BLOG

Dowiedz się co jest naprawdę ważne.

Projekt wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych – Cześć 4 – Analiza artykułu 25 – Domyślna Ochrona Danych Osobowych (ang. Privacy by Default) (akapity do 39 do 57).

Wprowadzenie

Rozdział 2 Wytycznych skupia się na interpretacji wymagań wskazanych w art. 25 RODO oraz przybliża znacznie obowiązków prawnych nałożonych na administratora danych w tym przepisie.

W części III omówienia Wytycznych skupiliśmy się na zasadzie Privacy by Design, w tej części zostanie przedstawiona interpretacja przez EROD zasady z art 25 ust. 2 – Domyślna Ochrona Danych Osobowych (ang. Privacy by Default).

Ochrona danych osobowych jako domyślna

Domyślność dotyczy ustawień predefiniowanych na etapie oddawania użytkownikowi produktu lub usługi czy urządzenia (w przypadku tego ostatniego mowa o ustawieniach fabrycznych).

Domyślność ochrony danych leży zatem po stronie administratora danych wdrażającego oprogramowanie (własne lub przygotowane przez stronę trzecią) ewentualnie producenta urządzeń służących do przetwarzania danych osobowych. Ochrona danych osobowych jako domyślna może przejawiać się w:

  1. ilości danych osobowych zbieranych przy użyciu aplikacji lub urządzenie,
  2. zakresu czynności przetwarzania (np. rezygnujemy z profilowania danych – przyp. autora),
  3. okresy przechowywania danych,
  4. wreszcie domyślnie ograniczonego zakresu użytkowników danych.

Jeśli administrator korzysta z gotowego oprogramowania zobowiązany jest on do zbadania, czy funkcje dostępne w tym oprogramowaniu nie mają charakteru naruszającego prawa i wolności osób, których dane dotyczą, (np. poprzez przesyłanie danych do odbiorców, o których administrator nie był informowany – serwer na który wpływają informacje o błędach w działaniu aplikacji pojawiających się podczas pracy użytkowników – przyp. autora).

Ograniczanie domyślne powinny dotyczyć również środków organizacyjnych wspierających czynności przetwarzania (np. ograniczenie do minimum okresu przechowywania dokumentów pojemnikach na korespondencję kierowaną do poszczególnych odbiorców w ramach organizacji – przypis autora).

W ramach określania technicznych i organizacyjnych środków ograniczających ilość zbieranych danych EROD wskazuje również na konieczność uzasadnienia na etapie określania celów przetwarzania danych osobowych zestawu danych, które są niezbędne do realizacji każdego z nich. Pozwoli to uniknąć zbieranie danych w zakresie nadmiernym do tego, który jest niezbędny do osiągnięcia celu przetwarzania. (Wytyczne odsyłają w tym zakresie do Wytycznych Europejskiego Inspektora Ochrony Danych Osobowych z 25 lutego 2019 r. w sprawie oceny niezbędności i proporcjonalności środków, które ograniczają prawo do ochrony danych osobowych[1]).

Tak jak to wskazano wcześniej domyślna ochrona danych osobowych może przejawiać się w czterech aspektach.

Aspekt 1. Liczba danych osobowych

Liczba danych odwołuje się do ograniczeń w zakresie ilościowym i jakościowym.

Administrator musi rozważy nie tylko ilość danych osobowych, które będą zbierane w procesie, ale również rodzaj danych (dane „zwykłe” vs. szczególnie chronione – przyp. autora), kategorie danych (np. dane podstawowe), oraz rodzaje danych (np. imię i nazwisko, adres zamieszkania, itd. – przyp. autora). Decyzja co do ilości danych powinna uwzględniać wzrost ryzyka naruszenia praw i wolności osób, których dane dotyczą w zakresie naruszenia zasady poufności i integralności, minimalizacji danych oraz ograniczenia przechowywania, kiedy zbierane są ogromne ilości szczegółowych danych osobowych. Redukcja ryzyka polega w tym przypadku na zbieraniu mniejszej liczby szczegółowych danych. W każdym przypadku jednak domyślna ochrona danych osobowych nie pozwala administratorom na zbieranie danych na zapas.

Aspekt 2. Zakres czynności przetwarzania danych

Czynności przetwarzania danych osobowych, zdefiniowane w art. 4 pkt 2 RODO powinny być zredukowane do minimum. Sposób w jaki dane osobowe są przetwarzane rzutuje na to czy cel przetwarzania może zostać osiągnięty. Spośród sposobów przetwarzania danych osobowych administrator powinien wybierać te, które gwarantują osiągniecie celów przy jak najmniejszej częstotliwości operacji na danych jak również ilości operacji różnego rodzaju. Przy wyborze operacji przetwarzania danych osobowych administrator powinien kierować się również uzasadnionymi oczekiwaniami co do ich zakresu jakie może mieć osoba, od której dane osobowe są zbierane.

Aspekt 3. Okres przechowywania danych

Kryterium dla oceny czy okres przechowywania danych jest ustawiony domyślnie na właściwym poziomie jest to , czy dane są wciąż niezbędne do osiągnięcia celu przetwarzania. Jeśli nie, dane powinny być usunięte, w tym zanonimizowane. EROD wskazuje tutaj na opinię Grupy Roboczej art. 29 nr 05/2014[2]. W tym zakresie administrator powinien przyjąć procedurę okresowej kontroli danych pod kątem niezbędności ich przechowywania dla celów, dla których dane zostały zebrane. Powinny być one wbudowane w proces na samym początku jego uruchomienia.

Aspekt 4. Dostępność do danych

W tym zakresie administrator powinien ograniczyć dostęp na dwóch poziomach po pierwsze dane powinny być dostępne tylko tym, którzy potrzebują danych do wykonywania swoich zadań, a na drugim poziomie tylko do tych danych, które są im niezbędne do wykonywania zadań.

W związku z tym szczególną uwagę administratora powinny zwracać przypadki udostępnienia danych osobowych nieograniczonej liczbie odbiorców, np. poprzez ich publikację na stronie internetowej.

Szczególna uwaga administratora powinna zdaniem EROD polegać na uzyskiwaniu zgody podmiotu danych na tego rodzaju udostępnienie, chyba że przepisy prawa nakazują lub zezwalają na rozpowszechnienie danych osobowych.

Wytyczne zwracają w tym zakresie uwagę szczególnie na działanie wyszukiwarek internetowych, które pozwalają na katalogowanie danych do ich późniejszego wykorzystania. EROD wskazuję przykładowy sposób jak uniknąć nadmiernej dostępności do tego rodzaju danych. Mogłoby to być opublikowanie danych na stronie internetowej w nieczytelnej dla robotów przeszukujących sieć formie (ang. a „no-robot-textfile”).

W kolejnej części omówienia Wytycznych zajmiemy się najbardziej ich praktyczną częścią – wskazówkami jak zaimplementować do procesów przetwarzania danych osobowych zasady ochrony danych osobowych używając w tym celu wskazówek jakie niesie ze sobą DPbDD.

[1] EDPS. “Guidelines on assessing the necessity and proportionality of measures that limit the right to data protection”. 25 February 2019. edps.europa.eu/sites/edp/files/publication/19-0225_proportionality_guidelines_en.pdf

[2] Article 29 Working Party. “Opinion 05/2014 on Anonymisation Techniques”. WP 216, 10 April 2014. ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf