Privacy by default to zasada domyślnej ochrony danych. Z kolei privacy by design to zasada ochrony danych w fazie projektowania. Ochrona danych w fazie projektowania ma na celu zapewnienie skutecznej ochrony danych osobowych już od samego początku projektowania systemów, aplikacji i usług. Przeczytaj poniższy artykuł i dowiedz się więcej o tych regułach wynikających z RODO.
Ochrona danych w fazie projektowania
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń tak, by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Warto mieć na uwadze stanowisko PUODO, zgodnie z którym: „Adresatem art. 25 ust. 1 rozporządzenia 2016/679 jest wyłącznie administrator, na którym ciąży obowiązek zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak np. pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych. Koncepcja wynikająca z tego przepisu opiera się na proaktywnym i prewencyjnym podejściu administratora polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie. Przyjęcie takich rozwiązań przez unijnego prawodawcę ma na celu wzmocnienie zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679 tak, by zapewnić przetwarzanym danym niezbędne, odpowiadające ryzykom związanym z ich przetwarzaniem, bezpieczeństwo. Brak działań administratora w tym zakresie stanowi również o naruszeniu art. 24 ust. 1, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679 poprzez brak uwzględnienia ryzyka związanego z przetwarzaniem haseł użytkowników w postaci jawnej, co w przypadku niezastosowania innych środków technicznych i organizacyjnych mających na celu zapewnienie bezpiecznego przetwarzania, zgodnie z ww. przepisami rozporządzenia 2016/679, stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie zaistnienia naruszenia poufności przetwarzanych danych” (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 17 grudnia 2020 roku, DKN.5130.1354.2020).
Zasada privacy by design zakłada, że ochrona danych osobowych powinna być integralną częścią projektowania i opracowywania systemów, aplikacji i usług. Oznacza to, że od samego początku na etapie projektowania należy uwzględniać aspekty związane z ochroną danych osobowych. Zasada wymaga, aby ochrona danych była uwzględniona w każdym aspekcie projektu, a nie jedynie jako dodatkowy element. Na etapie projektowania trzeba zidentyfikować potencjalne zagrożenia i ryzyka związane z przetwarzaniem danych osobowych. Wszystkie aspekty, które mogą wpłynąć na ochronę danych, powinny być na wcześniejszym etapie ocenione. Projektowanie zgodne z privacy design wymaga minimalizacji ryzyka związanego z przetwarzaniem danych osobowych. Powinny być stosowane odpowiednie techniczne i organizacyjne środki, aby zminimalizować ryzyko naruszenia bezpieczeństwa danych. Zasada ta zakłada zastosowanie odpowiednich zabezpieczeń, które zapewnią integralność i poufność danych osobowych.
Przykład 1.
Jakie są przykłady privacy by design?
System IT projektowany zgodnie z zasadą privacy by design powinien wdrażać zasadę najmniejszych uprawnień, co oznacza, że użytkownicy mają dostęp tylko do tych danych, które są niezbędne do wykonania ich funkcji. Na przykład pracownicy obsługujący system nie powinni mieć dostępu do danych, które nie są związane z ich obowiązkami. Taki system uwzględniać powinien odpowiednie środki bezpieczeństwa, takie jak firewalle, antywirusy, autoryzacja dwuskładnikowa itp., aby zapewnić skuteczną ochronę danych przed zagrożeniami cybernetycznymi. Powinna być przeprowadzona ocena ryzyka, aby zidentyfikować potencjalne zagrożenia i ryzyko naruszenia bezpieczeństwa danych.
Na podstawie takiej oceny można dostosować odpowiednie środki ochronne. Następnie należy przeprowadzić testy penetracyjne, by zidentyfikować ewentualne luki w bezpieczeństwie danych i podjąć odpowiednie działania naprawcze. System powinien być regularnie monitorowany, a audyty powinny być przeprowadzane w celu sprawdzenia, czy ochrona danych jest skuteczna i zgodna z wymaganiami.
Ochrona danych w fazie projektowania a zasada privacy by deafult w RODO
Zasada privacy by design łączy się z zasadą privacy by default, gdzie już od początku projektowania domyślne ustawienia powinny zakładać odpowiednią ochronę prywatności i minimalizację przetwarzanych danych. Zgodnie z RODO administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do liczby zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Środki te zapewniają w szczególności to, by dane osobowe nie były domyślnie udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO. Aby móc wykazać przestrzeganie RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na:
- minimalizacji przetwarzania danych osobowychm,
- jak najszybszej pseudonimizacji danych osobowych,
- przejrzystości co do funkcji i przetwarzania danych osobowych,
- umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
- umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.
Szkolenia i ewaluacja a podejście privacy by default i by design
Szkolenia i ewaluacja odgrywają istotną rolę w skutecznym wdrażaniu zasad privacy by design i privacy by default w organizacjach oraz w zachowaniu spójności i doskonaleniu praktyk związanych z ochroną danych osobowych. Organizacje powinny zapewnić, że personel odpowiedzialny za projektowanie i tworzenie systemów, aplikacji i usług przetwarzających dane osobowe jest świadomy zasad privacy by design i by default. Szkolenia powinny objąć pracowników odpowiedzialnych za projektowanie, programowanie, bezpieczeństwo informacji oraz zarządzanie danymi. Pomoże to w zrozumieniu, jakie są wymogi ochrony danych i jakie podejście należy przyjąć od samego początku.
Szkolenia powinny dotyczyć także technologii i narzędzi związanych z ochroną danych, takich jak szyfrowanie, anonimizacja czy systemy zabezpieczeń. Pracownicy powinni być dobrze przeszkoleni w zakresie korzystania z tych narzędzi. Szkolenia powinny zapewnić pracownikom znajomość obowiązujących procedur i polityk związanych z ochroną danych osobowych. Każdy pracownik powinien wiedzieć, jak postępować z danymi osobowymi zgodnie z zasadami privacy by default i by design, a także jak działać w przypadku podejrzenia naruszenia.
Wdrażanie zasad privacy by design i by default wymaga także przeprowadzenia oceny ryzyka związanego z przetwarzaniem danych osobowych. Organizacje powinny regularnie ewaluować potencjalne zagrożenia, które mogą wpłynąć na bezpieczeństwo danych i prywatność użytkowników. Ewaluacja ta pozwala na identyfikację i wyeliminowanie potencjalnych luk w ochronie danych.
Ewaluacja środków technicznych i organizacyjnych
Istotne jest, aby organizacje regularnie sprawdzały, czy zastosowane środki techniczne i organizacyjne są wystarczające do zapewnienia skutecznej ochrony danych. Ewaluacja ta może obejmować audyty, testy penetracyjne czy przeglądy bezpieczeństwa. Organizacje powinny także stale monitorować skuteczność wdrożonych środków oraz zmieniać podejście, jeśli zachodzi taka potrzeba.
Powyższe potwierdza chociażby decyzja Prezesa Urzędu Ochrony Danych Osobowych z 1 czerwca 2022 roku (DKN.5131.2.2022), zgodnie z uzasadnieniem do której: „Brak regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania oraz niewprowadzenie w sposób skuteczny środków organizacyjnych zabezpieczających przetwarzane dane osobowe w postaci cyklicznych szkoleń pracowników administratora w zakresie przyjętych zasad przetwarzania danych osobowych przy wykorzystaniu przenośnych nośników pamięci przesądza o naruszeniu obowiązków spoczywających na administratorze, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679”.