Pojawiające się nowe technologie i systemy informatyczne obligują administratorów i podmioty przetwarzające do zastosowania technicznych i organizacyjnych środków bezpieczeństwa, które powinny być ustalane już w fazie projektowania, tj. przy wyborze i wdrożeniu systemu informatycznego lub procesu, w którym przetwarzane są dane osobowe.

Prekursorem takiego podejścia była Ann Cavoukian, Rzecznik Ochrony Informacji i Prywatności Ontario, która już w 1995 r. opracowała główne założenia filozofii privacy by design (dalej: PbD). Polega ona na włączeniu prywatności danych w projektowanie, działanie i zarządzanie technologiami informatycznymi i systemami przez cały cykl ich życia. Filozofia ta oparta jest na 7 podstawowych zasadach:

1. podejście proaktywne, nie reaktywne, oraz zaradcze, nie naprawcze;
2. prywatność jako ustawienie domyślne;
3. prywatność włączona w projekt;
4. pełna funkcjonalność: suma dodatnia, nie suma zerowa;
5. ochrona od początku do końca cyklu życia informacji;
6. widoczność i przejrzystość;
7. poszanowanie dla prywatności użytkowników.

Ważne, aby ta zasada była stosowana kompleksowo, czyli oprócz systemów informatycznych należy brać pod uwagę wszystkie powiązane usługi, produkty i procesy. Jeżeli wdrażane jest rozwiązanie informatyczne, które jest powszechnie stosowane, to jego wybór również powinien opierać się na zasadzie PbD.

Pamiętaj
Zasada PbD jest stosowana na każdym etapie rozwoju systemu i procesu, przez cały cykl przetwarzania danych.

Ochrona danych w fazie projektowania i domyślna ochrona danych (PbD) w praktyce

Prawodawca unijny w art. 25 rodo tylko ogólnie mówi o tym, w jaki sposób zasada PbD powinna być stosowana. Praktyka wskazuje, że niezależnie od tego, czy zmiana dotyczy witryny internetowej, aplikacji, usługi SaaS lub PaaS, ochrona danych osobowych powinna być brana pod uwagę podczas:

• etapu projektowania rozwiązania;
• całego cyklu życia;
• między wdrożeniami aktualizacji;
• po wdrożeniu aktualizacji;
• po zakończeniu działania.

W związku z tym zarówno administrator, jak i podmiot przetwarzający w celu rozliczenia się ze stosowania zasad ochrony danych w fazie projektowania i domyślnej ochrony danych powinien zadbać m.in. o:

• traktowanie kwestii ochrony danych jako integralnej części projektowania i wdrażania systemów, usług, produktów i praktyk biznesowych;
• uczynienie ochrony danych istotnym elementem podstawowej funkcjonalności systemów i usług;
• przetwarzanie tylko tych danych osobowych, które są niezbędne do celów przetwarzania i wykorzystywanie ich tylko do tych celów;
• przekazanie osobom wszystkich informacji dotyczących przetwarzania ich danych osobowych prostym i zwięzłym językiem, tak aby mogły bez trudności zrozumieć, jak ich dane są przetwarzane, w tym należy udostępnić dane kontaktowe do osoby odpowiedzialnej za nadzór nad ochroną ich danych;
• stosowanie rozwiązań technicznych i organizacyjnych, które pozwolą osobom realizować przysługujące im prawa;
• stosowanie domyślnych ustawień systemów informatycznych chroniących prywatność, które zapewnią użytkownikowi ochronę oraz respektowanie ich preferencji, dzięki temu osoby nie powinny podejmować żadnych konkretnych działań w celu ochrony swojej prywatności.

Drugą zasadą PbD jest domyślna ochrona danych odnosząca się w szczególności do:

• stosowania zasady minimalizacji danych, czyli przetwarzania tylko tych danych, które są niezbędne do osiągnięcia określonego celu;•ustawienia pierwotnych parametrów systemu informatycznego lub aplikacji w taki sposób, aby w maksymalnym stopniu chroniły prywatność osoby;
• przetwarzania dodatkowych danych, tylko gdy osoba sama o tym zdecyduje;
• zapewnienia, że dane osobowe nie są automatycznie udostępniane innym osobom czy publicznie, chyba że osoba sama o tym zdecyduje;
• zapewnienia osobom kontroli nad danymi i możliwości wykonywania ich praw.

Zgodnie z domyślną ochroną danych zakres danych i ustawienia systemu powinny być ustalone jeszcze przed rozpoczęciem przetwarzania danych. Należy również poinformować osoby zainteresowane o zasadach przetwarzania ich danych, stosowanych ustawieniach domyślnych systemu oraz możliwościach aktywacji innych jego funkcji.

[...]

Autorka jest ekspertem ochrony danych oraz doświadczonym DPO; pracuje w LexDigital jako Head of Innovation Technologies.