BLOG

Dowiedz się co jest naprawdę ważne.

Zmiany wprowadzone do Wytycznych nr 4/2009 w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych – wersja po publicznych konsultacjach

Część II

W części I artykułu z dnia 1 grudnia 2020 r. przedstawiłem w skrócie zmiany wprowadzone w Wytycznych 4/2019 w wersji z 11.2019 po konsultacjach publicznych. W drugiej (i ostatniej) części szczegółowo omówię zmiany wprowadzone przez EROD, które znalazły odbicie w ostatecznej wersji Wytycznych z października 2020 r.

Wstęp

Ze wstępu Wytycznych wersji 11.2019 dla kierujących przedsiębiorstwami (Executive summary) przeniesiono zdanie pierwsze, rozbudowano je i dodano w oparciu o nie krótki podrozdział 3.9 zatytułowany „Accountability” – „rozliczalność”.

Zastąpiono pojęcie ‘technology providers’ pojęciem ‘producers’ i zdefiniowano je jako obejmujące:

1) producenta produktów (ang. producers of products );

2) producenta usług (ang. producers of services);

3) producenta aplikacji (ang. producers of applications).

Zakres

Wyraźnie wskazano, że zasady DPbDD dotyczą również systemów, które powstały przed wejściem w życie RODO i wciąż służą do przetwarzania danych osobowych (akapit 2 Wytycznych).

W rozdziale 6 uzupełniono ogólne rekomendacje skierowane do wszystkich administratorów o szczególne, ze względu na rozmiar prowadzonej działalności gospodarczej, wytyczne skierowane do małych i średnich przedsiębiorstw.

Rozdział 2. Analiza artykułu 25 – zasada domyślnej ochrony danych oraz ochrony na etapie projektowania.

Ochrona danych na etapie projektowania

Na wstępie rozdziału 2 EROD podkreśliła, czego nie było w Wytycznych 11.2019, że  zasada domyślnej ochrony danych osobowych jest komplementarna do zasady ochrony danych na etapie projektowania i wdrożenie jednej zasady wspomaga działanie drugiej i na odwrót (akapit 5).

Ponadto w obowiązującej wersji Wytycznych wskazano, że zasada ochrony danych osobowych na etapie projektowania wymaga, aby administratorzy dobierając odpowiednie środki technicznie lub organizacyjne zaprojektowane do urzeczywistnienia w procesie przetwarzania danych zasad ich ochrony wynikających z art. 5 RODO brali pod uwagę nie tylko wymagania wynikające z RODO, ale także wymagania wynikające z innych źródeł (akapit 7).

Nie różnicuje się ponadto „wdrożenia odpowiednich środków technicznych i organizacyjnych” od „nadania przetwarzaniu niezbędnych zabezpieczeń” – i jedne i drugie to metody i sposoby jakie administrator może wykorzystać w przetwarzaniu danych w celu skutecznej realizacji zasad ochrony danych (akapit 7). Zrezygnowano w związku z tym, z koncepcji pierwszej (środki techniczne i organizacyjne) i drugiej (zabezpieczenia) linii sposobów i metod zabezpieczających stosowanie zasad ochrony danych osobowych w procesach przetwarzania danych osobowych. Wskazano też przykłady takich środków – obok pseudonimizacji, która jest wskazana wprost w art. 25 ust. 1 RODO, są nimi zdaniem EROD, przechowywanie danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, systemy służące do wykrywania złośliwego oprogramowania (ang. malware), szkolenia personelu w zakresie podstaw cyberbezpieczeństwa, wdrożenie systemu zarządzania bezpieczeństwem informacji oraz zachowaniem prywatności, zobowiązania podmiotów przetwarzających w umowach powierzenia do wdrożenia środków służących minimalizacji danych) (akapit 9).

Zmieniono sposób interpretacji użytego w art. 25 ust. 1 RODO odwołania do „praw i wolności osób fizycznych”. W poprzedniej wersji Wytycznych (z 11.2019) przez prawa osób fizycznych rozumiano prawa wynikające z art. 12 – 22 RODO w obecnej jest to jedno prawo, wskazane w art. 1 ust. 2 RODO, czyli „prawo do ochrony danych osobowych” (akapit 11).

W stosunku do wersji Wytycznych 11.2019 obecna wersja kładzie nacisk na takie postrzeganie elementów wskazanych w art. 25 ust. 1 RODO, które same w sobie nie są kolejnymi wymaganiami, które należy spełnić, ale służą przede wszystkim jako wskazówka do efektywnego wdrożenia środków technicznych i organizacyjnych mających na celu przestrzeganie zasad ochrony danych osobowych wymienionych w art. 5 RODO (akapit 17).

Stan wiedzy w zakresie ochrony danych osobowych

Zrezygnowano z obowiązku pozyskiwania informacji o najnowszych osiągnięciach w zakresie zabezpieczenia danych osobowych na rzecz „powinności” posiadania takiej wiedzy (akapit 19).

Uzupełniono fragment wytycznych dot. pojęcia „state of art” o przykład środków organizacyjnych takich jak polityki wewnętrzne dot. ochrony danych osobowych, cykliczne szkolenia dotyczące technologii, zabezpieczeń i ochrony danych oraz zarządzanie bezpieczeństwem IT.

Dodano również fragment (akapit 22), że sama zgodność ze standardami w zakresie bezpieczeństwa danych osobowych i zapewnienie zgodności z przepisami prawa pozwala na uznanie, że warunek zgodności ze stanem wiedzy w zakresie zabezpieczenia danych osobowych został spełniony.

Koszty wdrożenia

W tej części wytycznych zrezygnowano z tezy przedstawionej w Wytycznych z 11.2019, że nierentowność kosztowa wynikająca z konieczności zapewnienia zgodności z DPbDD nie może być usprawiedliwieniem dla tolerowanie takiej niezgodności.

Z drugiej strony podkreślono, że nie można godzić się na naruszenie zasad ochrony danych osobowych nie badając czy rzeczywiście te koszty są zbyt duże (akapit 25).

Charakter, zakres, kontekst i cele przetwarzania danych osobowych

Podano przykład tego co wpływa na charakter przetwarzania – są to szczególne kategorie danych osobowych, podejmowanie decyzji w sposób zautomatyzowany, nierównoważne relacje pomiędzy administratorem a podmiotem, którego dane administrator przetwarza, trudności podmiotu danych w realizacji jego praw wynikających z RODO (przypis 11).

Ryzyko o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych wynikających z przetwarzania

Zmieniono redakcję akapitu 30. Po pierwsze wskazano, że analiza ryzyka, o której mowa w art. 25 odnosi się tylko do tego przepis, a nie także do art. 24, po drugie wskazano, że ryzyko związane jest z naruszeniem praw i wolności osób, których dane dotyczą poprzez naruszenie zasad ochrony danych osobowych i wyraża ono prawdopodobieństwo i istotność takiego naruszenia. Daje także podstawę do wyboru środków efektywnie ograniczających poziom ryzyka.

Ryzyko o różnym prawdopodobieństwie i wadze dla praw i wolności osób fizycznych wynikających z przetwarzania

Czas, w którym ocenia się środki potrzebne do przetwarzania

Znacznie uszczegółowiono sformułowanie, czym charakteryzuje się czas określenia się środków przetwarzania. Wskazano, że czas, w którym określa się środki przetwarzania to czas, w którym administrator podejmuje decyzje, jak przetwarzanie będzie prowadzone oraz sposób w jaki przetwarzanie będzie się odbywać, a ponadto mechanizmy za pomocą, których przetwarzanie będzie realizowane.

Zrezygnowano z wymogu rozliczalności w wykazywaniu, że każdy środek przetwarzania zastosowany w procesie został poddany takiej ocenie.

Czas oceny czy zastosowane środki są efektywne

W pierwotnej wersji Wytycznych wskazano na potrzebę implementacji praw ochrony danych osobowych i zasad tej ochrony. W ostatecznej wersji Wytycznych wskazuje się jedynie na potrzebę implementacji zasad ochrony danych osobowych, aby zapewnić przez to ochronę praw i wolności osób, których dane dotyczą.

Domyślna ochrona danych osobowych (Data protection by default)

Ograniczenie danych do tych, które są niezbędne dla realizacji poszczególnych celów przetwarzania

Zasadę domyślnej ochrony danych osobowych odniesiono również do danych przetwarzanych w procedurach niezautomatyzowanych (akapit 41).

W akapicie 42 dodano na początku zdanie dotyczące tego, w jakich sposób administrator powinien wybierać ustawienia domyślne spośród tych dostępnych dla niego, aby zrealizować prawnie usprawiedliwione cele przetwarzania.

Nowe jest brzmienie akapitu 43. Sens tego fragmentu sprowadza się do przedstawienia wymagania, aby administrator przed rozpoczęciem przetwarzania określił dla jakich, wyraźnie wskazanych celów zamierza zbierać dane osobowe. Wytyczne odsyłają tutaj do wytycznych Europejskiego Inspektora Ochrony Danych Osobowych dotyczących oceny niezbędności i proporcjonalności środków ograniczających prawa i wolności osoby, której dane dotyczą w związku z przetwarzaniem jej danych osobowych[1].

Jeśli administrator korzysta z usług dostawcy oprogramowania lub kupuje oprogramowanie „z półki” powinien przeprowadzić ocenę ryzyka nabywanego produktu pod kątem ustalenia, czy mógłby on korzystać z funkcji programu, które nie mają podstawy prawnej lub są niezgodne z celami przetwarzania, a jeśli taki okoliczności zachodzą, to powinien on móc te funkcje wyłączyć (akapit 44). Ta sama zasada dotyczy projektowania procedur i środków realizowanych za pomoc środków niezautomatyzowanych.

Podkreślono, że wdrożenie domyślnej zasady ochrony danych osobowych służy przede wszystkich realizacji minimalizacji danych (akapit 46).

Nowy podrozdział – „Różne wymiary obowiązku minimalizacji danych”

Wprowadzenie podrozdziału ma przede wszystkim cel porządkujący wywód EROD. Nie niesie ze sobą istotnie nowych treści.

Wymiary obowiązku minimalizacji obejmują liczbę zbieranych danych (rozdział 2.2.2.1), zakres czynności przetwarzania (rozdział 2.2.2.2), okres przechowywania (rozdział 2.2.2.3) oraz dostępność danych (rozdział 2.2.2.4).

Rozdział 3. Wdrożenie zasad ochrony danych osobowych w czynności przetwarzania danych osobowych przy wykorzystaniu ochrony danych w fazie projektowania i domyślnej ochrony danych[2].

Wytyczne wskazują, że wdrożenie zasad ochrony danych osobowych wynikających z art. 5 RODO, czyli zasady legalności, transparentności, lojalności (fairness), ograniczenia celu przetwarzania, minimalizacji danych, prawidłowości, ograniczenia przechowywania, poufności i integralności oraz rozliczalności służy zgodności z art. 25 RODO, z drugiej strony wdrożenie zasad wynikające z ostatniego z przywołanych przepisów służy wdrożeniu zasad ochrony danych osobowych wynikających z art. 5. Zachodzi wobec tego między nimi sprzężenie zwrotne.

W ostatecznej wersji Wytycznych wskazano, że wymienione w rozdziale 3 Wytycznych kluczowe czynniki oceny wdrożenia DPbDD (ang. key design and default elements, zwanych dalej „KPI”) nie stanowią wyczerpującej lub nakazanej i obowiązującej administratorów listy. Maja jedynie stanowić wskazówki, na co zwrócić uwagę wdrażając w procesy przetwarzania danych osobowych zasady wymienione w art. 5 RODO.

Transparentność

Dodano jeden dodatkowy kluczowy czynnik DPbDD. Było tych czynników osiem, a obecnie jest ich dziewięć.

Obok czynników takich jak przejrzystość, sensowność, dostępność, powiązywalność, interoperacyjność, zrozumiałość, wielokanałowość komunikacji dodano warstwowość (ang. layered).

Warstwowość, to czynnik polegający na skupieniu w pierwszej warstwie informacyjnej kierowanej do osoby, o której dane są zbierane, informacji podstawowych wynikających z art. 13 lub 14 RODO o warunkach przetwarzania jej danych osobowych przez administratora, uzupełnianych w kolejnej warstwie lub warstwach o informacje szczegółowe. Czynnik ten jest wynikiem kompromisu pomiędzy niezbędnym zakresem klauzuli informacyjnej wynikającym z RODO, a obowiązkiem przejrzystości i zrozumiałości informacji kierowanej do podmiotu danych.

Warto też dodać, że w ostatecznej wersji Wytycznych zrezygnowano z kontrowersyjnej tezy wyrażonej w przykładzie dotyczącym stosowania zasady przejrzystości zawartej w pierwotnej wersji Wytycznych. Wynikało z niej, że samo umożliwienie zapoznania się z polityką prywatności nie wystarczy do stwierdzenia, że administrator zrealizował zasadę przejrzystości.

Legalność

W przypadku tej zasady zrezygnowano z jednego czynnika DPbDD – Default configurations  (co można przetłumaczyć jako ograniczenie podstaw przetwarzania danych).

Zrezygnowano również z fragmentu, w którym nakazywano administratorom wykazanie się obiektywnym testem równowag (czyli sytuacji, gdy podstawę prawną stanowi art. 6 ust. 1 lit. f RODO), wskazującym, że nie istniały takie sposoby przetwarzania, które pozwoliłyby na osiągnięcie zamierzonych celów bez konieczności zbierania lub pozyskiwania danych osobowych.

Ponadto w przykładzie obrazującym stosowanie zasady legalności (bank planuje zaoferować usługę poprawiającą efektywność w zarządzaniu wpływającymi do niego wnioskami kredytowymi) dodano fragment wskazujący, że bank umożliwił potencjalnemu kredytobiorcy na platformie, na której można składać wnioski o pożyczki łatwą ocenę, które z czynności przetwarzania są niezbędne do skutecznego złożenia wniosku o pożyczkę, a które są opcjonalne.

Rzetelność

W przypadku wdrożenia tej zasady w procesy przetwarzania danych osobowych dodano dwa nowe kluczowe czynniki DPbDD, tj. „nieprzenoszenie ryzyka na podmiot danych” (ang. no risk transfer) oraz „niewprowadzanie w błąd podmiotu danych” (ang. no deception), co oznacza, że administrator przekazując informacje o przetwarzaniu danych osobowych tak ją formułuję, aby nie zawierała określeń wprowadzających w błąd, wieloznacznych lub świadomie nieprawdziwych.

Uzupełniono również opis KPI–„rzetelność profilowania” (ang. fair algorithms), wskazując, że administrator powinien regularnie oceniać, czy algorytmy profilujące funkcjonują zgodnie z celem, dla którego zostały zaprojektowane oraz tak ograniczać ich działanie, aby nie dochodziło do ukrytych naruszeń praw osób, których dane dotyczą.

Ograniczenie celów przetwarzania

Ten fragment wytycznych został dotknięty jedynie kosmetycznymi zmianami.

Fragment poświęcony czynnikowi „ograniczenie ponownego wykorzystania” (ang limitation of reuse) uzupełniono o wskazanie, że przykładem zastosowania tego czynnika w proces przetwarzania może być przyjęcie przez administratora w polityce ochrony danych osobowych lub umowie powierzenia postanowień, które nakazują ograniczenie ponownego wykorzystania danych, czyli możliwe jest zastosowanie środków organizacyjnych służących realizacji zasady ograniczenia celów przetwarzania.

Minimalizacja danych

Zasada wyrażona w ary. 5 ust. 1 lit. c RODO opiera się o założenie, że administrator przy określaniu zakresu danych potrzebnych do realizacji swoich celów, dla których potrzebne są dane osobowe powinien możliwie jak najbardziej ograniczać zakres tych danych. Innymi słowy „im mniej danych tym lepiej”.

W wytycznych w części dot. wdrożenia zasady minimalizacji danych dodano jeden KPI. Obok dziewięciu wskazanych w Wytycznych wersji 11.2019 dodano jeszcze „ograniczenie ilości danych” (ang. limitation), czyli ograniczenie ilości danych tylko do tej wielkości, która jest niezbędna dla osiągnięcia założonego celu.

Dodano w tej części Wytycznych nowy przykład wdrożenia zasady minimalizacji.

Przykład odnosi się do szpitala zbierającego dane o swoich pacjentach przy użyciu systemu informatycznego (ang. electronic health record system). Dostęp do systemu posiada jego personel. Ma odnotowywać w nim wyniki badań, przepisywać leki oraz określać terapię. Domyślnie dostęp jest udzielony wyłącznie personelowi lekarskiemu, dedykowanemu do określonego pacjenta, którego opieką zajmuje się dany lekarz. Grupa osób, która za pośrednictwem systemu ma dostęp do danych jest systematycznie poszerzana o lekarzy z innych działów, jeśli wymaga tego terapia zastosowana wobec pacjenta. Po zakończeniu leczenia pacjenta oraz rozliczeniu finansowym świadczonych przez niego lekarzy, dostęp jest odbierany i ograniczony tylko do tych lekarzy, którzy zajmują się rozpoznawaniem wniosków o udostępnienie danych kierowanych przez innych świadczeniodawców usług zdrowotnych lub osoby, które zostały do tego upoważnione przez pacjentów.

Prawidłowość danych

Dane osobowe powinny być prawidłowe (odpowiadające rzeczywistemu stanowi rzeczy) i aktualne (ang. up to date). Jeśli to niezbędne dla celów przetwarzania powinny być aktualizowane, w tym usuwane.

Zmiany Wytycznych związane z omówieniem tej zasady związane są przede wszystkim z uzupełnieniem jej o nowe wskazówki pokazujące w jaki sposób zastosować KPI, aby wdrożenie zasady prawidłowości danych było efektywne.

Jako przykład zastosowania czynnika:

  • „ograniczenia niedokładności danych” (ang. measurably accurate),

wskazuje się wyeliminowanie stronniczości zautomatyzowanych decyzji wynikających z uprzedzeń rasowych, seksualnych, czy innego rodzaju niemerytorycznych przesłanek wpływających na podjętą decyzję

  • „uzgadniania aktualności danych” (ang. verification)

wskazuje się weryfikowanie wieku użytkownika.

  • „umożliwienia samodzielnej weryfikacji danych” (ang. access)

odwołano się do uprawnień podmiotu danych z art. 12-15 RODO, w celu zapewnienia dokładności i aktualności danych.

  • „ograniczenie pomyłek we wprowadzaniu danych” (ang. data design)

podano jako przykład wprowadzenie wyboru danych wyłącznie z przygotowanej wcześniej listy możliwych wpisów danych.

Ograniczenie przechowywania

Uzupełniono opis KPI „ograniczenie zbędnego przechowywania” – (ang. data flow) o wskazówkę, aby administrator był świadomy powstawania kopii przesyłanych danych osobowych.

Integralność i poufność

Zrezygnowano z KPI „odporność przetwarzania” (ang. resilience), polegającym na wymogu, aby przetwarzanie było solidne na tyle, aby wytrzymać zmiany, wymagania regulacyjne, incydenty i cyberataki.

Dodano dwa nowe KPI:

  1. „bezpieczeństwo w fazie projektowanie” (ang. security by design), polegające na uwzględnieniu wymagań bezpieczeństwa na tak wczesnym etapie rozwoju i integracji, jako to tylko możliwe oraz stałe wdrażania i testowanie systemu pod kątem bezpieczeństwa.
  2. „plan odzyskiwania sprawności po katastrofach” (ang. disaster recovery/business continuity), polegający na opracowaniu planu odzyskiwania danych przetwarzanych w systemach informacyjnych po wystąpieniu poważnych katastrof.

Ponadto znacznie uzupełniono opisy następujących kluczowych czynników DPbDD:

  • „analizowanie ryzyka bezpieczeństwa” (ang. risk analysis),

po zmianach czynnik ten został opisany jako wskazówka, aby administrator oceniał ryzyko bezpieczeństwa w kontekście przetwarzania danych osobowych i ewidencjonował zidentyfikowane ryzyka. Do stosowania w ocenie ryzyka: opracowanie i utrzymanie kompleksowego, systematycznego i realistycznego “modelowania zagrożeń” oraz analizy powierzchni ataku zaprojektowanego oprogramowania w celu zmniejszenia wektorów ataków i możliwości wykorzystania słabych punktów i podatności.

  • „utrzymanie” (ang. maintenance),

uzupełniono opis tego czynnika o wskazówkę dla administratora, aby regularnie przeglądał i testował nie tylko oprogramowanie służące do przetwarzania danych osobowych, ale również sprzęt, systemy i usługi zastosowane w tym celu.

  • „zarządzanie dostępem do danych” (ang. access control management),

tylko upoważniony personel powinien mieć dostęp do danych niezbędnych do wykonywania zadań związanych z przetwarzaniem. Aktualna wersja Wytycznych uzupełniła opis tego czynnika poprzez wprowadzenie podziału na trzy obszary, w których ograniczenie dostępu do danych może się przejawiać:

  • „ograniczenie dostępu (agenci)” [ang. access limitation (agents)],

kształtuj przetwarzanie danych w taki sposób, aby minimalna liczba osób potrzebowała dostępu do danych osobowych, aby wykonywać swoje obowiązki, i odpowiednio ograniczyć dostęp.

  • „ograniczenie dostępu (zawartość)” [ang. access limitation (content)],

w kontekście każdej operacji przetwarzania ogranicz dostęp tylko do takiego zakresu danych, który jest potrzebny do wykonania tej operacji. Ponadto ogranicz dostęp do danych, dotyczących tych osób, których dane dotyczą, do kompetencji danego pracownika.

  • „segregacja dostępu” (ang. access segregation),

kształtuj przetwarzanie danych w taki sposób, aby żadna osoba nie potrzebowała pełnego dostępu do wszystkich danych gromadzonych na temat osoby, której dane dotyczą, a tym bardziej do wszystkich danych osobowych określonej kategorii osób, których dane dotyczą.

  • „bezpieczne przechowywanie danych” (ang. secure storage),

administrator powinien zapewnić działania procedur służących porównaniu ryzyk dla osób, których dane dotyczą, w przypadku przechowywania danych mającego miejsca w jednej lokalizacji w stosunku do przechowywania rozproszonego, np. przy wykorzystaniu usługi chmury obliczeniowej.

  • „zarządzanie naruszeniami ochrony danych” (ang. incydent management),

opis tego KPI uzupełniono o wskazanie, że zarządzania naruszeniami ochrony danych osobowych powinno przewidywać również kroki wskazujące w jaki sposób zgłaszać naruszenia ochrony danych osobowych do organu nadzorczego (w Polsce jest nim Prezes UODO – przyp. autora) oraz kroki wskazujące w jaki sposób zawiadomić o naruszeniu osobę, której dane dotyczą.

Rozliczalność

Dodano nowy rozdział. Składa się on jednak z akapitów przepisanych z Wytycznych wersji 11.2019, które były we wstępie do Wytycznych. Merytorycznie zatem nic się nie zmieniło.

Artykuł 25 (3) Certyfikacja.

Zrezygnowano w Wytycznych z wymagania, aby organ nadzorczy badał, mimo posiadania przez administratora certyfikatu, o którym mowa w art. 42 RODO, spełnienie wymagań wynikających z art. 25 RODO.

Podkreślono jednak, że przyznanie administratorowi certyfikatu nie zwalnia go z obowiązku badania i ewentualnie poprawiania środków technicznych i organizacyjnych służących zachowaniu zgodności z art. 25 RODO.

Rekomendacje.

Rozdział 6 zawiera najwięcej zmian w stosunku do Wytycznych wersji 10.2019.

Zrezygnowano w nim ze wskazywania, że producenci i podmioty przetwarzające są powołani do monitorowania i dostosowywania swoich produktów i usług do wymagań wynikających z DPbDD. Z drugiej strony zalecono administratorom, żeby nie korzystali z tych producentów i podmiotów przetwarzających, którzy nie oferują produktów lub usług wspierających ich w zapewnieniu zgodności z art. 25 RODO.

Zrezygnowano ze zobowiązywania producentów z obowiązku stosowania zasady „cost effective” i zobowiązywania do informowania o tym administratorów kupujących ich produkt.

Zrezygnowano z rekomendacji dla administratorów, aby brali oni pod uwagę w kosztach projektów IT także koszty jakie mogą wyniknąć z kar pieniężnych, jeśli nie dostosują oni tych projektów do wymagań wynikających z art. 25 RODO, czyli nie wdrożą zasad ochrony danych osobowych w sposób efektywny.

Wytyczne zachęcają administratorów, którzy powołali inspektorów ochrony danych osobowych, aby włączali ich na etapie projektowania, ale również w ramach całego cyklu życia systemu w zapewnienie spełnienia wymagań wynikających z art. 25 RODO.

Technologie wzmacniające prywatność (ang. privacy – enhancing technologies – PETs) same w sobie nie gwarantują spełnienia wymagania uwzględnienia ochrony danych osobowych na etapie projektowanie.  Administratorzy mogą je wykorzystywać, ale powinni niezależnie od tego przeprowadzić analizę, czy są one odpowiednie i skuteczne dla wdrożenia zasad ochrony danych osobowych oraz zapewnienia ochrony praw osób, których dane dotyczą.

Istniejące obecnie systemy podlegają tym samym wymaganiom zapewnienia zgodności z DPbDD, co nowe systemy. Jeśli istniejące systemy nie spełniają wymagań wynikających z RODO i nie mogą być dostosowane do tych wymagań, to powinny zostać wyłączone z przetwarzania danych osobowych.

Wytyczne zawierają szczególne rekomendacje dla małych i średnich przedsiębiorstw, które chcą dostosować swoje systemy do wymagań wynikających z art. 25 RODO.  EROD wskazał na następujące punkty:

  1. wykonuj analizę ryzyka najwcześniej jak to możliwe,
  2. zaczynaj przetwarzanie od prostych procesów – na rozbudowę i zróżnicowanie przyjdzie czas później,
  3. szukaj producentów i podmiotów przetwarzających, którzy gwarantują zgodność z DPbDD, poprzez wykazanie się certyfikatami lub kodeksami postępowania,
  4. szukaj kontrahentów o uznanej renomie,
  5. uzgadniaj działania z IOD,
  6. czytaj wytyczne organów nadzoru oraz EROD,
  7. zobowiązuj się do stosowanie kodeksów postępowania tak często jak to jest możliwe,
  8. korzystaj z fachowej pomocy i rady.

[1] https://edps.europa.eu/sites/edp/files/publication/19-02-25_proportionality_guidelines_en.pdf oraz https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en.pdf

[2] Szczegółowo omówiono poszczególne kluczowe czynniki DPbDD w artykule https://auraco.pl/blog/czesc-5-wdrozenie-zasad-ochrony-danych-osobowych-kluczowe-czynniki-sukcesu-projekt-wytycznych-nr-4-2019-europejskiej-rady-ochrony-danych-osobowych-poswieconych-domyslnej-ochronie-danych-osobowych/