BLOG

Dowiedz się co jest naprawdę ważne.

Część 2 – Zakres. Projekt wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych

Część 2. Struktura Wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych

 

Wstęp

W części 1 cyklu poświęconego omówieniu projektu Wytycznych nr 4/2019[1] przedstawiliśmy jej strukturę. W części 2 omówimy ich zakres (od akapitu 1 do 4).

Zakres stosowania Wytycznych

ERODO[2] zwraca uwagę, że wskazówki dotyczące stosowania zasady Privacy by Design and Default przedstawione na gruncie art. 25 RODO powinny znaleźć zastosowanie również na gruncie wdrożenia przepisu art. 20 dyrektywy, tzw. „Dyrektywy policyjnej”[3] oraz art. 27 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE[4].

Mimo, że Wytyczne są skierowane przede wszystkich do administratorów EROD zachęca do kierowania się nimi także przez podmioty zaangażowane w przetwarzanie danych osobowych jako podmioty przetwarzające lub dostawcy oprogramowania oraz sprzętu używanego do przetwarzania danych osobowych. Dzięki przyjęciu do stosowania wytycznych administratorzy będą mieli łatwiejszy wybór dostawców, którzy pomogą spełnić wymagania nakładane na nich przez art. 25 RODO, szczególnie tych administratorów z sektora publicznego, którzy dokonują zakupu towarów lub usług w postępowaniu o zamówienia publiczne.

Kluczowym wymaganiem, osiowym można powiedzieć, jest według Wytycznych, możliwość wykazania, poprzez stosowanie DPbDD, że administrator efektywnie zapewnił poprzez stosowanie odpowiednich środków i zabezpieczeń zasad ochrony danych osobowych oraz praw i wolności osób, których dane dotyczą.

Wytyczne przedstawiają wykładnie wymagań przedstawionych w art. 25 RODO oraz omawiają wymagania prawne wynikające z tego przepisu. Określają ponadto kryteria certyfikacji na zgodność z art. 25 i rekomendacje do wdrożenia wytycznych dla podmiotów, którzy zdecydują się nimi kierować, czyli administratorów, podmiotów przetwarzających oraz dostawców oprogramowania oraz sprzętu używanego do przetwarzania danych osobowych.

 

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_en Konsultacje są otwarte do dnia 16 stycznia 2020 r.

[2] Pojęcia pisane wielką literą powinny być rozumiane w sposób, jaki został określony dla nich w części 1 niniejszego cyklu.

[3] 1.Państwa członkowskie zapewniają, by – uwzględniając stan wiedzy technicznej, koszt wdrożenia i charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wynikające z przetwarzania – administrator zarówno w czasie określania sposobów przetwarzania, jak i w czasie samego przetwarzania, miał obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja, które zostały zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszej dyrektywy oraz chronić prawa osób, których dane dotyczą. 4.5.2016 L 119/113 Dziennik Urzędowy Unii Europejskiej PL.

2.Państwa członkowskie zapewniają, by administrator wdrażał odpowiednie środki techniczne i organizacyjne w celu zapewnienia, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla każdego konkretnego celu przetwarzania. Obowiązek ten ma zastosowanie do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji osoby fizycznej nieokreślonej liczbie osób fizycznych.

[4] 1.Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz wynikające z przetwarzania ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu włączenia do procesu przetwarzania niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

2.Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.