Prawo: Prywatność fundamentem RODO

BANK 2018/05

Wchodzi w życie rozporządzenie o ochronie danych osobowych RODO/GDPR. Jednym z fundamentów tego aktu prawnego jest uwzględnianie, na każdym etapie tworzenia oraz funkcjonowania technologii, ochrony danych i prywatności. Obowiązek ten ciążyć będzie na administratorach danych (ADO).

Wchodzi w życie rozporządzenie o ochronie danych osobowych RODO/GDPR. Jednym z fundamentów tego aktu prawnego jest uwzględnianie, na każdym etapie tworzenia oraz funkcjonowania technologii, ochrony danych i prywatności. Obowiązek ten ciążyć będzie na administratorach danych (ADO).

Artur Król

Rozporządzenie to na nowo reguluje kwestie zachowania prywatności. Od chwili jego wejścia w życie każde rozwiązanie technologiczne, system informatyczny etc., w którym angażuje się odbiorcę usług online czy offline, bądź którego użytkownikiem jest szeroko rozumiany konsument, będzie de facto wiązało się z przetwarzaniem danych osobowych. Ochrona prywatności Celem wdrożenia rozporządzenia RODO była przede wszystkim ochrona prawa do prywatności, ale także potrzeba stworzenia jednolitego rynku cyfrowego w UE Duże znaczenie odegrała potrzeba ochrony przed cyberprzestępczością, która stanowi istotny problem na skalę światową i coraz szerzej dotyka podmioty gospodarcze. Pojęcie przetwarzania danych jest bardzo szerokie i obejmuje wiele zagadnień, które ogólnie uznane są jako ich zbieranie, korzystanie, ale również modyfikowanie. RODO ma zbudować nową jakość w kwestii ochrony danych wrażliwych i prawa do prywatności.

Dwie kluczowe zasady

 Rozporządzenie GDPR wprowadza zasady privacy by design oraz privacy by default. Zobowiązują one administratorów danych do zapewnienia im ochrony i prywatności na każdym etapie przetwarzania. Oznacza to konieczność zastosowania rozwiązań ochronnych już w chwili ich projektowania. Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w projekt od początku jego tworzenia. I to tak, aby stanowiła jego część składową. Wymienia kilka wytycznych, według których projekt ma być realizowany, by gwarantował taką ochronę.Zasada privacy by default zakłada ochronę prywatności, jako domyślne ustawienie każdego systemu. Zmiana może nastąpić tylko wówczas, kiedy dokona jej użytkownik programu. Tym samym privacy by default zapewnia najszerszą i domyślną zarazem ochronę prywatności wszystkich użytkowników systemu. Ci, którzy chcą świadomie z niej zrezygnować, podejmują w tym celu konkretne działania. Jednak zmiana ustawień prywatności zależy całkowicie od właściciela danych osobowych i nie mogą o tym decydować twórcy systemu.

Zasada privacy by default zakłada ochronę prywatności, jako domyślne ustawienie każdego systemu. Zmiana może nastąpić tylko wówczas, kiedy dokona jej użytkownik programu. Tym samym privacy by default zapewnia najszerszą i domyślną zarazem ochronę prywatności wszystkich użytkowników systemu.

Zapisy w rozporządzeniu

Zasadę privacy by design wprowadza art. 25 ust. 1 Rozporządzenia RODO, zgodnie z którym „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak ich minimalizacja, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.Zasadę privacy by default określa natomiast ust. 2 wspomnianego artykułu, zgodnie z którym administrator będzie musiał zastosować środki techniczne i organizacyjne, aby domyślnie włączać przetwarzanie tych danych osobowych, które są niezbędne dla osiągnięcia wymaganego celu. Dotyczy to: zakresu przetwarzania danych, okresu ich przechowywania oraz dostępności, a także ilości zbieranych informacji.Warto dodać, że administrator, aby pokazać, że wywiązuje się ze wspomnianych wyżej obowiązków, może dobrowolnie poddać się mechanizmowi certyfikacji, o którym mowa w art. 42 rozporządzenia. Z powyższymi obowiązkami podmiotów przetwarzających dane wiąże się również art. 35 rozporządzenia, który nakazuje administratorowi dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w sytuacji, gdy dany rodzaj przetwarzania – zwłaszcza z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Oceny tej powinno się dokonać przed rozpoczęciem przetwarzania danych, a zatem jeszcze przed ich otrzymaniem od użytkownika. Ponadto art. 35 wskazuje również niezbędne elementy dokonywanej oceny oraz przykładowe sytuacje, w których jest ona wymagana. Nakłada także na organy nadzorcze obowiązek ustanowienia i podania do wiadomości publicznej wykazów rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków pod kątem ochrony danych.

Świadomość konsekwencji

Po 25 maja 2018 r., kiedy to w pełni obowiązywać zaczną przepisy RODO, możliwe staną się kontrole tego, jak poszczególne podmioty ich przestrzegają. Kontrolowane może być także wypełnianie obowiązku stosowania zasady privacy by design. Aby odpowiednio się przygotować do kontroli, należy sporządzić i posiadać odpowiednią dokumentację projektową. Za naruszenie obowiązku uwzględnienia prywatności w fazie projektowania, brak odpowiednich dokumentów czy dowodów zachowania staranności, przewidziano karę finansową do 10 mln euro bądź 2% światowego rocznego obrotu instytucji.Czynnikiem mobilizującym do przestrzegania zasad prywatności jest nie tylko ryzyko poniesienia dotkliwej kary finansowej. Niezastosowanie zasad prywatności, może być skuteczną przeszkodą do pozyskania finansowania z zewnętrznych źródeł, w tym od venture capital i innych instytucji finansowych. Projektując rozwiązanie, należy zatem mieć na uwadze fakt, że dane osobowe są bardzo ważnym elementem projektu. Prywatność należy uwzględnić w systemie oraz starannie zaplanować jej wdrożenie.

Obowiązki administratora

Administrator Danych Osobowych (ADO) będzie zobowiązany do uwzględniania ich ochrony już w fazie tworzenia poszczególnych projektów. Procedury ochronne muszą zostać ustalone w momencie projektowania danego rozwiązania, a więc: 1) zanim otrzyma ono warstwę techniczną; 2) tylko na etapie warstwy koncepcyjnej. ADO musi przewidzieć rozwiązania, które spełniać będą wymogi GDPR/RODO oraz chronić prawa osób, których dotyczą. W tym celu winien wdrożyć odpowiednie środki techniczne i organizacyjne. Powinien też zadbać o ich jakość – i to zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.Ocena środków Przy ocenie środków potrzebnych w danym przypadku należy uwzględniać takie, jak: 1) stan wiedzy technicznej; 2) koszt wdrażania; 3) charakter, zakres, a także kontekst i cele przetwarzania; 4) możliwość naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania. Środki służące realizacji privacy by design: 1) minimalizacja zakresu przetwarzania danych osobowych, 2) szybka ich pseudonimizacja, 3) przejrzystość co do funkcji i przetwarzania danych osobowych, 4) umożliwienie osobie, której dane dotyczą, monitorowania ich przetwarzania, 5) umożliwienie dokonywania zmian i udoskonalania zabezpieczeń. ADO, przed rozpoczęciem niektórych rodzajów przetwarzania, ma obowiązek dokonać oceny skutków planowanych operacji dla ochrony danych osobowych (PIA).
 
Udostpnij artyku: