Wytyczne w sprawie ochrony danych osobowych w fazie projektowania

Aktualnie trwają prace nad wytycznymi w sprawie ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Do 16 stycznia 2020 r. można było składać uwagi do wytycznych 4/2019 do Euro­pejskiej Rady Ochrony Danych za pośrednictwem formularza dostępnego pod linkiem: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/reply-form_en?node=375.

Wytyczne zostały przyjęte na posiedzeniu plenarnym Europejskiej Rady Ochrony Danych w listopadzie 2019 r. Składają się one ze wstępu oraz sześciu rozdziałów. Wytyczne zawierają także praktyczne wskazówki dotyczące ich wdrożenia i przykłady. Treść wytycznych dostępna jest pod linkiem: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf

Poniżej przedstawiono omówienie kilku wybranych wytycznych:

Wytyczne znajdują zastosowanie zarówno do małych struktur, jak i do międzynarodowych podmiotów.

  • Administratorzy powinni wprowadzać odpowiednie techniczne i organizacyjne środki, które mają na celu wdrożenie zasad ochrony danych oraz zintegrować niezbędne zabezpieczenia przetwarzania w celu spełnienia wymagań ochrony danych i ochrony praw osób fizycznych.
  • Pojęcie „środków” powinno być rozumiane szeroko, jako jakakolwiek metoda lub sposób, który administrator może zastosować przy przetwarzaniu. Środki te powinny być adekwatne, co oznacza, że powinny nadawać się do zamierzonego celu, na przykład muszą nadawać się do skutecznego wdrożenia zasad ochrony danych osobowych poprzez ograniczenie ryzyka wkroczenia w prawa i wolności osób, których dane dotyczą. Wymóg odpowiedniości jest ściśle powiązany z wymogiem efektywności.
  • Techniczne i organizacyjne środki mogą być wszelakie, począwszy od zaawansowanych technicznych środków, po podstawowe szkolenia personelu, przykładowo w zakresie obsługi danych klienta.
  • Określają, na czym polega zabezpieczenie realizacji praw i wolności w procesach przetwarzania danych w pełnym cyklu życia danych osobowych.
  • Skuteczność leży u podstaw ochrony danych w fazie projektowania. Administratorzy muszą być w stanie zademonstrować, że zaimplementowali dedykowane środki w celu ochrony zasad ochrony danych oraz zintegrowali właściwe zabezpieczenia, które są konieczne do ochrony praw i wolności osób, których dane dotyczą. Nie jest wystarczające zaimplementowanie ogólnych środków, każdy środek powinien mieć rzeczy­wisty efekt.
  • Administratorzy muszą być w stanie wykazać, że zastosowali środki i zabezpieczenia, żeby osiągnąć pożądany efekt pod względem ochrony danych osobowych. Aby to zrobić, administratorzy mogą ustalić odpowiednie kluczowe wskaźniki wydajności w celu wykazania zgodności. Kluczowe wskaźniki wydajności mogą zawierać metryki w celu wykazania skuteczności danych środków. Metryki mogą być ilościowe, jak poziom ryzyka, redukcja reklamacji, skrócenie czasu reakcji, gdy osoby, których dane dotyczą, wykonują swoje prawa, bądź jakościowe, takie jak ocena wydajności, zastosowanie skali ocen bądź ocena eksperta. Alternatywnie administratorzy mogą podać racjonalne uzasadnienie oceny skuteczności wybranych środków i zabezpieczeń.
  • Pojęcie stanu wiedzy powinno być brane pod uwagę przy ochronie danych w fazie projektowania, rozszerzając w ten sposób ten poziom odniesienia na wszystkie techniczne i organizacyjne środki wbudowane w projektowanie.
  • Stan wiedzy powinien uwzględniać obecny postęp technologiczny, który jest dostępny na rynku. Administratorzy powinni być na bieżąco z postępem technicznym i mieć wiedzę o tym, w jaki sposób technologia może stanowić zagrożenie dla ochrony danych podczas operacji przetwarzania oraz jak wdrożyć środki i zabezpieczenia, które zapewnią skuteczną implementację zasad i praw osób, których dane dotyczą, w obliczu technicznego krajobrazu.
  • Wytyczne zawierają także wskazówki odnośnie do kosztów wdrożenia przy określaniu sposobów przetwarzania – koszty odnoszą się do zasobów w ogóle, wliczając czas oraz zasoby ludzkie. Koszty te są częścią kosztów biznesowych.
  • Wytyczne wyjaśniają także takie pojęcia, jak: charakter, zakres, kontekst ora...

Dalsza część jest dostępna dla użytkowników z wykupionym planem