ADO ma obowiązek uwzględniania ochrony danych już w fazie tworzenia poszczególnych projektów.

Uwzględnianie ochrony danych osobowych ma nastąpić już na etapie projektowania danego  rozwiązania, a więc:

1) jeszcze przed nadaniem mu warstwy technicznej;

2) wyłącznie na etapie warstwy koncepcyjnej.

reklama

Przewidziane przez ADO rozwiązania mają spełniać wymogi GDPR oraz chronić prawa osób, których dane dotyczą. W tym celu administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne. Powinien on także dbać o ich jakość, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Ocena środków

By ocenić jakie środki będą w danym przypadku właściwe należy uwzględniać czynniki takie jak:

1) stan wiedzy technicznej;

2) koszt wdrażania;

3) charakter, zakres, a także kontekst i cele przetwarzania;

4) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania.

reklama

Środki służące realizacji privacy by design

Środki służące realizacji tego obowiązku mogą polegać m.in. na:

1) minimalizacji zakresu przetwarzania danych osobowych,

2) jak najszybszej pseudonimizacji danych osobowych,

3) przejrzystości co do funkcji i przetwarzania danych osobowych,

4) umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,

5) umożliwieniu zmian i udoskonalania zabezpieczeń.

Administrator, przed rozpoczęciem niektórych rodzajów przetwarzania, ma obowiązek dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (PIA). Jeżeli po stronie ADO powstanie taki obowiązek, działania mające na celu zapewnienie uwzględnienia ochrony danych w fazie projektowania, będą służyć również wypełnieniu obowiązku dokonania oceny skutków dla ochrony danych.

Porównanie przepisów UODO/GDPR

Uodo

reklama

GDPR

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. (uchylony)

Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42.