W mniej niż rok od przyjęcia przez Europejską Radę Ochrony Danych pierwszej wersji wytycznych w sprawie uwzględnienia zasad privacy by design oraz default i przekazaniu ich do publicznych konsultacji w październiku ubiegłego roku EROD przyjęła finalną wersję dokumentu. Wytyczne będą punktem wyjścia dla omówienia, w jaki sposób podmioty do tego zobligowane mogą wdrożyć zasady DPbDD.

Instrukcje dość kompleksowo opisują, w jaki sposób administratorzy (ale nie tylko) mogą podjąć się wdrożenia wskazanych zasad, w szczególności w odniesieniu do wykorzystywanych przez siebie systemów informatycznych. Publikacja dokumentu stanowi ważny krok w kierunku ułatwienia podmiotom zobowiązanym podjęcia wymaganych działań. Jest to szczególnie istotne, gdyż przyjęcie zasad privacy by design oraz default (DPbDD) przekłada się na realne zabezpieczenie praw i wolności podmiotów danych na równi z takimi obowiązkami jak poinformowanie o zakresie przetwarzania ich danych osobowych czy wdrożenie odpowiednich środków technicznych i organizacyjnych.

We wstępie wytycznych Europejska Rada Ochrony Danych (EROD) podkreśliła, iż uwzględnianie zasad privacy by design i default stanowi obowiązek dla wszystkich administratorów, niezależnie od rozmiaru i zróżnicowania złożoności procesów przetwarzania danych osobowych. Rekomendacje sięgają jednak dalej – organ zaznacza, że wytyczne mogą stanowić cenne wskazówki także dla podmiotów, które nie zostały wprost wskazane w art. 25 rodo (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, ogólne rozporządzenie o ochronie danych, DzU. UE. L. z 2016 r. Nr 119, s. 1 z późn. zm.), tj. takich jak podmioty przetwarzające oraz producenci produktów informatycznych, usług i aplikacji. Zgodnie z art. 25 ust. 3 rodo wywiązywanie się z obowiązku uwzględniania zasad DPbDD można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42 rodo. Jednak takie mechanizmy w dalszym ciągu nie zostały przyjęte. EROD wskazuje natomiast w treści wytycznych, iż „standardy, najlepsze praktyki i kodeksy postępowania uznane przez stowarzyszenia i inne organy reprezentujące kategorie administratorów mogą być pomocne w określeniu odpowiednich środków technicznych i organizacyjnych” niezbędnych dla uwzględnienia zasad DPbDD. Bez wątpienia zatem analiza wytycznych oraz powoływanych w ich treści opracowań może stanowić drogowskaz dla podmiotów dążących do wdrożenia DPbDD w swojej organizacji.

> Czym jest zasada privacy by design?

Istota zasady privacy by design została zawarta w art. 25 ust. 1 rodo. Głównym obowiązkiem dla administratora w jej zakresie, zgodnie z przywołanym przepisem, jest wdrożenie odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rodo oraz chronić prawa osób, których dane dotyczą.

Zasady ochrony danych osobowych zostały wskazane w art. 5 rodo i będzie o nich mowa jeszcze w dalszej części artykułu. Natomiast prawa i wolności osób, których dane dotyczą, oznaczają podstawowe prawa i wolności osoby fizycznej. Ich precyzyjne sformułowanie można odnaleźć w Karcie Praw Podstawowych Unii Europejskiej.

Odpowiedniość środków oraz niezbędnych zabezpieczeń oznacza, że powinny być one dopasowane do procesów przetwarzania w taki sposób, aby zapewnić określone cele, tzn. muszą wdrażać zasady ochrony danych oraz chronić prawa osób w sposób skuteczny. Poziom stosowanych środków organizacyjnych i technicznych powinien być również dostosowany do stopnia ingerencji określonych czynności przetwarzania w prywatność osób, których dane dotyczą.

Kluczowym elementem zasady privacy by design jest jednocześnie skuteczność wdrażanych środków i zabezpieczeń, przy czym rodo w żaden sposób nie określa, które konkretnie środki lub zabezpieczenia będą miały taką charakterystykę. Decyzja w tym zakresie należy do administratora. Warto zaznaczyć, że środki i zabezpieczenia powinny być solidne, a administrator powinien być w stanie je zwiększyć i modyfikować, jeśli poziom ryzyka dla osób w związku z danym przetwarzaniem wzrośnie. To, czy środki są skuteczne, czy nie, będzie zależeć w szczególności od oceny określonych elementów, które powinny być wzięte pod uwagę w kontekście sposobów przetwarzania danych.

Najważniejsze elementy

Elementy, które należy wziąć pod uwagę przy określaniu środków organizacyjnych i technicznych dla konkretnych procesów przetwarzania, powinny być uwzględniane razem, tak aby zapewnić skuteczną ochronę praw i wolności osób fizycznych – są to w szczególności:

• Stan wiedzy technicznej (ang. state of the art). Przy ustalaniu odpowiednich środków organizacyjnych i technicznych administrator powinien wziąć pod uwagę aktualny postęp technologiczny („to, co jest dostępne na rynku”), tj. w szczególności wiedzieć, jakie zagrożenie dla ochrony danych może stanowić technologia oraz jak wdrożyć i aktualizować środki oraz zabezpieczenia, które zapewnią efektywną implementację zasad przetwarzania danych oraz praw osób. Jest to dynamiczny koncept, więc ocena stanu wiedzy technicznej powinna być ciągłym procesem. Jednocześnie, pojęcie „stanu wiedzy technicznej” odnosi się również do środków organizacyjnych (przyjęcie wewnętrznych procedur, aktualne szkolenia dotyczące technologii, bezpieczeństwa oraz ochrony danych, polityki zarządzania bezpieczeństwem IT).
• Koszt wdrożenia. Element ten dotyczy zarówno zasobów finansowych, jak i ludzkich. Administrator nie ma obowiązku stosowania najdroższych rozwiązań, jeśli istnieją alternatywne, tańsze rozwiązania, które są wystarczająco skuteczne i efektywne w określonych okolicznościach przetwarzania danych osobowych.
• Charakter, zakres, kontekst i cele przetwarzania. Czynniki te powinny być interpretowane zgodnie z innymi przepisami rodo, które się do nich odwołują, w szczególności art. 24 i 32, dotyczącymi środków organizacyjnych i technicznych oraz bezpieczeństwa przetwarzania, a także art. 35 dotyczącym oceny skutków dla ochrony danych (DPIA). Skrótowo należy wskazać, że charakter przetwarzania należy rozumieć jako nieodłączne cechy danego przetwarzania (np. zautomatyzowane podejmowanie decyzji), zakres przetwarzania oznacza jego rozmiar, kontekst przetwarzania odnosi się do okoliczności danego przetwarzania, natomiast cele przetwarzania oznaczają wartość, która ma być osiągnięta w związku z prowadzonym przetwarzaniem.
• Ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania. Podejście oparte na ryzyku (ang. risk-based approach) jest jedną z podstawowych zasad wynikających z rodo. W skrócie należy zidentyfikować ryzyko dla praw i wolności osób fizycznych, ocenić prawdopodobieństwo jego zaistnienia i skutki w celu wdrożenia odpowiednich środków, które mają mitygować to ryzyko. Podejście oparte na ryzyku nie wyklucza jednocześnie stosowania najlepszych praktyk, standardów itd., jednak administrator powinien w każdym przypadku dokonywać oceny i sprawdzać, czy przyjęte przez niego środki i zabezpieczenia są adekwatne.

[...]

Bartosz Jussak – radca prawny w kancelarii Barta & Kaliński sp. j. Specjalizuje się w projektach związanych z prawem nowych technologii, prawem własności intelektualnej oraz ochroną danych osobowych.
Damian Łapka – radca prawny w kancelarii Barta & Kaliński sp. j. Specjalizuje się w projektach związanych z umowami licencyjnymi, R&D, prawem własności przemysłowej i innych z zakresu prawa własności intelektualnej.