Wraz z rozpoczęciem obowiązywania przepisów „RODO” przedsiębiorcy muszą wprowadzić szereg zmian organizacyjny oraz technicznych. Jedną z nich jest praktyczna realizacja dwóch nowych zasad:
- Uwzględnienie zasady prywatności w fazie projektowania (ang. „privacy by design”)
- Wdrożenia zasady prywatności w ustawieniach domyślnych (ang. „privacy by default”)
Aby zapewnić praktyce należyte wypełnienie założeń Dyrektywy RODO można posłużyć się kilkoma
wskazówkami, które ułatwią zrozumienie istoty tych reguł:
Działaj proaktywnie, a nie reaktywnie.
Działanie proaktywne w przypadku tworzenia systemów informatycznych ma na celu przede wszystkim wykonanie analizy ryzyka i podjęcie stosownych działań mających na celu ochronę prywatności jeszcze na etapie projektu. Bardzo często na tym etapie konieczne i wskazane jest wsparcie kierownictwa najwyższego szczebla, po to aby zapewnić egzekwowanie wysokich standardów. Działanie proaktywne odnosi się także do ciągłego doskonalenia. Należy wykonywać okresowe przeglądy istniejących systemów pod kątem zmian, które mogą powodować konieczność wdrożenia dodatkowych zabezpieczeń mających na celu ochronę danych osobowych.
Wdrożenia zasady prywatności w ustawieniach domyślnych
Realizację wdrożenia ochrony prywatności w ustawieniach domyślnych należy rozumieć jako:
- specyfikację celu – cele, dla których dane osobowe są gromadzone, wykorzystywane,
przechowywane zostaną przekazane osobie fizycznej (osobie, której dane dotyczą) w momencie uzyskania informacji o przetwarzaniu lub w nie później niż 30 dni gdy dane nie zostały pozyskane bezpośrednio. Określone cele powinny być jasne, ograniczone i adekwatne do okoliczności. - ograniczenie gromadzenia – zbieranie danych osobowych musi być uczciwe, zgodne z prawem i ograniczone do tego co jest niezbędne do określonych celów.
- minimalizację danych – zbieranie informacji umożliwiających identyfikację osób powinno być ściśle ograniczone minimum. Należy unikać gromadzenia danych nadmiarowych, które nie są wymagane do procesy przetwarzania.
- ograniczenie wykorzystania, przechowywania i ujawniania – wykorzystanie, przechowywanie i ujawnianie danych osobowych ogranicza się do określonych dla osoby celów, na które osoba ta wyraziła zgodę, chyba że prawo stanowi inaczej. Dane osobowe będą przechowywane tylko tak długo, jak to konieczne w celu spełnienia określonych celów, a następnie bezpiecznie usunięte (tzw. retencja danych).
W przypadku, gdy potrzeba lub wykorzystanie danych osobowych nie jest jasne, należy domniemywać prywatność i obowiązuje zasada ostrożności: ustawienia domyślne zapewniają największą ochronę prywatności.
Mechanizmy ochrony prywatności muszą być zaimplementowane do procesu projektowania
Ochrona prywatności powinna być uwzględniona już w na etapie tworzenia projektu, architektury systemów informatycznych oraz w praktykach biznesowych. Istotą tego mechanizmu jest to, aby podczas procesu projektowania brać pod uwagę szersze konteksty przetwarzania danych osobowych oraz uwzględniać potencjalne możliwe zmiany, które mogą nastąpić w przyszłości. Konieczne jest przeprowadzenie analizy ryzyka, stworzenie jasno udokumentowanej listy zagrożeń
dla prywatności oraz konkretnych środków mających na celu łagodzenie negatywnych skutków dla osób fizycznych.
Bezpieczeństwo
Podmioty przetwarzające muszą wziąć całkowitą odpowiedzialność za bezpieczeństwo danych osobowych przez cały cykl życia procesów. Począwszy od fazy projektowania, gdzie implementuje się praktyczne mechanizmy zapewniające poufność, integralność i dostępność, a skończywszy na odpowiedniej retencji danych gdy ustaną przesłanki do ich przetwarzania. Podczas projektowania systemów informatycznych konieczne jest także uwzględnienie odpowiednich metod: bezpiecznego logowania, odpowiedniego szyfrowania danych, rozliczalności operacji oraz retencji danych. Niezwykle istotnym elementem bezpieczeństwa jest także ciągły monitoring działania systemu (szczególnie aplikacji webowych), zarządzania aktualizacjami, reagowaniem na incydenty oraz zarządzania podatnościami. Dodatkowo systemy webowe powinny być okresowo testowane zgodnie z najnowszymi standardami bezpieczeństwa w celu uniknięcia ryzyka włamań lub wycieku danych.
Przejrzystość i Transparentność
Reguła „Privacy by design” ma na celu zapewnienie wszystkim interesariuszom, że niezależnie od stosowanej praktyki biznesowej lub technologii, w rzeczywistości działa zgodnie z zadeklarowanymi obietnicami i celami, podlegając niezależnej weryfikacji. Jego części składowe i operacje pozostają widoczne i przejrzyste, zarówno dla użytkowników, jak i dostawców. Przedsiębiorcy powinni kierować się zasadami:
- odpowiedzialności – rozumianej jako obowiązek należy tej dbałości o wszystkie polityki i procedury związane z prywatnością. Procedury powinny być udokumentowane, odpowiednio zakomunikowane i przypisana do określonej osoby w Organizacji. Przekazując dane osobowe poza obszar Europejski Obszar Gospodarczy, należy zapewnić równoważną ochronę prywatności za pomocą środków prawnych i technicznych.
- otwartość – rozumiana jako przejrzystość, to klucz do odpowiedzialności. Informacje o zasadach i procedurach związanych z zarządzaniem danymi osobowymi powinny być łatwo dostępne dla osoby zainteresowanej.
- zgodność – rozumiana jako zgodność z nowymi regulacjami RODO. Należy ustanowić mechanizmy ułatwiające możliwość uzyskania informacji co do zakresu przetwarzanych danych, możliwość ich edycji, sprostowania, oraz realizacji prawa o bycia zapomnianym.
Potwierdzeniem realizacji powyższych założeń powinna być notatka, która potwierdzi implementację zasad do nowego systemu informatycznego. Istotne jest także aby w momencie pojawienia się nowych funkcjonalności ponownie sprawdzać dochowanie zasad prywatności na etapie projektowania tak aby mechanizm ochrony działał w trybie ciągłym, a nie tylko podczas pierwszego wdrożenia systemu.
Aby skutecznie zdrożyć zasady: „privacy by design” i „privacy by default” należy pamiętać, że ich realizacja musi się odbywać już na etapie projektowania. Takie podejście wymaga aby architekci i operatorzy dbali o to, aby interesy jednostki były na pierwszym miejscu poprzez oferowanie takich środków, jak silne domyślne
ustawienia prywatności, odpowiednia informacja o zakresie przetwarzanych danych, łatwość uzyskania informacji o nich i sprawnie działający system, pozwalający na realizację prawa do sprzeciwu. RODO spowodowało, że wszystkie procesy powinny być zorientowane „na użytkownika”. Dodatkowe ale niezwykle istotne elementy odnoszą się do środków technicznych, które powinny wzmacniać proces przetwarzania danych. Jest to zdecydowana zmiana, która wymaga znacznie większego zaangażowania i wiedzy ze strony działów IT.