Co w Prawie Piszczy | Privacy by design i by default – prywatność na 1. miejscu.
7393
post-template-default,single,single-post,postid-7393,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Privacy by design i by default – prywatność na 1. miejscu.

Zapewne każdy przedsiębiorca, który miał styczność z RODO, słyszał o zasadach privacy by design i privacy by default. Zasady te przedstawiane są najczęściej jako nowe, rewolucyjne i podstawowe zasady RODO, wywracające do góry nogami dotychczasowy sposób obchodzenia się z danymi i projektowania rozwiązań informatycznych. Co tak naprawdę oznaczają te pojęcia i jak administrator danych powinien wdrożyć je w praktyce?

Ogólną ideą tych zasad jest obowiązek uwzględnienia ochrony danych osobowych i prywatności użytkowników już na etapie tworzenia założeń projektu / programu / serwisu / usługi (privacy by design), a także wprowadzenia domyślnych ustawień zapewniających maksymalny stopień prywatności (privacy by default). Odpowiadają one ogólnej idei rish-based-approach, która jest podstawą modelu ochrony danych osobowych na gruncie RODO.

W praktyce zasady te powinny być uwzględniane w ramach każdego procesu przetwarzania danych, niezależnie od jego skali i formy, od danych pracowników przetwarzanych przez pracodawcę, przez dane uczestników konkursów, loterii, aż po przeglądarki internetowe, strony www, czy aplikacje do zamawiania taxi czy rezerwacji noclegu.

Warto też zaznaczyć, że omawiane zasady są nowością na gruncie prawnym (wcześniej nie istniał wyraźny prawny obowiązek ich przestrzegania), ale z pewnością istniały już one w formie dobrych praktyk znanych dotychczasowym koncepcjom ochrony prywatności. Jednak dopiero na gruncie RODO stały się one realnie egzekwowalnymi obowiązkami każdego podmiotu przetwarzającego dane osobowe.

Co istotne, obowiązki realizacji postanowień art. 25 RODO spoczywają zarówno na administratorze danych, jak i na podmiocie przetwarzającym (procesorze), a zasady privacy by design i privacy by default to jedynie element całego zestawu przepisów, które mają na celu zapewnienie ochrony danych.

Skupmy się więc na każdej z zasad z osobna.

Privacy by design

Art. 25 ust. 1 RODO wprowadza generalną zasadę, na podstawie której już na etapie tworzenia założeń danego procesu przetwarzania danych należy włączyć ochronę prywatności, tak aby stanowiła jego integralny element.

Jak wskazuje GIODO, proaktywne podejście wyrażane przez zasadę privacy by design zakłada, że ochrona prywatności powinna być uwzględniana, jako podstawowy element składowy każdego projektu. Oznacza to, że prywatność nie ma być chroniona poprzez dodatki do systemu lub nakładki, ale być wbudowana w jego konstrukcję, będąc jego integralnym elementem.

Ponadto w dokumencie 32 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności, Jerozolima, 27–29.10.2010 r. wskazano, że określenie „Prywatność w Fazie Projektowania” odnosi się do filozofii i podejścia opartego na uwzględnianiu prywatności w fazie projektowana, a także działaniu i zarządzaniu technologiami informacyjnymi i systemami przez cały cykl życia informacji. Konieczne jest więc uwzględnianie prywatności na wszystkich etapach i łańcuchach przetwarzania danych – od stadium pobierania danych, przez ich faktyczne wykorzystywanie, aż po archiwizacje i usunięcie.

Warto pamiętać, że RODO nie liberalizuje dotychczasowego poziomu ochrony, ale zobowiązuje do zapewnienia poziomu bezpieczeństwa adekwatnego do ryzyka. To jakie środki i rozwiązania będą adekwatne zależy od wielu czynników, ale to administrator powinien je ocenić i wdrożyć odpowiednie metody. RODO nie daje jednak prymatu zasadzie ochrony danych osobowych za wszelką cenę, bez względu na koszty. Pozwala, aby ze względu na praktyczne ograniczenia po stronie administratorów i procesorów, uwzględniać koszty wdrażania rozwiązań i ich dostępność na rynku.

Nie należy jednak zapominać, że zasada privacy by design pośrednio nakłada obowiązki także na twórców projektów / programów / usług. W przepisach RODO brakuje zapisów o odpowiedzialności twórców za nieprzestrzeganie tych zasad, a cała odpowiedzialność spoczywa na administratorze danych. Dlatego powinien brać on aktywny udział w procesie twórczym, a także odpowiednio zabezpieczyć swoje interesy zapisami umownymi, aby skutecznie wyegzekwować uwzględnienie prywatności w projektowanych rozwiązaniach, ale też móc dochodzić potencjalnych roszczeń.

Privacy by default

Zasada znajduje odzwierciedlenie na gruncie art. 25 ust. 2 RODO, zgodnie z którym administrator jest zobowiązany do stosowania rozwiązań technicznych i organizacyjnych, które będą domyślnie przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia danego celu przetwarzania (prywatność ma być stanem wyjściowym). Privacy by default stanowi zatem środek do realizacji zasady minimalizacji przetwarzania, która dotyczy zarówno ilości zbieranych danych, ich zakresu, jak i czasu przetwarzania.

Przykładowo przeglądarka internetowa / komunikator / strona www powinny domyślnie zakładać ustawienia gwarantujące maksymalną prywatność, tj. takie, które pobierają dane i wykorzystują dane osobowe w formie i zakresie wyłącznie niezbędnym do realizacji danego celu, czyli np. dostępu do przeglądarki czy korzystania z komunikatora. Nie powinny one automatycznie żądać podania danych dot. np. wieku użytkownika czy jego preferencji, ani śledzić jego lokalizacji. Będzie to możliwe dopiero w wyniku wyraźnej aktywności użytkownika, np. poprzez zmianę ustawień przeglądarki / konta w komunikatorze.

Podsumowanie

W realiach RODO prywatność użytkowników zarówno na etapie tworzenia rozwiązań technologicznych, a także jako opcja domyślna staną się integralnym elementem każdego projektu. Rynek będzie musiał obalić mit, że pogodzenie funkcjonalności produktu z ochroną danych osobowych i kosztem ich wdrożenia nie jest możliwe. Najlepszym rozwiązaniem wydaje się faktyczne uwzględnienie zasady privacy by design i privacy by default, jako bazy i podstawy projektowanego systemu, by na etapie komercjalizacji lub późniejszym nie generować kolejnych, kosztownych zmian.

Autorzy:

Magdalena Kaleta-Maniak, senior consultant, magdalena.kaleta@olesinski.com

Igor Schwenk, consultant, aplikant adwokacki, igor.schwenk@olesinski.com

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT

magdalena.kaleta@olesinski.com

Więcej

Zaproponuj znajomym
Brak komentarzy.

skomentuj