Część 1. Struktura Wytycznych nr 4/2019 Europejskiej Rady Ochrony Danych Osobowych poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych

Podczas posiedzenia Europejskiej Rady Ochrony Danych Osobowych w dniach 12-13 listopada 2019 r. został przyjęty i poddany konsultacjom publicznym projekt wytycznych 4/2019 dotyczących artykułu 25 RODO poświęconych domyślnej ochronie danych osobowych w procesach przetwarzania danych osobowych (ang. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default)[1], zwany dalej “Wytycznymi”.

Wytyczne zawierają:

• Wstęp i 6 rozdziałów i wstęp.
• 86 ponumerowanych akapitów merytorycznych.
• 70 praktycznych wskazówek dotyczących wdrożenie DPbDD.
• 12 przykładów, które ilustrują zastosowanie wskazówek zawartych w Wytycznych.

Omówienie tematyki rozdziałów

Wstęp

Zawiera krótkie omówienie najważniejszych spraw poruszonych w Wytycznych.

Rozdział 1

Określa zakres wytycznych i krótkie wskazanie czego dotyczą poszczególne rozdziały.

Rozdział 2

Skupia się na interpretacji wymagań wskazanych w art. 25 RODO oraz przybliża znacznie obowiązków prawnych nałożonych na administratora danych w tym przepisie.

Rozdział 3 (najbardziej obfity w treści praktyczne)

Zawiera wykaz 70 praktycznych wskazówek (czynników), służących do wdrożenia DPbDD – (ang. key design and default elements) przyporządkowanych do 8 zasad ochrony danych osobowych wynikających z artykuł 5 RODO.

Rozdział 4

Omawia warunki na jakich administratorzy mogliby certyfikować w trybie art. 42 RODO przetwarzanie danych osobowych w zakresie zgodności z wymaganiami wynikającymi z art. 25 RODO.

Rozdział 5

Przypomina, że organy nadzoru Państw członkowskich mogą zgodnie z art. 58 ust. 2 RODO sprawdzać czy przetwarzanie danych przez administratora jest zgodne z zasadą domyślnej ochrony danych osobowych.

Rozdział 6

Wskazuje warunki, na jakich administratorzy, przetwarzający oraz dostawcy technicznych środków przetwarzania danych osobowych mogą sprawić, aby stosowania zasady domyślnej ochrony danych osobowych stało się ich przewagą w porównaniu do konkurencji, które nie stosuje tej zasady.

Bloki tematyczne

Spośród 86 ponumerowanych akapitów najistotniejsze w naszej opinii wydają się:

Akapit 6

 – wskazujący, że PDbDD może być stosowanych niezależnie od wielkości administratora;

Akapit 8

 – zawierający definicję  pojęcie „środków” użytego w art. 25 ust. 1 w kontekście zapewnienia ich efektywności przy wdrożeniu zasad ochrony danych osobowych;

Akapit 10

 – określa na czym polega zabezpieczenie realizacji praw i wolności w procesach przetwarzania danych osobowych w „pełnym cyklu życia danych osobowych”;

Akapit 12

 – określa desygnaty pojęcia praw i wolności osób, których dane dotyczą oraz zasad ochrony danych osobowych;

Akapit 16

 – zawiera wskazówki czym administrator powinien kierować się przy wyborze elementów, które będą „mierzyć” realizację przez niego zgodności z art. 25;

Akapit 18

 – omawia pojęcie „stanu wiedzy”, które powinno być przyjmowane przy określaniu sposobów przetwarzania;

Akapit 23

 -wskazuje co należy brać pod uwagę przy liczeniu „kosztów wdrożenia” przy określaniu sposobów przetwarzania;

Akapit 27

 – krótko wskazuje co należy rozumieć przez pojęcia – „charakteru”, „zakresu”, „kontekstu” oraz „celów” przetwarzania danych osobowych;

Akapit 35

– wskazuje jak aspekt czasu powinien być uwzględniany przez administratora danych przy wykazywaniu, że określnie sposób przetwarzania danych osobowych uwzględnia zasadę DPbDD;

Akapit 39

 – wskazuje jak rozumieć pojęcie „domyślnej” ochrony danych osobowych;

Akapit 47

 – z tego akapitu wynika, że bezpieczeństwo informacji powinno być  domyślnie uwzględniane we wszystkich systemach, transferach, rozwiązaniach i opcjach przy przetwarzaniu danych;

Akapit 50

– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „ilości zbieranych danych”;

Akapit 51

– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „zakresu przetwarzania danych”;

Akapit 52

– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „okresu przetwarzania danych”;

Akapit 53

– wskazuje jak należy rozumieć wymagane w art. 25 ust. 2 RODO organicznie „dostępności przetwarzania danych” w tym kontekście akapit 56. wskazuje przykładowo, w jaki sposób administrator może ograniczyć dostępność do danych osobowych publikowanych na stronach internetowych;

Akapit 54

– określa aspekty zasady domyślnej ochrony danych osobowych przy różnych sposobach wdrażania procedur przetwarzania danych osobowych;

Akapit 61

– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady przejrzystości;

Akapit 63

– określa kluczowe jedenaście elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady legalności;

Akapit 65

– określa kluczowe dziesięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady rzetelności;

Akapit 67

– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady ograniczenia celu;

Akapit 71

– określa kluczowe dziewięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady minimalizacji danych;

Akapit 74

– określa kluczowe dziesięć elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady prawidłowości;

Akapit 77

– określa kluczowe osiem elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady ograniczenia przetwarzania;

Akapit 80

– określa kluczowe dwanaście elementów przy weryfikowaniu czy DPbDD zostało uwzględnione na etapie wdrażania zasady integralności oraz poufności;

Akapit 86

– zawiera rekomendacje ERODO w zakresie efektywnego wdrożenia zasad ochrony danych osobowych;

Przykłady stosowania wytycznych w praktyce – krótkie omówienie

Przykład 1

Formułowanie polityki prywatności z uwzględnieniem zasady przejrzystości (wykorzystanie tzw. Wyskakujących okienek z informacją o zasadach przetwarzania danych osobowych)

Przykład 2

Wykorzystanie przez bank systemu informatycznego służącego do automatycznego wysyłania zapytań o osoby składające wnioski o pożyczkę w oparciu o zgodą na przetwarzanie danych osobowych składaną za pośrednictwem platformy internetowej.

Przykład 3

Wyszukiwarka internetową, zamierza wykorzystywać dane z zapytań użytkowników do kierowania do nich targetowanej reklamy.

Przykład 4

Obsługa zapytań i uwag użytkowników płatnego i nieodpłatnego kanału telewizji internetowej.

Przykład 5

Wykorzystanie systemy Customer Relationship Management (CRM) dla potrzeb marketing bezpośredniego.

Przykład 6

Wykorzystanie kanału sprzedaży internetowej przez właściciela księgarni do zamawiania elektronicznych i zwykłych książek.

Przykład 7

Zakład transportu publicznego zamierza wykorzystywać w celach statystycznych dane dotyczące tras przejazdu pasażerów korzystających z transportu publicznego.

Przykład 8

Firma transportowa zamierza wykorzystać dane dotyczące lokalizacji swoich pracowników w celu wyznaczenia tras, które będą najbardziej efektywne kosztowo.

Przykład 9

Bank zamierza wykorzystywać sztuczną inteligencję dla potrzeb profilowania konsumentów.

Przykład 10

Świadczeniodawca usług medycznych chce określić metodę jednoznacznej identyfikacji swoich pacjentów.

Przykład 11

Automatyczny system usuwania danych po ustaniu członkostwa w klubie.

Przykład 12

Tworzenie raportów dotyczących danych wrażliwych z bazy danych dostępnej w sieci spółki uwzględniającego ochronę przed naruszeniem poufności, integralności oraz dostępności do danych.

Zakończenie

W kolejnych artykułach dotyczących Wytycznych zostaną omówione ich poszczególne rozdziały.

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-42019-article-25-data-protection-design_en Konsultacje są otwarte do dnia 16 stycznia 2020 r.