Privacy by design i privacy by default

Privacy by design (zasada prywatności w fazie projektowania) zakłada, że obowiązkiem administratora jest wybranie i wdrożenie odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych i nadaniu przetwarzaniu odpowiednich zabezpieczeń, tak aby mogły spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Głównymi zadaniami wynikającymi z tej zasady jest dokonanie oceny, wdrożenie środków oraz stały monitoring. Oceny dokonuje się uwzględniając stan wiedzy technicznej, koszty wdrażania, ryzyko naruszenia praw oraz charakteru, zakresu, kontekstu i celów przetwarzania. Dodatkowo po wdrożeniu środków ochrony należy dokonywać bieżącego monitoringu tych środków, czy realizują założone cele.

Mity związane z ochroną osób zgłaszających naruszenia

Privacy by default (zasada domyślnej ochrony danych) oznacza, że administrator zapewnia, aby w organizacji istniał domyślnie najwyższy standard ochrony. Najwyższy standard ochrony oznacza, że:

1. przetwarzane są wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia zakładanego celu;
2. dane osobowe są przetwarzane w odpowiedniej ilości i zakresie;
3. dane osobowe są przetwarzane wyłącznie przez okres ich przechowywania oraz ich dostępności;
4. dane osobowe są przetwarzane przez podmioty upoważnione i nie są udostępniane bez interwencji tej osoby nieokreślonej liczbie osób fizycznych.

Grecki organ nałożył kary za niewypełnienie zasady privacy by design

Zasadę domyślnej ochrony danych należy rozumieć jako postulat uwzględnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu. Domyślnie, czyli bez konieczności jakiejkolwiek aktywności osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu. Co więcej, domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane (minimalizacja danych).