Zmiana przepisów dotyczących ochrony danych osobowych, wprowadzona GDPR nakłada na administratorów danych szereg nowych – niemających odzwierciedlenia w obecnie występujących instytucjach – obowiązków. Niezwykle ciekawą wydaje się być zasada uwzględnienia ochrony danych osobowych w fazie projektowania, tzw. data protection by design w skrócie privacy by design.

Warto zwrócić uwagę, że przepisy GDPR nie zawierają legalnej definicji privacy by design. Zakres zastosowania zasady należy wyprowadzać zatem z charakteru, celu i funkcji normy ustalonej w art. 25 ust. 1 GDPR. Zgodnie z tym przepisem administrator danych:  „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Kluczowym elementem omawianej zasady jest wkomponowanie problemu ochrony danych osobowych, w działania administratora, począwszy od etapu planowania procesu. Przykładowo, przedsiębiorca planujący przeprowadzenie akcji marketingowej, np. konkursu, będzie zobowiązany do przeprowadzenia oceny, czy zakładane w trakcie konkursu operacje na danych osobowych, oraz sposoby ich zabezpieczenia, będą zgodne z obowiązującymi przepisami prawa, zwłaszcza z przepisami GDPR. Zatem już na tym etapie, przedsiębiorca powinien rozważyć na jakiej przesłance zostanie oparty proces przetwarzania danych (jeśli będzie to zgoda należy przygotować odpowiednio wcześniej jej treść oraz ustalić sposób jej zbierania). Podobnie rzecz będzie się miała z przygotowaniem klauzul obowiązków informacyjnych, zapewnieniem adekwatności przetwarzanych danych oraz zabezpieczeniem danych. Jak podkreślił dr Wojciech Wiewiórowski (GIODO w latach 2010–2014) – „w przypadku privacy by design chodzi o to, by nie tyle odpowiadać na pojawiające się problemy, co już wcześniej przewidywać najważniejsze z nich i im przeciwdziałać”[1]. Pomimo, iż idea privacy by design funkcjonuje obecnie w wielu przedsiębiorstwach, jako mniej lub bardziej sformalizowana dobra praktyka, część podmiotów planując swoje działania  całkowicie pomija kwestie związane z ochroną danych osobowych. Mając na uwadze, że praktycznie każde przedsiębiorstwo przetwarza dane osobowe (pracownicy, klienci, kontrahenci itp.), omawiana zasada wprowadza powszechny obowiązek, którego realizacja nie będzie wynikała już tylko i wyłącznie z wewnętrznych procedur, lecz znajdzie oparcie w przepisach prawa, przewidujących za uchylanie się privacy by design sankcję w postaci kary do 10 000 000 Euro lub 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Warto jednak pamiętać, że privacy by design nie ogranicza się tylko (jak błędnie się czasami przyjmuje) do etapu planowania. Z przepisów GDPR, jasno wynika, że ocena zgodności z przepisami dotyczy również etapu realizacji procesu. Zatem wydaje się, że zasadnym dla uczynienia zadość privacy by design będzie regularny przegląd funkcjonowania procesu przetwarzania danych oraz jego składowych elementów (systemów informatycznych, sposobu zbierania zgód, wypełniania obowiązków informacyjnych itp.). Przy czym proces przetwarzania danych bardzo często nie kończy się w momencie zakończenia akcji (np. w przypadku konkursu dane osobowe będą przetwarzane dużo dłużej niż do dnia zakończenia przyjmowania zgłoszeń, pozostaje bowiem kwestia wydania nagród, odprowadzenia podatków, rozpatrzenia reklamacji, archiwizacji zgłoszeń itp.). Przegląd taki powinien należeć do zadań osób odpowiedzialnych za przetwarzanie danych w przedsiębiorstwie, a w wypadku powołania, do ABI (trzymając się nomenklatury rozporządzenia – inspektora ochrony danych).

Przygotowując się do procedowania w duchu privacy by design, należy ustalić podstawowe kryteria, którymi rządzi się ta instytucja. Zrozumienie zasad privacy by design, pozwoli przedsiębiorcom właściwie wdrożyć i prowadzić oceny procesu przetwarzania danych osobowych z właściwymi przepisami. Warto w tym celu posiłkować się Rezolucją w sprawie prywatności w fazie projektowania przyjętą przez 32 Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności w 2010[2].

Zdaniem Rzeczników prywatność w fazie projektowania opiera się na następujących zasadach:

  1. podejściu proaktywnym, nie reaktywnym, zaradczym, nie naprawczym;
  2. prywatności jako ustawienia domyślnego (tzw. privacy by default);
  3. prywatności włączonej w projekt (tzw. privacy embedded into design);
  4. pełnej funkcjonalności (suma dodatnia, nie suma zerowa);
  5. ochrony od początku do końca cyklu życia informacji;
  6. widoczności i przejrzystości;
  7. poszanowania dla prywatności użytkowników.

W praktyce wydaje się, że realizacja zasady privacy by design może być prowadzona poprzez dokonywanie oceny w oparciu o listę kontrolną (checklist). Warto przy tym pamiętać, że privacy by design dotyczy zarówno projektowania, jak i realizacji procesu, zatem pytania kontrolne powinny uwzględniać bardzo często odmienną specyfikę obu etapów. Dodatkowo, pytania powinny uwzględniać wszelkie okoliczności (np. stan faktyczny, otoczenie prawne, zakładany cel zbierania danych) odnoszące się do procesu przetwarzania danych osobowych. Tym samym, właściwe ich postawienie, sprowadzać się będzie do prawidłowej realizacji zasady privacy by design.

Pomimo, iż obecnie dokonywanie jakichkolwiek ocen GDPR, obarczone jest pewnym ryzykiem, gdyż nie znamy przepisów wykonawczych, oraz przede wszystkim praktyk regulatorów (mając na uwadze charakter prawny rozporządzenia – bezpośrednie stosowanie w krajach członkowskich, istotnym będzie linia orzecznicza i praktyka nie tylko polskiego GIODO), założenia privacy by design ocenić należy zdecydowanie pozytywnie, jako praktykę zmierzającą do rzeczywistego przestrzegania przez administratorów zasad przetwarzania danych osobowych, przesuwającą ocenę ochrony danych osobowych do pierwszej „dziesiątki” obowiązków przedsiębiorcy.

Autor: Marcin Cwener

[1] Cytat pochodzi z wywiadu przeprowadzonego przez Fundację Panoptykon. Źródło: www.giodo.gov.pl/plik/id_p/2162/j/pl/

[2] Tekst rezolucji znajduje się na stronie www.giodo.gov.pl/plik/id_p/2104/j/pl

Related Post

UDOSTĘPNIJ
Poprzedni artykułPrawo do usunięcia danych („prawo do bycia zapomnianym”)
Następny artykułSankcje
Prawnik, absolwent Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. W latach 2012-2013 pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, gdzie zajmował się prowadzeniem postępowań administracyjnych w zakresie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Jako współpracownik portalu www.e-ochronadanych.pl jest autorem artykułów z zakresu ochrony danych osobowych. Do jego szczególnych zainteresowań należy kwestia powiązań ustawy o ochronie danych osobowych z prawem bankowym oraz kanonicznym. Jego prywatną pasją jest prawo karne oraz rodzinne.