Privacy by design, co jest tłumaczone na język polski trochę karkołomnie jako „prywatność w fazie projektowania„, stanowi jedną z naczelnych zasad promowanych przez RODO. Wymaga ona od administratorów skupienia uwagi na ochronie danych osobowych już w momencie planowania procesu ich pozyskiwania, a nie dopiero w trakcie ich przetwarzania!
Do czasu wprowadzenia privacy by design aktywność większości administratorów ograniczała się do napisania Polityki Ochrony Danych lub innego dokumentu o dużym stopniu ogólności „na wypadek kontroli”. Nowa zasada odchodzi od założenia, w którym wdraża się jedynie dokumentację na rzecz obowiązku aktywnego działania w celu ochrony posiadanych danych osobowych.
Czy to oznacza, że już na etapie zakładania działalności powinienem pomyśleć o stosowaniu adekwatnych środków bezpieczeństwa danych osobowych? – W zasadzie TAK.
Przy czym formuła nie odnosi się wyłącznie do startupów. Dotyczy ona wszystkich podmiotów. W praktyce powiemy o prywatności wbudowanej w każdy projekt jaki przedsiębiorca ma zamiar realizować (w jego konstrukcję począwszy od fazy planowania), a nie tylko „projekt” rozumiany jako całość przedsiębiorstwa.
Privacy by design – o co właściwie chodzi?
Zasada privacy by design, została ujęta w art. 25 ust. 1 RODO, w myśl którego:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą” |
Prywatność w fazie projektowania zakłada, że przedsiębiorca już na etapie projektowania konkretnego przedsięwzięcia powinien przewidzieć jakie zagrożenia w obszarze danych osobowych mogą się w nim pojawić, tak, aby móc im przeciwdziałać. Chodzi zatem o znaną od wieków zasadę, że lepiej jest zapobiegać niż leczyć. Obecnie obowiązuje ona nie tylko na gruncie medycznym, ale i w obszarze ochrony danych osobowych. To tylko pokazuje hierarchię wartości europejskiego regulatora :).
Odpowiednie środki techniczne
Tak jak zawsze powtarzamy na szkoleniach – RODO dotyczy każdego przedsiębiorcy. Począwszy od małego żuczka, poprzez przedstawicieli średniego biznesu aż do wielkich korporacji. Każdy z nich przetwarza (w różnym stopniu) dane klientów, kontrahentów czy pracowników. Dlatego właśnie rozporządzenie ma charakter ogólny. Aby każdy wedle swojej oceny, wedle rozmiarów prowadzonej działalności i charakteru operacji na danych osobowych zastosował odpowiednie środki techniczne i organizacyjne w celu ochrony tych danych.
Jak doskonale wiecie zalecamy zachowanie zdrowego rozsądku. Trzeba bowiem pamiętać, że nie każda firma przetwarza dane na taką skalę jak Facebook i dlatego, nie każda musi stosować takie jak ten portal środki bezpieczeństwa. Ważne są tutaj trzy aspekty:
- stan wiedzy technicznej,
- koszt wdrożenia rozwiązania,
- zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
Mając na uwadze te trzy elementy jesteśmy sobie w stanie odpowiedzieć czym są „odpowiednie środki” w przypadku konkretnego przedsiębiorcy. Nie ma jednego sprawdzonego sposobu na wdrożenie RODO w każdej firmie. Nie zawsze środki stosowane przez jednego przedsiębiorce będą adekwatne u innego. Nie zawsze środki stosowane przez daną firmę będą mogły być wdrożone przez inną. Nie w każdym przypadku będzie to również potrzebne. Inny jest poziom narażenia na atak takich jednostek jak lotnisko, bank, czy firma hostingowa. A inny w przypadku jednoosobowego sklepu spożywczego, małej firmy szkoleniowej, czy niewielkiego hotelu. Inne powinny być zatem kroki, które ci przedsiębiorcy podejmują w celu ochrony zbieranych przez siebie danych.
Musicie jednak też pamiętać, że nie chodzi jednak o to, by ochronę danych osobowych lekceważyć. Jak pisaliśmy w poprzednim artykule RODO ma na takich delikwentów odpowiednie środki dyscyplinujące. Przykładowo za uchylanie się od stosowania zasady privacy by design europejski regulator przewidział sankcję w postaci kary finansowej do 10 mln Euro lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Sporo. Pamiętajcie jednak, ze wysokość kar podyktowana została ogólnym charakterem RODO, czyli tym, że ma ono zastosowanie również do największych podmiotów. Mniejsi gracze na rynku nie powinni byli obawiać się kar finansowych w ich górnych granicach. Jeżeli w ogóle są oni nimi zagrożeni.
Gdyby chcieć posiłkować się mądrymi głowami odnośnie sposobów realizacji zasady privacy by design, można by sięgnąć do rezolucji w sprawie prywatności w fazie projektowania przyjętej przez uczestników 32 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności w 2010. Przed nawias wyciągnięte zostało tutaj:
- proaktywne podejście, o którym pisaliśmy wyżej,
- prywatność jako ustawienie domyślne,
- prywatność włączona w projekt,
- pełna funkcjonalność,
- ochrona od początku do końca cyklu życia informacji,
- widoczności i przejrzystości,
- poszanowania dla prywatności użytkowników.
Privacy by design – konieczność stałego monitorowania
Jak jednak wynika z treści przepisu ocena możliwych zagrożeń powinna być stała. W zależności od stanu wiedzy technicznej, kosztów wdrożenia i innych elementów. Jak wynika z cytowanego przepisu RODO posługuje się sformułowaniem, w myśl którego administrator będzie wdrażał odpowiednie środki nie tylko przy określaniu sposobów przetwarzania, lecz także w czasie samego przetwarzania.
Mając to na uwadze zawsze uprzedzamy Klientów, że „wdrożenie RODO” nie jest operacją jednorazową, a powinno być raczej procesem. Oprócz zatem przygotowania w swojej firmie odpowiedniej dokumentacji w zakresie ochrony danych osobowych, co już jest pewnym krokiem w dobrą stronę, warto także samodzielnie, albo z pomocą podmiotów zewnętrznych:
- stale analizować zagrożenia,
- ciągle poszerzać wiedzę z zakresu ochrony danych osobowych,
- zwiększać świadomość pracowników na temat istotności danych osobowych,
- odpowiednio reagować na informacje o incydentach,
- podejmować próby oceny stopnia zagrożenia danego przedsięwzięcia i adekwatnych środkach ochrony.
Jeżeli zdecydujecie się wdrażać RODO samodzielnie, to przypominamy o przygotowanej przez nas dla Was na tę okoliczność ikonografice. W połączeniu ze zdrowym rozsądkiem oraz pozostałymi artykułami na stronie powinniście sobie doskonale poradzić. Jeżeli chcielibyście skorzystać z naszego doświadczenia, to jesteśmy do waszej dyspozycji zarówno jeżeli chodzi o przygotowanie dokumentacji RODO, a także późniejszy nadzór nad polityką ochrony danych osobowych w Waszych firmach. Z jednej strony świadczymy usługę zewnętrznego Inspektora Ochrony Danych, a z drugiej możemy Wam opowiedzieć coś interesującego podczas ciekawego szkolenia przygotowanego pod Wasze potrzeby. Pamiętajcie też, że jesteśmy Fundacją, wiec zawsze chętnie wesprzemy was radą – jeżeli macie jakieś pytanie, sugestię lub propozycję, to serdecznie zapraszamy do kontaktu!
Powodzenia i trzymamy kciuki!