Zanim przedsiębiorca zacznie gromadzić dane osobowe (np. utworzy bazę klientów), powinien m.in. zaprojektować ich skuteczną ochronę. Taki obowiązek nakłada na niego RODO. Brzmienie przepisów budzi jednak wątpliwości interpretacyjne. Europejska Rada Ochrony Danych (EROD) 20 października przyjęła jednak ostateczną wersję „wytycznych 4/2019 w sprawie artykułu 25 i uwzględniania ochrony danych w projektowaniu oraz domyślnej ochrony danych”. Ten dokument ma znaczenie dla wszystkich administratorów, niezależnie od wielkości firmy. Przybliżamy zatem jego najważniejsze elementy.
Zgodnie z obowiązkiem wyrażonym wprost w art. 25 RODO administrator – zarówno na etapie określania sposobów przetwarzania gromadzonych danych osobowych, jak i w czasie samego przetwarzania – musi wdrożyć „odpowiednie środki techniczne i organizacyjne, w celu „skutecznej realizacji zasad ochrony danych”, nadania „niezbędnych zabezpieczeń służących spełnieniu wymogów RODO” oraz „ochrony praw osób, których dane dotyczą”. Przy planowaniu tej ochrony i jej wdrażaniu należy uwzględnić „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania”.
Tak sformułowany przepis rodzi jednak wiele pytań. Przedsiębiorcy zastanawiają się, jakie środki to odpowiednie środki? Kiedy realizacja zasad ochrony danych osobowych można będzie uznać za skuteczną? Kiedy zabezpieczenie jest niezbędne? Wydane właśnie przez Europejską Radę Ochrony Danych (EROD) wskazówki mają te wątpliwości wyeliminować i ujednolicić stosowanie przepisów w całej UE.
Szeroki krąg adresatów i zakres stosowania
Wytyczne EROD dotyczą praktycznie każdego przedsiębiorcy. Bez znaczenia jest skala prowadzonej działalności – jednakowo traktowane są małe, lokalne firmy, jak i międzynarodowe korporacje. Nie ma również znaczenia profil działalności – do stosowania wymaganych przez RODO zasad privacy by design (uwzględniania prywatności w projektowaniu ochrony) i privacy by default (domyślnej ochrony danych) zobowiązani są zarówno przedsiębiorstwo prowadzące warsztat samochodowych, jak i klinika medycyny estetycznej, jeśli przetwarzają dane osobowe swoich lub potencjalnych klientów (np. gromadzą je, prowadzą korespondencję). Różnice w stopniu stosowania tych zasad mogą jednak się pojawić w zależności od złożoności przetwarzania informacji – inne środki bezpieczeństwa powinna stosować bowiem lokalna księgarnia prowadząca sprzedaż stacjonarną, a inne przedsiębiorstwo zajmujące się analizą danych z sieci społecznościowych.
EROD podkreśla, że zasady uwzględniania prywatności w projektowaniu i domyślnej ochrony danych mają zastosowanie do wszystkich administratorów. W praktyce trudno będzie znaleźć przedsiębiorcę, który by nie miał statusu administratora. Wystarczający będzie fakt zatrudniania pracownika, w związku z czym przedsiębiorca – nawet ten prowadzący jednoosobową działalność gospodarczą – musi spełnić wiele obowiązków, w tym uwzględniać ochronę danych w projektowaniu. Inną okolicznością wskazującą, że dany przedsiębiorca może mieć status administratora, może być np. to, że świadczy usługi na rzecz osób fizycznych drogą elektroniczną lub komunikuje się z usługobiorcami środkami komunikacji elektronicznej.
Wytyczne – na co dodatkowo wskazuje EROD – mogą mieć również istotne zastosowanie pomocnicze dla dostawców usług, producentów oraz podmiotów przetwarzających w imieniu administratora (tzw. procesorzy), wobec których nie stosuje się bezpośrednio zasad privacy by design i privacy by default. Dostarczane przez nich towary i usługi mogą się jednak wiązać z oczekiwaniem spełniania wymogów RODO, w tym zaprojektowania ich zgodnie z wymogami ochrony danych i ochrony danych osobowych w sposób domyślny. Może mieć to szczególne zastosowanie wobec dostawców oprogramowania służącego do przetwarzania danych osobowych, np. programu służącego do rejestrowania i przetwarzania transakcji rachunkowych. Równie szeroki zakres zastosowania wytycznych EROD dotyczy samych danych osobowych. Przypomnijmy: danymi osobowymi są wszelkie informacje, które identyfikują lub pozwalają zidentyfikować osobę fizyczną. Innymi słowy, danymi osobowymi jest każda informacja, która dotyczy osoby fizycznej. Będą to zatem nie tylko informacje, które w potocznym rozumieniu uznajemy za dane osobowe, czyli dane identyfikacyjne ( imię, nazwisko, numer PESEL, adres zamieszkania czy dane kontaktowe), danymi osobowymi będą wszelkie informacje dotyczące osoby fizycznej, jak np. wysokość wynagrodzenia, preferencje zakupowe czy adres IP. Danymi osobowymi mogą być również informacje niemające mają cech danych osobowych, ponieważ same w sobie nie identyfikują lub nie umożliwiają identyfikacji konkretnej osoby fizycznej, jednak w zestawieniu z imieniem i nazwiskiem niejako staną się danymi osobowymi. Na przykład dane diagnostyczne dotyczące sposobu wykorzystania komputera służbowego, przeprowadzanych operacji oraz nawiązanych połączeń sieciowych nie są same w sobie danymi osobowymi. Jednak w sytuacji zestawienia tych informacji z konkretnym pracownikiem zyskują walor danych osobowych zyskają. W toku prowadzenia typowej działalności gospodarczej dane osobowe dotyczą najczęściej pracowników, klientów, konsumentów, kontrahentów, współpracowników czy podwykonawców.
Wytyczne EROD wskazują również na szerokie stosowanie zasady uwzględniania prywatności w projektowaniu i domyślnej ochrony danych w horyzoncie czasowym. Przedsiębiorcy muszą stosować zasady privacy by design i privacy by default nie tylko przez pełny cykl życia danych osobowych, ale już na etapie poprzedzającym ich pozyskanie i rozpoczęcie jakichkolwiek operacji przetwarzania. W praktyce oznacza to, że zasady wynikające z RODO powinny być uwzględniane już w momencie, gdy przedsiębiorca przygotowuje narzędzie lub określony proces, który w swych założeniach ma przetwarzać dane osobowe, np. przygotowując rekrutację pracownika, musi z góry przewidzieć, przez jaki okres będzie przechowywać dane kandydatów. W tym celu musi wdrożyć środki techniczne i organizacyjne, które zapewnią przestrzeganie tego okresu, np. automatyczne usuwanie CV po upływie określonego czasu.
środki techniczne, czyli co
Wytyczne wyjaśniają, jak rozumieć pojęcie „środków technicznych i organizacyjnych”. Chodzi o jakąkolwiek metodę lub działanie zaangażowane w przetwarzanie danych. Środki te muszą być „odpowiednie”, co oznacza, że powinny być dostosowane do osiągnięcia określonego celu. Jak wskazuje EROD, wymóg odpowiedniości jest ściśle związany z wymogiem skuteczności.
W praktyce środkiem organizacyjnym mogą być np.:
- umowne zobowiązanie podwykonawców do wdrożenia określonych środków minimalizacji danych;
- wprowadzenie systemu kontroli dostępu do pomieszczeń;
- wdrożenie procedury postępowania w sytuacji incydentu bezpieczeństwa informacji lub naruszenia ochrony danych;
- szkolenie pracowników z tzw. higieny cybernetycznej.
Z kolei środkami technicznymi mogą być np.:
- wprowadzenie sposobów uwierzytelniania w systemach informatycznych;
- wykonywanie kopii zapasowych;
- systemy podtrzymania napięcia, chroniące systemy informatyczne przed skutkami awarii zasilania;
- stosowanie systemu wykrywania złośliwego oprogramowania.
Na tle wytycznych EROD można przyjąć, że środek, który jest skuteczny, będzie jednocześnie spełniał wymóg bycia odpowiednim. Skuteczność będzie przejawiała się tym, że zapewnia:
a) realizację zasad ochrony danych,
b) spełnia wymogi RODO oraz
c) chroni prawa osób, których dane dotyczą.
Zasadami ochrony danych, które musi spełniać każdy przedsiębiorca i które stanowią trzon ochrony danych osobowych, przedstawiamy w tabeli. [tabela]
TABELA. Podstawowe zasady wynikające z RODO ©℗
Zasada ochrony danych | Znaczenie zasady |
Przejrzystości | • informowanie w sposób przejrzysty i otwarty osoby, której dane dotyczą, o przetwarzaniu danych, w tym i pozyskiwania, wykorzystywania i udostępniania innym podmiotom |
Rzetelności, określana również jako zasada uczciwości lub dobrej wiary | • nieprzetwarzanie danych w sposób bezzasadnie szkodliwy, bezprawnie dyskryminujący, niespodziewany lub wprowadzający w błąd |
Zgodności z prawem | • przestrzeganie wszelkich norm prawa przy przetwarzaniu danych osobowych |
Ograniczenia celu przetwarzania | • przetwarzanie danych w określonym celu i wyłącznie w tym celu |
Minimalizacji danych | • zbieranie i przetwarzanie danych w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne |
Prawidłowości | • usuwanie i poprawianie nieprawidłowych danych |
Ograniczonego przechowywania | • przechowywanie danych wyłącznie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane |
Integralności | • przetwarzanie danych w sposób zapewniający bezpieczeństwo przed przypadkową utratą, zniszczeniem lub uszkodzeniem |
Poufności | • przetwarzanie danych w sposób zapewniający ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, w tym ujawnianiem danych |
Jakie zasady uwzględnić
Dobór odpowiednich i skutecznych środków przez przedsiębiorcę powinien być poprzedzony zrozumieniem każdej z poszczególnych zasad i odniesieniem jej do swojej organizacji oraz przetwarzanych danych osobowych.
Przejrzystość
Jednym z głównych obowiązków jest informowanie osób o przetwarzaniu ich danych. Wiąże się on z wymogiem przejrzystości w komunikacji. Na przykład informacje muszą być przedstawiane prostym językiem – być czytelne – oraz posiadać łatwą w odbiorze strukturę. Dobrą praktyką jest również umieszczanie grafik, które zwiększających dostępność informacji. Realizując tę zasadę, przedsiębiorcy powinni z góry planować komunikację z osobami, których dane dotyczą. Taka sytuacja będzie miała miejsce np. przy realizacji obowiązku informacyjnego – przedsiębiorca powinien z góry zaplanować, w jaki sposób będzie podawał informacje o przetwarzaniu danych osobowych – w którym momencie, jakim kanałem komunikacji oraz w jakiej formie udostępni te informacje.
Rzetelność
Zasada rzetelności przetwarzania danych, nazywana również zasadą uczciwości i dobrej wiary, stanowi jeden z bardziej nieokreślonych obowiązków. Między innymi zakłada ona, że przetwarzanie powinno być niedyskryminujące, powinno dawać autonomię osobie, której dane dotyczą, nie powinno nadmiernie eksploatować danych, czy też nie powinno wiązać się z przeniesieniem ryzyka z przedsiębiorcy na daną osobę.
W zgodzie z zasadą rzetelności przedsiębiorcy powinni np. zaprojektować z wyprzedzeniem sposoby komunikacji, np. zaplanować interaktywny formularz ułatwiający realizację prawa do usunięcia danych osobowych i w przejrzysty sposób poinformować o możliwości skorzystania z niego.
Zgodność z prawem
Przetwarzanie danych osobowych wiąże się z koniecznością ich przetwarzania na wyraźnej podstawie prawnej. Co więcej, przetwarzanie musi być zgodne nie tylko z przepisami ochrony danych osobowych, lecz też z innymi przepisami. Na przykład pozyskanie od kandydata do pracy zgody na przetwarzanie danych osobowych dotyczących niekaralności będzie niezgodne z prawem, ponieważ przepisy kodeksu pracy wprost wskazują, że pracodawca nie może skutecznie takiej zgody pozyskać. Biorąc to pod uwagę, pracodawca powinien od początku tak zaprojektować proces rekrutacji, żeby uwzględniał zgodność operacji przetwarzania z prawem.
Ograniczenie celu
Przedsiębiorca przetwarza dane osobowe nie tylko na określonej podstawie prawnej, lecz też w określonym celu. Co do zasady cel nie może być zmieniany, np. przedsiębiorca przetwarzający dane pracownika w celu zatrudnienia nie może ich zacząć przetwarzać w celu wysyłania mu informacji handlowych bez stosownej podstawy, tzn. zgody na tego typu komunikację. I choć w praktyce zmiana celu jest dopuszczalna, to jednak jest obwarowana licznymi warunkami. Realizując tę zasadę, firma powinna wdrożyć takie środki, które umożliwią jej ograniczyć cel do konkretnych, wyraźnych i prawnie uzasadnionych celów. Na przykład cel zatrudnienia nie uprawnia do rozpowszechniania wśród załogi informacji o przyczynie nieobecności pracownika. W praktyce przedsiębiorca musi być w stanie wyrazić i uzasadnić, dlaczego dane są przetwarzane w danym celu i nie może przy tym wykraczać poza wyznaczone granice.
Minimalizacja danych
Jedną z najdonioślejszych w świetle privacy by design jest zasada minimalizacji danych. Wymaga ona przetwarzania danych wyłącznie w takim zakresie, w jakim jest to niezbędne. Zasada ta mówi, że „mniej znaczy lepiej”. Realizacja minimalizacji danych obejmuje zarówno zakres pozyskiwanych danych, czyli tyle, ile jest potrzebne, jak również to, czy w ogólne dane osobowe są potrzebne do realizacji określonego celu.
W praktyce zasada minimalizacji danych powinna być spełniona zarówno w formularzach rekrutacyjnych, jak i w sklepach internetowych (np. przy realizacji usług na rzecz konsumentów) czy przy stosowaniu monitoringu wizyjnego. Przedsiębiorca, projektując dany proces, musi oceniać, czy rzeczywiście pozyskiwany zakres danych jest niezbędny do realizacji celu, jaki zakłada. Jeśli tak, to jakie dane rzeczywiście są potrzebne.
Minimalizacja danych może dotyczyć chociażby kwestii powielania dokumentów – czy rzeczywiście niezbędnym i uzasadnionym jest, że każdy dokument w organizacji jest kopiowany. Minimalizacja może dotyczyć również dostępu do danych – otóż dokumenty dotyczące pracowników nie powinny być udostępniane nieograniczonej liczbie osób, a tylko tym, dla których jest to niezbędne do realizacji określonych celów, np. wyłącznie pracującym w dziale zasobów ludzkich. Projektowanie wewnętrznego obiegu informacji w organizacji powinno od początku uwzględniać kwestie organizacyjne związane z dostępem od informacji oraz minimalizacją danych.
Prawidłowość
Administrator jest zobowiązany do tego, żeby zapewniać prawidłowość danych osobowych. Zdaniem EROD, ten wymóg można spełnić np. w drodze cyklicznej aktualizacji baz danych – chociażby poprzez zwracanie się do osób, których dane dotyczą, o aktualizację danych w razie ich zmiany, bądź poprzez usuwanie danych, które mogą być już lub są nieaktualne. Brak aktualności danych może w praktyce wiązać się z niezamierzonym ich ujawnieniem, np. wysłaniem korespondencji na nieaktualny adres. Jednocześnie każda osoba ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Przedsiębiorca powinien umożliwić skuteczną realizację tego uprawnienia. EROD podkreśla, że w przypadku udostępniania danych innym podmiotom sprostowanie powinno być skuteczne również wobec danych przetwarzanych przez inne podmioty.
Ograniczone przechowywanie
Zbliżona do zasady minimalizacji danych jest zasada ograniczonego przechowywania danych. Realizacja privacy by design wymaga, żeby wszystkie operacje przetwarzania miały z góry określony czas przechowywania danych – do czasu, aż zostaną zrealizowane cele. Przedsiębiorca może m.in. wskazać kryteria ustalania okresów przechowywania danych (np. w celu obrony i dochodzenia roszczeń), wdrożyć system katalogowania i etykietowania dokumentów pod kątem retencji, wdrożyć automatyzację przy usuwaniu danych czy określić maksymalne okresy przechowywania danych na kopiach zapasowych.
Integralność
Zasada integralności to w praktyce podjęcie takich środków technicznych i organizacyjnych, które będą chroniły przed niezgodną z prawem lub przypadkową utratą, zniszczeniem lub uszkodzeniem danych. W wytycznych wskazuje się, że środkami, które może podjąć przedsiębiorca w celu uwzględnienia zasady integralności, może być m.in. wdrożenie systemu zarządzania informacją w organizacji, projektowanie lub korzystanie z zewnętrznych systemów informatycznych, które uwzględniają ochronę danych w projektowaniu, dokonywanie regularnych przeglądów i testów sprzętu oraz oprogramowania w celu wykrycia słabych punktów, stosowanie kopii zapasowych (backup), stosowanie procedur prowadzenia operacji testowych w środowisku informatycznym czy dokonywanie analizy ryzyka poprzez rozważenie jego wpływu na ochronę danych osobowych.
Poufność
Z kolei zasada poufności stanowi jeden z głównych elementów prawnego modelu ochrony danych osobowych. To właśnie z naruszeniem poufności informacji wiążą się największe ryzyka i zagrożenia dla osób fizycznych, np. kradzież tożsamości czy ujawnienie informacji o walorach ściśle osobistych. Z uwagi na zewnętrzny skutek naruszenie tej zasady może generować większe ryzyko dla administratorów, w tym dla przedsiębiorców. Najczęściej stosowanymi (i nierzadko o stosunkowo wysokim stopniu skuteczności) są środki techniczne, np. szyfrowanie danych, czyli utajnienie ich w drodze kryptografii. Innym środkiem technicznym i jednocześnie organizacyjnym jest pseudonimizacja, czyli przetworzenie informacji w taki sposób, żeby nie można było ich przypisać konkretnej osobie, np. nadanie użytkownikowi numerycznego loginu zamiast adresu e-mail. Przedsiębiorcy mogą stosować też bardziej konwencjonalne środki organizacyjne, np. wdrożenie systemu zarządzania kontrolą dostępu. Taka kontrola dotyczy najczęściej ograniczeń co do osób mających dostęp do informacji (np. pracownicy działu księgowości) oraz ograniczeń w zakresie rodzajów przetwarzanych danych (np. dane dotyczące zaświadczeń lekarskich).
Jak znaleźć własną drogę do celu
Sercem zasady privacy by design jest skuteczność wdrożonych środków w celu realizacji zasad ochrony danych osobowych. Jednak to na przedsiębiorcy spoczywa odpowiedzialność za ocenę tego, czy dany środek będzie skuteczny i odpowiedni w realizacji założonych celów. Biorąc np. pod uwagę wprowadzenie monitoringu wizyjnego w zakładzie, przedsiębiorca musi ocenić, czy monitoring prowadzony w celu kontroli produkcji będzie skutecznym i odpowiednim środkiem oraz jakie powinno być zabezpieczenie nagrań z niego. W celu poprawnej oceny tych okoliczności musi zidentyfikować: kontekst przetwarzania, okoliczności, charakter, zakres i cel monitoringu. Konieczne jest też określenie niezbędnego zakresu monitoringu w kontekście realizowanego celu. Monitoring nie powinien więc naruszać zasady minimalizacji i zbierać nadmiarowych danych, tj. nie powinien rejestrować obrazu z obszaru, które nie mają związku z realizowanym celem, np. umieszczanie kamer rejestrujących obraz z pomieszczenia socjalnego czy drogi publicznej. Ocenie będzie podlegała kwestia okresu przechowywania nagrań z monitoringu wizyjnego – w tym przypadku ustawodawca w kodeksie pracy wskazał, że nagrania takie powinny być przechowywane przez okres maksymalnie trzech miesięcy. Okres ten jednak w celu realizacji zasady minimalizacji powinien być możliwie najkrótszy. Jeśli przedmiotem produkcji będą rzeczy, których przydatność od momentu wyprodukowania do konsumpcji będzie wynosiła miesiąc, to uzasadnienie dla dłuższego okresu przechowywania nagrań z monitoringu – z uwagi na spełnienie celu – będzie wymagała dodatkowego uzasadnienia lub wykazania innego celu przetwarzania, np. ochrony mienia pracodawcy. Z kolei przedsiębiorca przetwarzający dane osobowe klientów, powinien uwzględnić m.in. kto powinien mieć dostęp do bazy, jak często tworzyć kopie zapasowe bazy, czy baza powinna być przechowywana lokalnie, czy mieć dostęp do ogólnodostępnej sieci, czy firma powinna skorzystać z zewnętrznego dostawcy usług chmurowych, a jeśli się na to zdecyduje, to powinien się upewnić, który z dostawców zapewni gwarancje ochrony danych.
Rozlicz się z podjętych działań
Z zasadą uwzględniania prywatności w projektowaniu ściśle związany jest obowiązek rozliczalności. Oznacza on, że to na przedsiębiorcy spoczywa ciężar wykazania, że dokonał „odpowiednich wyborów”, czyli właściwie spełnił wymogi i obowiązki. To przedsiębiorca musi wykazać, że podjęte działania i metody były odpowiednie i skuteczne oraz że zastosował wszystkie niezbędne zabezpieczenia.
Sposoby wykazania prawidłowości podjętych decyzji przez przedsiębiorcę są dowolne. Może to być w drodze prowadzonej dokumentacji i ewidencji podjętych działań, jeśli np. firma wdrażająca nowy system księgowy przeprowadziła szkolenie pracowników z funkcjonowania tego systemu w zakresie ochrony danych i bezpieczeństwa informacji, to może przedstawić stosowne zaświadczenie. Innym przykładem rozliczalności może być raport z przeprowadzonej inspekcji dostawcy usług IT mającego status podmiotu przetwarzającego (tzw. procesor) przez niezależnego audytora.
Ignorowanie zasady rozliczalności może doprowadzić do tego, że działania przedsiębiorcy będą kwalifikowane jako niespełniające wymogów RODO, co w konsekwencji może wiązać się m.in. z odpowiedzialnością odszkodowawczą oraz nałożeniem administracyjnej kary pieniężnej.
Lepiej być na bieżąco
Privacy by design nie jest jednorazowym obowiązkiem. Tak jak obecne uregulowania ochrony danych osobowych wymagają bieżącego monitorowania operacji i procesów przetwarzania danych, tak również uwzględnianie prywatności jest procesem ciągłym, który powinien zostać wdrożony w organizację. EROD w wytycznych podkreśla wagę uwzględniania obecnego stanu wiedzy technicznej przy ochronie danych osobowych. Oznacza to konieczność uwzględniania przez przedsiębiorców postępu technologicznego. Z wysokim prawdopodobieństwem dziesięcioletnie nieaktualizowane oprogramowanie antywirusowe nie będzie stanowiło środka technicznego zabezpieczającego przed złośliwym oprogramowaniem, spełniając wymogi odpowiedniości i skuteczności.
Podobnie w przypadku szkoleń pracowników z zasad ochrony danych osobowych i bezpieczeństwa informacji – fakt jednorazowego przeszkolenia pracowników, bez cyklicznego powtarzania, może w wielu organizacjach nie być uznany za prawidłowy. Dopiero jego cykliczne stosowanie będzie spełniało wymóg uwzględniania prywatności w projektowaniu. EROD wskazuje, że złożoną ocenę tego, czy dany środek uwzględnia stan wiedzy technicznej, może ułatwić certyfikacja oraz stosowanie kodeksów postępowania przez przedsiębiorstwa. Mechanizmy te jednak pozostają na razie teoretyczne, ponieważ nie funkcjonują one jeszcze w Polsce.
Koszty odpowiednio, ale prymat wiedzie skuteczność
Z punktu widzenia przedsiębiorców szczególnie istotne są koszty wdrażanych środków. Koszty te należy rozumieć nie tylko w wymiarze finansowym, lecz również w kontekście zasobów ludzkich i czasowych. Z wytycznych EROD można wnioskować, że preferowane są koszty mniej obciążające przedsiębiorcę. Niezależnie od tego koszt nie może stanowić przyczyny uzasadniającej brak wdrożenia określonych środków. Koszt też nie może stanowić podstawy do wdrożenia środków, które nie będą skuteczne. Na przykład przedsiębiorca mierzący się z ryzykiem utraty danych przetwarzanych na komputerach musi ocenić, jak częste tworzenie kopii zapasowych będzie stanowiło skuteczny środek – tworzenie kopii danych co godzinę może stanowić silny środek przed niezamierzoną utratą danych, jednakże środek taki może się wiązać ze znacznie wyższym kosztem. Z kolei tworzenie kopii zapasowych co siedem dni może w przypadku wielu przedsiębiorstw być zbyt rzadkim okresem.
Co wymaga podkreślenia i na co zwraca również uwagę EROD, uwzględnienie ochrony danych na wcześniejszym etapie pozwala redukować koszty. Często przeprojektowanie środków i zabezpieczeń w dojrzałych procesach wiąże się ze znacznie wyższym kosztem – zarówno finansowym, czasowym i osobowym – niż pierwotne uwzględnienie ich na wczesnym etapie określania sposobów przetwarzania danych.
Kara skuteczna i odstraszająca
Wymogi spełniania zasady uwzględniania ochrony danych w projektowaniu i domyślnej ochrony danych mogą stanowić przedmiot oceny prezesa Urzędu Ochrony Danych Osobowych, który może zastosować wobec przedsiębiorcy uprawnienia naprawcze, m.in.: wydać ostrzeżenie, udzielić upomnienia, nakazać określonego działania wobec żądania osoby, której dane dotyczą czy zakazać dalszego przetwarzania danych osobowych. W większości przypadków najdotkliwsza może być administracyjna kara pieniężna, która może być nałożona w wysokości do 10 mln euro lub do 2 proc. całkowitego obrotu przedsiębiorstwa. Zgodnie z RODO kary nakładane muszą być proporcjonalne, skuteczne i odstraszające, co dla niejednego przedsiębiorcy stanowi motywację do rzetelnego wdrożenia privacy by design i privacy by default w życie. ©℗
Horyzont czasowy
Ochrona danych w projektowaniu powinna być wdrażana „zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania”. Szerokie pojęcie „określania sposobów przetwarzania” może powodować niejasności w przypadku niejednego przedsiębiorstwa. EROD w wytycznych wskazuje, że momentem stosowania privacy by design jest etap określania tego, jak będzie prowadzony dany proces przetwarzania. Tym samym privacy by design nie obowiązuje jeszcze na etapie, gdy zastanawiamy się, czy przetwarzać, choć uwzględnianie tej zasady już wtedy będzie z pewnością stanowić dobrą praktykę. Zatem to m.in. moment określania środków przetwarzania będzie momentem, od którego należy uwzględniać ochronę danych. Na przykład przedsiębiorca planujący rozpoczęcie kampanii reklamowej z użyciem komunikacji bezpośredniej (e-mail, SMS) będzie musiał uwzględniać ochronę danych już od momentu określania sposobów użycia systemu CRM służącego realizacji tych działań marketingowych. Uwzględnianie ochrony danych rozciąga się na cały cykl przetwarzania, czyli do momentu, aż dane te przestaną być przetwarzane. Przetwarzanie danych jest nierzadko procesem dynamicznym, w związku z czym mogą zachodzić zmiany w sposobach przetwarzania – np. przedsiębiorca może podjąć decyzję o zmianie kanału komunikacji lub zastosowania nowych narzędzi do przetwarzania danych.
Privacy by default
Uzupełnieniem zasady uwzględniania ochrony danych w projektowaniu jest zasada domyślnej ochrony danych, czyli privacy by default. Określa ona obowiązek administratora do wdrożenia środków technicznych i organizacyjnych, które w sposób domyślny umożliwiają przetwarzanie tych danych, które są niezbędne. Niezbędność ta odnosi się zarówno do ilości zbieranych danych, rodzaju, okresu ich przechowywania oraz dostępności. Zasada ta stanowi rozwinięcie zasady minimalizacji danych ze wskazaniem na domyślność wdrażanych środków. Oznacza to, że środki podejmowane przez przedsiębiorców powinny w domniemany sposób realizować zasadę minimalizacji danych.
Najczęstsze zastosowanie domyślnej ochrony danych będzie miało miejsce w środowisku informatycznym, np. w ustawieniach fabrycznych przeglądarki internetowej. W domyślny sposób przeglądarka powinna być tak skonfigurowana, żeby pozyskiwała wyłącznie te informacje, które są niezbędne do realizacji celu lub swojej głównej funkcji. Na przykład wysyłanie danych diagnostycznych o użyciu przeglądarki zasadniczo nie znajdzie silnego uzasadnienia bez uzyskania stosownej podstawy. Innym przykładem jest z góry zaznaczone pole zgody na przetwarzanie danych osobowych w formularzu internetowym – jest to praktyka błędna zarówno pod kątem wymogów właściwych dla wyrażenia zgody, jak i niezgodności z zasadą domyślnej ochrony danych osobowych.