Czym jest privacy by default

Privacy by default oznacza zapewnienie ustawień zapewniających ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania.

Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika oprogramowania/systemu. Tym samym privacy by default wymaga domyślnych ustawień systemu zapewniających możliwie najszerszą ochronę prywatności wszystkich użytkowników. Stosowany w tym wypadku jest system opt-out. Użytkownicy, którzy chcą ograniczyć swoją prywatność, muszą podjąć aktywne działania w tym kierunku. Twórcy systemów nie mogą wobec tego wprowadzać domyślnych ustawień ingerujących w prywatność użytkowników.

Dodatkowo, domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia ich celu przetwarzania.

Środki służące osiągnięciu privacy by default

Środkiem by to osiągnąć, jest nadanie warstwie technicznej projektu formy zapewniającej gromadzenie danych w zakresie koniecznym do świadczenia usługi. W tym też celu ADO wdraża odpowiednie środki techniczne i organizacyjne. W szczególności środki te mają zapewniać, by domyślnie przetwarzane dane osobowe nie były udostępniane bez aktywności osoby, której dane dotyczą nieokreślonej liczbie osób fizycznych.

reklama

To czy dane osobowe są niezbędne dla osiągnięcia konkretnego celu przetwarzania, rozpatrywać należy w odniesieniu do:

1) ilości zbieranych danych osobowych;

2) zakresu ich przetwarzania;

3) okresu ich przechowywania;

4) ich dostępności.

Porównanie przepisów UODO/GDPR

Uodo

GDPR

reklama

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. (uchylony)

Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42.