Privacy by design, czyli ochrona danych w fazie projektowania to zasada w myśl, której już na etapie planowania nowych procesów fizycznych, budowy i rozwoju systemów, aplikacji, stron internetowych, urządzeń oraz usług uwzględnia się sposób oraz formy ochrony danych osobowych i prywatności osób fizycznych. Domyślna konfiguracja powinna zakładać odpowiednią ochronę prywatności tych danych co nazywane jest privacy by default.
Zasada privacy by design znajduje zastosowanie przy wdrażaniu praktycznie wszystkich zmian w organizacji, począwszy od procesów biznesowych i projektów fizycznych, a kończąc na modyfikacji, rozbudowaniu czy zmianie infrastruktury IT rozumianej jako urządzenia informatyczne oraz całe oprogramowanie i środowisko, w którym one pracują. W praktyce sprowadza się ona do takiego projektowania wszystkich nowych rozwiązań, aby zakres gromadzonych danych był adekwatny do celu biznesowego, podejmowane działania były zgodne z przepisami prawa z zakresu ochrony danych osobowych i innych aktów pokrewnych, a wykorzystywane narzędzia ułatwiały realizację zobowiązań organizacji jako administratora danych.
W Artykule 32 RODO dotyczącym bezpieczeństwa przetwarzania czytamy:
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wnioskując z zapisów tego artykułu, działając zgodnie z założeniami ochrony danych osobowych w fazie projektowania (privacy by design oraz privacy by default), każdy administrator powinien zaplanować pracę w trzech głównych etapach:
- dokonanie oceny ryzyka jakim obarczone jest przetwarzanie danych w procesie przy wykorzystaniu określonych narzędzi i technologii,
- zaplanowanie adekwatnych do zdefiniowanego ryzyka oraz kategorii danych, ich zakresu, celu oraz kontekstu przetwarzania, organizacyjnych i technicznych środków bezpieczeństwa służących ochronie danych, w tym zapewnienie odpowiedniego sposobu działania systemów informatycznych, zabezpieczenie fizyczne budynków i pomieszczeń czy opracowanie instrukcji postępowania,
- określenie sposobów, a następnie zgodne z nimi monitorowanie przydatności i skuteczności stosowanych zabezpieczeń.
Stosowanie się do zasad privacy by design może przynieść administratorowi wiele wymiernych korzyści. Główną z nich jest znaczące zaoszczędzenie zasobów finansowych – zaplanowanie rozwiązań w zakresie ochrony danych osobowych na etapie planowania, pozwala na:
- obniżenie kosztów związanych z koniecznością wprowadzonych zmian w już gotowych rozwiązaniach,
- minimalizuje zagrożenia ponoszenia strat na skutek wstrzymania wypuszczenie produktu na rynek lub chwilowego zawieszenia jego działania.
Wśród dodatkowych zalet na pewno warto wskazać:
- otrzymanie w pełni kompatybilnego produktu poprzez dobór a następnie testowanie funkcjonalności na wczesnych etapach prowadzenia prac rozwojowych,
- budowanie przewagi konkurencyjnej i ochronę własnej reputacji,
- minimalizację ryzyka wystąpienia naruszenia w zakresie ochrony danych osobowych.
Co więcej, dzięki odpowiednio zaplanowanym i wdrożonym rozwiązaniom administrator może uchronić się przed administracyjnymi karami finansowymi nakładanymi przez Urząd Ochrony Danych Osobowych. Większość kar dotychczas nałożonych przez organy nadzorcze w Unii Europejskiej wiąże się z brakiem spełnienia zasady privacy by design, czyli za niezgodności w zakresie art. 25 RODO. W Polsce najbardziej spektakularną karą finansową w wysokości blisko 3 mln zł było ukaranie sieci sklepów internetowych za stosowanie nieadekwatnych do ryzyka środków uwierzytelniania użytkowników, co w konsekwencji skutkowało wyciekiem danych i ich nieuprawnionym wykorzystaniem.
Prowadzenie projektów zgodnie z zasadą privacy by design wymaga wiedzy z zakresu ochrony danych osobowych, prawa, bezpieczeństwa informacji oraz funkcjonowania systemów informatycznych i co z tym związane zaangażowania różnego rodzaju specjalistów. Dlatego, jeżeli planujesz zmiany w swojej organizacji, zmieniasz siedzibę, wchodzisz na nowe rynki zbytu, chcesz przenieść działalność do Internetu, planujesz modernizację, rozwój lub zakup oprogramowania – zespół LexDigital pomoże Ci przeprowadzić te działania w oparciu o swoje doświadczenie i najlepsze praktyki rynkowe.
Poszukujesz wsparcia w obszarach ochrony danych osobowych? Sprawdź nasze główne usługi:
IOD – kim jest, czym się zajmuje i jak wspiera biznes?
