BLOG

Dowiedz się co jest naprawdę ważne.

Projekt wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych – Cześć 3 – Analiza artykułu 25 – Data protection by Design.

Wprowadzenie

Rozdział 2 Wytycznych Skupia się na interpretacji wymagań wskazanych w art. 25 RODO oraz przybliża znacznie obowiązków prawnych nałożonych na administratora danych w tym przepisie.

W tej części omówienia Wytycznych zostanie przedstawiona interpretacja przez EROD zasady z art 25 ust. 1 – Privacy by design.

Prawa i wolności osoby, której dane dotyczą, zasady ochrony danych osobowych (akapit 12-13)

Omówienie rozdziału Wytycznych należy jak się wydaje rozpocząć od przedstawienia pojęć – prawa i wolności osoby, której dane dotyczą oraz zasad ochrony danych osobowych, które to wartości zgodnie z art. 25 ust. 1 RODO są tym, czym kierować się powinien administrator dobierając odpowiednio środki techniczne i organizacyjne służące do przetwarzania danych osobowych oraz przy projektowaniu zabezpieczeń chroniących prawa i wolności osób fizycznych.

Zasady ochrony danych osobowych, o których mowa w art. 25 ust. 1 to zestaw 10 zasad wynikających z art. 5, tj.

  1. zgodność z prawem
  2. rzetelność
  3. przejrzystość
  4. ograniczenie celu
  5. minimalizacja danych
  6. prawidłowość
  7. ograniczenie przechowywania
  8. integralność
  9. poufność
  10. rozliczalność

Prawa osoby, której dane dotyczą, to z kolei zestaw 38 praw wynikających z art. 12-22 RODO, tj.

  1. prawo do być informowanym o przetwarzaniu danych osobowych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie
  2. prawo do bycia informowanym jasnym i prostym językiem
  3. prawo do uzyskania informacji na temat przetwarzania dotyczących jej danych bez zbędnej zwłoki nie później niż miesiąc a w razie potrzeby nie później niż dwa miesiące od dnia wpłynięcia żądania
  4. prawo do uzyskania informacji o przetwarzaniu danych osobowych bez opłat – co do zasady
  5. prawo do uzyskania informacji o tożsamość i danych kontaktowych administratora
  6. prawo do uzyskania informacji o tożsamość i danych kontaktowych przedstawiciela administratora, o którym mowa w art. 27
  7. prawo do uzyskania informacji o istotnych postanowieniach z umowy o współadministrowanie danymi
  8. prawo do uzyskania informacji o danych kontaktowych inspektora ochrony danych
  9. prawo do uzyskania informacji o celach przetwarzania
  10. prawo do uzyskania informacji o podstawach przetwarzania, z art. 6 i 9 RODO
  11. prawo do uzyskania informacji o prawnie uzasadnione interesy realizowane przez administratora danych lub przez stronę trzecią, jeżeli podstawę prawną przetwarzania stanowią uzasadnione interesy (art. 6 ust. 1 lit. f)
  12. prawo do uzyskania informacji o kategoriach danych osobowych
  13. prawo do uzyskania informacji o odbiorcach danych osobowych (lub o kategoriach odbiorców)
  14. prawo do uzyskania informacji o szczegółach przekazań do państw trzecich, faktu ich przekazania oraz szczegóły dotyczące stosownych zabezpieczeń (w tym stwierdzenia lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony)
  15. prawo do uzyskania informacji o sposobach uzyskania kopii zabezpieczeń danych osobowych przekazywanych do państw trzecich lub informacje o miejscu ich udostępnienia
  16. prawo do uzyskania informacji o okresach przechowywania (a gdy nie jest to możliwe, kryteria ustalania tego okresu)
  17. prawo do uzyskania informacji o prawach przysługujących osobie, której dane dotyczą osoby, tj. prawa dostępu; sprostowania; usunięcia; ograniczenia przetwarzania; sprzeciwu wobec przetwarzania oraz przenoszenia, prawie do cofnięcia zgody w dowolnym momencie, prawie wniesienia skargi do organu nadzorczego
  18. prawo do uzyskania informacji o tym, czy istnieje wymóg prawny lub umowny dotyczący przedstawienia danych osobowych, czy przedstawienie danych osobowych jest warunkiem zawarcia umowy lub czy istnieje obowiązek przedstawienia informacji oraz jakie są ewentualne konsekwencje ich nieprzedstawienia
  19. prawo do uzyskania informacji o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródła publicznie dostępnego
  20. prawo do uzyskania informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – w stosownych przypadkach – istotne informacje o zasadach ich podejmowania oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą
  21. prawo do uzyskania informacji o zamiarze zmiany przez administratora celu, w jakim dane osobowe zostały zebrane
  22. prawo uzyskania informacji, czy przetwarzane są informacje na jej temat
  23. prawo do uzyskania dostępu do treści danych – ich kopii
  24. prawo do sprostowania danych, które są nieprawidłowe
  25. prawo do żądania uzupełnienia niekompletnych danych
  26. prawo do żądania usunięcia danych
  27. prawo do żądania ograniczenia przetwarzania danych osobowych
  28. prawo do żądania informacji o odbiorcach danych osobowych
  29. prawo do żądania poinformowania odbiorców danych, o zgłoszonych przez osobę, której dane dotyczą żądaniach sprostowania lub usunięcia lub ograniczenia przetwarzania danych osobowych
  30. prawo do otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczące, które dostarczyła administratorowi
  31. prawo do przesłania danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony pierwotnego administratora
  32. prawo do żądania od administratora przesłania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczące, które dostarczyła administratorowi, bezpośrednio innemu administratorowi
  33. prawo do wniesienia sprzeciwu – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych osobowych na podstawie art. 6 ust. 1 lit. e) lub f)
  34. prawo do wniesienia sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne, w związku z korzystaniem z usług świadczonych drogą elektroniczną
  35. prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec osoby, której dane dotyczą skutki prawne lub w podobny sposób istotnie na nią wpływa
  36. prawo do uzyskania interwencji ludzkiej ze strony administratora w przypadku automatyzacji decyzji, w tym profilowania
  37. prawo do wyrażenia własnego stanowiska w przypadku automatyzacji decyzji, w tym profilowania
  38. prawo do zakwestionowania decyzji uzyskanej w wyniku automatycznego przetwarzania, w tym profilowania

Wolności osoby, której dane dotyczą

Na etapie projektowania procesu przetwarzania danych osobowych powinny być zapewniane następujące wolności osoby, której dane dotyczą (wynikające z motywu 4 RODO), wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej.

Wbudowanie zasady w procesy przetwarzania danych osobowych (akapity 14-16)

Wytyczne wskazują, że podstawowym kryterium przy ocenie, na ile administratorowi udało się wdrożyć art. 25 RODO w swojej organizacji jest skuteczność w ochronie praw i wolności oraz zapewnienia stosowania zasad ochrony danych osobowych.

Płyną z tego założenia dwa wnioski:

  1. Odpowiedni poziom ochrony danych osobowych w procesie nigdy nie jest dany raz na zawsze. Zgodnie z tym wnioskiem na administratorze spoczywa obowiązek mierzenia, czy zastosowane przez niego w procesie środki techniczne i organizacyjne i wdrożone zabezpieczenia są w dalszym ciągu skuteczne (patrz uwagi dot. czasu przetwarzania danych osobowych).
  2. Miarą skuteczności realizacji zasady Privacy by Design jest to, na ile kluczowe czynniki skuteczność wskazane w rozdziale 3[1] występują w procesie przetwarzania danych, np. jako wymiar skuteczności w zapewnieniu minimalizacji danych (zasada z art. 5 ust. 1 lit. c. RODO) jest wykazanie, że zastosowano w procesie pseudonimizację danych. Administrator musi być w stanie wykazać, że stosuje te czynniki. Mogą one być mierzone jakościowo lub ilościowo.

Zobowiązanie do wdrożenie w proces przetwarzania danych osobowych odpowiednich technicznych i organizacyjnych środków i niezbędnych zabezpieczeń (akapity 7 – 11)

Wytyczne wskazują, że zarówno wdrożenie w proces przetwarzania danych osobowych odpowiednich środków technicznych i organizacyjnych a także odpowiednich zabezpieczeń powinno służyć zapewnieniu przestrzegania zasad ochrony danych osobowych oraz praw i wolności osób, których dane będą przetwarzane.

Przez pojęcie „środków” EROD rozumie metodę lub sposób, które mogą być zastosowane w procesie. To szerokie rozumienie pojęcia „środków”. „Odpowiedniość” zastosowanych środków, na którą wskazuje art. 25 ust. 1, podlega ocenie według tego, na ile zastosowane środki w sposób efektywnych uwzględniają zasady ochrony danych osobowych redukując przy okazji ryzyka naruszenia praw i wolności osób, których dane dotyczą.

ERODO podkreśla w wytycznych, że nie ma wymogu stosowania wyspecjalizowanych środków. Mogą być nimi także zwykłe szkolenia dla personelu, z których będzie wynikać, jak należy postępować z danymi osobowym, np. klientów administratora.

Wdrożenie odpowiednich zabezpieczeń powinno być uwzględniane jako drugą, kolejną linię ochrony w procesie przetwarzania danych osobowych.

Wytyczne wskazują na następujące przykłady takich zabezpieczeń: umożliwienie w procesie przetwarzania danych osobowych interwencji osoby, której dane są przetwarzane, jeśli są one wykorzystywane w celu automatyzacji decyzji w sprawach indywidulanych (patrz. wynikające z art. 22 prawo do wyrażenia własnego stanowiska i do zakwestionowania zautomatyzowanej decyzji), automatyczne przekazywanie osobie, której dane dotyczą informacji o zakresie danych osobowych przechowywanych na jej temat (art. 14 ust. 2), ustanowienie automatycznego przypomnienia w bazie danych wskazującego, że dany rekord wymaga usunięcia, ze względu na upływ czasu, a jakim dane mogą być legalnie przetwarzane (art. 17), system wykrywania włamań do sieci komputerowej oraz szkolenie użytkowników o ryzykach jakie może przynieść ze sobą phishing (ochrona prywatności)

Czasami stosowany środek może stanowić jednocześnie technicznych środek przetwarzania danych osobowych oraz ich zabezpieczenia. Przykładem takiego środka jest pseudonimizacja danych zdefiniowana w art. 4 pkt 5 (pseudonimizację można osiągnąć za pomocą stosowanie wobec danych funkcji haszujących lub szyfrujących)

 

Warunki doboru, wdrożenia, oceny i monitorowania odpowiednich środków technicznych i organizacyjnych oraz zabezpieczeń w procesie przetwarzania danych osobowych.

Dobór odpowiednich środków organizacyjnych i technicznych oraz stosowanych zabezpieczeń powinien uwzględniać następujące uwarunkowania:

  1. charakter, zakres, kontekst i cel przetwarzania danych osobowych
  2. ryzyka o różnym prawdopodobieństwie wystąpienia dla praw i wolności osób fizycznych wynikające z różnej podatności na zagrożenie związane z przetwarzaniem danych osobowych
  3. stan wiedzy w dziedzinie ochrony danych osobowych
  4. koszty wdrożenia
  5. moment dokonania doboru środków

Ryzyka związane z przetwarzaniem danych osobowych oraz charakter, zakres, kontekst i cel przetwarzania danych osobowych (akapity od 25 do 31)

ERODO przypomina, że art. 25 RODO stanowi jeden z wielu przepisów, w którym RODO ustanawia podejście do ochrony danych osobowych oparte o analizę ryzyka dla danych osobowych, jakie związane jest z ich przetwarzaniem.

Celem analizy ryzyka jest ustalenie powagi ryzyka negatywnych skutków dla praw i wolności osób, których dane dotyczą, czyli prawdopodobieństwo wystąpienia tych negatywnych skutków dla osoby, której dane dotyczą i ich dolegliwość.

Kryteria oceny ryzyka opierają się o analizę: zasobów podlegających ochronie, zagrożeń dla praw i wolności osób, których dane dotyczą i wreszcie charakteru, zakresu, kontekstu i celu przetwarzania.

ERODO wskazuje, że dla potrzeb dokonania analizy przydatne będą wytyczne Grupy Roboczej art. 29 z 2017 r. „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679

W ramach analizy ryzyka administrator musi uwzględnić takie czynniki jak charakter, zakres, kontekst i cele przetwarzania danych osobowych.

Wytyczne stosunkowo niewiele mówią na ten temat (akapity od 25 do 27). Wskazano jedynie, że charakter przetwarzania może być rozumiany jako szczególne cechy tkwiące w samym przetwarzaniu; zakres odnosi się do skali i zakresu przetwarzania; kontekst odnosi się do okoliczności, w których następuje przetwarzanie, które mogą wpływać na oczekiwania osób, których dane są przetwarzane, co do poziomu ich ochrony, a cel dotyczy wyników, jakie przetwarzanie ma osiągnąć.

Stan wiedzy w dziedzinie ochrony danych osobowych

Wyniki analizy ryzyka powinny dostarczyć informacji na ile prawa i wolności osób, których dane są przetwarzane, są efektywnie (faktycznie) chronione.

Jak to było już wyżej wskazane ERODO kładzie nacisk na ocenę, czy ochrona jest skuteczna. Jeśli okazałoby się, że zaprojekowany sposób przetwarzania danych osobowych nie jest w sposób dostateczny „wyposażony” w środki techniczne i organizacyjne oraz zabezpieczenia służące tej ochronie, administrator powinien go „doposażyć” tam gdzie to niezbędne a dodatkowo uzasadnić, że zrobił to w sposób efektywny.

Pytanie pozostaje jednak, jakie powinny być to środki? Innymi słowy administrator musi sobie odpowiedzieć na pytanie, które środki w ramach procesu przetwarzania danych osobowych będą skuteczne na tyle, że poziom ryzyka będzie dla niego akceptowalny.

W tym zakres ERODO odwołuje się do pojęcia „stanu wiedzy” (ang. state od the art.), czyli innymi słowy obiektywnego „punktu odniesienia”; do istniejącego postępu technologicznego w danej dziedzinie. Wytyczne wskazują zatem, że administrator powinien posiadać i pozyskiwać aktualną wiedzę na temat postępu technicznego w dziedzinie technologii ochrony danych osobowych podczas ich przetwarzania. Wynika z tego zatem, że proces oceny stanu wiedzy powinien mieć charakter dynamiczny.

Wytyczne wskazują również, że stan wiedzy w dziedzinie ochrony danych osobowych odnosić należy nie tylko do środków technicznych, ale również organizacyjnych.

W związku z tym, jako sposób prezentacji aktualnych standardów ochrony pomocne może być wykazanie się posiadaniem certyfikatów potwierdzających zgodność z normami bezpieczeństwa.

W przypisie to akapitu 18 ERODO wskazuje, że przykładem definiowania stanu wiedzy w dziedzinie zabezpieczeń IT mogą być wytyczne opublikowane pod adresem: www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/.

Koszt wdrożenie zabezpieczeń (akapit 23-24)

EROD podkreśla, że koszty związane z wdrożeniem środków technicznych oraz organizacyjnych to nie tylko środki finansowe, ale także zasoby ludzkie zaangażowane we wdrożenie oraz czas przez jaki te środki musiałby być wdrażane.

Generalnie Wytyczne wskazują, że nieposiadanie dostatecznych zasobów nie zwalnia administratora z obowiązku stosowania art. 25. W skrajnym wypadku administrator powinien zrezygnować z procesu przetwarzania danych osobowych, jeśli „nie stać go” na odpowiednie zabezpieczenie przetwarzanych w nim danych osobowych.

Moment dokonania doboru środków (akapity 32-38)

Wytyczne wskazuję, że dobór środków co do zasady powinien być dokonywany tak wcześnie, jak to tylko możliwe. Efektywność zastosowanych środków jest największa wtedy, kiedy można „wbudować” je w proces przetwarzania, zanim dokona się wydatków na konkretne rozwiązania organizacyjne lub techniczne służące przetwarzaniu danych.

Te sposoby przetwarzania danych (ang. means of processing) to architektura, procedury, protokoły, wygląd oraz układ.

Moment dokonywania oceny (ang. time of determination) to moment, w którym administrator dokonuje wyboru sposób przetwarzania danych.

Dodatkowo na administratorze spoczywa obowiązek monitorowania w każdym przypadku, gdy zmianie uległa charakter, zakres, kontekst i cele przetwarzania danych osobowych, czy wdrożone zabezpieczenia i środki techniczne oraz organizacyjne są skuteczne i poziom, ustalony na początku nie uległ obniżeniu.

Na zakończenie tej części omówienia Wytycznych warto wskazać, że zasada Privacy by Design powinna być uwzględniane przez administratorów niezależnie od ich wielkości i przedmiotu działalności.

[1] Czynniki skuteczności zapewnienia ochrony danych osobowych zostaną omówione w kolejnej części artykułu.