścia do tworzenia usług, procesów i produktów (np. aplikacji), które nakazują uwzględnianie prywatności już na etapie projektowania (privacy by design) oraz tworzenie możliwości konfiguracji opcji prywatności przez osobę, której dane dotyczą. Prywatność w tych ustawieniach musi być stanem wyjściowym (privacy by default).

Uwzględnianie ochrony danych w fazie projektowania – privacy by design

Zgodnie z regułą privacy by design, administrator danych jest zobowiązany zapewnić, aby już na etapie projektowania systemu, aplikacji lub procesu oraz na etapie wykorzystywania ich do przetwarzania danych wprowadzone do nich zostały odpowiednie środki techniczne i organizacyjne, które zapewnią właściwą ochronę danych osobowych.

Najważniejszym elementem tej reguły jest nakaz stosowania się do reguł ochrony danych osobowych już na etapie planowania, czy też „przy określaniu sposobów przetwarzania”. Najprościej mówiąc privacy by design  to obowiązek przewidywania i przeciwdziałania możliwym problemom w zakresie ochrony danych, zanim one powstaną, a nie dopiero gdy staną się faktem. Implementacja tej reguły powinna polegać przede wszystkim na wdrożeniu metodycznego podejścia do ochrony danych osobowych już od etapu planowania działań pociągających za sobą  przetwarzanie danych (przykładowo przy projektowaniu, monitorowaniu, testach bezpieczeństwa, zmianach aplikacji czy nadawaniu uprawnień ich użytkownikom). Co istotne, spełnienie tych wymogów powinno być właściwie udokumentowane. Oznacza to, że stosowanie odpowiedniej metodologii – z punktu widzenia właściwego zabezpieczenia  danych - powinno znaleźć także wyraz w prowadzonej przez przedsiębiorcę dokumentacji.

Do tej pory idea privacy by design nie była obowiązkiem wynikającym z ustawy. Nowa regulacja wymusza jej stosowanie na wszystkich podmiotach przetwarzających dane osobowe. W przypadku projektowania bądź opracowywania aplikacji, usług czy produktów jednym z najważniejszych aspektów stanie się ochrona danych osobowych na każdym etapie ich zbierania, przetwarzania czy usuwania.

W nowej europejskiej regulacji privacy by design nie kończy się na etapie tworzenia czy projektowania. Również w każdej fazie realizacji konieczna jest troska o ochronę danych osobowych oraz reagowanie na nowe, dające się przewidzieć zagrożenia. Regularne przeglądy składowych systemów informatycznych, bieżąca aktualizacja regulaminów oraz cykliczna analiza zgodności zakresu przetwarzania danych z treścią poszczególnych zgód – tak kształtować się będą obowiązki przedsiębiorców pod rządami RODO.

Domyślna ochrona danych – privacy by default

Zasada privacy by default została określona w art. 25 ust. 2 RODO i zgodnie z jej treścią administrator jest zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Powyższe dotyczy zarówno ilości zbieranych danych, zakresu przetwarzania, okresu ich przechowywania oraz sposobu udostępniania. Przedsięwzięte środki powinny więc zapewnić domyślność ustawień chroniących prywatność osób, których dane są przetwarzane. W myśl zasady privacy by default,  udostępnienie bliżej nieokreślonej liczbie innych osób danych osobowych przez użytkownika aplikacji, systemu, programu czy usługi jest możliwe dopiero wtedy, gdy użytkownik podejmie w tym zakresie „interwencję”, czyli np. zmieni domyślne ustawienia aplikacji.

Prywatność od samego początku

Jak pisaliśmy wcześniej, RODO w pełni obowiązywać będzie od 25 maja 2018 roku. Do tego czasu przedsiębiorcy powinni przystosować wszystkie procesy przetwarzania danych osobowych do nowej regulacji. Stosowanie omawianych reguł może być przedmiotem kontroli ze strony organu ochrony danych osobowych, a w przypadku stwierdzenia naruszenia którejkolwiek z nich organ uprawniony będzie do nałożenia kary finansowej. Należy pamiętać, że administrator danych może wykazać, że wywiązał się z obowiązków płynących z zasad privacy by default oraz privacy by design poprzez poddanie się mechanizmowi dobrowolnej certyfikacji, którą ustanawia RODO (szerzej na temat certyfikacji napiszemy w ramach naszego cyklu Dane osobowe po nowemu). Biorąc pod uwagę, że zastosowanie omawianych wyżej zasad będzie wymagało oceny ryzyka oraz zdefiniowania procesów przetwarzania danych,  szczególnie istotne jest by ich wdrażanie rozpocząć z odpowiednim wyprzedzeniem. Można powiedzieć, że te dwie reguły stanowią punkt wyjścia nie tylko dla realizacji, ale też w ogóle rozumienia całości nowego Rozporządzenia.

Photo by Stefano Franzin