Część 1. Struktura Wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych
Podczas posiedzenia Europejskiej Rady Ochrony Danych Osobowych w dniach 12-13 listopada 2019 r. został przyjęty i poddany konsultacjom publicznym projekt wytycznych 4/2019 dotyczących artykułu 25 RODO poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych (ang. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default)[1], zwany dalej “Wytycznymi”.
Wytyczne zawierają:
- Wstęp i 6 rozdziałów i wstęp.
- 86 ponumerowanych akapitów merytorycznych.
- 70 praktycznych wskazówek dotyczących wdrożenie DPbDD.
- 12 przykładów, które ilustrują zastosowanie wskazówek zawartych w Wytycznych.
Omówienie tematyki rozdziałów
Wstęp
Zawiera krótkie omówienie najważniejszych spraw poruszonych w Wytycznych.
Rozdział 1
Określa zakres wytycznych i krótkie wskazanie czego dotyczą poszczególne rozdziały.
Rozdział 2
Skupia się na interpretacji wymagań wskazanych w art. 25 RODO oraz przybliża znacznie obowiązków prawnych nałożonych na administratora danych w tym przepisie.
Rozdział 3 (najbardziej obfity w treści praktyczne)
Zawiera wykaz 70 praktycznych wskazówek (czynników), służących do wdrożenia DPbDD – (ang. key design and default elements) przyporządkowanych do 8 zasad ochrony danych osobowych wynikających z artykuł 5 RODO.
Rozdział 4
Omawia warunki na jakich administratorzy mogliby certyfikować w trybie art. 42 RODO przetwarzanie danych osobowych w zakresie zgodności z wymaganiami wynikającymi z art. 25 RODO.
Rozdział 5
Przypomina, że organy nadzoru Państw członkowskich mogą zgodnie z art. 58 ust. 2 RODO sprawdzać czy przetwarzanie danych przez administratora jest zgodne z zasadą domyślnej ochrony danych osobowych.
Rozdział 6
Wskazuje warunki, na jakich administratorzy, przetwarzający oraz dostawcy technicznych środków przetwarzania danych osobowych mogą sprawić, aby stosowania zasady domyślnej ochrony danych osobowych stało się ich przewagą w porównaniu do konkurencji, które nie stosuje tej zasady.
Bloki tematyczne
Spośród 86 ponumerowanych akapitów najistotniejsze w naszej opinii wydają się:
Akapit 6
– wskazujący, że PDbDD może być stosowanych niezależnie od wielkości administratora;
Akapit 8
– zawierający definicję pojęcie „środków” użytego w art. 25 ust. 1 w kontekście zapewnienia ich efektywności przy wdrożeniu zasad ochrony danych osobowych;
Akapit 10
– określa na czym polega zabezpieczenie realizacji praw i wolności w procesach przetwarzania danych osobowych w „pełnym cyklu życia danych osobowych”;
Akapit 12
– określa desygnaty pojęcia praw i wolności osób, których dane dotyczą oraz zasad ochrony danych osobowych;
Akapit 16
– zawiera wskazówki czym administrator powinien kierować się przy wyborze elementów, które będą „mierzyć” realizację przez niego zgodności z art. 25;
Akapit 18
– omawia pojęcie „stanu wiedzy”, które powinno być przyjmowane przy określaniu sposobów przetwarzania;
Akapit 23
-wskazuje co należy brać pod uwagę przy liczeniu „kosztów wdrożenia” przy określaniu sposobów przetwarzania;
Akapit 27
– krótko wskazuje co należy rozumieć przez pojęcia – „charakteru”, „zakresu”, „kontekstu” oraz „celów” przetwarzania danych osobowych;
Akapit 35
– wskazuje jak aspekt czasu powinien być uwzględniany przez administratora danych przy wykazywaniu, że określnie sposób przetwarzania danych osobowych uwzględnia zasadę DPbDD;
Akapit 39
– wskazuje jak rozumieć pojęcie „domyślnej” ochrony danych osobowych;
Akapit 47
– z tego akapitu wynika, że bezpieczeństwo informacji powinno być domyślnie uwzględniane we wszystkich systemach, transferach, rozwiązaniach i opcjach przy przetwarzaniu danych;
Akapit 50
– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „ilości zbieranych danych”;
Akapit 51
– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „zakresu przetwarzania danych”;
Akapit 52
– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „okresu przetwarzania danych”;
Akapit 53
– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „dostępności przetwarzania danych” w tym kontekście akapit 56. wskazuje przykładowo, w jaki sposób administrator może ograniczyć dostępność do danych osobowych publikowanych na stronach internetowych;
Akapit 54
– określa aspekty zasady domyślnej ochrony danych osobowych przy różnych sposobach wdrażania procedur przetwarzania danych osobowych;
Akapit 61
– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady przejrzystości;
Akapit 63
– określa kluczowe jedenaście elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady legalności;
Akapit 65
– określa kluczowe dziesięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady rzetelności;
Akapit 67
– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady ograniczenia celu;
Akapit 71
– określa kluczowe dziewięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady minimalizacji danych;
Akapit 74
– określa kluczowe dziesięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady prawidłowości;
Akapit 77
– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady ograniczenia przetwarzania;
Akapit 80
– określa kluczowe dwanaście elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady integralności oraz poufności;
Akapit 86
– zawiera rekomendacje ERODO w zakresie efektywnego wdrożenia zasad ochrony danych osobowych;
Przykłady stosowania wytycznych w praktyce – krótkie omówienie
Przykład 1
Formułowanie polityki prywatności z uwzględnieniem zasady przejrzystości (wykorzystanie tzw. Wyskakujących okienek z informacją o zasadach przetwarzania danych osobowych)
Przykład 2
Wykorzystanie przez bank systemu informatycznego służącego do automatycznego wysyłania zapytań o osoby składające wnioski o pożyczkę w oparciu o zgodą na przetwarzanie danych osobowych składaną za pośrednictwem platformy internetowej.
Przykład 3
Wyszukiwarka internetową, zamierza wykorzystywać dane z zapytań użytkowników do kierowania do nich targetowanej reklamy.
Przykład 4
Obsługa zapytań i uwag użytkowników płatnego i nieodpłatnego kanału telewizji internetowej.
Przykład 5
Wykorzystanie systemy Customer Relationship Management (CRM) dla potrzeb marketing bezpośredniego.
Przykład 6
Wykorzystanie kanału sprzedaży internetowej przez właściciela księgarni do zamawiania elektronicznych i zwykłych książek.
Przykład 7
Zakład transportu publicznego zamierza wykorzystywać w celach statystycznych dane dotyczące tras przejazdu pasażerów korzystających z transportu publicznego.
Przykład 8
Firma transportowa zamierza wykorzystać dane dotyczące lokalizacji swoich pracowników w celu wyznaczenia tras, które będą najbardziej efektywne kosztowo.
Przykład 9
Bank zamierza wykorzystywać sztuczną inteligencję dla potrzeb profilowania konsumentów.
Przykład 10
Świadczeniodawca usług medycznych chce określić metodę jednoznacznej identyfikacji swoich pacjentów.
Przykład 11
Automatyczny system usuwania danych po ustaniu członkostwa w klubie.
Przykład 12
Tworzenie raportów dotyczących danych wrażliwych z bazy danych dostępnej w sieci spółki uwzględniającego ochronę przed naruszeniem poufności, integralności oraz dostępności do danych.
Zakończenie
W kolejnych artykułach dotyczących Wytycznych zostaną omówione ich poszczególne rozdziały.
[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_en Konsultacje są otwarte do dnia 16 stycznia 2020 r.