Prawny start w startup. „Privacy by design” i „privacy by default”. O tym warto wiedzieć więcej
Polityka prywatności to klucz do sukcesu dla startupu, fot. Adobe StockWraz z wejściem w życie RODO, przedsiębiorcy gromadzący i wykorzystujący dane osobowe w ramach obsługi swojej firmy lub projektowanego produktu, usługi bądź technologii stali się adresatami nowych lub rozszerzonych obowiązków służących wzmocnieniu ochrony danych osobowych i prywatności osób, których dane są przetwarzane. W związku z tym obligatoryjne stało się rejestrowanie czynności przetwarzania danych, przeprowadzanie oceny ryzyka wiążącego się z przetwarzaniem, raportowanie zaistniałych incydentów do organu nadzorczego, a także realizowanie dodatkowych uprawnień podmiotów danych (np. prawa do bycia zapomnianym). Ponadto, przedsiębiorcy zobowiązani zostali do stosowania rozszerzonych klauzul informacyjnych, uzupełnienia umów powierzenia przetwarzania o nowe, niezbędne elementy oraz określenia i wdrożenia odpowiednich i skutecznych środków technicznych i organizacyjnych, np. w postaci szyfrowania danych, polityk ochrony danych, procedur lub instrukcji.
Należy jednak pamiętać, że wdrożenie RODO nie ogranicza się wyłącznie do przygotowania i stosowania wymaganych dokumentów, w tym rejestrów, formularzy, czy klauzul. Istotną zmianą jaka wynika z RODO, w praktyce nie zawsze dostrzegalną i uwzględnianą, jest nowe podejście do ochrony danych osobowych – proaktywne i prewencyjne, którego unijne rozporządzenie wymaga wprost od każdego przedsiębiorcy przetwarzającego dane i czyni prawnie wiążącym oraz realnie egzekwowalnym obowiązkiem. Podejście to zostało wyrażone w dwóch nowych zasadach ochrony danych osobowych sformułowanych w artykule 25 RODO, które wymagają od administratora uwzględnienia ochrony danych osobowych w fazie projektowania (privacy by design) oraz zapewnienia domyślnie najwyższego stopnia ochrony prywatności (privacy by default).
Więcej tekstów z cyklu "Prawny start w startup"
Ochrona danych i prywatności zawsze na pierwszym miejscu
Istotą wymogu w postaci proaktywnego i prewencyjnego sposobu działania jest zapewnienie aby ochrona danych i prywatności była zawsze brana pod uwagę przez firmę już na etapie opracowywania założeń i rozwiązań dla projektów, produktów, usług oraz technologii opierających się na przetwarzaniu danych albo przetwarzających dane w celu realizacji swoich zadań, a także na wszystkich kolejnych etapach procesu przetwarzania danych, czyli od momentu pozyskania danych, w trakcie ich wykorzystywania, aż do momentu usunięcia (privacy by design). Komentowana regulacja przewiduje ponadto obowiązek takiego ukształtowania domyślnych ustawień projektowanej usługi, aplikacji, programu czy systemu, aby zapewniały odpowiedni stopień ochrony prywatności podmiotu danych (privacy by default).
Co istotne, wskazane zasady mają charakter uniwersalny, co oznacza, że muszą zostać uwzględnione w ramach każdego procesu przetwarzania danych, niezależnie od planowanego sposobu, skali, czy częstotliwości przetwarzania, a także rodzaju danych oraz podmiotów, których te dane dotyczą. Zasady te dotyczą zatem w równym stopniu przetwarzania danych pracowników, klientów i kontrahentów, jak i danych użytkowników aplikacji mobilnych, usług internetowych, czy e-commerce, przetwarzanych stale bądź jedynie incydentalnie, w sposób zarówno elektroniczny, w tym zautomatyzowany lub papierowy. Należy również pamiętać, że nie zastosowanie się do wskazanych zasad podczas tworzenia i utrzymywania systemu ochrony danych osobowych w firmie oraz w ramach projektowanych produktów, usług lub technologii, skutkuje nałożeniem administracyjnej kary pieniężnej w wysokości nawet do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Ochrona danych i prywatności włączona w każdy projekt
Obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania założeń i rozwiązań dla danego procesu przetwarzania danych ma na celu zapewnienie, że ochrona danych i prywatności będzie stanowić istotny i niepomijalny element tworzonych mechanizmów od początku ich istnienia. Co istotne, Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), podkreśla, że proaktywne podejście wyrażone przez zasadę privacy by design zakłada, że „element ochronny” powinien być wbudowany w każdy projekt, tzn. stanowić obowiązkowy element składowy (integralny) całej konstrukcji. W konsekwencji oznacza to, że nie jest właściwe rozwiązanie w postaci stosowania dodatków do już funkcjonującego systemu lub projektu bądź nakładek przygotowanych na już istniejące rozwiązania. Organ nadzorczy wskazuje ponadto, że wymagany przez RODO proaktywny i prewencyjny sposób działania powinien polegać – w przypadku systemów teleinformatycznych, na wbudowaniu ochrony danych i prywatności zarówno w samą architekturę systemu, jak i w procesy biznesowe, które dany system obsługuje.
W związku z tym, że celem zasady privacy by design jest zapewnienie właściwego poziomu ochrony danych osobowych jeszcze przed przystąpieniem przez przedsiębiorcę do przetwarzania danych, trzeba zauważyć, że w ramach realizacji tej zasady, każdy administrator powinien z odpowiednim wyprzedzeniem zaplanować adekwatne środki i rozwiązania zapewniające ochronę praw osób, których dane dotyczą, a także nadające przetwarzaniu niezbędne zabezpieczenia. Decyzja o doborze środków zapewniających należytą ochronę wymaga przeprowadzenia analizy planowanych rozwiązań przy uwzględnieniu koniecznych elementów, które musi wziąć pod uwagę każdy administrator, w szczególności stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych wynikające z przetwarzania. Warto zauważyć, że RODO wskazuje przykładowe środki, które może zastosować administrator, wśród, których wymienić należy m.in. pseudonimizację oraz minimalizację zbieranych danych. Trzeba również pamiętać, że ochrona danych i prywatności powinna zostać uwzględniona na wszystkich etapach przetwarzania danych, czyli od chwili pozyskania danych, przez czas ich wykorzystywania, aż do chwili bezpiecznego usunięcia, a zastosowane środki powinny być poddawane cyklicznym przeglądom i w razie potrzeby aktualizowane.
Prywatność jako ustawienie domyślne
Doprecyzowaniem wymogu uwzględniania ochrony danych osobowych w fazie projektowania jest zasada privacy by default, która nakłada na przedsiębiorców pozyskujących dane osobowe, obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są rzeczywiście niezbędne dla osiągnięcia każdego konkretnego zamierzonego celu przetwarzania (prywatność ma być stanem wyjściowym). Zgodnie z wytycznymi Prezesa UODO zasada domyślnej ochrony danych zakłada stosowanie jak najdalej idących zabezpieczeń prywatności w ustawieniach początkowych każdego systemu, czy aplikacji mobilnej lub usługi, w tym brak konieczności jakiejkolwiek aktywności osób, których dane dotyczą, w szczególności w kluczowym dla użytkownika momencie przyłączenia się do danego systemu (np. podczas instalacji aplikacji).
Istotą tej zasady jest zapewnienie, aby wszelkie zmiany w ustawieniach usług, systemów, czy serwisów były dokonywanie wyłącznie przez użytkownika, w sposób świadomy i poprzez wyraźne, aktywne działanie w systemie, np. w ustawieniach konta, szczególnie jeśli prowadzą do zwiększenia zakresu zbieranych danych o użytkowniku lub udostępnienia tych danych podmiotom trzecim np. w celach marketingowych, a tym samym do zwiększenia ryzyka dla prywatności użytkownika. W konsekwencji, wszelkie rozwiązania zakładające w tym zakresie dorozumianą akceptację ustawień zaproponowanych przez producenta aplikacji lub automatycznie pozyskujące dostęp do dodatkowych danych, np. danych lokalizacyjnych, czy kontaktów albo żądające podania takich dodatkowych danych, które nie są niezbędne do poprawnego działania aplikacji, czy świadczenia usługi, należy uznać za niedopuszczalne. Co istotne, założeniem zasady privacy by default jest minimalizacja przetwarzania, która znajduje zastosowanie zarówno do ilości zbieranych danych osobowych, zakresu przetwarzania, jak i okresu przechowywania danych oraz ich dostępności dla innych osób. Należy także pamiętać, że obowiązki wynikające z tej zasady muszą być zawsze realizowane już w chwili rozpoczęcia przez użytkownika korzystania z danej usługi, produktu lub systemu, np. w momencie instalacji aplikacji na urządzeniu.
Podejście prewencyjne, a nie naprawcze
Nie ulega wątpliwości, że stosowanie się do zasady privacy by design oraz zasady privacy by default powinno odgrywać kluczową rolę w każdej firmie, w której przetwarzane są dane osobowe. Przestrzeganie tych zasad pozwala bowiem w skuteczny sposób uniknąć naruszenia wymogów RODO już na samym początku projektowania procesów przetwarzania danych w organizacji. Przyjęcie proaktywnego i prewencyjnego sposobu działania skutecznie ogranicza również ryzyko wystąpienia potencjalnych zagrożeń dla praw i wolności podmiotów danych, które wiążą się z danym przetwarzaniem, ponieważ podejście to ukierunkowane jest na zapobieganie naruszeniom, a nie ich rozwiązywanie dopiero po zaistnieniu incydentu bezpieczeństwa. W konsekwencji, taki sposób postępowania pozwala nie tylko wyeliminować konieczność stosowania środków naprawczych, które co do zasady, wymagają przeznaczenia większych zasobów osobowych i finansowych niż działania prewencyjne, ale również minimalizuje ryzyko nałożenia na administratora danych kary pieniężnej w związku z naruszeniem bezpieczeństwa danych oraz wypłaty odszkodowania dla osób, których dane zostały objęte naruszeniem.
Mając na uwadze zasadę rozliczalności, która wymaga od administratorów danych udokumentowania, że przestrzegają wymogów RODO, warto dodać, że art. 25 ust. 3 RODO przewiduje możliwość wykazania wywiązywania się z obowiązków w zakresie stosowania zasady privacy by design oraz zasady privacy by default m.in. poprzez poddanie swojego przetwarzania tzw. zatwierdzonemu mechanizmowi certyfikacji, określonemu w art. 42 RODO. Jednakże na ten moment, jak wskazuje Prezes UODO, nie jest jeszcze możliwe uzyskanie certyfikatu zgodności działania z RODO od Prezesa UODO lub innego podmiotu certyfikującego, czy wskazanie zatwierdzonych jednostek certyfikujących. Należy jednocześnie pamiętać, że zgodnie z unijnym rozporządzeniem, administrator nie może wykazać spełnienia wyżej wymienionych obowiązków poprzez stosowanie zatwierdzonych kodeksów postępowań, o których mowa w art. 40 RODO.