Privacy by default - zasada domyślnej ochrony danych osobowych.

Ogólne rozporządzenie o ochronie danych (RODO) wprowadza wymóg uwzględniania ochrony danych osobowych od fazy projektowania rozwiązań przyjętych przez administratora (Privacy by design). Jednym z elementów tej koncepcji jest domyślna ochrona danych, którą w języku angielskim określa się mianem Privacy by default.

Zgodnie z art. 25 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE „Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

Oględnie rzecz ujmując „domyślna prywatność” oznacza maksymalizację prywatności poprzez minimalizację danych. Wdrożenie tej zasady wymaga jednak znajomości ogólnych zasad określonych przez RODO, które zostały zawarte w art. 5 tego rozporządzenia i którym poświęciliśmy kilka wpisów. Przypomnieć w tym miejscu należy, iż unijny ustawodawca wymaga od administratora danych m.in. świadomości (konkretnego) celu przetwarzania danych osobowych, zbierania tylko tych danych, które są niezbędne do osiągnięcia celu przetwarzania (zakaz zbierania danych na zapas), ograniczania czasu przechowywania danych (zakaz przechowywania danych w nieskończoność), a także zabezpieczania danych (poprzez zapewnienie poufności, integralności oraz dostępności danych). Jak widać przy okazji omawiania zasady Privacy by design, zasady ogólne RODO wymienione w art. 5 RODO nie mają teoretycznego charakteru, a ich rozumienia i stosowania wymaga się od uczestników obrotu prawnego.

Aby wymogi art. 25 ust. 2 RODO zostały spełnione, konieczne jest zastosowanie ustawień, które w sposób domyślny pozwolą na minimalizację:

  • ilości danych osobowych, abyśmy przetwarzali tylko te informacje, które są konieczne (w myśl zasady „im mniej, tym lepiej”);
  • operacji przetwarzania, aby zachodziły tylko te operacje, które cechuje walor niezbędności (np. zbieranie, opracowywanie i przechowywanie danych bez ich ujawniania, w tym rozpowszechniania, gdy te ostatnie są zbędne);
  • okresu przechowywania danych, by przetwarzanie odbywało się tak długo, jak to jest konieczne;
  • dostępu do danych, aby krąg podmiotów mających dostęp do informacji o osobach był ograniczony zarówno w wymiarze wewnętrznym (upoważnienia do przetwarzania dla podwładnych o odpowiednim zakresie), jak i zewnętrznym (ujawniamy dane jak najmniejszej liczbie podmiotów zewnętrznych).

Zakres powyższych ograniczeń będzie mógł ulec zmianie, ale pod warunkiem, że inicjatywę w tym zakresie przejawi osoba, której dane dotyczą. Przykładowo, właściciel sklepu internetowego podczas procedury zakładania konta przez użytkownika i podawania w związku z tym danych osobowych powinien wprowadzić podział na pola wypełniane obowiązkowo (bez których realizacja umowy nie będzie możliwa) oraz pola, które użytkownik będzie mógł wypełnić dobrowolnie podczas rejestracji lub w przyszłości.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Privacy by design.

RODO - podstawowe informacje.

Kontrola zgodności z RODO.

Polityka ochrony danych osobowych

Powierzenie przetwarzania danych osobowych.

RODO w służbie zdrowia.

RODO w hotelu.

Data publikacji: 30.07.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz