Jakie obowiązki nakładają na administratora danych osobowych zasady wprowadzone przez RODO: privacy by design oraz privacy by default? W jaki sposób dopełnia je zasada privacy impact assessment?
RODO w IT realizowane jest na wielu płaszczyznach – jedną z nich są zasady privacy by design i privacy by default. Zacznijmy od wyjaśnienia, czym są. Pierwsza z nich – zasada privacy by design – funkcjonuje również pod nazwą zasady prywatności w fazie projektowania, z kolei druga – zasada privacy be default – nazywana jest zasadą prywatności w ustawieniach domyślnych. Treść i zakres tych zasad określa obowiązki, które powinny spełnić wszystkie programy i systemy informatyczne, które przetwarzają dane osobowe.
Zasada privacy by design
Zasada ta polega na tym, że administrator danych osobowych uwzględnić powinien konieczność ochrony danych już w fazie projektowania programów, aplikacji i systemów. Szczegółowo opisuje to RODO w artykule 25., w którym mowa m.in. o konieczności wdrożenia odpowiednich środków technicznych i organizacyjnych, które spełnią wymogi opisane w rozporządzeniu. Jakie środki będą zgodne z zasadą privacy by design? W artykule 25. znajduje się kilka przykładów, np. minimalizacja przetwarzania danych osobowych, przejrzystość co do działania systemu czy programu w zakresie przechowywania i przetwarzania danych, a także umożliwienie administratorowi danych, by mógł tworzyć nowe i udoskonalać już istniejące zabezpieczenia.
W artykule 25. – Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych – znajduje się również zapis o tym, by zachęcać wytwórców aplikacji, usług i produktów, które bazują na przetwarzaniu danych osobowych lub przetwarzają dane w celu realizacji swojego zadania, do projektowania ich w zgodzie z obowiązującymi przepisami. Projektanci – w toku opracowywania produktów i systemów informatycznych – powinni wziąć pod uwagę zarówno prawo, jak i swoją wiedzę techniczną, w celu zapewnienia administratorom danych osobowych, bądź też podmiotom przetwarzającym dane, możliwość wywiązania się obowiązków, które spoczywają na nich w związku z koniecznością ochrony danych osobowych. Zasada privacy by design obowiązuje również w przetargach publicznych.
Zasada privacy by default
Zasada privacy by default wymaga, by każdy system już na poziomie ustawień domyślnych miał przypisaną ochronę danych osobowych. Jak w praktyce realizowana jest ta zasada? Każdy program czy aplikacja powinny uwzględnić ją w swoich mechanizmach przechowywania i przetwarzania danych osobowych, ale powinna również istnieć możliwość, by móc zmienić te ustawienia (jednak tylko na wyraźne żądanie osoby korzystającej z tego systemu). Dzięki wdrożeniu odpowiednich środków administrator przetwarzać będzie wyłącznie dane, które są niezbędne do zrealizowania konkretnego celu przetwarzania, a także przechowywać je w określonym czasie i udostępniać według zasad opisanych w rozporządzeniu.
Zasada privacy impact assessment
Poza dwoma wyżej opisanymi zasadami nie należy zapominać o jeszcze jednej – mianowicie zasadzie privacy impact assessment. Na czym polega ten mechanizm? W sytuacji, gdy przetwarzanie danych osobowych – w szczególności przy użyciu nowych technologii – może z dużym prawdopodobieństwem spowodować naruszenie praw lub wolności osób fizycznych, wówczas administrator danych osobowych jest zobowiązany do oceny skutków planowanej operacji. Zasada ta jest zatem wprowadzona, by pomóc w oszacowaniu ryzyka naruszenia zasad przechowywania lub przetwarzania danych osobowych. Co istotne, zasada privacy impact assessment nie jest czymś nowym i wprowadzonym przez RODO. O obowiązku ochrony praw i wolności osób fizycznych zapisy znajdują się m.in. w Konstytucji Rzeczypospolitej Polskiej. W artykule 47. jest zapis o tym, że każda osoba “ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”.
