Privacy by design

Artykuł 25 RODO poświęcony jest tematyce „uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochronie danych”. Upraszczając, nakazuje się wdrażać odpowiednie rozwiązania, aby chronić dane i prywatność osób. W tym celu można stosować pseudoanonimizację danych oraz minimalizować ilość danych – do tych niezbędnych do celu przetwarzania.

Dostosowanie do tego wymagania nie wymaga inwestycji, ale raczej dostosowania procesów, tak aby zanim zacznie się wdrażać czy tworzyć rozwiązania, najpierw je odpowiednio zaplanować. Aby móc to zrobić, należy dobrze przygotować „arsenał” możliwych do wykorzystania narzędzi. Mogą to być:

  • minimalizacja rodzaju danych (tylko te dane, które są potrzebne),
  • minimalizacja zakresu danych (tylko dane z ostatnich miesięcy),
  • pseudoanonimizacja i tokenizacja (posługiwanie się identyfikatorem, a nie imieniem i nazwiskiem),
  • wyświetlanie ograniczonej ilości informacji (np. po zalogowaniu do bankowości saldo oraz imię i nazwisko domyślnie jest niewidoczne, chyba że zmieni się to w ustawieniach),
  • nieujawnianie danych osobowych w logach systemu,
  • nieprzechowywanie danych osobowych w plikach cookies,
  • unikanie stosowania identyfikatorów, takich jak PESEL lub NIP, jako tzw. loginów bądź wykorzystywania ich jako jedynego składnika uwierzytelniającego.
     

Zasady opisane w art. 25 są zaleceniem, aby najpierw sensownie zaplanować zabezpieczenia, dopiero później je wdrażać. Tym samym wykazują pewne podobieństwo do oceny skutków dla ochrony danych, którą należy także
wykonywać przed rozpoczęciem przetwarzania. Podsumowując, RODO zmusza do przemyślenia i zaplanowania systemu przetwarzania danych osobowych.