Privacy by default, czyli prywatność jako ustawienie domyślne
W poprzednim Newsletterze TLhub zaprezentowaliśmy Państwu najważniejsze aspekty zasady privacy by design, a więc konieczności uwzględnienia aspektu ochrony danych osobowych w fazie projektowania jakiegokolwiek procesu, usługi czy narzędzia, w którym będą przetwarzane dane osobowe. Z zasadą privacy by design nieodłącznie powiązana jest zasada privacy by default (co wynika wprost z art. 25 RODO), która nakazuje, aby w każdym procesie, usłudze lub narzędziu ochrona danych osobowych była ustawieniem domyślnym.
Privacy by default w organizacji
Podmioty gospodarcze prowadzą różne procesy – wewnętrzne, zewnętrzne, organizacyjne czy biznesowe. Istotnym aktywem tych procesów są dane, w tym dane osobowe. Realizując procesy, zarządza się również danymi, zaś zarządzanie danymi wpływa na sposób realizacji procesów.
Zasada prywatności odnosi się do domyślnego sposobu realizacji tych procesów i dotyka wielu płaszczyzn funkcjonowania przedsiębiorstwa: systemów IT, fizycznej organizacji biura lub innej lokalizacji, w której przetwarzane są dane, zarządzania dostępami i uprawnieniami w systemach IT, ale również do dokumentacji papierowej, a nawet dostępami fizycznymi do pewnych obszarów przedsiębiorstwa.
Główną ideą privacy by default jest stosowanie jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu. Dzięki temu można chronić prawa osób fizycznych, ale także realizować konieczne procedury bez konieczności jakiejkolwiek aktywności osób, których dane są gromadzone.
Zakres danych adekwatny do celu już w fazie projektowania
Koncepcja privacy by default wskazuje, że domyślnie przetwarzane mogą być tylko te dane osobowe, które są niezbędne do osiągnięcia celu tego procesu. Przykładowo:
- Do utworzenia konta użytkownika w serwisie opinii zazwyczaj nie ma potrzeby uzyskania od użytkownika numeru PESEL.
- Od kandydatów do pracy nie wolno wymagać dołączenia zdjęcia do CV, ponieważ nie znajduje to podstawy w przepisach kodeksu pracy.
- Zbieranie danych dotyczących serii i numeru dowodu tożsamości w przypadku umawiania wizyty do lekarza za pośrednictwem platformy internetowej również nie jest niezbędne.
Zgodnie z art. 25 ust. 2 Rozporządzenia RODO administrator ma obowiązek wdrożenia takich środków technicznych i organizacyjnych, które są konieczne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to nie tylko ilości zbieranych danych osobowych, ale także zakresu ich przetwarzania, okresu przechowywania oraz dostępności.
Kluczowe kwestie z zakresu ochrony danych osobowych – ocena skutków działań
Uwzględnienie ochrony danych w fazie projektowania wymaga stosowania się do art. 35 Rozporządzenia RODO, które nakazuje dokonanie oceny skutków planowanych operacji. Dotyczy to w szczególności procesów realizowanych z użyciem nowych technologii (zobacz więcej na Prawo nowych technologii), które niosą za sobą wysokie ryzyko naruszenia praw oraz wolności osób fizycznych.
Głównymi zadaniami, które wynikają z zasady privacy by design, są:
- dokonanie oceny;
- wdrożenie środków;
- stały nadzór.
Ocena skutków jest dokonywana z uwzględnieniem stanu wiedzy technicznej, kosztów implementacji, a także charakteru, zakresu i celów przetwarzania danych osobowych. Administrator danych wdraża odpowiednie środki techniczne przy określaniu sposobów przetwarzania danych oraz w czasie samego przetwarzania. Należą do nich m.in. wspomniana już minimalizacja danych, czyli rezygnacja z użycia dodatkowych informacji i ograniczenie się tylko do tych, które są niezbędne do realizacji określonych celów.
Rozporządzenie RODO nakłada również na administratora obowiązek wykonywania przeglądów w celu sprawdzenia, czy nie dochodzi do żadnych uchybień w przetwarzaniu danych osobowych, a cała procedura odbywa się zgodnie z oceną skutków dla ochrony danych i prywatności. Jeżeli przetwarzanie niesie za sobą zbyt wysokie ryzyko, to należy koniecznie skonsultować się z organem nadzorczym.
Zakres ochrony danych osobowych – niech użytkownik sam zdecyduje, jakie dane chce upublicznić
W przypadku udostępniania przez administratora funkcjonalności konta w ramach portalu internetowego warto zwrócić uwagę na to, czy domyślnie dane osobowe nie są udostępniane nieokreślonej liczbie osób fizycznych – pozostałych użytkowników serwisu lub dla użytkowników Internetu w ogóle. Łatwo wyobrazić sobie sytuację, w której po odwiedzeniu profilu takiego użytkownika możemy zobaczyć różne informacje na jego temat. Przykładowo, mogą to być imię i nazwisko, zainteresowania, historia aktywności w portalu itd. Te dane dotyczą obszarów prywatnych i powinny być domyślnie ukryte. To użytkownik ma samodzielnie zdecydować, czy chce, aby były one publicznie widoczne. Nie chodzi tu więc o umożliwienie użytkownikowi „ukrycia” takich danych, ale o to, aby były one od samego początku ukryte, użytkownik zaś ma mieć możliwość ich upublicznienia. Jak obserwujemy, na wielu portalach takie dane często są domyślnie widoczne.
Granulacja uprawnień – dobra praktyka ochrony danych osobowych i nie tylko
W większych organizacjach zazwyczaj każdy członek zespołu ma swoją rolę i przypisane zadania, „nie zajmuje się wszystkim”. Należy to wziąć pod uwagę i przypisując dostępy w ramach różnych systemów informatycznych, ograniczyć dostęp pracownikom wyłącznie do takich danych, do których dostęp jest im niezbędnie konieczny. Oznacza to, że pracownik musi mieć dostęp do tych danych, bez których nie jest w stanie pracować. Domyślna prywatność danych nie może blokować możliwości wykonania pracy albo korzystania z udostępnionego narzędzia. Odpowiednio zaprojektowane zasady przetwarzania danych osobowych gwarantują realną ochronę prywatności, nie paraliżując całego procesu. To szczególnie ważne w przypadku przedsiębiorstwa działającego na dużą skalę i realizującego wiele procesów biznesowych. Przykładowo:
- Dział programistów zazwyczaj nie potrzebuje wglądu do danych osobowych dostępnych dla działu księgowego.
- Dział prawny zazwyczaj nie potrzebuje danych dostępnych dla działu kadr.
Zasada privacy by design – czy warto?
Projektowanie procesu w taki sposób, żeby był on efektywny i zgodny z zasadą privacy by default jest zadaniem wymagającym, ale nie niemożliwym. Z całą pewnością kontrola nad obiegiem danych osobowych w przedsiębiorstwie pomaga w dobrym projektowaniu procesów z poszanowaniem zasad ochrony danych. Dlatego pierwszym krokiem do skutecznego stosowania domyślnej ochrony prywatności jest porządek w rejestrze czynności przetwarzania oraz skuteczne wprowadzenie odpowiednich zasad (polityk) podczas pracy z danymi osobowymi.
Domyślna ochrona danych pozwoli nam zapewnić zgodność z przepisami RODO. Warto pamiętać, że za nieprzestrzeganie tychże przepisów organ nadzorczy może nałożyć karę administracyjną w wysokości nawet 2% globalnego obrotu przedsiębiorstwa. Ochrona danych z pewnością ucieszy również osoby, których dane dotyczą – pokazujemy im w ten sposób, że podchodzimy poważnie do ochrony ich danych osobowych. Nie warto więc zwlekać.
Zobacz także:
Skontaktuj się