RODO: Większy nacisk na ochronę prywatności - „privacy by design” oraz „privacy by default”

Rozporządzenie dotyczące Ochrony Danych Osobowych, wprowadza do europejskiego porządku prawnego zasady - privacy by design oraz privacy by default. Wymuszą one na wszystkich administratorach danych obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Oznacza to, iż zasady ochrony prywatności będą „wbudowane” w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. Dodatkowo ustawienia aplikacji czy systemów przetwarzających dane domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Rozporządzenie zacznie obowiązywać w naszym kraju prawdopodobnie w drugiej połowie 2018 roku.

Zasada prywatności w fazie projektowania i zasada prywatności w ustawieniach domyślnych w obecnym stanie prawnym

W obecnym stanie prawnym żaden akt prawa polskiego ani unijnego nie definiuje pojęcia privacy by design (nazywanej też „zasadą prywatności w fazie projektowania”) ani privacy by default (nazywanej też „zasadą prywatności w ustawieniach domyślnych”). Ich treść oraz zakres są ustalane poprzez wskazanie funkcji, jakie spełniać powinny wprowadzane do użytku programy (systemy) przetwarzające dane osobowe.

Podstawowym celem zasady privacy by design jest „wbudowanie” zasad ochrony prywatności w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. Ponadto, w praktyce wyróżnia się siedem podstawowych zasad objętych koncepcją privacy by design, które zostały ostatecznie potwierdzone, na mocy Rezolucji w sprawie prywatności w fazie projektowania przyjętej przez 32. Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności, w 2010 r.¹

Jedną z nich jest zasada privacy by default, która zakłada ochronę prywatności, jako domyślne ustawienie każdego programu (systemu), a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu. Tym samym privacy by default przewiduje jak najszerszą domyślną ochronę prywatności wszystkich użytkowników danego systemu. Użytkownicy, którzy chcąc zrezygnować z części swej prywatności powinni podjąć aktywne działania w tym kierunku, a nie być poddanymi ingerującym w ich prywatność decyzjom twórców systemu.

Koncepcja privacy by design przeszła w ostatnich latach długą drogę - od zasady odnoszącej się początkowo jedynie do ochrony prywatności użytkowników systemów teleinformatycznych do zasady powszechnie rozpoznawanej i stosowanej również przez organy publiczne na etapie tworzenia prawa.

Od dobrych praktyk do obowiązku - koncepcje privacy by design i privacy by default w nowym Rozporządzeniu unijnym

Zasada privacy by design wprowadzana jest przez art. 25 ust. 1 Rozporządzenia RODO, zgodnie z którym „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”. Przepis ten wprowadza generalną zasadę, na podstawie której administrator danych będzie zobowiązany zapewnić, aby już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych wprowadzone do niego zostały odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych użytkowników i ich przetwarzanie zgodnie z Rozporządzeniem.

Zasadę privacy by default określa natomiast ust. 2 komentowanego artykułu, zgodnie z którym administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczyć to będzie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Omawiane środki powinny zapewniać w szczególności, aby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Warto dodać, że wywiązanie się z ww. obowiązków na gruncie art. 25 ust. 3 Rozporządzenia będzie mogło być wykazane między innymi poprzez poddanie się przez administratora dobrowolnemu mechanizmowi certyfikacji, o którym mowa w art. 42 Rozporządzenia.

Z powyższymi obowiązkami po stronie podmiotów przetwarzających dane związany jestart. 35 Rozporządzenia, który nakazuje administratorowi dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w sytuacji, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena ta powinna zostać dokonana przed rozpoczęciem przetwarzania danych, a zatem jeszcze przed ich otrzymaniem od użytkownika. Ponadto, art. 35 wskazuje również minimalne elementy dokonywanej oceny oraz przykładowe sytuacje, w których ocena ta będzie wymagana. Nakłada on także na organy nadzorcze obowiązek ustanowienia i podania do wiadomości publicznej wykazów rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków pod kątem ochrony danych.

RODO: Podsumowanie

Pozytywnie należy ocenić próbę przeniesienia na grunt prawa europejskiego zasad privacy by design i privacy by default oraz nadania im poprzez Rozporządzenie mocy powszechnie obowiązującej. Wydaje się również, że proponowane rozwiązania legislacyjne zasadniczo pokryją treść tych zasad w ich dotychczasowym rozumieniu, przyczyniając się do ochrony prywatności w całym cyklu technologicznym, poczynając od fazy projektowania. Jednakże, należy podkreślić, że nowe rozwiązania mają, co do zasady, charakter klauzul generalnych, stąd dopiero praktyka w znaczącym stopniu ukształtuje sposób ich rozumienia. Niezależnie od powyższego należy wskazać, że Rozporządzenie nałoży na wszystkich administratorów obowiązki uwzględnienia ochrony danych i prywatności na każdym etapie istnienia technologii obejmującej ich przetwarzanie, a także w odpowiednich sytuacjach obowiązki przeprowadzenia oceny skutków takiego przetwarzania, co w świetle zakładanych surowych sankcji (art. 83 ust. 4) powinno przyczynić się do powszechnego przestrzegania zasad privacy by design i privacy by default.

1Rezolucja ta nie zakłada egzekwowania tych zasad wobec podmiotów prywatnych. Wydaje się zatem, że do momentu rozpoczęcia stosowania Rozporządzenia zasady privacy by design i privacy by default powinny być postrzegane jedynie w kategoriach dobrych i rekomendowanych praktyk.