Cześć, tu Dokrates!
RODO-gorączka wprawdzie powoli opada, jednak temat ochrony danych osobowych jest w dalszym ciągu aktualny. W dzisiejszym wpisie przybliżę Ci dwa określenia, które z pozoru mogą wydawać się dosyć enigmatyczne – Privacy by Design oraz Privacy by Default.
Privacy by Design
Privacy by Design to zasada, w myśl której administrator powinien uwzględnić ochronę danych już w fazie projektowania. Jest to jedna z nowości wprowadzonych przez RODO (art. 25). W praktyce oznacza to, że jeśli rozważasz na przykład otwarcie sklepu internetowego lub chcesz udostępnić własną aplikację, musisz w trakcie ich projektowania zadecydować, jak zamierzasz chronić dane ich użytkowników.
Jeżeli projektujesz rozwiązanie, które wymaga od użytkowników podania jakichkolwiek danych, powinieneś bezwzględnie zadbać o ich ochronę. Zasada Privacy by Design wynika z konieczności ochrony danych od początku cyklu przetwarzania. Informacje podawane przez użytkowników sklepu internetowego powinny być więc bezpieczne już w momencie wprowadzenia ich do systemu.
W procesie wyboru środków musisz zastanowić się, jakie zabezpieczenia będą adekwatne do zakresu, charakteru i celów przetwarzania. Nieco więcej o możliwych środkach pisałem niedawno TUTAJ. Istotne jest również uwzględnienie związanego z przetwarzaniem ryzyka. Stosowane zabezpieczenia powinny być też zgodne z aktualnym stanem wiedzy technicznej w możliwie jak największym stopniu.
Środki, które na tym etapie powinieneś uwzględnić, mogą polegać m.in. na pseudonimizacji danych, minimalizacji zbieranych danych czy założeniu umożliwienia osobom, których dane dotyczą, dostępu do swoich danych. Należy także pamiętać, że pomimo dobrze zaprojektowanej ochrony, przetwarzanie należy monitorować podczas całego okresu działalności. Powinieneś także stale dążyć do doskonalenia zabezpieczeń. Nie zapomnij też, że to w Twoim obowiązku leży upewnienie się, że podmioty, którym w ramach współpracy udostępniasz dane również zapewniają im należyty stopień ochrony.
Privacy by Default
Privacy by Default, lub inaczej domyślna ochrona danych to założenie, zgodnie z którym stosowane rozwiązania z założenia zapewniają wymagany stopień bezpieczeństwa. Określenie to brzmi dosyć zawile, pozwól więc, że przybliżę Ci je na konkretnych przykładach.
Jeżeli prowadzisz sklep internetowy, prawdopodobnie dostępne są w nim takie opcje, jak zapytanie o produkt czy formularz kontaktowy. Upewnij się więc, że wymagasz w tym miejscu podania jedynie tych danych, które są niezbędne do zrealizowania żądania klienta, a więc o ile podanie adresu e-mail jest uzasadnione, wymóg ujawnienia nazwiska nie jest zgodny z tą zasadą. Najprościej mówiąc, jeżeli prosisz o podanie konkretnej danej, zawsze musisz posiadać ku temu istotną przyczynę. Wiąże się to z wymogiem minimalizacji danych.
Pamiętaj również, że w myśl zasady Privacy by Default nie powinieneś domyślnie udostępniać danych osobowych nieokreślonej liczbie osób, jeśli nie odbywa się to na wyraźne żądanie osoby, której dane dotyczą. Samo podanie takich danych np. w serwisie społecznościowym nie oznacza jeszcze zgody na ich publikację. Nie powinieneś też przechowywać danych dłużej, niż jest to konieczne.
Privacy by Design i Privacy by Default to określenia, które są ze sobą bardzo mocno związane. Ich spełnienie jest niezbędne, by wywiązać się z nakładanych przez RODO obowiązków. Jeżeli nie dostosowałeś jeszcze swojej firmy do wymogów rozporządzenia, ułatwi Ci to stworzony przeze mnie Pakiet Dokumentów RODO.
Na dzisiaj to już wszystko. Mam nadzieję, że pomogłem!
Twój Dokrates
