Privacy by design to zasada, zgodnie z którą administrator powinien uwzględnić aspekt ochrony danych osobowych już w fazie projektowania jakiegokolwiek procesu, usługi, narzędzia, w którym będą przetwarzane dane osobowe. Wymóg uwzględnienia tej zasady nakłada na administratorów RODO.
Choć zasada (a właściwie podejście/sposób realizacji projektów) privacy by design (prywatność w fazie projektowania) znana i stosowana jest już od lat w branży IT, to została szerzej rozpowszechniona za sprawą wejścia w życie RODO, które nałożyło na administratorów danych (wszystkich bez wyjątku!) obowiązek jej stosowania. Innymi słowy, dzisiaj każdy podmiot działający na rynku, niezależnie od wielkości, czy branży, w jakiej działa, musi obowiązkowo stosować wymogi zasady privacy by design. Stosowanie tej zasady nie powinno być jedynie przykrym obowiązkiem, ponieważ może ona przynieść organizacji szereg korzyści.
Kogo obowiązuje zasada Privacy by design? Wymóg nie tylko dla administratorów
Choć art. 25 RODO, który wprowadza zasadę privacy by design, nie jest adresowany do podmiotów przetwarzających, np. dostawców usług chmurowych czy aplikacji, to jednak także takie podmioty powinny w pełni stosować się do wymogów tej zasady. Tylko bowiem w ten sposób, np. tworząc i dostarczając oprogramowanie, które spełnia wymogi privacy by design, są w stanie zagwarantować swoim klientom (mającym z reguły status administratorów danych), że korzystanie z dostarczanego oprogramowania jest zgodne z prawem i nie narusza praw i wolności podmiotów danych. Dodatkowo motyw 78 RODO wyraźnie stanowi, że zasadę privacy by design należy brać pod uwagę w przetargach publicznych. Jak widać, stosowanie tej zasady powinno być powszechne.
Zasada privacy by design – co to znaczy?
Stosownie do zasady privacy by design – już na etapie planowania nowego przedsięwzięcia – usługi lub procesu, należy wziąć pod uwagę aspekt ochrony danych osobowych. Uwzględnienie ochrony danych osobowych powinno być więc jednym z założeń na każdym etapie projektowania.
Na marginesie, wspomnijmy, że RODO nakazuje stosować wszystkim administratorom także inną, komplementarną zasadę – privacy by default, zgodnie z którą prywatność użytkowników powinna być chroniona domyślnie na każdym etapie projektu. Zasadzie privacy by default poświęcimy odrębny artykuł. Postaramy się w nim przybliżyć podstawowe różnice między zasadą privacy design oraz privacy by default.
Jak wspomnieliśmy wyżej, w przeszłości zasadę privacy by design stosowano głównie w procesie tworzenia nowych aplikacji, czy systemów informatycznych. Dziś jednak należy stosować jej wymogi, projektując lub zmieniając każdy istniejący proces biznesowy w organizacji, który wiąże się z przetwarzaniem danych osobowych (zazwyczaj będzie on wiązał się z korzystaniem z jakiejś usługi lub aplikacji), np. zakup lub wdrożenie nowego programu do zarządzania relacjami z klientami (CRM), wdrażanie nowego programu lojalnościowego, organizacja konkursu w mediach społecznościowych, wdrożenie ankiet badających poziom satysfakcji klientów, tworzenie formularza kontaktowego. Wymieniliśmy tu przykładowe projekty / przedsięwzięcia, w toku projektowania których każdy podmiot na rynku ma prawny obowiązek stosowania wymogów privacy by design.
Zasada prywatności w fazie projektowania w praktyce
Kluczowe aspekty realizacji zasady privacy by design to:
- odpowiednie środki techniczne – wdrożenie odpowiednich (efektywnych i uwzględniających obecny stan wiedzy, np. na temat zagrożeń systemów IT) środków technicznych i organizacyjnych, zapewniających bezpieczeństwo w czasie samego przetwarzania danych osobowych, wprowadzenie rozwiązań, które będą chronić prawa osób, których dane dotyczą,
- informowanie w zrozumiały sposób podmiotów danych o zasadach przetwarzania ich danych osobowych (aktualne i zgodne ze stanem prawnym klauzule informacyjne),
- tworzenie właściwych mechanizmów udzielania zgód, wykluczających tzw. dark patterns.
Wdrożenie wskazanych wyżej instrumentów jest możliwe po przeprowadzeniu analizy ryzyka, już na etapie projektowania procesu. To na tym etapie organizacja powinna upewnić się w szczególności, że nie będzie przetwarzała w nowym lub zmienionym procesie zbędnych (nadmiarowych) danych osobowych, że będzie dysponowała odpowiednią podstawą przetwarzania danych, że będą przestrzegane ustalone na tym etapie okresy retencji danych, a osoby, których dane będą przetwarzane, będą o tym na właściwym etapie, w sposób zrozumiały informowane.
Wyłącznie kolejny wymóg dla administratora danych czy także korzyść dla organizacji? Co zyskasz stosując zasadę privacy by design?
Uwzględnienie zasady privacy by design ma szereg zalet. Przede wszystkim organizacja ma dobrze zaplanowany proces przetwarzania danych osobowych, którym jest w stanie efektywnie zarządzać. Administrator danych jest także w stanie wykazać, że w sposób efektywny chroni prawa i wolności osób fizycznych, których dane przetwarza. Wdrożenie privacy by design od samego początku procesu pozwoli organizacji zaoszczędzić czas i pieniądze. Przeprojektowanie procesu, który został zaplanowany z pominięciem tej zasady, będzie kosztowne i trudne.
Koncepcja privacy by design – podstawowe założenia
27 października 2010 r. podczas 32. Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności w Jerozolimie przyjęto rezolucję w której wskazano podstawowe zasady privacy by design (jej tekst jest dostępny na stronie: http://www.giodo.gov.pl/pl/1520084/3830):
- podejście proaktywne, zamiast podejście reaktywnego, zaradczego i naprawczego;
- prywatność jako ustawienie domyślne;
- prywatność włączona w projekt;
- pełna funkcjonalność: suma dodatnia, a nie zerowa;
- ochrona od początku do końca cyklu życia informacji;
- widoczność i przejrzystość;
- poszanowanie dla prywatności użytkowników.
Wyżej wymienione zasady co prawda nie zostały wprost zaimplementowane w RODO, należy jednak przyjąć, że ich uwzględnienie z pewnością pozwoli skuteczniej stosować zasadę privacy by design.
Czy wystarczy zaplanować, wdrożyć i zapomnieć?
Nie! Podejście oparte na ryzyku to proces ciągły, który wymaga nieustannego działania. Jak wskazaliśmy wyżej, zasadę privacy by design uzupełnia druga, komplementarna zasada – privacy by default, która wymaga zapewniania ochrony danych osobowych na wszystkich etapach cyklu życia danych osobowych, tj. od momentu ich zebrania do usunięcia, niezależnie od ilości zbieranych danych osobowych.
Jak wdrożyć privacy by design w organizacji?
Kluczowe jest działanie w zgodzie z zasadą: najpierw myśl, potem działaj. Dobry plan jest podstawą sukcesu. Dostrzeżenie konieczności uwzględnienia ochrony danych osobowych w fazie projektowania nowego procesu jest niezwykle istotne, ponieważ na tym etapie możemy jeszcze dokładnie wszystko zaplanować. Pomocne będzie włączenie w projektowanie nowego procesu inspektora ochrony danych, o ile taki został w danej organizacji wyznaczony, lub doświadczonego prawnika, specjalisty z zakresu ochrony danych osobowych, a także osób z wiedzą z zakresu cyberbezpieczeństwa. Pomogą oni zwrócić uwagę na aspekty, które mogą na pierwszy rzut oka wydać się nieoczywiste. To bardzo ważne, aby w fazie projektowania nie pominąć żadnego istotnego aspektu, ponieważ dostrzeżenie go na późniejszym etapie może być bardzo problematyczne i generować niepotrzebne koszty (np. kosztowne zmiany w tworzonym programie komputerowym).
Nie wiesz, czy Twoja firma spełnia wszystkie obowiązki w zakresie ochrony danych osobowych? Szukasz wsparcia w obszarze bezpieczeństwa informacji w swojej organizacji? Skontaktuj się z nami przed rozpoczęciem przetwarzania danych. Pomożemy Ci wypracować bezpieczne i zgodne z aktualnym stanem prawnym mechanizmy ochrony danych osobowych. W zależności od Twoich potrzeb oferujemy dokonanie oceny aktualnych rozwiązań, wdrożenie środków i procedur RODO na każdym etapie tworzenia rozwiązań i procesów biznesowych, a także ocenę skutków ewentalnych naruszeń w ochronie danych.
Konsekwencje – co grozi za niewdrożenie zasady privacy by default?
Za naruszenie zasady privacy by design, RODO przewiduje administracyjną karę pieniężną w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Nie warto więc zwlekać, tym bardziej, że jak wskazaliśmy powyżej, wdrożenie zasady privacy by design niesie dla organizacji szereg innych korzyści, aniżeli wyłącznie zapewnienie zgodności z przepisami RODO.
Czytaj także:
- Rekordowa kara za naruszenie RODO
- Profil marketingowy, dane osobowe
- Kary za naruszenia przepisów RODO
- Wytyczne dotyczące technologii rozpoznawania twarzy
- Autorskie koszty uzyskania przychodu
- Innowacje w biznesie – definicje, typy, przykłady
- Weryfikacja kontrahentów – obowiązki na gruncie RODO
- Szyfrowanie dokumentów – o czym warto pamiętać?
Skontaktuj się