Zasada privacy by design - uwzględnianie ochrony danych osobowych na etapie projektowania procesów przetwarzania.

Jednym z kluczowych wymogów stawianych przez ogólne rozporządzenie o ochronie danych (RODO) jest obowiązek uwzględniania prywatności od momentu projektowania przez administratora rozwiązań biznesowych lub organizacyjnych, co określane jest mianem „Privacy by design”. Jest to jeden z kluczowych elementów nowej filozofii ochrony danych osobowych, którą organizacje będą musiały przyswoić i zastosować w codziennym funkcjonowaniu.

Zasada Privacy by design, którą tłumaczy się jako „Uwzględnianie prywatności w fazie projektowania” lub „Projektowanie prywatności”, wynika z art. 25 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Zgodnie z tym przepisem „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Generalnie rzecz ujmując zasada ta wymaga myślenia o ochronie danych osobowych od momentu planowania przez administratora danych procedur w jego organizacji, wprowadzania nowych systemów informatycznych (nawet ich elementów), procesów, produktów czy usług. Uwzględnianie ochrony prywatności będzie miało pełne zastosowanie także w wypadku istotnej modyfikacji owych procedur, systemów czy procesów. Przykładowo, gdy przedsiębiorca zamierza zacząć sprzedawać swoje produkty za pośrednictwem strony internetowej, której dotąd nie posiadał, konieczne będzie – już na etapie projektowania wyglądu i funkcjonowania witryny – pochylenie się nad problematyką ochrony danych osobowych, a w szczególności nad zakresem pobieranych danych, odbieraniem zgód na ich przetwarzanie (po uprzednim ustaleniu, kiedy będzie to niezbędne) oraz sposobami realizacji obowiązku informacyjnego wobec klientów sklepu. Wymagać to będzie zastosowania innej zasady określonej przez RODO, a mianowicie Privacy by default (domyślnej ochrony danych), której omówienie wymaga osobnego wpisu.

Sprzeczne natomiast z art. 25 ust. 2 RODO byłoby opracowanie strony internetowej, a następnie zastanawianie się nad wprowadzaniem rozwiązań służących ochronie prywatności oraz ich dopasowywania do tego, co powstało. Pójście tą drogą doprowadziłoby albo do powstania jednego z elementów fasadowego w istocie systemu ochrony danych osobowych albo do konieczności przebudowania istniejącej już strony internetowej, co wiązałoby się z dodatkowym nakładem czasu i kosztów.

Podobnie rzecz się ma z innymi działaniami ze strony administratora danych. Projektowanie prywatności będzie wymagane także wtedy, gdy podmiot przetwarzający dane poszerzy zakres działalności (np. wprowadzając do oferty nowy rodzaj usług), utworzy nowy dział w przedsiębiorstwie bądź otworzy oddział firmy w innej lokalizacji, a także gdy zdecyduje się na przetwarzanie danych osobowych za pośrednictwem chmury obliczeniowej. W tych przykładowo wymienionych wypadkach musimy pamiętać o implementacji środków zapewniających bezpieczeństwo przetwarzania danych od fazy projektowania nowych rozwiązań.

Takie podejście wymaga oczywiście zmiany mentalnej – uświadomienia sobie znaczenia ochrony danych osobowych, odpowiedniego zarządzania nimi oraz znajomości zasad ochrony danych osobowych (zwłaszcza zasady minimalizacji danych), w związku z czym niekiedy zajdzie potrzeba skorzystania z pomocy specjalistów, jak na przykład wyspecjalizowanej we wdrażaniu RODO kancelarii prawnej. Tym bardziej byłoby to zasadne ze względu na fakt, iż zgodnie z określoną przez art. 5 ust. 2 RODO zasadą rozliczalności administrator będzie zobligowany wykazać, iż wypełnił obowiązki związane z projektowaniem prywatności.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Privacy by default.

RODO - podstawowe informacje.

Kontrola zgodności z RODO.

Polityka ochrony danych osobowych

Powierzenie przetwarzania danych osobowych.

RODO w służbie zdrowia.

RODO w hotelu.

Data publikacji: 30.07.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz