Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Privacy by design i privacy by default w świetle najnowszych wytycznych EROD

Privacy by design i privacy by default w świetle najnowszych wytycznych EROD

16.01.2020
Autor: Paweł Sobel
definicje i pojęcia w RODO

Na 15. posiedzeniu Europejskiej Rady Ochrony Danych (EROD), przedstawiono do publicznych konsultacji projekt Wytycznych dotyczących ochrony danych zgodnie z zasadami ochrony danych w fazie projektowania oraz domyślnej ochrony danych (Privacy by design i Privacy by default). Obowiązek uwzględnienia wspomnianych zasad wynika bezpośrednio z art. 25 RODO i odnosi się on do wszystkich administratorów danych.

Privacy by design

Obowiązek ochrony danych w fazie projektowania obliguje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych oraz wprowadzenia niezbędnych zabezpieczeń w celu spełnienia wymogów wynikających z RODO oraz z konieczności ochrony praw osób, których dane dotyczą.

W wytycznych EROD odpowiednie środki techniczne i organizacyjne powinny być rozwiązaniami umożliwiającymi administratorowi efektywne osiąganie celu, jakim jest przetwarzanie zgodne z zasadami ochrony danych (art. 5 RODO) oraz respektowanie praw i wolności podmiotów danych (art. 12 – 22 oraz motyw 4 RODO,) – jako przykład takich środków podano m. in. szkolenie personelu z zakresu ochrony danych oraz zaawansowane rozwiązania natury technicznej.

Niezbędne zabezpieczenia, których wdrożenie mają zapewnić owe środki techniczne i organizacyjne zgodnie z art. 25 ust. 1 RODO, mają za zadanie działać jak „druga linia obrony”, czyli zagwarantować, że prawa podmiotów danych będą chronione – jako przykład podano umożliwienie podmiotom danych wglądu w proces przetwarzania, czy korzystanie z programów przypominających o upływającym czasie do usunięcia danych.

Duży nacisk w wytycznych położono na podkreślenie, że przyjęte sposoby postępowania z danymi osobowymi powinny charakteryzować się efektywnością, co oznacza, że administratorzy danych osobowych muszą umieć wykazać, że wdrożone przez nich środki i zabezpieczenia funkcjonują w organizacji oraz, że spełniają swoje funkcje. W związku z powyższym nie będzie wystarczającym samo wdrożenie odpowiedniej dokumentacji, jeśli spisane procedury nie będą w praktyce stosowane i administrator nie będzie w stanie wykazać ich skuteczności. Jako przykład, w jaki sposób można wykazać skuteczność wdrożonych rozwiązań, EROD wskazuje stosowanie wskaźników skuteczności działania (ang. Key Performance Indicators – KPI) opierających się na analizie ryzyka czy ograniczeniu czasu reakcji na żądania podmiotu danych.

Jakie czynniki należy wziąć pod uwagę w fazie projektowania?

W ramach opracowywania planu dotyczącego przetwarzania danych należy wziąć pod uwagę szereg czynników, których znaczenie zostało przybliżone w omawianym dokumencie – oprócz charakteru, zakresu, kontekstu i celu przetwarzania są to takie czynniki jak:

– stan wiedzy technicznej i koszt wdrożenia

Ze względu na stale zmieniające się zagrożenia dla procesów przetwarzania danych osobowych, administrator musi brać pod uwagę konieczność aktualizowania środków zarówno technicznych jak i organizacyjnych. Z kolei przez koszt wdrożenia rozumiane są bezpośrednie wydatki pieniężne jak i zapewnienie zasobów ludzkich.

– ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania

W ramach procedury Privacy by design administrator danych zobowiązany jest do oszacowania ryzyka naruszenia praw lub wolności podmiotów danych. W wytycznych wskazano, że konieczność indywidualnego przeanalizowania ryzyka nie uniemożliwia korzystania z wypracowanych standardów oraz narzędzi do analizy podobnych ryzyk, pod warunkiem skupienia się na faktycznie dokonywanych procesach przetwarzania.

Kiedy stosować Privacy by Design?

Przeprowadzenie oceny przetwarzania zgodnie z zasadą ochrony danych w fazie projektowania należy przeprowadzić w czasie „określania sposobów przetwarzania” danych takich jak ustalanie procedur, architektury systemów, layoutu użytkownika itd. Jednak należy również pamiętać o obowiązku stosowania zasady „w czasie samego przetwarzania”, co odnosi się do konieczności przeprowadzania regularnej oceny w czasie istnienia procesu przetwarzania.

Privacy by default

Zasada domyślnej ochrony danych polega na zagwarantowaniu, że w procesie przetwarzania danych osobowych „domyślnie”, czyli niejako „z automatu” przetwarzane będą dane jedynie w takim zakresie w jakim jest to niezbędne do zrealizowania celu przetwarzania. Jako przykłady, w wytycznych EROD wskazano kryteria analizy ilości zbieranych danych, ich zakresu, czasu retencji oraz dostępności. Przy czym wskazuje się, że jako ilość danych powinno się rozumieć nie tylko liczbę rekordów zawierających informacje o podmiotach danych, lecz także ich znaczenie (typy, kategorie danych). Ważnym kryterium jest ograniczenie dostępności do danych – czyli zagwarantowanie, że wgląd w dane osobowe będą miały tylko osoby, dla których jest to konieczne do zrealizowania celu przetwarzania. Jak wskazano w Wytycznych, przed opublikowaniem danych osobowych administrator ma obowiązek skonsultowania tego faktu z podmiotem danych.

Podobnie jak w przypadku Privacy by design, w art. 25 ust. 2 RODO opisującym zasadę Privacy by default wspomniano o obowiązku wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych. EROD wskazuje, że takie środki należy rozumieć analogicznie jak w przypadku Privacy by design, pamiętając że odnosić się będą głównie do zasady minimalizacji danych.

Implementacja zasad zgodnie z zaleceniami

Oprócz szczegółowego omówienia zasad Privacy by default i Privacy by design, autorzy projektu wytycznych pokusili się o wskazanie kluczowych elementów dla przeprowadzenia oceny przetwarzania zgodnie z treścią art. 25. W ten sposób stworzono bardzo interesujący przewodnik po wspomnianych zasadach, na który składa się krótka analiza przeprowadzona pod kątem zasad przetwarzania danych – transparentności, zgodności z prawem, rzetelności, ograniczenia celu, minimalizacji danych, prawidłowości, dostępności i poufności podparta pomocnymi przykładami.

Projekt wytycznych został poddany konsultacjom społecznym. Do 16 stycznia 2020r. można podzielić się z autorami opinią na jego temat. Całość dostępna jest pod adresem:

https://edpb.europa.eu/

Źródło: Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019, https://edpb.europa.eu/ – dostęp 02.12.2019

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>