Privacy by design i privacy by default w świetle najnowszych wytycznych EROD

Na 15. posiedzeniu Europejskiej Rady Ochrony Danych (EROD), przedstawiono do publicznych konsultacji projekt Wytycznych dotyczących ochrony danych zgodnie z zasadami ochrony danych w fazie projektowania oraz domyślnej ochrony danych (Privacy by design i Privacy by default). Obowiązek uwzględnienia wspomnianych zasad wynika bezpośrednio z art. 25 RODO i odnosi się on do wszystkich administratorów danych.

 

Privacy by design

Obowiązek ochrony danych w fazie projektowania obliguje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych oraz wprowadzenia niezbędnych zabezpieczeń w celu spełnienia wymogów wynikających z RODO oraz z konieczności ochrony praw osób, których dane dotyczą.

W wytycznych EROD odpowiednie środki techniczne i organizacyjne powinny być rozwiązaniami umożliwiającymi administratorowi efektywne osiąganie celu, jakim jest przetwarzanie zgodne z zasadami ochrony danych (art. 5 RODO) oraz respektowanie praw i wolności podmiotów danych (art. 12 – 22 oraz motyw 4 RODO,)  – jako przykład takich środków podano m. in. szkolenie personelu z zakresu ochrony danych oraz zaawansowane rozwiązania natury technicznej.

Niezbędne zabezpieczenia, których wdrożenie mają zapewnić owe środki techniczne i organizacyjne zgodnie z art. 25 ust. 1 RODO, mają za zadanie działać jak „druga linia obrony”, czyli zagwarantować, że prawa podmiotów danych będą chronione – jako przykład podano umożliwienie podmiotom danych wglądu w proces przetwarzania,  czy korzystanie z programów przypominających o upływającym czasie do usunięcia danych.

Duży nacisk w wytycznych położono na podkreślenie, że przyjęte sposoby postępowania z danymi osobowymi powinny charakteryzować się efektywnością, co oznacza, że administratorzy danych osobowych muszą umieć wykazać, że wdrożone przez nich środki i zabezpieczenia funkcjonują w organizacji oraz, że spełniają swoje funkcje. W związku z powyższym nie będzie wystarczającym samo wdrożenie odpowiedniej dokumentacji, jeśli spisane procedury nie będą w praktyce stosowane i administrator nie będzie w stanie wykazać ich skuteczności. Jako przykład, w jaki sposób można wykazać skuteczność wdrożonych rozwiązań, EROD wskazuje stosowanie wskaźników skuteczności działania (ang. Key Performance Indicators – KPI) opierających się na analizie ryzyka czy ograniczeniu czasu reakcji na żądania podmiotu danych.

Jakie czynniki należy wziąć pod uwagę w fazie projektowania?

W ramach opracowywania planu dotyczącego przetwarzania danych należy wziąć pod uwagę szereg czynników, których znaczenie zostało przybliżone w omawianym dokumencie – oprócz charakteru, zakresu, kontekstu i celu przetwarzania są to takie czynniki jak:

stan wiedzy technicznej i koszt wdrożenia

Ze względu na stale zmieniające się zagrożenia dla procesów przetwarzania danych osobowych, administrator musi brać pod uwagę konieczność aktualizowania środków zarówno technicznych jak i organizacyjnych. Z kolei przez koszt wdrożenia rozumiane są bezpośrednie wydatki pieniężne jak i zapewnienie zasobów ludzkich.

ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania

W ramach procedury Privacy by design administrator danych zobowiązany jest do oszacowania ryzyka naruszenia praw lub wolności podmiotów danych. W wytycznych wskazano, że konieczność indywidualnego przeanalizowania ryzyka nie uniemożliwia korzystania z wypracowanych standardów oraz narzędzi do analizy podobnych ryzyk, pod warunkiem skupienia się na faktycznie dokonywanych procesach przetwarzania.

Kiedy stosować Privacy by Design?

Przeprowadzenie oceny przetwarzania zgodnie z zasadą ochrony danych w fazie projektowania należy przeprowadzić w czasie „określania sposobów przetwarzania” danych takich jak ustalanie procedur, architektury systemów, layoutu użytkownika itd.  Jednak należy również pamiętać o obowiązku stosowania zasady  „w czasie samego przetwarzania”, co odnosi się do konieczności przeprowadzania regularnej oceny w czasie istnienia procesu przetwarzania.

Privacy by default

Zasada domyślnej ochrony danych polega na zagwarantowaniu, że w procesie przetwarzania danych osobowych „domyślnie”, czyli niejako „z automatu” przetwarzane będą dane jedynie w takim zakresie w jakim jest to niezbędne do zrealizowania celu przetwarzania. Jako przykłady, w wytycznych EROD wskazano kryteria analizy ilości zbieranych danych, ich zakresu, czasu retencji oraz dostępności. Przy czym wskazuje się, że jako ilość danych powinno się rozumieć nie tylko liczbę rekordów zawierających informacje o podmiotach danych, lecz także ich znaczenie (typy, kategorie danych). Ważnym kryterium jest ograniczenie dostępności do danych – czyli zagwarantowanie, że wgląd w dane osobowe będą miały tylko osoby, dla których jest to konieczne do zrealizowania celu przetwarzania. Jak wskazano w Wytycznych, przed opublikowaniem danych osobowych administrator ma obowiązek skonsultowania tego faktu z podmiotem danych.

Podobnie jak w przypadku Privacy by design, w art. 25 ust. 2 RODO opisującym zasadę Privacy by default wspomniano o obowiązku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych. EROD wskazuje, że takie środki należy rozumieć analogicznie jak w przypadku Privacy by design, pamiętając że odnosić się będą głównie do zasady minimalizacji danych.

 

Implementacja zasad zgodnie z zaleceniami

Oprócz szczegółowego omówienia zasad Privacy by default i Privacy by design, autorzy projektu wytycznych pokusili się o wskazanie kluczowych elementów dla przeprowadzenia oceny przetwarzania zgodnie z treścią art. 25. W ten sposób stworzono bardzo interesujący przewodnik po wspomnianych zasadach, na który składa się krótka analiza przeprowadzona pod kątem zasad przetwarzania danych – transparentności, zgodności z prawem, rzetelności, ograniczenia celu, minimalizacji danych, prawidłowości, dostępności i poufności podparta pomocnymi przykładami.

Projekt wytycznych został poddany konsultacjom społecznym. Do 16 stycznia 2020r. można podzielić się z autorami opinią na jego temat. Całość dostępna jest pod adresem:

https://edpb.europa.eu/

Źródło: Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019, https://edpb.europa.eu/ – dostęp 02.12.2019

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.