Szukaj
Close this search box.

Zasady privacy by default i privacy by design – do czego zobowiązują?

Spis treści

Wśród wielu zmian, jakie w dziedzinie ochrony danych osobowych wprowadziło słynne RODO (rozporządzenie UE o ochronie danych osobowych), znalazły się zasady privacy by design privacy by default. Ich obowiązywanie ma na celu uwzględnianie odpowiedniej ochrony danych zarówno na etapie projektowania nowych rozwiązań, jak i ich stosowania. 

Wynikają z tego znaczące konsekwencje praktyczne, zatem mając do czynienia z danymi osobowymi, musisz znać obie wymienione zasady i zawsze mieć je na uwadze.

Artykuł przybliży Ci następujące kwestie:

  1. znaczenie zasad privacy by designprivacy by default;
  2. udział w pracach projektowych i przeprowadzanie konsultacji;
  3. przeprowadzanie analizy ryzyka i oceny skutków przetwarzania danych;
  4. uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych (PUODO);
  5. czynności podejmowane po wdrożeniu projektowanego rozwiązania.

Co oznacza zasada privacy by design

Zasada privacy by design (ochrona danych osobowych w fazie projektowania) to zasada, zgodnie z którą już na etapie projektowania urządzenia, aplikacji, oprogramowania, strony internetowej czy też usługi, należy wziąć pod uwagę konieczność zapewnienia ochrony danych osobowych. Oznacza to, że jako administrator danych osobowych, powinieneś tak zaplanować projekt, aby ochrona danych osobowych stanowiła jego istotny aspekt. Pomóc Ci przy tym mogą następujące wskazówki:

  1. bądź proaktywny, a nie reaktywny – nie zadowalaj się obowiązkowym minimum, lecz dąż do włączenia w projekt najlepszych dostępnych rozwiązań;
  2. nastaw się na zapobieganie naruszeniom ochrony danych osobowych, a nie zwalczanie ich skutków;
  3. zastosuj ochronę prywatności jako ustawienie domyślne;
  4. dąż do osiągnięcia korzyści zarówno przez Ciebie, jaki i użytkownika;
  5. zapewnij ochronę od początku do końca cyklu życia informacji;
  6. spraw, by finalne rozwiązanie lub produkt cechowały się przejrzystością i dobrą widocznością kluczowych informacji;
  7. szanuj prywatność użytkowników.

Co oznacza zasada privacy by default

Zasadę privacy by default (domyślna ochrona danych osobowych) posiada dwa aspekty:

  1. domyślnie powinny być przetwarzane tylko dane osobowe niezbędne do osiągnięcia celu przetwarzania;
  2. domyślnie dane osobowe nie mogą być udostępnianie nieograniczonej liczbie osób — podmiot danych powinien samodzielnie podejmować decyzję o udostępnieniu większej ilości danych osobowych szerszemu gronu osób, decydując się na ograniczenie swojej prywatności lub jej wyłączenie.

Pierwszy aspekt oznacza, że powinieneś przetwarzać jedynie takie dane osobowe, których naprawdę potrzebujesz. Przykładowo, do dostarczenia klientowi zakupionego online produktu nie potrzebujesz jedynie jego imienia i nazwiska, adresu zamieszkania i danych kontaktowych (e-mail albo numer telefonu). Zupełnie zbędne jest w tym przypadku żądanie np. numeru PESEL, czy daty urodzenia.

Drugi aspekt ma szczególne znaczenie w odniesieniu do usług oferowanych przez portale społecznościowe. O ile przy rejestracji mogą one pobierać różnorodne dane, o tyle dane te nie mogą być widoczne dla innych osób w sposób domyślny. Użytkownik, chcąc by jego dane osobowe (np. wizerunek, data urodzenia) zostały udostępnione, musi podjąć w tym kierunku aktywne działania, mające najczęściej postać zmiany ustawień prywatności.

Pamiętaj, że zasada privacy by defaultnie nakazuje Ci blokować udostępniania danych osobowych przez użytkowników – jeżeli tylko zechcą, mogą ujawnić wszystkie, łącznie z poglądami politycznymi i stanem zdrowia. Twoim zadaniem jest jedynie zapewnić, że udostępnienie będzie wynikiem aktywnego działania użytkownika, podejmowanego z pełną świadomością jego konsekwencji (np. po przeczytaniu stosownego ostrzeżenia).

Projektowanie systemów i konsultacje

Odpowiednich rozwiązań w dziedzinie ochrony danych osobowych najczęściej nie będziesz projektował sam, lecz zlecisz to profesjonalnemu podmiotowi. W takim przypadku upewnij się, że Twój kontrahent przestrzega przepisów z zakresu ochrony danych osobowych i posiada możliwość stworzenia projektu z ich uwzględnieniem (przed zawarciem umowy warto uzyskać też odpowiednią gwarancję).

Dobrym rozwiązaniem będzie też udział Twój lub wyznaczonej przez Ciebie osoby w pracach projektowych – dzięki temu zrozumiesz działanie tworzonych rozwiązań, a także będziesz mógł zgłaszać swoje uwagi. Jeżeli wyznaczyłeś w swoim przedsiębiorstwie Inspektora Ochrony Danych, powinieneś zapewnić udział w pracach także jemu.

Aby projektowane rozwiązanie spełniało swoją rolę, musi łączyć ochronę danych osobowych na wysokim poziomie z funkcjonalnością i atrakcyjnością rynkową. Pomocne w ustaleniu, czy i jak te wymogi da się ze sobą pogodzić, mogą okazać się konsultacje wśród pracowników zajmujących się ochroną danych oraz potencjalnych klientów. Wielość punktów widzenia pozwoli zidentyfikować potencjalne zagrożenia i ustalić, jakie elementy powinno zawierać projektowane rozwiązanie, aby było atrakcyjne dla użytkowników. Wyniki konsultacji powinieneś odpowiednio udokumentować, by w razie potrzeby łatwo do nich wrócić.

Analiza ryzyka i ocena skutków

Ważnym elementem stosowania zasady privacy by design, jest analiza ryzyka naruszenia praw lub wolności osób fizycznych przez dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii. Jeżeli takie ryzyko jest wysokie, obowiązkowo przeprowadza się ocenę skutków planowanego przetwarzania dla ochrony danych osobowych.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.

Uzupełnij poniższy formularz, jeżeli np.:

  • masz pytania z zakresu o którym pisałem w tym artykule,
  • szukasz najlepszego rozwiązania dla swojego problemu,
  • chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.

Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.

Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.


Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

Pojęcie “wysokiego ryzyka” nie zostało w RODO zdefiniowane, lecz można je zrekonstruować w oparciu o przypadki, w których przeprowadzenie oceny skutków jest obligatoryjne (odnajdziesz je w art. 35 RODO). Upraszczając, wysokie ryzyko naruszenia występuje, gdy:

  1. w sposób zautomatyzowany dokonywana jest ocena czynników osobowych, która może być podstawą decyzji wywołujących skutki prawne (np. ocena trybu życia, stanu zdrowia przez firmy ubezpieczeniowe w celu stworzenia oferty);
  2. przetwarzane są dane wrażliwe (np. dotyczące poglądów politycznych);
  3. jest prowadzony na dużą skalę monitoring miejsc publicznych.

RODO wymaga, by krajowe organy ochrony danych osobowych (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych – PUODO) ogłaszały wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych osobowych. Jeżeli PUODO zachowa ustawowy termin dokonania tej czynności, wykaz dla naszego kraju powinien pojawić się przed końcem sierpnia bieżącego roku. Jego przypuszczalną treść (z wieloma praktycznymi przykładami) zawiera dokument roboczy powstały w wyniku konsultacji społecznych (możesz się z nim zapoznać pod tym adresem: https://giodo.gov.pl/pl/1520281/10430).

Co ciekawe, RODO przewiduje także możliwość ogłoszenia wykazu operacji przetwarzania, które NIE wymagają przeprowadzenia oceny skutków – nie jest to jednak obowiązkowe, zatem nie wiadomo, czy PUODO skorzysta z tej możliwości.

Jeżeli będziesz przeprowadzał ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych, musisz zawrzeć w niej następujące elementy:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Analiza ryzyka i uprzednie konsultacje z PUODO

Jeżeli przeprowadzona ocena skutków wykaże istnienie wysokiego ryzyka naruszenia, a jego minimalizacja jest niemożliwa lub bardzo utrudniona (przy wzięciu pod uwagę dostępnych technologii i kosztów wdrożenia), masz obowiązek odbycia konsultacji z PUODO przed rozpoczęciem przetwarzania danych. Ma to z jednej strony pomóc w znalezieniu odpowiedniego rozwiązania, z drugiej zaś dowieść czystości Twoich intencji.

Przystępując do konsultacji, musisz przedstawić PUODO następujące informacje:

  1. gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
  2. cele i sposoby zamierzonego przetwarzania;
  3. środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą;
  4. gdy ma to zastosowanie – dane kontaktowe Inspektora Ochrony Danych;
  5. ocenę skutków dla ochrony danych;
  6. wszelkie inne informacje, których zażąda PUODO.

Od wpłynięcia wniosku o konsultacje, PUODO ma osiem tygodni na reakcję (okres ten może przedłużyć o dalsze sześć tygodni w przypadku skomplikowanej sprawy). W tym terminie powinieneś otrzymać pisemne zalecenia, ale RODO umożliwia organowi skorzystanie także z pełnej gamy swoich uprawnień, wśród których znajdują się nakazy, zakazy i kary.

Tych ostatnich nie powinieneś się jednak obawiać, gdyż wątpliwe byłoby stosowanie sankcji za coś, co jeszcze nie nastąpiło. Najpoważniejszą możliwą reakcją PUODO mogłoby być zakazanie Ci stosowania projektowanego rozwiązania.

Zasady wdrożone. Co dalej?

Gdy zaprojektowane rozwiązanie zostanie już wdrożone, musisz upewnić się, czy działa ono w sposób prawidłowy, zgodnie z założeniami oraz czy uwzględnia wszystkie elementy ochrony danych osobowych, które zostały zidentyfikowane w trakcie projektowania.

Weryfikacji musisz poddać także domyślną ochronę danych (czy nie są one udostępniane bez ingerencji użytkownika oraz czy nie pobiera się zbędnych danych). Jeżeli testy te przebiegną pomyślnie, Twoje dalsze działania powinny skupić się na bieżącej kontroli funkcjonowania rozwiązania i dokonywaniu w razie potrzeby niezbędnych modyfikacji (np. związanych ze zmianami prawa lub postępem technicznym).

W opisywaną kontrolę warto zaangażować także użytkowników poprzez umożliwienie im wyrażania własnych opinii, a w szczególności zgłoszenia zastrzeżeń co do sposobu przetwarzania danych osobowych.

Podsumowanie

Znaczenie zasad privacy by designprivacy by default dla ochrony danych osobowych można porównać do znaczenia przepisów przeciwpożarowych dla architekta. Chociaż uwzględnianie ich podczas tworzenia projektu komplikuje go i generuje dodatkowe koszty, z finalnego rozwiązania będziesz mógł korzystać bez duszy na ramieniu.

Ponadto zadowoleni będą także Twoi klienci – wiedząc, że nie wyłudzasz od nich niepotrzebnych danych, a także prawidłowo je zabezpieczasz, z pewnością będą chętniej korzystali z Twoich usług. Ochrona danych osobowych stała się obecnie jednym z najważniejszych kryteriów oceny profesjonalizmu przedsiębiorcy, dlatego nie warto jej ignorować, a tym bardziej na niej oszczędzać.

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain. Poznaj autora.

Subskrybuj nasz newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.


Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. 

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Newsletter, który pomoże Ci rozwinąć 🚀 Twoją firmę technologiczną lub software house pod kątem prawnym i biznesowym.

Dołącz do społeczności właścicieli, kadry zarządzającej i managerskiej w firmach technologicznych i software house! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk tech” przeczytasz pod linkiem: https://letstalktech.pl

Po zapisaniu się odbierz od nas powitalnego maila z bonusami. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.


Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. 

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Startujesz z SaaS'em?

Dowiedz się, jak zbudować i wdrożyć aplikację SaaS krok po kroku!

Jakich błędów uniknąć?

Jak powinno wyglądać wdrożenie aplikacji SaaS?