Jak wykazać w toku kontroli stosowanie wymogu uwzględniania ochrony w fazie projektowania

Zasada privacy by design, czyli ochrony w fazie projektowania, została wprowadzana w art. 25 ust. 1 RODO – administrator danych wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Administrator danych przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, powinien dobrać odpowiednie środki poprzez uwzględnienie stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Dodatkowo administrator danych powinien oszacować i uwzględnić przy wdrażaniu tych środków ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wynikające z przetwarzania.

Ważne!

Zasada ochrony w fazie projektowania została wprowadzona po to, by zapobiegać naruszeniom RODO oraz naruszeniom bezpieczeństwa danych osobowych.

Zakłada ona, że planując jakikolwiek rodzaj przetwarzania danych osobowych, administrator danych powinien przede wszystkim uwzględnić w tym procesie zabezpieczenie danych osobowych.

W motywie 78 RODO precyzuje się zasadę ochrony w fazie projektowania poprzez wskazanie, że aby móc wykazać przestrzeganie RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania, a także z drugim wymogiem zawartym w art. 25 ust. 2, czyli z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

Ponadto w przywołanym motywie RODO wskazuje się, że twórcy produktów, usług i aplikacji, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, powinni przy ich opracowywaniu i projektowaniu brać pod uwagę prawo do ochrony danych osobowych oraz uwzględnić stan wiedzy technicznej, tak aby zapewnić administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych.

Spełnienie powyższych wymogów i założeń zasady privacy by design wymaga przede wszystkim oszacowania ryzyka, jakie wiąże się z konkretnym sposobem przetwarzania danych osobowych, zwłaszcza jeśli miałoby się ono odbywać z wykorzystaniem nowych technologii. To na etapie sporządzania analizy ryzyka konkretnego procesu przetwarzania danych osobowych administrator danych powinien uwzględnić wszystkie zagrożenia, jakie w danym procesie przetwarzania mogą się pojawić.

Określając konkretne zagrożenia dla bezpieczeństwa danych osobowych, administrator może przejść do kolejnej fazy szacowania ryzyka obejmującej dobór odpowiednich środków, które temu ryzyku zapobiegają. Dobór tych środków zależy od rodzaju stwierdzonych zagrożeń, ale także stanu wiedzy, rozwoju technologii oraz kosztów ich wdrożenia. Niezbędne jest zatem uwzględnienie przez administratora danych wszystkich czynników szacowania ryzyka, które zostały wskazane w powołanych wyżej przepisach RODO.

Ważne!

W toku kontroli wykazanie przestrzegania wymogu uwzględniania ochrony w fazie projektowania będzie wiązać się z przedstawieniem raportu z analizy ryzyka zgodnej z wymogami RODO. Administrator danych powinien wykonać taką analizę jeszcze przed rozpoczęciem przetwarzania danych, którego będzie dotyczyła przedmiotowa analiza.

Jeżeli zatem administrator danych zamierza np. wprowadzić nową aplikację na smartphone’a, przystępując do jej tworzenia, powinien ustalić, jakie funkcje będzie spełniać przedmiotowa aplikacja, jakie dane osobowe będzie gromadziła, w jaki sposób w ramach działania aplikacji będą przetwarzane dane osobowe i jakie ryzyko dla praw i wolności osób, których dane dotyczą, wiążę się z korzystaniem z takiej aplikacji.

Na podstawie tych informacji administrator danych będzie musiał przeprowadzić szczegółową analizę ryzyka,
która nie tylko pozwoli mu oszacować ryzyka, jakie wiążą się z danym rodzajem przetwarzania danych, ale także pozwoli na dobór i wdrożenie odpowiednich środków pozwalających na zminimalizowanie tego ryzyka.

 

Wskazówka!

W tym miejscu warto wskazać, że zasada ochrony w fazie projektowania wiąże się także z oceną skutków dla ochrony danych określoną w art. 35 RODO.

Jeżeli bowiem dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Dokumentując zatem stosowanie wymogu uwzględniania ochrony w fazie projektowania, administrator danych powinien rozważyć, czy w danym przypadku nie powinien przeprowadzić oceny skutków dla ochrony danych osobowych.

Jej przeprowadzenie pozwala nie tylko na oszacowanie ryzyka przetwarzania danych osobowych na etapie planowania konkretnych operacji, ale także wymaga przeprowadzania stałego i regularnego szacowania ryzyka na różnych etapach realizacji konkretnego projektu, np. funkcjonowania aplikacji na smartphonie, co powoduje, że administrator danych w każdej chwili może wykazać przed organem przeprowadzającym kontrolę spełnienie wymogów wynikających z zasady privacy by design.