Zaprojektuj prywatność cd.

MATERIAŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SAGE

Nowe przepisy nie wskazują, jak robi to dotychczasowa ustawa o ochronie danych osobowych, jakie dokumenty i procedury należy posiadać, by uznać, że prawidłowo przetwarza się dane osobowe, czyli by móc spać spokojnie.

Dzisiaj ciągle jeszcze aktywność administratorów danych osobowych (ADO) najczęściej sprowadza się do przygotowania polityki bezpieczeństwa i zgłoszenia zbioru danych. I na tym koniec. RODO zrywa z tym na rzecz obowiązku aktywnego działania w celu ochrony posiadanych danych osobowych. Privacy by design idzie dalej niż dotychczasowa regulacja, bo nie chodzi wyłącznie o fazę faktycznego przetwarzania danych, ale także o planowanie procesu i dobór odpowiednich środków technicznych, zanim zacznie się samo przetwarzanie.

Jak to przeprowadzić w praktyce? Drogowskazem może być siedem zasad, które sformułowała pomysłodawczyni koncepcji privacy by design – Ann Cavoukian:

1. Proaktywność i prewencja: nie czekaj na naruszenie, lecz działaj!

ADO zobowiązany jest do zapobiegania naruszeniom poprzez wdrażanie standardów i procedur, co w konsekwencji eliminuje zagrożenie już na etapie fazy planowania.

2. Integralny element projektowania: projektujesz – chroń!

Nie czekaj z ochroną danych osobowych w projekcie, ale już w fazie projektowania systemu uwzględniaj element ochrony prywatności; wybieraj rozwiązania zapewniające odporność na ataki, włamania i nieautoryzowane próby dostępu.

3. Privacy by default: bezpieczeństwo i ochrona prywatności od początku!

System musi zapewniać już od pierwszego uruchomienia odpowiedni poziom ochrony. Użytkownik (osoba fizyczna) nie powinien być zobligowany do podjęcia jakichkolwiek działań, zapewniających ochronę jego prywatności – to ustawienia fabryczne mają mu to zapewnić.

4. Pełna funkcjonalność: ochrona bez kompromisów!

Rozwiązania, realizując potrzeby ochrony danych osobowych, nie powinny oddziaływać negatywnie na łatwość ich stosowania. Dla przykładu: system, wspierając użytkownika, powinien sam deklarować okres przechowywania danych i monitorować to, czy ten czas mija.

5. Bezpieczeństwo: zawsze!

Na każdym etapie „życia” danych osobowych należy zadbać o to, by były bezpieczne. To zawsze oznacza czas zarówno przed faktycznym rozpoczęciem przetwarzania, jak i po zaprzestaniu – jeśli nie masz podstawy czy uzasadnienia, nie gromadź danych osobowych na zapas ani niepotrzebnie.

6. Przejrzystość i rozliczalność: kto? gdzie? kiedy?

ADO odpowiada za przetwarzanie danych, dlatego to w jego bezpośrednim interesie jest pełna wiedza i udokumentowanie procesu przetwarzania. Każda operacja przetwarzania powinna być w systemie zdefiniowana i łatwa do sprawdzenia, np. kto, w jakim systemie i kiedy wprowadził czy modyfikował dane.

7. Poszanowanie dla prywatności użytkownika: użytkownik jest najważniejszy!