„Privacy by design- nowa zasada planowania przetwarzania”

22 stycznia 2018 |

Obowiązywanie nowych przepisów zbliża się nieuchronnie. Jedną z podstawowych zmian z perspektywy administratorów jest wprowadzenie zasady privacy by design. To nieznane w polskim porządku prawnym podejście do tematyki ochrony danych osób fizycznych. W dzisiejszym artykule wyjaśnię o co tak właściwie chodzi z planowaniem przetwarzania danych. Czy oznacza to wróżenie z fusów, czy ma to na celu tylko wzbudzanie strachu przed karami czy raczej ma zwiększyć poczucie świadomości w administratorach?

 

Definicja – art. 25 RODO

 

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator- zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania- wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowanie w  celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób których dane dotyczą. ”

Skomplikowane? Rozłóżmy to zdanie na części pierwsze 🙂

 

Co oznacza zasada privacy by design?

 

Privacy by design oznacza obowiązek administratorów danych zapewnienia, na etapie projektowania systemu (procedur, dokumentacji oraz sprzętu) do przetwarzania danych osobowych jak i na etapie samego procesu przetwarzania, by wprowadzono do niego odpowiednie środki techniczne i organizacyjne – w odniesieniu do aktualnego stanu techniki, danych osobowych jakie będą przetwarzane oraz z uwzględnieniem wiążącego się z tym ryzykiem.

Administrator będzie musiał mieć na uwadze ochronę danych już w momencie planowania procesu zbierania i przetwarzania danych osobowych. Zasada ta oznacza przewidywanie i przeciwdziałanie możliwym problemom w zakresie ochrony danych na etapie przygotowawczym. Co istotne spełnienie tych wymogów będzie musiało być udokumentowane.

 

Zasada aktywnego podejścia

 

Privacy by design to krótko mówiąc podejście proaktywne. Nowe przepisy nie wskazują, tak jak to robi dotychczasowa ustawa o ochronie danych osobowych, jakie dokumenty i jakie procedury należy „odhaczyć” aby uznać, że przetwarza się prawidłowo i by móc spać spokojnie.  Dziś większość administratorów danych przygotowuje polityki bezpieczeństwa, zgłasza zbiory – i na tym ich aktywność w ochronie danych osobowych się kończy.

Nowa zasada wprowadzona przez RODO to odejście od założenia, w którym wdraża się jedynie dokumentację i spełnienia wymogi formalne, na rzecz obowiązku aktywnego działania w celu ochrony posiadanych danych osobowych. Privacy by design idzie dalej niż dotychczasowa regulacja, bo nie chodzi wyłącznie o fazę faktycznego przetwarzania danych ale także o planowanie procesu i doboru odpowiednich środków technicznych zanim zacznie się „cykl” przetwarzania.  

 

W fazie projektowania trzeba będzie uwzględniać przykładowo:

 

  • stan wiedzy technicznej

  • koszty wdrożenia procedur

  • charakter, zakres, kontekst i cel przetwarzania

  • zbadać i zanalizować ryzyka

  • zdefiniować procesy przetwarzania

 

– by w oparciu o analizę, przygotować adekwatne środki i wdrożyć odpowiednie (w ocenie administratora) procedury. Jakie? W RODO, w przeciwieństwie do dotychczasowych przepisów, nie jest nic „podane na tacy”. To administrator danych najlepiej zna cel przetwarzania i zakres zbieranych danych. Dlatego to on musi wykazać się aktywnością i podjąć trud oceny, by dobrać odpowiednie środki i mechanizmy, w świecie zmieniających się wciąż technologii. Analiza ryzyka i procedur w tej fazie ma przede wszystkim zniwelować ryzyko zagrożeń, które wpisane jest  w przetwarzanie danych osobowych. Administratorzy muszą więc zmienić swoje podejście do danych osobowych, by „profilaktyka”, zapobieganie a nie ratowanie sytuacji stało się standardem i nie było tylko marzeniem.  Odpowiedzialność idzie przecież w parze ze świadomością.

 

W praktyce sprowadzać się to ma do prywatności i ochrony danych wbudowanej w każdy projekt jaki przedsiębiorca ma zamiar realizować (w jego konstrukcję począwszy od fazy planowania). Chociażby przykładowo poprzez wbudowanie ochrony prywatności w system informatyczny oraz procesy biznesowe które on obsługuje.

 

Jak to wykonać od strony technicznej?

 

Nie ma jednej recepty na realizację zasady privacy by design.  Trzeba jednak mieć na uwadze 4 założenia:

  1. minimalizacja  – ilość zbieranych danych jest ograniczona do niezbędnego minimum;

  2. ukrywanie – dane i zależności między nimi nie są widoczne dla osób mających do nich dostęp (dodatkowe działanie w celu dostępu do danych)

  3. separowanie – przetwarzanie danych rozdzielonych, rozproszonych w poszczególnych zbiorach

  4. agregowanie – dane przetwarzane w możliwie najwyższym stopniu agregowania

 

Zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu  (zebranie w konkretnym i prawnie uzasadnionym celu), minimalizacja danych, ograniczenie przechowywania- tylko przez okres niezbędny do celu, integralność i poufność (odpowiednie bezpieczeństwo danych, w tym przed niedozwolonym, niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem) to tylko część z wachlarza nowych zadań jakie stoją przed administratorem danych osobowych.

 

Nie tylko w fazie projektowania

Skoro zaplanowałem/zaplanowałam i mogę spocząć na laurach? Otóż nie ! 🙂 W fazie przetwarzania administrator musi aktywne reagować na proces, ryzyko i zmiany techniczne. Może to osiągnąć poprzez regularne testy i oceny systemów oraz procesów.

 

7 zasad by Ann Cavoukian

 

Rzecznik ds. informacji i prywatności prowincji Ontario w Kanadzie, Ann Cacoukian, po raz pierwszy użyła koncepcji pojęć privacy by design i privacy by default tworząc listę 7 zasad, które przedstawiamy poniżej:

 

  1. Proaktywność i prewencja – co w prostych słowach oznacza „nie czekaj na naruszenie lecz działaj !”. Administrator musi bowiem zapobiegać naruszeniom, poprzez wdrażanie standardów i procedur, co w konsekwencji eliminuje zagrożenie już na tapie fazy planowania.

  2. Integralny element projektowania – przykładowo w fazie projektowania systemu informatyczngo trzeba uwzględnić element ochrony prywatności- wybrać bowiem należy system zapewniający odporność na ataki, włamania i nieautoryzowane próby dostępu

  3. Privacy by default czyli ochrona prywatności i bezpieczeństwa jako właściwości (ustawienia) domyślne. Zatem konfiguracja systmu musi zapewniać od momntu jego uruchomienia odpowiedni poziom ochrony – co osiągnąć można poprzez ustawienia domyślne. Użytkownik (osoba fizyczna) nie powinien podejmować działań po to by jego prywatność była chroniona, gdyż ustawienia fabryczne mają mu to zapewnić.

  4. Pełna funkcjonalność – oznacza harmonię między wartością użytkową systemu a ochroną danych. Konstrukcja systemu wypełniając potrzeby ochrony danych osobowych nie powinna wpływać negatywnie na łatwość w jego użyciu. Przykładowo baza danych powinna sama deklarować okres przechowywania danych i monitorować kiedy ten czas mija, by wspierać użytkownika.

  5. Bezpieczeństwo na każdym etapie „życia” informacji.

  6. Przejrzystość i rozliczalność, bowiem administrator odpowiada za przetwarzanie, więc w jego interesie jest pełne dokumentowanie procesu. Operacje przetwarzania powinny być zatem w systemie zdefiniowane i łatwe do sprawdzenia np. system umożliwia weryfikację kto i kiedy wprowadził dane do systemu bądź je modyfikował.

  7. Poszanowanie dla prywatności użytkownika.

 

Do tej pory zasada privacy by design była dobrą praktyką przedsiębiorstw. Nowe prawo wprowadza jednak obowiązek, którego realizacja nie będzie już wynikiem wewnętrznej potrzeby administratora lecz będzie wprost wynikała z przepisu prawa. Nie należy lekceważyć nowej zasady – uchylanie się od privacy by design usankcjonowane zostało w RODO karą:

  • do 10 000 000 Euro

  • w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Tak więc opłaca się i należy zmienić podejście do ochrony danych osobowych na każdym etapie przetwarzania 🙂

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 

 

 

 

 

 

 

 

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ