W poprzednim numerze „IT Professional” poruszona została kwestia wytycznych w sprawie uwzględnienia zasad privacy by design oraz default, których finalną wersję Europejska Rada Ochrony Danych przyjęła w październiku 2020 r. Tym razem poświęcimy uwagę konkretnym działaniom, jakie mogą podjąć podmioty.
U względnienie zasad DPbDD opiera się na wdrożeniu odpowiednich środków technicznych i organizacyjnych wraz z szeregiem czynników wymienionych w art. 25 ust. 1 i 2 rodo. Wiele rekomendacji w tym zakresie odnaleźć można w wytycznych EROD, a także w treści wytycznych organów nadzorczych: norweskiego (Datatilsynet – datatilsynet.no), hiszpańskiego (Agencia Española de Protección de Datos – www.aepd.es) oraz francuskiego (CNIL – www.cnil.fr) w sprawie tworzenia oprogramowania zgodnie z zasadami DPbDD. Poniższe propozycje, rozbite na elementy, jakie powinny zostać uwzględnione w stosunkach zewnętrznych oraz wewnętrznych podmiotu dążącego do uwzględniania zasad DPbDD w swoim przedsiębiorstwie, oparte są o sugestie zawarte w przedmiotowych wytycznych sporządzonych przez ww. organy. Podkreślenia wymaga, że poniższa lista nie jest wyczerpująca i powinna uwzględniać specyfikę działalności danego podmiotu.
> Działania podmiotu zewnętrznie
Działania podejmowane zewnętrznie dotyczą stosunków umownych łączących administratorów oraz podmioty przetwarzające i producentów oprogramowania (niejednokrotnie będzie to ten sam podmiot), a także informacji przekazywanych przez te podmioty potencjalnym klientom.
Z perspektywy administratorów działania te obejmują w szczególności:
-
wybór podmiotów o ugruntowanej pozycji;
-
wybór takich dostawców oprogramowania lub podmiotów przetwarzających, których systemy wspierają DPbDD lub umożliwiają uwzględnienie tych zasad przez administratora;
-
zapewnienie w zawieranych umowach, iż środki techniczne zastosowane w systemie są adekwatne, w szczególności że spełniają aktualny stan wiedzy technicznej (w tym zobowiązanie dostawcy lub podmiotu przetwarzającego do informowania administratora o wszelkich zmianach „aktualnego stanu wiedzy”, które mogą wpływać na skuteczność stosowanych przez nich środków);
-
wymaganie od producentów i podmiotów przetwarzających wykazania, w jaki sposób ich sprzęt, oprogramowanie, usługi lub systemy pozwalają administratorowi zachować zgodność z wymaganiami dotyczącymi rozliczalności (na przykład za pomocą wskaźników KPI w celu wykazania skuteczności środków i zabezpieczeń dla wdrażania zasad ochrony danych i praw podmiotów danych);
-
wymaganie od producentów danego produktu informatycznego zmapowania procesów i funkcjonalności tego produktu obejmujących przetwarzanie danych osobowych;
-
wymaganie od producentów systemów informatycznych przyjęcia metodologii tworzenia oprogramowania uwzględniających zasady DPbDD (np. Secure Software Development Life Cycle, OWASP);
-
regularne weryfikowanie i dokonywanie oceny operacji wykonywanych przez podmioty przetwarzające;
-
w przypadku transferu danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego – EOG), np. w przypadku hostingu, ustalenie jurysdykcji krajowej, pod którą dane osobowe będą podlegać po przekazaniu (w tym dokonanie oceny przepisów obowiązujących w tym państwie w zakresie ochrony danych osobowych), zweryfikowanie przez administratora, czy dane transferowane poza EOG są adekwatne, stosowne i ograniczone do tego, co jest niezbędne w świetle celów, w jakich są one przekazywane;
-
pozyskiwanie profesjonalnej pomocy i wsparcia w zakresie oceny spełniania przez systemy zasad DPbDD (w tym, jeżeli administrator wyznaczył inspektora ochrony danych – zaangażowanie go w projekty związane z wdrożeniem czy wykorzystaniem systemów informatycznych przetwarzających dane osobowe);
-
informowanie podmiotów danych w sposób przejrzysty i zrozumiały o tym, jak ich dane osobowe są zbierane, wykorzystywane i udostępniane przez administratora (w tym zakresie możliwe zastosowanie podejścia warstwowego udostępniania informacji, w tym stosowanie list rozwijanych, pop-upów i linków do materiałów objaśniających bardziej skomplikowane zagadnienia oraz wykorzystanie materiałów wideo i infografik).