Zasady privacy by default i privacy by design – do czego zobowiązują?

Wśród wielu zmian, jakie w dziedzinie ochrony danych osobowych wprowadziło słynne RODO (rozporządzenie UE o ochronie danych osobowych), znalazły się zasady privacy by designi privacy by default. Ich obowiązywanie ma na celu uwzględnianie odpowiedniej ochrony danych zarówno na etapie projektowania nowych rozwiązań, jak i ich stosowania.

Wynikają z tego znaczące konsekwencje praktyczne, zatem mając do czynienia z danymi osobowymi, musisz znać obie wymienione zasady i zawsze mieć je na uwadze.

Artykuł przybliży Ci następujące kwestie:

  1. znaczenie zasad privacy by designi privacy by default;
  2. udział w pracach projektowych i przeprowadzanie konsultacji;
  3. przeprowadzanie analizy ryzyka i oceny skutków przetwarzania danych;
  4. uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych (PUODO);
  5. czynności podejmowane po wdrożeniu projektowanego rozwiązania.

Co oznacza zasada privacy by design

Zasada privacy by design(ochrona danych osobowych w fazie projektowania)to zasada, zgodnie z którą już na etapie projektowania urządzenia, aplikacji, oprogramowania, strony internetowej czy też usługi, należy wziąć pod uwagę konieczność zapewnienia ochrony danych osobowych. Oznacza to, że jako administrator danych osobowych, powinieneś tak zaplanować projekt, aby ochrona danych osobowych stanowiła jego istotny aspekt. Pomóc Ci przy tym mogą następujące wskazówki:

  1. bądź proaktywny, a nie reaktywny – nie zadowalaj się obowiązkowym minimum, lecz dąż do włączenia w projekt najlepszych dostępnych rozwiązań;
  2. nastaw się na zapobieganie naruszeniom ochrony danych osobowych, a nie zwalczanie ich skutków;
  3. zastosuj ochronę prywatności jako ustawienie domyślne;
  4. dąż do osiągnięcia korzyści zarówno przez Ciebie, jaki i użytkownika;
  5. zapewnij ochronę od początku do końca cyklu życia informacji;
  6. spraw, by finalne rozwiązanie lub produkt cechowały się przejrzystością i dobrą widocznością kluczowych informacji;
  7. szanuj prywatność użytkowników.

Co oznacza zasada privacy by default

Zasadę privacy by default(domyślna ochrona danych osobowych)posiada dwa aspekty:

  1. domyślnie powinny być przetwarzane tylko dane osobowe niezbędne do osiągnięcia celu przetwarzania;
  2. domyślnie dane osobowe nie mogą być udostępnianie nieograniczonej liczbie osób — podmiot danych powinien samodzielnie podejmować decyzję o udostępnieniu większej ilości danych osobowych szerszemu gronu osób, decydując się na ograniczenie swojej prywatności lub jej wyłączenie.

Pierwszy aspekt oznacza, że powinieneś przetwarzać jedynie takie dane osobowe, których naprawdę potrzebujesz. Przykładowo, do dostarczenia klientowi zakupionego online produktu nie potrzebujesz jedynie jego imienia i nazwiska, adresu zamieszkania i danych kontaktowych (e-mail albo numer telefonu). Zupełnie zbędne jest w tym przypadku żądanie np. numeru PESEL, czy daty urodzenia.

Drugi aspekt ma szczególne znaczenie w odniesieniu do usług oferowanych przez portale społecznościowe. O ile przy rejestracji mogą one pobierać różnorodne dane, o tyle dane te nie mogą być widoczne dla innych osób w sposób domyślny. Użytkownik, chcąc by jego dane osobowe (np. wizerunek, data urodzenia) zostały udostępnione, musi podjąć w tym kierunku aktywne działania, mające najczęściej postać zmiany ustawień prywatności.

Pamiętaj, że zasada privacy by defaultnie nakazuje Ci blokować udostępniania danych osobowych przez użytkowników – jeżeli tylko zechcą, mogą ujawnić wszystkie, łącznie z poglądami politycznymi i stanem zdrowia. Twoim zadaniem jest jedynie zapewnić, że udostępnienie będzie wynikiem aktywnego działania użytkownika, podejmowanego z pełną świadomością jego konsekwencji (np. po przeczytaniu stosownego ostrzeżenia).

Projektowanie systemów i konsultacje

Odpowiednich rozwiązań w dziedzinie ochrony danych osobowych najczęściej nie będziesz projektował sam, lecz zlecisz to profesjonalnemu podmiotowi. W takim przypadku upewnij się, że Twój kontrahent przestrzega przepisów z zakresu ochrony danych osobowychi posiada możliwość stworzenia projektu z ich uwzględnieniem (przed zawarciem umowy warto uzyskać też odpowiednią gwarancję).

Dobrym rozwiązaniem będzie też udział Twój lub wyznaczonej przez Ciebie osoby w pracach projektowych – dzięki temu zrozumiesz działanie tworzonych rozwiązań, a także będziesz mógł zgłaszać swoje uwagi. Jeżeli wyznaczyłeś w swoim przedsiębiorstwie Inspektora Ochrony Danych, powinieneś zapewnić udział w pracach także jemu.

Aby projektowane rozwiązanie spełniało swoją rolę, musi łączyć ochronę danych osobowych na wysokim poziomie z funkcjonalnością i atrakcyjnością rynkową. Pomocne w ustaleniu, czy i jak te wymogi da się ze sobą pogodzić, mogą okazać się konsultacje wśród pracowników zajmujących się ochroną danych oraz potencjalnych klientów. Wielość punktów widzenia pozwoli zidentyfikować potencjalne zagrożenia i ustalić, jakie elementy powinno zawierać projektowane rozwiązanie, aby było atrakcyjne dla użytkowników. Wyniki konsultacji powinieneś odpowiednio udokumentować, by w razie potrzeby łatwo do nich wrócić.

Analiza ryzyka i ocena skutków

Ważnym elementem stosowania zasady privacy by design, jest analiza ryzyka naruszenia praw lub wolności osób fizycznychprzez dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii. Jeżeli takie ryzyko jest wysokie, obowiązkowo przeprowadza się ocenę skutków planowanego przetwarzania dla ochrony danych osobowych.

Pojęcie “wysokiego ryzyka” nie zostało w RODO zdefiniowane, lecz można je zrekonstruować w oparciu o przypadki, w których przeprowadzenie oceny skutków jest obligatoryjne (odnajdziesz je w art. 35 RODO). Upraszczając, wysokie ryzyko naruszenia występuje, gdy:

  1. w sposób zautomatyzowany dokonywana jest ocena czynników osobowych, która może być podstawą decyzji wywołujących skutki prawne (np. ocena trybu życia, stanu zdrowia przez firmy ubezpieczeniowe w celu stworzenia oferty);
  2. przetwarzane są dane wrażliwe (np. dotyczące poglądów politycznych);
  3. jest prowadzony na dużą skalę monitoring miejsc publicznych.

RODO wymaga, by krajowe organy ochrony danych osobowych (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych – PUODO) ogłaszały wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych osobowych. Jeżeli PUODO zachowa ustawowy termin dokonania tej czynności, wykaz dla naszego kraju powinien pojawić się przed końcem sierpnia bieżącego roku. Jego przypuszczalną treść (z wieloma praktycznymi przykładami) zawiera dokument roboczy powstały w wyniku konsultacji społecznych (możesz się z nim zapoznać pod tym adresem: https://giodo.gov.pl/pl/1520281/10430).

Co ciekawe, RODO przewiduje także możliwość ogłoszenia wykazu operacji przetwarzania, które NIE wymagają przeprowadzenia oceny skutków – nie jest to jednak obowiązkowe, zatem nie wiadomo, czy PUODO skorzysta z tej możliwości.

Jeżeli będziesz przeprowadzał ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych, musisz zawrzeć w niej następujące elementy:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Analiza ryzyka i uprzednie konsultacje z PUODO

Jeżeli przeprowadzona ocena skutków wykaże istnienie wysokiego ryzyka naruszenia, a jego minimalizacja jest niemożliwa lub bardzo utrudniona (przy wzięciu pod uwagę dostępnych technologii i kosztów wdrożenia), masz obowiązek odbycia konsultacji z PUODO przed rozpoczęciem przetwarzania danych. Ma to z jednej strony pomóc w znalezieniu odpowiedniego rozwiązania, z drugiej zaś dowieść czystości Twoich intencji.

Przystępując do konsultacji, musisz przedstawić PUODO następujące informacje:

  1. gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
  2. cele i sposoby zamierzonego przetwarzania;
  3. środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą;
  4. gdy ma to zastosowanie – dane kontaktowe Inspektora Ochrony Danych;
  5. ocenę skutków dla ochrony danych;
  6. wszelkie inne informacje, których zażąda PUODO.

Od wpłynięcia wniosku o konsultacje, PUODO ma osiem tygodni na reakcję (okres ten może przedłużyć o dalsze sześć tygodni w przypadku skomplikowanej sprawy). W tym terminie powinieneś otrzymać pisemne zalecenia, ale RODO umożliwia organowi skorzystanie także z pełnej gamy swoich uprawnień, wśród których znajdują się nakazy, zakazy i kary.

Tych ostatnich nie powinieneś się jednak obawiać, gdyż wątpliwe byłoby stosowanie sankcji za coś, co jeszcze nie nastąpiło. Najpoważniejszą możliwą reakcją PUODO mogłoby być zakazanie Ci stosowania projektowanego rozwiązania.

Zasady wdrożone. Co dalej?

Gdy zaprojektowane rozwiązanie zostanie już wdrożone, musisz upewnić się, czy działa ono w sposób prawidłowy, zgodnie z założeniami oraz czy uwzględnia wszystkie elementy ochrony danych osobowych, które zostały zidentyfikowane w trakcie projektowania.

Weryfikacji musisz poddać także domyślną ochronę danych (czy nie są one udostępniane bez ingerencji użytkownika oraz czy nie pobiera się zbędnych danych). Jeżeli testy te przebiegną pomyślnie, Twoje dalsze działania powinny skupić się na bieżącej kontroli funkcjonowania rozwiązania i dokonywaniu w razie potrzeby niezbędnych modyfikacji (np. związanych ze zmianami prawa lub postępem technicznym).

W opisywaną kontrolęwarto zaangażować także użytkownikówpoprzez umożliwienie im wyrażania własnych opinii, a w szczególności zgłoszenia zastrzeżeń co do sposobu przetwarzania danych osobowych.

Podsumowanie

Znaczenie zasad privacy by designi privacy by defaultdla ochrony danych osobowych można porównać do znaczenia przepisów przeciwpożarowych dla architekta. Chociaż uwzględnianie ich podczas tworzenia projektu komplikuje go i generuje dodatkowe koszty, z finalnego rozwiązania będziesz mógł korzystać bez duszy na ramieniu.

Ponadto zadowoleni będą także Twoi klienci – wiedząc, że nie wyłudzasz od nich niepotrzebnych danych, a także prawidłowo je zabezpieczasz, z pewnością będą chętniej korzystali z Twoich usług. Ochrona danych osobowych stała się obecnie jednym z najważniejszych kryteriów oceny profesjonalizmu przedsiębiorcy, dlatego nie warto jej ignorować, a tym bardziej na niej oszczędzać.

Autorzy: Arkadiusz Szczudło, Konrad Cichoń

Arkadiusz Szczudło

Autor: Arkadiusz Szczudło

Opiekun bloga FutureTech.legal. Prawnik w Kancelarii Snażyk Korol Mordaka sp.k. Specjalizuje się w prawie własności intelektualnej, nowych technologii, reklamy i mediów oraz ochronie marki i zwalczaniu nieuczciwej konkurencji.