Privacy by design to zasada, zgodnie z którą administrator powinien uwzględnić aspekt ochrony danych osobowych już w fazie projektowania jakiegokolwiek procesu, usługi, narzędzia, w którym będą przetwarzane dane osobowe. Wymóg uwzględnienia tej zasady nakłada na administratorów RODO.

 

Choć zasada (a właściwie podejście/sposób realizacji projektów) privacy by design (prywatność w fazie projektowania) znana i stosowana jest już od lat w branży IT, to została szerzej rozpowszechniona za sprawą wejścia w życie RODO, które nałożyło na administratorów danych (wszystkich bez wyjątku!) obowiązek jej stosowania. Innymi słowy, dzisiaj każdy podmiot działający na rynku, niezależnie od wielkości, czy branży, w jakiej działa, musi obowiązkowo stosować wymogi zasady privacy by design. Stosowanie tej zasady nie powinno być jedynie przykrym obowiązkiem, ponieważ może ona przynieść organizacji szereg korzyści.

 

Wymóg nie tylko dla administratorów

 

Choć art. 25 RODO, który wprowadza zasadę privacy by design, nie jest adresowany do podmiotów przetwarzających, np. dostawców usług chmurowych czy aplikacji, to jednak także takie podmioty powinny w pełni stosować się do wymogów tej zasady. Tylko bowiem w ten sposób, np. tworząc i dostarczając oprogramowanie, które spełnia wymogi privacy by design, są w stanie zagwarantować swoim klientom (mającym z reguły status administratorów danych), że korzystanie z dostarczanego oprogramowania jest zgodne z prawem i nie narusza praw i wolności podmiotów danych. Dodatkowo, motyw 78 RODO wyraźnie stanowi, że zasadę privacy by design należy brać pod uwagę w przetargach publicznych. Jak widać, stosowanie tej zasady powinno być powszechne.

 

O co właściwie chodzi?

 

Stosownie do zasady privacy by design – już na etapie planowania nowego przedsięwzięcia – usługi lub procesu, należy wziąć pod uwagę aspekt ochrony danych osobowych.

 

Na marginesie, wspomnijmy, że RODO nakazuje stosować wszystkim administratorom także inną, komplementarną zasadę – privacy by default, zgodnie z którą prywatność użytkowników powinna być chroniona domyślnie na każdym etapie projektu (zasadzie privacy by default poświęcimy odrębny artykuł).

 

Jak wspomnieliśmy wyżej, w przeszłości zasadę privacy by design stosowano głównie w procesie tworzenia nowych aplikacji, czy systemów informatycznych. Dziś jednak należy stosować jej wymogi, projektując lub zmieniając każdy istniejący proces biznesowy w organizacji, który wiąże się z przetwarzaniem danych osobowych (zazwyczaj będzie on wiązał się z korzystaniem z jakiejś usługi lub aplikacji), np. zakup lub wdrożenie nowego programu do zarządzania relacjami z klientami (CRM), wdrażanie nowego programu lojalnościowego, organizacja konkursu w mediach społecznościowych, wdrożenie ankiet badających poziom satysfakcji klientów, tworzenie formularza kontaktowego. Wymieniliśmy tu przykładowe projekty / przedsięwzięcia, w toku projektowania których każdy podmiot na rynku ma prawny obowiązek stosowania wymogów privacy by design.

 

Kluczowe aspekty realizacji zasady privacy by design to:

  • wdrożenie odpowiednich (efektywnych i uwzględniających obecny stan wiedzy, np. na temat zagrożeń systemów IT) środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych,
  • informowanie w zrozumiały sposób podmiotów danych o zasadach przetwarzania ich danych osobowych,
  • tworzenie właściwych mechanizmów udzielania zgód, wykluczających tzw. dark patterns.

Wdrożenie wskazanych wyżej instrumentów jest możliwe po przeprowadzeniu analizy ryzyka, już na etapie projektowania procesu. To na tym etapie organizacja powinna upewnić się w szczególności, że nie będzie przetwarzała w nowym lub zmienionym procesie zbędnych (nadmiarowych) danych osobowych, że będzie dysponowała odpowiednią podstawą przetwarzania danych, że będą przestrzegane ustalone na tym etapie okresy retencji danych, a osoby, których dane będą przetwarzane, będą o tym na właściwym etapie, w sposób zrozumiały informowane.

 

Wyłącznie kolejny wymóg RODO czy także korzyść dla organizacji?

 

Uwzględnienie zasady privacy by design ma szereg zalet. Przede wszystkim organizacja ma dobrze zaplanowany proces przetwarzania danych osobowych, którym jest w stanie efektywnie zarządzać. Administrator jest także w stanie wykazać, że w sposób efektywny chroni prawa i wolności osób, których dane przetwarza. Wdrożenie privacy by design od samego początku procesu pozwoli organizacji zaoszczędzić czas i pieniądze. Przeprojektowanie procesu, który został zaplanowany z pominięciem tej zasady, będzie kosztowne i trudne.

 

Zasady privacy by design

 

27 października 2010 r. podczas 32. Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności w Jerozolimie przyjęto rezolucję w której wskazano podstawowe zasady privacy by design (jej tekst jest dostępny na stronie: http://www.giodo.gov.pl/pl/1520084/3830):

  1. podejście proaktywne, zamiast podejście reaktywnego, zaradczego i naprawczego;
  2. prywatność jako ustawienie domyślne;
  3. prywatność włączona w projekt;
  4. pełna funkcjonalność: suma dodatnia, a nie zerowa;
  5. ochrona od początku do końca cyklu życia informacji;
  6. widoczność i przejrzystość;
  7. poszanowanie dla prywatności użytkowników.

 

Wyżej wymienione zasady co prawda nie zostały wprost zaimplementowane w RODO, należy jednak przyjąć, że ich uwzględnienie z pewnością pozwoli skuteczniej stosować zasadę privacy by design.

 

Czy wystarczy zaplanować, wdrożyć i zapomnieć?

 

Nie! Podejście oparte na ryzyku to proces ciągły, który wymaga nieustannego działania. Jak wskazaliśmy wyżej, zasadę privacy by design uzupełnia druga, komplementarna zasada – privacy by default, która wymaga zapewniania ochrony danych osobowych na wszystkich etapach cyklu życia danych osobowych, tj. od momentu ich zebrania do usunięcia.

 

Jak wdrożyć privacy by design w organizacji?

 

Kluczowe jest działanie w zgodzie z zasadą: najpierw myśl, potem działaj. Dobry plan jest podstawą sukcesu. Dostrzeżenie konieczności uwzględnienia ochrony danych osobowych w fazie projektowania nowego procesu jest niezwykle istotne, ponieważ na tym etapie możemy jeszcze dokładnie wszystko zaplanować. Pomocne będzie włączenie w projektowanie nowego procesu inspektora ochrony danych, o ile taki został w danej organizacji wyznaczony, lub doświadczonego prawnika, specjalisty z zakresu ochrony danych osobowych, a także osób z wiedzą z zakresu cyberbezpieczeństwa. Pomogą oni zwrócić uwagę na aspekty, które mogą na pierwszy rzut oka wydać się nieoczywiste. To bardzo ważne, aby w fazie projektowania nie pominąć żadnego istotnego aspektu, ponieważ dostrzeżenie go na późniejszym etapie może być bardzo problematyczne i generować niepotrzebne koszty (np. kosztowne zmiany w tworzonym programie komputerowym).

 

Konsekwencje 

 

Za naruszenie zasady privacy by design, RODO przewiduje administracyjną karę pieniężną w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Nie warto więc zwlekać, tym bardziej, że jak wskazaliśmy powyżej, wdrożenie zasady privacy by design niesie dla organizacji szereg innych korzyści, aniżeli wyłącznie zapewnienie zgodności z przepisami RODO.

Kontakt

Logo LinkedIn Logo LinkedIn

Krzysztof Jarosiński

Partner, radca prawny, audytor wiodący ISO 27001