Przystanek RODO: nowe podejście do praktycznego zastosowania ochrony danych osobowych
Zapraszamy Państwa na drugi artykuł z cyklu „Przystanek RODO”, w którym zostaną omówione nowe zasady podejścia do ochrony danych osobowych, tj.:
- podejścia opartego na ryzyku (risk based approach),
- zapewnieniu rozliczalności (accountability),
- zapewnieniu ochrony danych w fazie projektowania (privacy by design),
- zapewnieniu domyślnej ochrony danych (privacy by default).
Zasada ryzyka
Zgodnie z przyjętym w Rozporządzeniu podejściem opartym na ryzyku, to na administratorze danych ciąży obowiązek adekwatnego, w stosunku do zagrożeń, zabezpieczenia danych osobowych. Zbieranie i korzystanie z danych osobowych wymaga więc przede wszystkim odpowiedzi na pytanie, jakie zagrożenia mogą wystąpić dla prywatności osób, których dane są w posiadaniu administratora oraz czy przetwarzanie danych w takiej czy innej formie może doprowadzić do naruszenia ochrony danych osobowych. Jeśli administrator danych dojdzie do przekonania, że ryzyko naruszenia jest wysokie, powinien przeprowadzić ocenę skutków planowanych operacji przetwarzania i określić jakie zabezpieczenia powinny zostać wdrożone w stosunku do zidentyfikowanych zagrożeń. Co ważne, z dniem wejścia w życie Rozporządzenia zostaną uchylone wszelkie dotychczasowe akty prawne, które dziś wskazują, w jaki sposób administrator powinien chronić dane osobowe. W związku z powyższym, przygotowując się do wdrożenia RODO, administratorzy danych powinni zwrócić szczególną uwagę na aspekt związany z szacowaniem ryzyka.
Zasada rozliczalności
Nowością wprowadzoną przez Rozporządzenie jest zasada rozliczalności (ang. accountability), która oznacza, że administrator danych powinien móc udowodnić, że postępuje zgodnie z zasadami ochrony danych osobowych. W szczególności powinien wykazać, że została przeprowadzona ocena skutków dla ochrony danych, wdrożono zasadę privacy by design i privacy by default lub też stosuje się zatwierdzone kodeksy postępowania. Na każdym administratorze danych będzie spoczywał obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność w wymogami RODO. Rozporządzenie nie wskazuje konkretnych przykładów rozwiązań, które pozwolą administratorowi danych spełnić wymogi nowego systemu ochrony danych osobowych. Nie określa też minimalnych standardów technicznych mających na celu zabezpieczenie danych. Jak wspomniano powyżej, uchylone zostaną obowiązujące dotychczas akty prawne, które wskazywały sposób zabezpieczenia danych osobowych. Od 25 maja 2018 r. administrator danych powinien być w stanie wykazać, że wybrane przez niego i zastosowane środki spełniają obowiązki, jakie narzuca na niego RODO, a ryzyko odpowiedniego doboru zabezpieczeń pozostaje wyłącznie po jego stronie.
Rozporządzenie wskazuje jedynie instrumenty, które mogą być pomocne w podjęciu decyzji w zakresie stosowania środków ochrony danych osobowych. W szczególności są to zatwierdzone przez organ nadzoru (od 25 maja 2018 r. dzisiejszy organ nadzoru – GIODO – zostanie zastąpiony przed PUODO – Prezesa Urzędu Ochrony Danych Osobowych) kodeksy postępowania, a także mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych. Źródłem wiedzy w zakresie sprawdzonego zarządzania środkami bezpieczeństwa będą również np. normy ISO.
Privacy by design
Rozporządzenie wprowadza obowiązek uwzględniania ochrony danych osobowych już w fazie projektowania. Głównym celem zasady privacy by design jest niejako „wbudowanie” zasad ochrony prywatności w każdy system zakładający przetwarzanie danych osobowych. Zasada privacy by design została wprowadzona przez art. 25 ust. 1 Rozporządzenia, zgodnie z którym przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikających z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – powinien wdrożyć odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. Zgodnie z powyższym, administrator danych będzie zobowiązany zapewnić odpowiednie środki organizacyjne i techniczne już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych osobowych. W szczególności administrator powinien zastosować takie mechanizmy jak pseudonimizacja i minimalizacja zakresu przetwarzanych danych, umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych oraz umożliwienie doskonalenia zabezpieczeń w przyszłości.
Privacy by default
Zasada privacy by default została wprowadzona przez art. 25 ust. 2 Rozporządzenia, zgodnie z którym administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. W szczególności dotyczyć to będzie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Zastosowane środki powinny zapewnić, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób. Dodatkowo, domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, w którym zostały zebrane (minimalizacja danych). Zasada ta znajdzie zastosowanie w szczególności w przypadku twórców oprogramowania czy aplikacji, za pomocą których współdzielimy informacje o sobie z innymi użytkownikami (np. portale społecznościowe). Należy mieć jednak na uwadze, że nie będzie to jedyne zastosowanie zasady domyślnej ochrony danych. Produkty i usługi powinny być od początku tak skonfigurowane, żeby poszerzenie zakresu udostępnianych danych osobowych mogło nastąpić wyłącznie na podstawie zmiany ustawień dokonywanych przez użytkownika, którego dane dotyczą.
Należy podkreślić, że w przypadku nieuwzględnienia ochrony danych osobowych w fazie projektowania oraz braku ustawienia domyślnej ochrony danych administrator danych może zostać obciążony karą w wysokości do 10 000 000 EUR lub 2% rocznego światowego obrotu z poprzedniego roku obrotowego.
Podsumowując, RODO całkowicie zmienia zasady podejścia do systemu ochrony danych osobowych. Przerzuca ryzyko podjęcia decyzji o doborze odpowiednich środków ochrony na administratora danych, określając jedynie ogólne wytyczne, którymi administrator powinien kierować się przy projektowaniu systemu ochrony danych osobowych. Rozporządzenie nakłada na administratorów danych obowiązek opracowania procesów przetwarzania danych zgodnie z zasadami ich ochrony, a także uwzględnianie domyślnego ustawienia ochrony danych osobowych. W celu właściwego przygotowania się do rozpoczęcia stosowania RODO, administratorzy danych, projektując systemy przetwarzania danych osobowych, powinni przede wszystkim wziąć pod uwagę zasady wskazanie w niniejszym artykule.