Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Data publikacji: 01-04-2021 | Autor: | Bartosz Jussak, Damian Łapka |
W mniej niż rok od przyjęcia przez Europejską Radę Ochrony Danych pierwszej wersji wytycznych w sprawie uwzględnienia zasad privacy by design oraz default i przekazaniu ich do publicznych konsultacji w październiku ubiegłego roku EROD przyjęła finalną wersję dokumentu. Wytyczne będą punktem wyjścia dla omówienia, w jaki sposób podmioty do tego zobligowane mogą wdrożyć zasady DPbDD.
Instrukcje dość kompleksowo opisują, w jaki sposób administratorzy (ale nie tylko) mogą podjąć się wdrożenia wskazanych zasad, w szczególności w odniesieniu do wykorzystywanych przez siebie systemów informatycznych. Publikacja dokumentu stanowi ważny krok w kierunku ułatwienia podmiotom zobowiązanym podjęcia wymaganych działań. Jest to szczególnie istotne, gdyż przyjęcie zasad privacy by design oraz default (DPbDD) przekłada się na realne zabezpieczenie praw i wolności podmiotów danych na równi z takimi obowiązkami jak poinformowanie o zakresie przetwarzania ich danych osobowych czy wdrożenie odpowiednich środków technicznych i organizacyjnych.
We wstępie wytycznych Europejska Rada Ochrony Danych (EROD) podkreśliła, iż uwzględnianie zasad privacy by design i default stanowi obowiązek dla wszystkich administratorów, niezależnie od rozmiaru i zróżnicowania złożoności procesów przetwarzania danych osobowych. Rekomendacje sięgają jednak dalej – organ zaznacza, że wytyczne mogą stanowić cenne wskazówki także dla podmiotów, które nie zostały wprost wskazane w art. 25 rodo (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, ogólne rozporządzenie o ochronie danych, DzU. UE. L. z 2016 r. Nr 119, s. 1 z późn. zm.), tj. takich jak podmioty przetwarzające oraz producenci produktów informatycznych, usług i aplikacji. Zgodnie z art. 25 ust. 3 rodo wywiązywanie się z obowiązku uwzględniania zasad DPbDD można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42 rodo. Jednak takie mechanizmy w dalszym ciągu nie zostały przyjęte. EROD wskazuje natomiast w treści wytycznych, iż „standardy, najlepsze praktyki i kodeksy postępowania uznane przez stowarzyszenia i inne organy reprezentujące kategorie administratorów mogą być pomocne w określeniu odpowiednich środków technicznych i organizacyjnych” niezbędnych dla uwzględnienia zasad DPbDD. Bez wątpienia zatem analiza wytycznych oraz powoływanych w ich treści opracowań może stanowić drogowskaz dla podmiotów dążących do wdrożenia DPbDD w swojej organizacji.
> Czym jest zasada privacy by design?
Istota zasady privacy by design została zawarta w art. 25 ust. 1 rodo. Głównym obowiązkiem dla administratora w jej zakresie, zgodnie z przywołanym przepisem, jest wdrożenie odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rodo oraz chronić prawa osób, których dane dotyczą.
Zasady ochrony danych osobowych zostały wskazane w art. 5 rodo i będzie o nich mowa jeszcze w dalszej części artykułu. Natomiast prawa i wolności osób, których dane dotyczą, oznaczają podstawowe prawa i wolności osoby fizycznej. Ich precyzyjne sformułowanie można odnaleźć w Karcie Praw Podstawowych Unii Europejskiej.
Odpowiedniość środków oraz niezbędnych zabezpieczeń oznacza, że powinny być one dopasowane do procesów przetwarzania w taki sposób, aby zapewnić określone cele, tzn. muszą wdrażać zasady ochrony danych oraz chronić prawa osób w sposób skuteczny. Poziom stosowanych środków organizacyjnych i technicznych powinien być również dostosowany do stopnia ingerencji określonych czynności przetwarzania w prywatność osób, których dane dotyczą.
Kluczowym elementem zasady privacy by design jest jednocześnie skuteczność wdrażanych środków i zabezpieczeń, przy czym rodo w żaden sposób nie określa, które konkretnie środki lub zabezpieczenia będą miały taką charakterystykę. Decyzja w tym zakresie należy do administratora. Warto zaznaczyć, że środki i zabezpieczenia powinny być solidne, a administrator powinien być w stanie je zwiększyć i modyfikować, jeśli poziom ryzyka dla osób w związku z danym przetwarzaniem wzrośnie. To, czy środki są skuteczne, czy nie, będzie zależeć w szczególności od oceny określonych elementów, które powinny być wzięte pod uwagę w kontekście sposobów przetwarzania danych.
Najważniejsze elementy
Elementy, które należy wziąć pod uwagę przy określaniu środków organizacyjnych i technicznych dla konkretnych procesów przetwarzania, powinny być uwzględniane razem, tak aby zapewnić skuteczną ochronę praw i wolności osób fizycznych – są to w szczególności:
[...]
Bartosz Jussak – radca prawny w kancelarii Barta & Kaliński sp. j. Specjalizuje się w projektach związanych z prawem nowych technologii, prawem własności intelektualnej oraz ochroną danych osobowych.
Damian Łapka – radca prawny w kancelarii Barta & Kaliński sp. j. Specjalizuje się w projektach związanych z umowami licencyjnymi, R&D, prawem własności przemysłowej i innych z zakresu prawa własności intelektualnej.
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Transmisje online zapewnia: StreamOnline