BLOG

Dowiedz się co jest naprawdę ważne.

Wytyczne nr 4/2009 w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych – wersja po publicznych konsultacjach.

Wstęp

Dnia 20 października 2020 na swojej czterdziestej sesji plenarnej Europejska Rada Ochrony Danych Osobowych (EROD) przyjęła ostateczną (pierwsza wersja poddana konsultacji pochodziła z listopada 2019 r.) wersję Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (zwanych dalej „Wytycznymi” lub „Wytycznymi w wersji 10.2020”).

Wytyczne koncentrują się na obowiązku uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO.

Co się zmieniło w stosunku do pierwotnej wersji:

1.EROD zrezygnowała z języka obowiązku na rzecz języka zalecenia.

W Wytycznych w wersji 11.2019, posługiwano się formułując zalecenia czasownikiem „must”, obecnie, w większości wypadków, czasownik ten zastąpiono zwrotem „should”. Stanowi to złagodzenie formuły rekomendacji, bowiem czasownik „must” tłumaczy się jako „konieczność zrobieni czegoś, bez wyjątku”, dosłownie must znaczy „musieć”, gdy tymczasem czasownik „should” używany jest w przypadkach, gdy ktoś nakazuje zrobienie czegoś, ale nie ma obowiązku, aby to zrobić. Dla zobrazowania zakresu zmian na płaszczyźnie językowej Wytyczne w wersji 10.2020 posługują się ona czasownikiem „must” dwadzieścia sześć razy, gdy tymczasem Wytyczne w wersji 11.2019 używały tego zwrotu dla przedstawienia rekomendacji dla administratorów osiemdziesiąt jeden razy, czyli ponad trzy razy częściej.

2.Poprawiono siatkę pojęciową i strukturę Wytycznych.

Zastąpiono pojęcie „technology providers” pojęciem „producers”, które jest używane w motywie 78 RODO poświęconym uzasadnieniu zasady ochrony danych w fazie projektowania oraz domyślnej ochrony danych wyrażonej w art. 25 RODO (w skrócie z języka angielskiego „DPbDD”). Zdefiniowano jednocześnie to pojęcie jako obejmujące 1) producenta produktów (ang. producers of products ), 2) usług (ang. producers of services) i 3) aplikacji (ang. producers of applications)[1]. Ponumerowano śródtytuły w rozdziale 2. W uwagach skierowanych do EROD dotyczących wytycznych wersji 11.2019 liczne wskazywały też na konieczność usunięcia błędów ortograficznych, takich jak np. zastąpienie słowa criteria słowem criterion (strona 4 wersji 10.2019) dla określenia rzeczownika kryterium w liczbie pojedynczej.

3.Rozszerzono liczbę tzw. praktycznych wskazówek (czynników), służących do wdrożenia DPbDD – (ang. key design and default elements, zwanych dalej „KPI”)

W rozdziale 3 Wytycznych w wersji 11.2019 umieszczono 77 praktycznych wskazówek w jaki sposób wdrożyć, w Wytycznych wersji 10.2020 tych wskazówek jest 84. Dodatkowo pięć z nich zmieniło nazwę i zakres zastosowania.

4.Zawarto więcej treści

Wytyczne rozszerzyły się o dziesięć akapitów z osiemdziesięciu sześciu do dziewięćdziesięciu sześciu.

5.Dodano wytyczne dla małych i średnich przedsiębiorstwa

W rozdziale 6 uzupełniono ogólne rekomendacji skierowane do wszystkich administratorów o szczególne, ze względu na rozmiar prowadzonej działalności gospodarczej, wytyczne skierowane do małych i średnich przedsiębiorstwa (przedstawione zostaną one w kolejnym artykule omawiającym Wytyczne).

6.Rozszerzono liczbę przypisów

Znacznie zwiększyła się liczba przypisów w Wytycznych w wersji 11.2020. W pierwotnej wersji wytycznych było ich 30 obecnie jest ich 48.

7.Przykłady

W rozdziale III Wytycznych poprawiono prezentowane tam przykłady stosowania zasady DPbDD, zmieniano kontekst (tak jak np. w rozdziale 3.6 dotyczącym zasady prawidłowości) bądź dodano nowy (przykład 4 w rozdziale 3.5 dotyczący zasady minimalizacji danych). Dookreślono też znacznie poszczególnych KPI.

Podsumowanie

W kolejnym artykule poświęconym omówieniu zmian wprowadzonych do Wytycznych zajmiemy się omówieniem zmian wprowadzonych do poszczególnych jej rozdziałów.

[1] Akapit 1 Wytycznych.

Pisaliśmy już na blogu Auraco na ten temat: