BLOG

Dowiedz się co jest naprawdę ważne.

Część 5 – Wdrożenie zasad ochrony danych osobowych. Kluczowe czynniki sukcesu. Projekt wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych

Wprowadzenie

Rozdział 3 Wytycznych zatytułowany: „Wdrażanie zasad ochrony danych w przetwarzaniu danych osobowych z wykorzystaniem ochrony danych w fazie projektowania i domyślna ochrona danych” – najbardziej bogaty w treść (akapity 58 – 80), zawiera wskazówki w jaki sposób wdrożyć operacyjnie zasady ochrony danych osobowych w procesy przetwarzania danych osobowych, systemy oraz produkty służące do przetwarzania danych.

Komentarz AURACO

O ile rozdział 2 Wytycznych dostarczał wskazówek w jaki sposób interpretować art. 25 RODO, o tyle rozdział 3 daje przykłady, w jaki sposób można by zastosować ten przepis w praktyce. Zawiera wykaz 70 praktycznych wskazówek (czynników), służących do wdrożenia DPbDD (ang. key design and default elements) przyporządkowanych do 8 zasad ochrony danych osobowych wynikających z artykuł 5 RODO.

Już na wstępie należy stwierdzić, że niektóre z uwag zgłoszonych podczas publicznych konsultacji Wytycznych (np. uwagi zgłoszone przez obywatela Węgier z 16 stycznia 2020 r., nr 4/2020 – 0022), dotyczące rozdziału 3 Wytycznych są trafne[1].

Rozdział 3, który w założeniu miał dostarczać wskazówki, jak operacyjnie wdrożyć art. 25 RODO w procesy przetwarzania danych osobowych, sam wymaga dodatkowych wykładni i wskazówek, ponieważ w niektórych punktach jest niejasny i zbyt restrykcyjny w stosunku do literalnego brzmienia art. 25 RODO.

1. (AKAPITY 60 – 61) Wdrożenie zasady PRZEJRZYSTOŚCI w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Środki techniczne i organizacyjne wbudowane w proces przetwarzania danych osobowych pozwalające na realizację zasady transparentności w tym procesie powinny brać pod uwagę następujące czynniki:

Clarity – przejrzystość

Informacje przekazywane osobie, której dane dotyczą powinny być jasne, proste, zwięzłe i zrozumiałe.

Komentarz AURACO

Wydaje się, że przykładem rozwiązania, które pozwala na uwzględnienie tego czynnika w procesie przetwarzania jest np. takie zaprojektowanie sposobu zbierania danych osobowych, aby klauzule informacyjne „podążały” niejako za wprowadzanymi przez użytkownika dotyczącymi jego danymi osobowymi prezentując danemu podmiotowi danych istotne informacje w odpowiednich kontekstach, przykładowo przy wprowadzaniu do formularza adresu poczty elektronicznej pojawić się będzie informacja, że dane te są dobrowolne i służą utrzymywaniu łatwego kontaktu pomiędzy administratorem a klientem.

Semantics – sensowność

Komunikat ma jasne znaczenie dla danego odbiorcy, który podaje dane lub o którym dane są pozyskiwane w inny sposób (od innej osoby, niż tej, której dane dotyczą).

Accessibility – dostępność

Informacje muszą być łatwo dostępne dla osoby, której dane dotyczą.

Komentarz AURACO

Np. francuski organ nadzoru (CNIL) nałożył na Google karę za niewystarczająco dostępną informację o przetwarzaniu danych osobowych w świetle wymagań RODO. We wskazanym przypadku organ zarzucił Google Inc., że struktura przekazywanych informacji wybrana przez spółkę była niezgodna z zasadami RODO. Podstawowe informacje, takie jak cele przetwarzania danych, okresy przechowywania danych lub kategorie danych osobowych wykorzystywanych do personalizacji reklam, były nadmiernie rozsiane w kilku dokumentach, za pomocą przycisków i linków, na których wymagane było kliknięcie w celu uzyskania dostępu do informacji uzupełniających[2].

Relevance – powiązywalność

Informacje są istotne i mają zastosowanie do konkretnej osoby, której dane dotyczą. W tym znaczeniu informacja o przetwarzaniu powinna odnosić się do konkretnej sytuacji przetwarzania danych osobowych, zawierającej informacje o prawach, które wiążą się z daną podstawą prawną przetwarzania danych osobowych.

Universal design – interoperacyjność

Informacje muszą być dostępne dla wszystkich. Obejmują używanie języków nadających się do odczytu maszynowego w celu ułatwienia i automatyzacji czytelności i przejrzystości.

Komentarz AURACO:

Np. może być to ustawienie w przeglądarce Chrome opcji „bez śledzenia”.

Comprehensible – zrozumiałość

Osoby, których dane dotyczą, powinny mieć rzetelne zrozumienie tego, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, w szczególności gdy podmiotami, których dane dotyczą, są dzieci lub inne grupy szczególnie wrażliwe.

Przetwarzanie danych osobowych wymaga opisania warunków, na jakich osoba ma być nastawiona na ryzyko naruszenia jego praw lub wolności osób, których dane dotyczą.

Jako przykład dla prawidłowego zastosowania ww. kluczowych elementów ERODO przedstawia następujący stan faktyczny:

PRZYKŁAD do zasady przejrzystości:

Administrator poprawia swoją politykę prywatności w celu spełnienia wymogów przejrzystości. Zakłada, że polityka prywatności nie może zawierać długiej ilości informacji, które są trudne do przeniknięcia (clarity – przejrzystość – przyp. Auraco) i zrozumienia przez przeciętną osobę (comprehensible – zrozumiałość – przyp. Auraco). Zasady prywatności muszą być napisane jasnym i zwięzłym językiem (semantics – sensowność – przyp. Auraco) oraz ułatwiać użytkownikowi strony internetowej zrozumienie sposobu przetwarzania ich danych osobowych (clarity – przejrzystość – przyp. Auraco). Administrator udostępnia zatem informacje w sposób wielowarstwowy (accessibility – dostępność – przyp. Auraco), w którym wyróżnione są najważniejsze punkty (clarity – przejrzystość – przyp. Auraco). Menu rozwijane oraz łącza do innych stron są dostarczane w celu dalszego wyjaśnienia pojęć określonych w polityce. Administrator upewnia się również, że informacje są dostarczane w sposób wielokanałowy, dostarczając klipy wideo, aby wyjaśnić najważniejsze punkty informacji (Universal design – interoperacyjność – przyp. Auraco).

Dostęp do polityki prywatności nie może być utrudniony dla osób, których dane dotyczą (accessibility – dostępność – przyp. Auraco). Polityka prywatności jest zatem udostępniana i widoczna na wszystkich wewnętrznych stronach internetowych danej witryny, dzięki czemu osoba, której dane dotyczą, jest zawsze tylko jednym kliknięciem „oddalona” od potrzebnej informacji. Dostarczone informacje są również zaprojektowane zgodnie z najlepszymi praktykami i standardami uniwersalnego wzornictwa, aby były zrozumiałe dla wszystkich grup odbiorców (comprehensible – zrozumiałość – przyp. Auraco).

Ponadto niezbędne informacje muszą być również dostarczone we właściwym kontekście, w odpowiednim czasie (Relevance – powiązywalność – przyp. Auraco). Oznacza to, że generalnie polityka prywatności na samej stronie internetowej nie jest wystarczająca, aby administrator spełnił wymogi przejrzystości. Administrator projektuje zatem przepływ informacji, przedstawiając podmiotowi danych odpowiednie informacje w odpowiednich kontekstach, np. prosząc osoby, których dane dotyczą, o podanie danych osobowych.

Komentarz AURACO:

Odnośnie tego ostatniego akapitu ww. przykładu było zgłaszane w komentarzach szczególnie dużo krytycznych uwag od podmiotów opiniujących Wytyczne. Zarzucano EROD, że w tym zakresie był zbyt rygorystyczny.

2.(AKAPITY 62-63) Wdrożenie zasady LEGALNOŚCI w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Przetwarzanie danych osobowych, a w zasadzie każda z czynności na danych musi mieć legalne podstawy wynikające z art. 6 oraz 9 RODO.

Cel, który powinien postawić sobie administrator przy wdrażaniu procesów, czy to biznesowych, czy to wspomagających procesy biznesowe, to zapewnienie legalności zbieranych, utrwalanych i przetwarzanych w inny sposób danych osobowych.

Komentarz AURACO:

Służyć temu powinny środki i zabezpieczenia, do których odwołuje się art. 25 ust. 1 RODO. Dobór tych środków powinien być dokonywany z uwzględnieniem kryterium efektywności, o czym Auraco pisało w części III omówienie (https://auraco.pl/blog/projekt-wytycznych-nr-4-2019-europejskiej-rady-ochrony-danych-osobowych-poswieconych-domyslnej-ochronie-danych-osobowych-w-procesach-przetwarzania-danych-osobowych-czesc-3-analiza-artykulu/).

Do oceny prawidłowości doboru tych środków i zabezpieczeń EROD zaleca wziąć pod uwagę następujące czynniki:

Relavance – powiązanie

W tym przypadku oznacza to powiązanie czynności przetwarzania danych osobowych ze stosowną podstawą prawną.

Differentiation – zróżnicowanie

Administrator powinien być wyczulony na ustalenie właściwiej podstawy prawnej dla dokonywania czynności przetwarzania. Nie można założyć z góry, że każda czynność przetwarzania danych osobowych dokonywana jest w oparciu o tą samą podstawę prawną. Kluczowe jest tutaj powiązanie podstawy prawnej z celem, dla której czynność jest wykonywana.

Specifed purpose – określony cel

Każda czynność przetwarzania danych powinna ograniczać się do tego na co pozwala dana podstawa prawna.

Necessary – niezbędność

Czynności przetwarzania danych osobowych powinny być podejmowane wtedy, kiedy celów administratora nie uda się osiągnąć bez przetwarzania danych osobowych.

Komentarz AURACO:

Można w oparciu o to zalecenie EROD postawić tezę, że domyślnie każda czynność zmierzająca do osiągnięcia celów procesów biznesowych powinna opierać się o przetwarzanie innych danych niż osobowe. Domyślnie zatem administrator powinien ograniczać przetwarzanie danych osobowych tak jak tylko to możliwe, biorąc pod uwagę jego uzasadnione interesy oraz interesy osób, których dane zamierza przetwarzać.

Autonomy – informacyjne samookreślenie

Legalność czynności przetwarzania w aspekcie informacyjnego samookreślenia, to pozostawienie w największym stopniu osobie, której dane dotyczą, prawa do decydowania nie tylko o tym, jakie dane będą o nim przetwarzane, ale także nad tym, czy w ogóle będą przetwarzane.

Consent withdrawal – wycofywalność zgody

Administrator powinien, jeśli opiera w całości lub części przetwarzanie danych osobowych na zgodzie, zapewnić realną możliwość wycofania takiej zgody, a tym samym zatrzymania przetwarzania danych osobowych opartego o taką zgodę.

Komentarz AURACO:

To, że nie jest to trywialne zadanie, pokazuje najlepiej decyzja Prezesa UODO z dnia 16 października 2019 r., znak pisma ZSPR.421.7.2019, nakładająca karę za naruszenie RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym)[3].

Balancing of interests – zrównoważenie interesów

Jest to najbardziej pierwotna z przesłanek prawnych dla przetwarzania danych osobowych. To, czy i jakie dane osobowe można przetwarzać powinno być poprzedzone analizą tego, czy zasadne jest w świetle celów – które zamierza osiągnąć administrator – zebranie danych osobowych dla ich osiągnięcia. Ten rodzaj analizy dotyczy przede wszystkim sytuacji, w której administrator dla podstaw przetwarzania danych osobowych musi odwołać się do art. 6 ust. 1 lit. f RODO. EROD nakazuje, aby środki i zabezpieczenia wbudowane w przetwarzanie danych osobowych minimalizowały możliwe negatywne skutki dla praw i wolności osoby, której dane dotyczą, wynikające z faktu podjęcia tych czynności.

Predetermination – przesądzalność podstawy

Administrator danych w sposób świadomy powinien określić podstawę przetwarzania danych osobowych przed rozpoczęciem przetwarzania danych osobowych.

Cessation – ustanie

Administrator powinien zapewnić, aby proces przetwarzania danych osobowych ustawał, jeśli ustanie podstawa dla tego przetwarzania, np. zostanie uchylony przepis, w oparciu o który były zbierane dane osobowe, albo osoba, której dane dotyczą, wycofa zgodę na wykorzystanie jego danych osobowych do przesyłania oferty marketingowej.

Adjust – przystosowanie

W przypadku istotnej zmiany podstawy prawnej przetwarzania, rzeczywiste przetwarzanie musi być dostosowane do nowej podstawy prawnej. Ten czynnik jest ściśle powiązany z czynnikiem Differentiation – zróżnicowanie, omówiony powyżej.

Default configurations – ograniczenie podstawą

W kontekście realizacji zasady legalności domyślne ustawienie oznacza, że przetwarzanie musi ograniczać się do tego, co podstawa prawna ściśle uzasadnia.

Allocation of responsibility – ustalenie odpowiedzialności

Czynnik dotyczący sytuacji, w której cele oraz sposoby przetwarzania danych osobowych ustalają współadministratorzy. Współadministratorzy powinni (dla potrzeb ustalenia swojej odpowiedzialności za ochronę danych) precyzyjnie ustalić, co w zakresie ochrony tych danych będzie ich obciążać.

Komentarz AURACO:

Środkiem organizacyjnym, który może pomóc w realizacji tego celu, jest np. umowa o współadministrowanie, o której mowa w art. 26 RODO.

PRZYKŁAD do zasady legalności

Bank planuje zaoferować usługę poprawiającą efektywność w zarządzaniu wpływającymi do niego wnioskami kredytowymi.

Ideą tej usługi jest to, że bank, prosząc o zgodę klienta, może być w stanie pobrać dane od organów publicznych na temat klienta. Mogą to być na przykład dane z administracji podatkowej.

Początkowo dane osobowe są niezbędne do podjęcia kroków na wniosek osoby, której dane dotyczą, przed zawarciem umowy.

Jednakże ten konkretny sposób przetwarzania danych osobowych (pozyskanie danych z administracji podatkowej) nie jest konieczny do zawarcia umowy (Differentiation – zróżnicowanie – przyp. Auraco), ponieważ pożyczka może zostać udzielona bez uzyskania danych bezpośrednio od organów władzy publicznej (Relavance – powiązanie– przyp. Auraco).

Klient jest w stanie szybciej zawrzeć umowę, wyrażając zgodę na przekazanie przez administrację skarbową informacji na jego temat.

Wdrażając zasadę zgodności z prawem, administrator zdaje sobie sprawę, że nie może korzystać z podstawy “niezbędności do zawarcia umowy ” dla części przetwarzania, która polega na gromadzeniu danych osobowych bezpośrednio od organów podatkowych. Fakt, że to konkretne przetwarzanie stwarza ryzyko, że osoba, której dane dotyczą, będzie mniej zaangażowana w przetwarzanie ich danych, jest również istotnym czynnikiem przy ocenie zgodności z prawem samego przetwarzania. Bank stwierdza, że ta część przetwarzania musi opierać się na zgodzie (specifed purpose – określony cel– przyp. Auraco).

Bank przedstawia zatem informacje o przetwarzaniu na internetowej platformie aplikacyjnej w taki sposób, że ułatwia podmiotom danych zrozumienie, jakie przetwarzanie jest obowiązkowe, a co opcjonalne. Opcje przetwarzania, domyślnie, nie pozwalają na pobieranie danych bezpośrednio z innych źródeł niż osoba, której dane dotyczą (balancing of interests – zrównoważenie interesów – przyp. Auraco), a opcja bezpośredniego pobierania informacji jest przedstawiona w sposób, który nie zniechęca osoby, której dane dotyczą, do powstrzymania się od wyrażenia zgody (necessary – niezbędność– przyp. Auraco). Każda zgoda udzielona na zbieranie danych bezpośrednio od innych administratorów jest tymczasowym prawem dostępu do określonego zestawu informacji (predetermination – przesądzalność podstawy – przyp. Auraco).

Każda udzielona zgoda jest przetwarzana drogą elektroniczną w sposób udokumentowany, a osoby, których dane dotyczą, maja możliwość w łatwy sposób kontrolowania tego, na co wyrazili zgodę, oraz wycofania zgody (consent withdrawal – wycofywalność zgody – przyp. Auraco).

Administrator ocenił wcześniej te wymagania DPbDD i uwzględnia wszystkie te kryteria w specyfikacji wymagań dla oferty na zakup platformy (predetermination – przesądzalność podstawy– przyp. Auraco).

Administrator jest świadomy, że jeśli nie uwzględni wymogów DPbDD w ofercie, może być na to za późno, lub bardzo kosztowny będzie proces wdrożenia ochrony danych na późniejszym etapie działania platformy.

3.(AKAPITY 64 – 65) Wdrożenie zasady RZETELNOŚCI w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Autonomy – informacyjne samookreślenie

Osobom, których dane dotyczą, przyznaje się najwyższy możliwy stopień autonomii w odniesieniu do kontroli nad ich danymi osobowymi.

Komentarz Auraco:

W naszej ocenie kontrola ta może polegać na „wygaszaniu” celów, w jakich dane osobowe są lub mają być przetwarzane przez ich administratora. Np. cofanie zgody na wykorzystanie danych w celu przesyłania informacji handlowych. Innym przykładem będzie podejmowanie decyzji o udostępnieniu danych w bazach rekrutacyjnych do konkretnego pracodawcy.

Interaction – komunikatywność

Osoby, których dane dotyczą, muszą mieć możliwość komunikowania się i wykonywania swoich praw z administratorem.

Komentarz Auraco:

Wydaje się, że środkiem takim mógłby być dedykowany adres poczty elektronicznej przeznaczony do zgłaszania żądań związanych z wykonywaniem praw wynikających z RODO.

Expectation – uzasadnialność

Przetwarzanie powinno odpowiadać oczekiwaniom osób, których dane dotyczą. Osoba nie powinna być zaskakiwana działaniami podejmowanymi na danych jej dotyczących.

Komentarz Auraco:

Należy się zgodzić z uwagami zgłaszanymi na etapie opiniowania Wytycznych, że postawienie wymagania, aby przetwarzanie danych osobowych odpowiadało oczekiwaniom osób, których dane są przetwarzane, idzie zbyt daleko (patrz uwaga zgłoszona np. niemieckie stowarzyszenie firm ubezpieczeniowych (ang. the German Insurance Association (GDV)). Wystarczające będzie, jeśli administrator dopełni warunków przetwarzania, które będą odpowiadały uzasadnionym oczekiwaniom osób, których dane dotyczą.

Non-discrimination – równość

Administrator nie dyskryminuje osób, których dane dotyczą.

Non-exploitation – ograniczoność

Administrator nie może wykorzystywać wynikającej z danych osobowych informacji o potrzebach ani informacji o słabych punktów podmiotu danych.

Consumer choice – przenoszalność

Administrator nie powinien “blokować” swoich użytkowników. Za każdym razem, gdy usługa lub towar jest spersonalizowany lub zastrzeżony, może to spowodować blokadę usługi lub towaru. Jeśli zmiana administratorów danych jest trudna z tego powodu, może to być uznane za niesprawiedliwe.

Komentarz Auraco:

Wydaje się, że prawo do przenoszenia danych w tym wypadku przejawia się w tworzeniu takiego oprogramowania służącego do przetwarzania danych osobowych, które umożliwia „przenoszalność” danych pozyskanych od osoby, której dane dotyczą.

Power balance – zachowanie równowagi

Przewagę administratora wobec osoby, której dane dotyczą, wynikającą z dominującej pozycji tego pierwszego należy unikać lub ograniczać, jeśli to możliwe. Administratorzy nie powinni przenosić ryzyka przedsiębiorstwa na osoby, których dane dotyczą.

Respect rights and freedoms – uwzględnianie praw i wolności

Administrator musi przestrzegać podstawowych praw i wolności osób, których dane dotyczą, oraz wdrażać odpowiednie środki i zabezpieczenia, aby nie naruszać tych praw i wolności.

Ethical – etyczność

Administrator powinien dostrzec szerszy wpływ przetwarzania na prawa i godność jednostek.

Truthful – wiarygodność

Administrator musi działać tak, jak deklaruje, rozliczać się z tego, co robi, a nie wprowadzać w błąd osoby, których dane dotyczą.

Human intervention – zapewnienie interwencji człowieka

Administrator musi zapewnić interwencję człowieka, która jest w stanie zidentyfikować uprzedzenia, które maszyny mogą tworzyć w związku ze zautomatyzowanym indywidualnym podejmowaniem decyzji, o którym mowa w art. 22 RODO.

Fair algorithms – rzetelność profilowania

Osobom, których dane dotyczą, przekazuje się informacje na temat przetwarzania danych osobowych w oparciu o algorytmy analizujące lub prognozujące ich cechy, takie jak wydajność pracy, sytuacja gospodarcza, zdrowie, preferencje osobiste, wiarygodność lub zachowanie, lokalizacja lub przemieszczanie się.

PRZYKŁADY do zasady rzetelności

Przykład 1

Administrator obsługuje wyszukiwarkę, która przetwarza głównie dane osobowe generowane przez użytkowników. Administrator korzysta z posiadania dużych ilości danych osobowych i możliwości wykorzystania tych danych osobowych do ukierunkowanych reklam. Administrator chce zatem wpłynąć na osoby, których dane dotyczą, aby umożliwić mu szerokie gromadzenie i wykorzystywanie ich danych osobowych.

Wdrażając zasadę rzetelności i biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania, administrator zdaje sobie sprawę, że nie może przedstawić opcji na szersze gromadzenie danych w sposób, który skłaniać będzie podmiot danych do wyrażenia zgody na gromadzenia większej ilości dotyczących ich danych osobowych, niż gdyby ten scenariusz został przedstawiony w sposób równy i neutralny (non discrimination – równość – przyp. autora). Oznacza to, że nie mogą one przedstawiać opcji przetwarzania w taki sposób, aby osoby, których dane dotyczą, powstrzymały się od udostępniania swoich danych lub utrudniały podmiotom danych dostosowanie ustawień prywatności i ograniczenie przetwarzania. Domyślne opcje przetwarzania muszą być najmniej inwazyjne, a wybór dalszego przetwarzania musi być przedstawiony w sposób, który nie zachęca osoby, których dane dotyczą, do wyrażenia zgody (autonomy – informacyjne samookreślenie – przyp. autora).

Przykład 2

Administrator przetwarza dane osobowe w celu świadczenia usługi przesyłania strumieniowego, w której użytkownicy mogą wybierać między zwykłą subskrypcją standardowej jakości a subskrypcją premium o wyższej jakości. W ramach subskrypcji premium subskrybenci otrzymują priorytetową obsługę klienta. Priorytetowa obsługa klienta przyznana abonentom premium nie może dyskryminować praw innych osób, których dane dotyczą zgodnie z art 12 RODO (Non-discrimination – równość – przyp. autora). Oznacza to, że chociaż subskrybenci premium otrzymują priorytetową usługę, takie ustalanie priorytetów nie może skutkować brakiem odpowiednich środków, aby odpowiedzieć na żądanie zwykłych abonentów bez zbędnej zwłoki w zakresie realizacji ich praw wynikających z przepisów o ochronie danych osobowych, a w każdym razie w ciągu jednego miesiąca od otrzymania wniosków.

Priorytetowi klienci mogą płacić za lepszą obsługę, ale wszyscy, których dane dotyczą, mają równy i swobodny dostęp do egzekwowania swoich praw i wolności zgodnie z RODO.

4.(AKAPITY 66 – 67) Wdrożenie zasady OGRANICZENIA CELÓW PRZETWARZANIA w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Predetermination – przesądzalność celu

Uzasadnione cele należy ustalić przed projektem.

Komentarz Auraco:

Wydaje się, że uprzednie określenie celów powinno opierać się o trzy atrybuty: cel musi być konkretny (tak aby jego sformułowanie wskazywało, jakich danych wymagać będzie przetwarzanie), po drugie cel musi być wyraźny, tzn. przede wszystkim powinien być zakomunikowany osobie – której dane dotyczą – jasnym i prostym językiem, w odpowiedniej dla danego odbiorcy formie i sposobie przekazu.

Specificity – konkretność

Cele muszą być specyficzne dla przetwarzania i jasno określać, dlaczego dane osobowe są przetwarzane.

Purpose orientation – określenie granic przetwarzania

Cel przetwarzania powinien być ukierunkowany na projektowanie przetwarzania i wyznaczanie granic przetwarzania.

Necessity – konieczność

Cel określa, jakie dane osobowe są niezbędne do przetwarzania.

Compatibility – zgodność

Każdy nowy cel musi być zgodny z pierwotnym celem, dla którego dane zostały zebrane i skutkować odpowiednimi zmianami w projekcie.

Limit furhter processing – ograniczoność dalszego przetwarzania

Administrator nie powinien łączyć zbiorów danych ani wykonywać dalszego przetwarzania w nowych niezgodnych celach.

Komentarz Auraco:

Np. ograniczeniem dalszego przetwarzania będzie zdefiniowanie grup użytkowników, którym dane będą ujawniane, w tym użytkowników spoza organizacji, np. w postaci karty charakterystyki czynności przetwarzania.

Review – weryfikacja

Administrator musi regularnie sprawdzać, czy przetwarzanie jest niezbędne do celów, dla których dane zostały zebrane i przetestować proces z ograniczeniem celu.

Komentarz Auraco:

Np. ustawienie “alarmu”, z którym związana jest konieczność przejrzenie rekordów, mejli, plików, których założony okres przechowywania minął.

Technical limitation of reuse – ograniczoność techniczna ponownego wykorzystania

Ograniczenie techniczne ponownego wykorzystania – administrator powinien stosować środki techniczne, w tym haszowanie i kryptografię, w celu ograniczenia możliwości zmiany przeznaczenia danych osobowych.

PRZYKŁADY do zasady ograniczenia celu:

Administrator przetwarza dane osobowe swoich klientów. Celem przetwarzania jest wypełnienie umowy, czyli możliwość dostarczenia towaru na właściwy adres i uzyskania płatności. Przechowywane dane osobowe to historia zakupów, imię i nazwisko, adres, adres e-mail i numer telefonu.

Administrator rozważa zakup produktu do zarządzania relacjami z klientami (CRM), który gromadzi wszystkie dane klientów, takie jak sprzedaż, marketing i obsługa klienta w jednym miejscu. Produkt daje możliwość przechowywania wszystkich połączeń telefonicznych, działań, dokumentów, e-maili i kampanii marketingowych, aby uzyskać 360-stopniowy widok klienta. Ostatecznie CRM automatycznie analizuje siłę nabywczą klientów za pomocą informacji publicznych. Celem analizy jest lepsze ukierunkowanie reklamy, ale nie jest to część pierwotnego zgodnego z prawem celu przetwarzania.

Aby być zgodnym z zasadą ograniczenia celu, administrator wymaga od dostawcy produktu mapowania różnych działań przetwarzania przy użyciu danych osobowych w celach istotnych dla administratora. Innym wymogiem jest, aby produkt był w stanie oznaczyć, jaki rodzaj przetwarzania działań przy użyciu danych osobowych, nie jest zgodny z pierwotnym celem, dla których dane osobowe zostały zebrane.

Po otrzymaniu wyników mapowania, administrator ocenia, czy nowy cel marketingowy i cel reklamy mieszczą się w dotychczas określonych podstawach prawnych czy też potrzebują innej podstawy prawnej do tego przetwarzania. Alternatywnie administrator może zdecydować się nie korzystać z tej funkcji w produkcie.

5.(AKAPITY 68 – 71) Wdrożenie zasady MINIMALIZACJI DANYCH w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Relevance – istotność danych

Dane osobowe mają znaczenie dla danego przetwarzania, a administrator będzie w stanie wykazać to znaczenie.

Necessity – konieczność danych

Konieczność – Każdy element danych osobowych jest niezbędny do określonych celów i powinien być przetwarzany tylko wtedy, gdy nie jest możliwe spełnienie tego celu w inny sposób.

Data avoidance – unikanie przetwarzania danych

Unikaj przetwarzania danych osobowych w ogóle, gdy jest to możliwe w odpowiednim celu.

Komentarz Auraco:

W tym miejscu należy się zgodzić z uwagami zgłoszonych do projektu Wytycznych przez Dr. inż. Eike’a Wolfa z Austrii, który wskazał, że ten czynnik powinien stać się jedną z zasad wdrożenia DPbDD, a nie jednym z punktów strategii wdrożenia zasady minimalizacji danych (https://edpb.europa.eu/sites/edpb/files/webform/public_consultation_reply/comments_to_edpb_art25.pdf).

Limitation – ograniczalność ilości danych

Ogranicz ilość zgromadzonych danych osobowych do tego, co jest niezbędne do osiągnięcia celu przetwarzania.

Komentarz Auraco:

Np. formularz, w którym składane jest zamówienie, domyślenie wymaga danych, które są niezbędne do złożenia zamówienia na produkty w najprostszym wariancie, np. ściągnięcie audiobooka lub e-booka. Wraz ze zmianą parametrów zamówienia, dokonuje się zmiana wyglądu formularza, a kolejne pola “odświetlają” się jako wymagane, np. jeśli zamówiony produkt ma być doręczony w rzeczywistości na fizyczny adres, należy wymóc podanie tego adresu. Domyślnie adres powinien dotyczyć punktu odbioru dopiero kiedy klient zechce, aby doręczyć mu przesyłkę do domu – powinniśmy wymagać adresu doręczenia związanego ściśle z klientem. Wraz z “doświetlaniem” się nowych pól formularza powinny pojawiać się komunikaty wskazujące na cela przetwarzania danych osobowych związany z tymi nowymi danymi osobowymi.

Aggregation – agregowalność danych

Użyj zagregowanych danych, gdy jest to możliwe.

Pseudonymization – pseudonimizowanie danych

Pseudonimizowanie danych osobowych, gdy tylko nie jest już konieczne bezpośrednie zidentyfikowanie danych osobowych i oddzielne przechowywanie kluczy identyfikacyjnych.

Anonymization and deletion – anonimizacja i usuwanie danych

W przypadku, gdy dane osobowe nie są lub nie są już niezbędne do celu, dane osobowe są anonimizowane lub usuwane.

Data flow – dostępność danych

Przepływ danych jest wystarczająco wydajny, aby nie tworzyć większej liczby kopii lub punktów wejścia do gromadzenia danych niż jest to konieczne.

State of the art – uwzględnienie stanu wiedzy

Administrator powinien stosować dostępne i odpowiednie technologie w celu unikania i minimalizacji danych.

PRZYKŁADY do zasady minimalizacji:

Przykład 1

Księgarnia chce zwiększyć swoje przychody, sprzedając swoje książki online. Właściciel księgarni chce stworzyć znormalizowany formularz dla procesu zamawiania. Aby zapobiec sytuacji, w której klienci zapomnieliby podać wszystkie niezbędne informacje, właściciel księgarni sprawia, że wszystkie pola w formularzu są wymagane (jeśli nie wypełni wszystkich pól, to klient nie może złożyć zamówienia) za pomocą standardowego formularza kontaktowego. Właściciel sklepu internetowego początkowo korzysta ze standardowego formularza kontaktowego, w którym pyta o datę urodzenia klienta, numer telefonu i adres domowy. Jednak nie wszystkie pola w formularzu są absolutnie niezbędne do zakupu i dostarczania książek. Data urodzenia osoby, której dane dotyczą i numer telefonu nie są konieczne do zakupu produktu. Oznacza to, że nie można wymagać pól w formularzu internetowym, aby zamówić produkt. Ponadto zdarzają się sytuacje, w których adres nie będzie konieczny. Na przykład, przy zamawianiu e-booka klient może pobrać produkt, a jego adres nie musi być przetwarzany przez sklep internetowy.

Właściciel sklepu internetowego decyduje się zatem na utworzenie dwóch formularzy internetowych: jednego do zamawiania książek, z polem adresu klienta i jednego formularza internetowego do zamawiania e-booków bez pola adresu klienta.

Przykład 2

Przedsiębiorstwo transportu publicznego chce zebrać informacje statystyczne na podstawie tras podróżnych. Jest to przydatne w celu dokonania właściwych wyborów w sprawie zmian w rozkładach jazdy transportu publicznego i odpowiednich tras pociągów. Pasażerowie muszą zbliżyć bilet przed czytelnika za każdym razem, gdy wjeżdżają lub wychodzą ze środka transportu. Po przeprowadzeniu oceny ryzyka związanego z prawami i wolnościami pasażerów w odniesieniu do odbioru tras podróży pasażerów, administrator ustala, że możliwe jest zidentyfikowanie pasażerów na podstawie identyfikatora biletu. W związku z tym, ponieważ nie jest to konieczne do celów optymalizacji rozkładów transportu publicznego i tras pociągów, kontroler nie przechowuje identyfikatora biletu. Po zakończeniu podróży kontroler przechowuje tylko poszczególne trasy podróży, aby nie być w stanie zidentyfikować podróży połączonych z jednym biletem, zachowuje tylko informacje o oddzielnych trasach podróży.

W przypadkach, w których może istnieć ryzyko identyfikacji osoby wyłącznie na podstawie trasy podróży (może to być w przypadku obszarów oddalonych), kontroler wdraża środki w celu agregowania trasy podróży, takie jak cięcie początku i końca trasy.

Przykład 3

Firma kurierska ma na celu ocenę skuteczności swoich dostaw pod względem czasu dostawy, planowania obciążenia pracą i zużycia paliwa. Aby osiągnąć ten cel, kurier musi przetwarzać szereg danych osobowych dotyczących zarówno pracowników (kierowców), jak i klientów (adresy, przedmioty do dostarczenia, itp.). Ta operacja przetwarzania pociąga za sobą ryzyko zarówno monitorowania pracowników, co wymaga szczególnych zabezpieczeń prawnych, jak i śledzenia nawyków klientów poprzez znajomość dostarczonych przedmiotów w czasie. Ryzyko to można znacznie zmniejszyć dzięki odpowiedniej pseudonimizacji pracowników i klientów.

6.(AKAPITY 72 – 74) Wdrożenie zasady PRAWIDŁOWOŚCI DANYCH w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Dane osobowe są dokładne i aktualne, a wszelkie uzasadnione kroki muszą być podjęte w celu zapewnienia, że dane osobowe, które są niedokładne, biorąc pod uwagę cele, dla których są przetwarzane, są niezwłocznie usuwane lub korygowane.

Komentarz Auraco:

W tym miejscu należy się zwrócić uwagę na wyrok WSA w Warszawie z dnia 11 grudnia 2019 r. w sprawie o sygn. akt II SA/Wa 1030/19. W uzasadnieniu tego wyroku sąd administracyjny odnosząc się do zarzutów skarżącej decyzję PUODO, wydaną wobec spółki Bisnode sp. z o.o., stwierdził m.in., że zarzut Spółki, iż niemożliwe jest wykonanie przez nią decyzji organu i poinformowanie osób, których dane przetwarza, ponieważ nie wie, czy są one w dalszym ciągu aktualne, uderza w sposób pośredni w skarżącego. Zgodnie bowiem z art. 5 ust. 1 lit d RODO, na administratorze danych spoczywa m.in. obowiązek, aby dane które przechowuje były dokładnie i aktualne. „Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza. Rozporządzenie 2016/679 wymaga w art. 5 ust. 1, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą (a), aby były prawidłowe i w razie potrzeby uaktualniane (d).”

Data source – dokładność źródła danych

Źródła danych powinny być wiarygodne pod względem dokładności danych.

Degree of accuracy – dokładność danych

Każdy element danych osobowych musi być tak dokładny, jak to konieczne do określonych celów.

Measurably accurate – mierzalność dokładności danych

Zmniejsz liczbę nietrafionych odpowiedzi dotyczących rzetelności danych.

Verification – uzgadnianie aktualności danych

W zależności od charakteru danych, w odniesieniu do tego, jak często mogą się one zmieniać, administrator powinien zweryfikować poprawność danych osobowych u osoby, której dane dotyczą przed i na różnych etapach przetwarzania.

Erasure/rectification – usuwanie i sprostowywanie danych

Administrator musi niezwłocznie usunąć lub naprawić niedokładne dane.

Accumulated errors – unikanie powielania błędów

Administrator musi złagodzić efekt skumulowanego błędu w łańcuchu przetwarzania.

Access – umożliwienie samodzielnej weryfikacji danych

Osoby, których dane dotyczą, powinny mieć ogólny i łatwy dostęp do danych osobowych w celu kontrolowania dokładności i poprawiania w razie potrzeby.

Continued accuracy – utrzymywania dokładności

Dane osobowe powinny być dokładne na wszystkich etapach przetwarzania, testy dokładności powinny być przeprowadzane w krytycznych krokach.

Up to date – utrzymywanie aktualności danych

Dane osobowe są aktualizowane, jeśli jest to konieczne do celów przetwarzania.

Data design – ograniczenie nieaktualności lub niedokładności danych

Wykorzystanie cech projektowania technologicznego i organizacyjnego w celu zmniejszenia niedokładności.

Komentarz Auraco:

Lista rozwijalna z ograniczoną liczbą wpisów.

PRZYKŁADY do zasady dokładności danych:

Przykład 1

Bank chce wykorzystać sztuczną inteligencję (ang. Artificial Intelligence – AI) do profilowania klientów ubiegających się o kredyty bankowe jako podstawy do podejmowania decyzji. Przy określaniu, w jaki sposób należy opracować rozwiązania AI, bank określa środki przetwarzania, które muszą brać pod uwagę ochronę już w projekcie przy wyborze AI od dostawcy i przy podejmowaniu decyzji o uczeniu maszynowym AI.

Przy określaniu sposobu uczenia AI, administrator musi posiadać dokładne dane, aby osiągnąć dokładne wyniki. W związku z tym musi upewnić się, że dane wykorzystywane do uczenia AI są dokładne.

Zakładając, że administrator ma podstawę prawną do uczenia AI przy użyciu danych osobowych z dużej puli swoich dotychczasowych klientów, administrator wybiera pulę klientów, która jest reprezentatywna dla populacji, aby również uniknąć stronniczości.

Dane klientów są gromadzone z własnych systemów banku, gromadzących dane o historii płatności, transakcji bankowych, zadłużenia karty kredytowej.

Aby zapewnić, że dane wykorzystywane do uczenia AI są możliwie jak najdokładniejsze, administrator zbiera dane ze źródeł danych tylko z poprawnymi i aktualnymi informacjami.

Wreszcie bank sprawdza, czy AI jest wiarygodna i zapewnia niedyskryminacyjne wyniki. Gdy AI jest w pełni przeuczony i operacyjny, bank wykorzystuje wyniki w ramach oceny kredytu i nigdy nie będzie polegać wyłącznie na AI, aby zdecydować, czy udzielić pożyczek.

Bank dokona również przeglądu wiarygodności wyników badań AI w regularnych odstępach czasu.

Przykład 2

Administrator jest instytucją zdrowia, która szuka metod zapewniających integralność i dokładność danych osobowych w rejestrach pacjentów.

W sytuacjach, w których dwie osoby przybywają do instytucji w tym samym czasie i są traktowane tak samo, istnieje ryzyko ich pomylenia, jeżeli jedynym parametrem, który je oddziela, jest nazwa. Aby zapewnić dokładność, kontroler potrzebuje unikatowego identyfikatora dla każdej osoby, a zatem więcej informacji niż tylko nazwę klienta.

Instytucja, która korzysta z kilku systemów, zawierających dane osobowe klientów,musi upewnić się, że informacje związane z klientem są poprawne, dokładne i spójne we wszystkich systemach w dowolnym momencie. Instytucja zidentyfikowała kilka zagrożeń, które mogą pojawić się w przypadku zmiany informacji w jednym systemie, ale nie w innym.

Administrator decyduje się na ograniczenie ryzyka za pomocą techniki mieszania, która może służyć do zapewnienia integralności danych w czasopiśmie leczenia. Niezmienne podpisy skrótów są tworzone dla rekordów arkusza leczenia i pracownika skojarzonego z nimi, dzięki czemu wszelkie zmiany mogą być rozpoznawane, skorelowane i śledzone w razie potrzeby.

Komentarz Auraco:

W polskich warunkach „instytucja zdrowia” wskazana w przykładzie nie miałaby problemu – mamy PESEL.

7.(AKAPITY 75 – 77) Wdrożenie zasady OGRANICZENIA PRZECHOWYWANIA w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Administrator musi zapewnić, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to konieczne do celów, dla których dane osobowe są przetwarzane.

Data flow – ograniczenie zbędnego przechowywania

Administratorzy muszą uważać i dążyć do ograniczenia “tymczasowego” przechowywania danych osobowych.

Deletion – usunięcie danych gdy to niezbędne

Administrator musi zapewnić, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to konieczne do celów, dla których dane osobowe są przetwarzane.

Automation – automatyzacja usuwania danych

Usuwanie niektórych danych osobowych powinno być zautomatyzowane.

Storage criteria – określenie okresów przechowywania

Administrator musi określić, jakie dane i jak długo mają być przechowywania do osiągnięcia celów przetwarzania danych osobowych.

Enforcement of retention policies – egzekwowanie okresów przechowywania

Administrator musi egzekwować wewnętrzne zasady przechowywania i przeprowadzać testy tego, czy organizacja praktykuje swoje zasady.

Effectiveness of anonymization/deletion – weryfikowanie efektywności usuwania lub anonimizacji danych

Administrator upewnia się, że nie jest możliwe ponowne zidentyfikowanie anonimowych danych lub odzyskanie usuniętych danych, i powinien sprawdzić, czy jest to możliwe.

Disclose rationale – rozliczalność okresów przechowywania

Administrator musi być w stanie uzasadnić, dlaczego okres przechowywania jest niezbędny do danego celu, i ujawnić uzasadnienie okresu przechowywania.

Backups/logs – rozliczalność okresu zapasowych kopii danych

Administrator musi uzasadnić okres, przez który zamierza przechowywać dane na kopiach zapasowych oraz informacje pozwalające na przypisanie danego użytkownika systemu informatycznego z jego działaniami w systemie.

PRZYKŁAD do zasady ograniczenia okresu przechowywania danych:

Administrator gromadzi dane osobowe, gdzie celem przetwarzania jest administrowanie danymi o członkach stowarzyszenia. Dane osobowe dotyczące członków są usuwane po zakończeniu członkostwa.

Administrator wdrożył wewnętrzną procedurę przechowywania i usuwania danych. Zgodnie z nią pracownicy muszą ręcznie usunąć dane osobowe po zakończeniu okresu przechowywania. Pracownicy postępują zgodnie z procedurą regularnego usuwania i poprawiania danych z dowolnego urządzenia, z kopii zapasowych, dzienników, wiadomości e-mail i innych odpowiednich nośników pamięci masowej.

Aby usunięcie było bardziej skuteczne, administrator implementuje system do automatycznego i bardziej regularnego usuwania danych. System jest skonfigurowany do stosowania podanej procedury usuwania danych, która następnie odbywa się w predefiniowanych regularnych odstępach czasu, aby usunąć dane osobowe ze wszystkich nośników pamięci masowej firmy. Administrator regularnie przegląda i testuje zasady przechowywania.

8.(AKAPITY 78 – 80) Wdrożenie zasady INTEGRALNOŚCI I POUFNOŚCI w procesy przetwarzania danych osobowych z uwzględnieniem domyślnej i zaprojektowanej ochrony danych osobowych

Zasada bezpieczeństwa obejmuje dobrze znane właściwości bezpieczeństwa informacji – poufność, integralność i dostępność – które zwiększają odporność na przetwarzanie danych. Bezpieczeństwo danych osobowych zapobiega zarówno incydentom z naruszeniem ochrony danych, jak i ułatwia prawidłowe wykonywanie zadań związanych z przetwarzaniem danych, niezależnie od osób fizycznych, w celu wzmocnienia zasad i umożliwienia jednostkom korzystania z przysługujących im praw w sposób bezproblemowy.

Resilience – odporność przetwarzania

Przetwarzanie powinno być wystarczająco solidne, aby wytrzymać zmiany, wymagania regulacyjne, incydenty i cyberataki.

Backups/logs – dostępność kopi danych i logów

Należy zachować kopie zapasowe i dzienniki w zakresie niezbędnym do zabezpieczenia informacji, używać wpisów w logach i monitorowanie zdarzeń jako rutynowej kontroli bezpieczeństwa.

Information security management system (ISMS) – zarządzanie bezpieczeństwem informacji

Administrator posiada sprawne środki zarządzania zasadami i procedurami bezpieczeństwa informacji. W przypadku niektórych administratorów może to być możliwe za pomocą ISMS.

Risk analysis – analizowanie ryzyka bezpieczeństwa

Administrator ocenia ryzyko bezpieczeństwa w kontekście przetwarzania danych osobowych i ewidencjonuje zidentyfikowane ryzyka.

Access management – zarządzanie dostępem do danych

Tylko upoważniony personel ma dostęp do danych niezbędnych do wykonywania zadań związanych z przetwarzaniem.

Secure transfers – bezpieczne przekazywanie danych

Transfery danych są zabezpieczone przed nieautoryzowanym dostępem i zmianami.

Secure storage – bezpieczne przechowywanie danych

Przechowywanie danych musi być zabezpieczone przed nieautoryzowanym dostępem i zmianami.

Special protection – specjalna ochrona dla danych szczególnie chronionych

Specjalne kategorie danych osobowych powinny być chronione odpowiednimi środkami i w miarę możliwości oddzielone od reszty danych osobowych.

Komentarz Auraco:

Np. izolacja do oddzielnej podsieci, w której przetwarzane są dane o stanie zdrowia.

Pseudonymization – pseudonimizacja

Dane osobowe i kopie zapasowe/dzienniki powinny być pseudonimizowane jako środek bezpieczeństwa, aby zminimalizować ryzyko potencjalnych naruszeń danych, na przykład za pomocą haszowania lub szyfrowania.

Security incident response management – zarządzania naruszeniami ochrony danych

Wprowadzono procedury wykrywania, obsługi, zgłaszania i uczenia się na temat naruszeń danych.

Personal data breach handling – zgłaszania naruszeń ochrony danych osobowych

Integracja zarządzania obowiązkami zgłoszenia (do organu nadzorczego) i zawiadomieniami (dla osób, których dane dotyczą) w przypadku naruszenia ochrony danych w procedurze zarządzania incydentami bezpieczeństwa.

Maintenance and development – Utrzymanie i rozwój

Regularne przeglądanie i testowanie oprogramowania w celu wykrycia luk w zabezpieczeniach systemów wspierających przetwarzanie.

PRZYKŁAD do zasady integralności i poufności danych:

Administrator chce wyodrębnić dane osobowe z medycznej bazy danych na serwer w firmie. Firma oceniła ryzyko przekierowania wyciągów do serwera, który jest dostępny dla wszystkich pracowników firmy jako prawdopodobnie wysokie dla nienaruszalności praw i wolności osób, których dane dotyczą. W firmie jest tylko jeden dział, który musi przetwarzać dane pacjentów. Raporty będą miały również wysoką wartość dla firmy.

Aby uregulować dostęp i ograniczyć możliwe uszkodzenia spowodowane złośliwym oprogramowaniem, firma postanawia odseparować sieć i ustanowić kontrolę dostępu do serwera i katalogu. Ponadto, administrator wprowadził monitoring bezpieczeństwa oraz system wykrywania włamań i zapobiegania im. Administrator aktywuje kontrolę dostępu na serwerze i izoluje ją od rutynowego użycia. Wprowadzony jest zautomatyzowany system inspekcji w celu monitorowania dostępu i zmian. Raportowanie i automatyczne alerty są generowane z tego, gdy wystąpią zdefiniowane niepożądane zdarzenia związane z użyciem systemów. Ten środek bezpieczeństwa zapewnia wszystkim użytkownikom dostęp zgodnie z zasadą wiedzy uzasadnionej. Niewłaściwe użytkowanie można szybko i łatwo zidentyfikować.

Niektóre raporty muszą być porównywane z nowymi raportami, dlatego muszą być przechowywane przez trzy miesiące. Administrator decyduje się umieścić je w oddzielnych katalogach i zaszyfrować.

Procedura obsługi incydentów bezpieczeństwa sprawia, że system jest bardziej wiarygodny, zarówno dla administratora, jak i osób, których dane dotyczą. Administrator danych zdaje sobie sprawę, że w ramach całego przetwarzania danych osobowych należy włączyć środki techniczne i organizacyjne oraz zabezpieczenia, które zabezpieczą dane teraz i w przyszłości.

Administrator ustanawia te środki zarówno w celu zapewnienia dokładności, integralności i poufności, ale także w celu zapobiegania rozprzestrzenianiu się złośliwego oprogramowania przez cyberataki.

Podsumowanie

Rozdział III Wytycznych zawiera czynniki, które ze względu na swój ogólny charakter będą musiały znaleźć odbicie w konkretnych rozwiązaniach technicznych i organizacyjnych. Zbyt mało na ten temat wskazówek jest w Wytycznych. Adresaci Wytycznych pozostaną zatem w daleko idącej niepewności, czy np. wdrożenie przez nich zasady przejrzystości według wskazówek zwartych w Wytycznych (Wytyczne zawierają sześć takich czynników) rzeczywiście realizuje art. 25 ust. 1 i 2 RODO.

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_en;

[2] https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc 16 kwietnia 2020;

[3] https://uodo.gov.pl/decyzje/ZSPR.421.7.2019.