Domyślna ochrona danych i w fazie projektowania – wytyczna 4/2019

Wytyczne 4/2019 Europejskiej Rady Ochrony Danych stanowią cenne narzędzie, pozwalające odejść od dotychczasowego rozumienia DPbDD jako klauzul generalnych na rzecz traktowania tych mechanizmów jako praktycznego instrumentu wspierającego administratora w ustanawianiu technicznych i organizacyjnych środków ochrony danych, które pozwolą mu skutecznie realizować:

1. zasady przetwarzania danych osobowych (art. 5 RODO),
2. prawa osób, których dane dotyczą (art. 12 –22 RODO),
3. wolności osób, których dane dotyczą (Karta praw podstawowych Unii Europejskiej).

Wskazany cel administrator powinien osiągnąć dzięki stosowaniu podejścia opartego na ryzyku (wspólne dla art. 24 , 25, 32 i 35 RODO) dla zdefiniowanych zasobów (osoby fizyczne, poprzez ochronę ich danych osobowych) i zagrożeń (prawa i wolności osób, których dane dotyczą) z uwzględnieniem istniejących warunków przetwarzania (charakter, zakres, kontekst i cele przetwarzania).

Poniższy artykuł opisuje, w jaki sposób Europejska Rada Ochrony Danych rozumie poszczególne zasady przetwarzania danych osobowych oraz zaleca ich implementację w ramach DPbDD.

Przejrzystość

Od początku komunikacji z osobami, których dane dotyczą, administrator musi jasno i zrozumiale wskazywać, w jaki sposób będzie gromadzić, wykorzystywać i udostępniać ich dane osobowe. Przejrzystość polega na umożliwieniu osobom, których dane dotyczą, zrozumienia – a w razie konieczności skorzystania – z praw przysługujących im na mocy art. 15 –22 RODO. Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• jasność komunikacji – informacje powinny być sformułowane jasnym i prostym językiem, zwięźle i zrozumiale,
• semantyka – komunikacja powinna mieć jasne znaczenie dla danej grupy odbiorców,
• dostępność – informacje powinny być łatwo dostępne dla osoby, której dane dotyczą,
• kontekstowość – informacje powinny być przekazywane w odpowiednim czasie i w odpowiedniej formie, 
• istotność – przekazywane powinny być informacje mające znaczenie i zastosowanie do konkretnej osoby, której dotyczą dane,
• uniwersalne projektowanie – informacje powinny być dostępne dla wszystkich, obejmować użycie języków nadających się do odczytu maszynowego w celu ułatwienia i zautomatyzowania czytelności i przejrzystości,
• zrozumiałość – osoby, których dane dotyczą, powinny rozumieć, czego mogą oczekiwać w odniesieniu do przetwarzania ich danych osobowych, w szczególności gdy tymi osobami są dzieci lub inne grupy szczególnie narażone,
• wielokanałowość – informacje powinny być dostarczane w różnych kanałach i mediach (innych niż tekst), aby zwiększyć prawdopodobieństwo ich skutecznego dotarcia do osoby, której dane dotyczą.

Przykład

Administrator danych opracowuje politykę prywatności w celu spełnienia wymogów przejrzystości. Polityka prywatności nie powinna zawierać dużej ilości tekstu, którego zrozumienie jest trudne dla przeciętnej osoby. Powinna być napisana jasnym i zwięzłym językiem, aby ułatwić użytkownikowi strony internetowej zrozumienie sposobu przetwarzania jego danych osobowych. Zatem administrator danych dostarcza informacji w sposób wielowarstwowy, w którym podkreśla się najważniejsze punkty. Stosuje menu w formie listy rozwijalnej oraz linki do innych podstron w celu dalszego wyjaśnienia pojęć zawartych w polityce, a także klipy wideo objaśniające najważniejsze punkty informacji.

Dostęp do polityki prywatności nie może być utrudniony dla osób, których dane dotyczą. Polityka prywatności jest zatem udostępniana i widoczna na wszystkich podstronach danej strony internetowej, tak że osoba, której dane dotyczą, jest zawsze tylko o jedno kliknięcie od dostępu do informacji. Dostarczane informacje są również opracowywane zgodnie z najlepszymi praktykami i standardami projektowania uniwersalnego, tak aby były dostępne dla wszystkich.

Ponadto niezbędne informacje muszą być dostarczane we właściwym kontekście, we właściwym czasie. To oznacza , że sama polityka prywatności na stronie internetowej nie jest wystarczająca, aby administrator danych mógł spełnić wymogi przejrzystości. Administrator danych opracowuje zatem przepływ informacji w ten sposób, że przedstawia osobie, której dane dotyczą, istotne komunikaty w odpowiednich kontekstach, korzystając np. z fragmentów informacji lub wyskakujących okienek. Na przykład administrator – zwracając się do osoby, której dane dotyczą, o wprowadzenie jej danych osobowych – informuje ją, w jaki sposób dane osobowe będą przetwarzane i dlaczego ich przetwarzanie jest niezbędne .

Zgodność z prawem

Od początku komunikacji z osobami, których dane dotyczą, administrator musi jasno i zrozumiale wskazywać, w jaki sposób będzie gromadzić, wykorzystywać i udostępniać ich dane osobowe. Przejrzystość polega na umożliwieniu osobom, których dane dotyczą, zrozumienia – a w razie konieczności skorzystania – z praw przysługujących im na mocy art. 15 –22 RODO. Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• istotność – każda operacja przetwarzania powinna opierać się na właściwej podstawie prawnej przetwarzania,
• rozróżnienie – administrator danych powinien dokonać rozróżnienia między podstawą prawną stosowaną dla każdej operacji przetwarzania,
• określoność celu – odpowiednia podstawa prawna powinna być wyraźnie powiązana ze szczególnym celem przetwarzania,
• niezbędność – przetwarzanie powinno być konieczne, aby cel był zgodny z prawem. Jest to obiektywny test, który obejmuje bezstronną ocenę realnych alternatyw osiągnięcia celu,
• autonomia – osobie, której dane dotyczą, należy przyznać najwyższy możliwy stopień autonomii w odniesieniu do kontroli danych osobowych,
• wycofanie zgody – wycofanie zgody powinno być równie łatwe jak jej wyrażenie. Jeśli tak nie jest, każda udzielona zgoda jest nieważna,
• wyważenie interesów – w przypadku gdy podstawą prawną przetwarzania jest prawnie uzasadniony interes, administrator danych musi przeprowadzić obiektywne ważenie interesów (osoba, której dane dotyczą, vs administrator danych). Administrator danych powinien ujawnić wynik przeprowadzonego testu interesów,
• wstępne określenie – podstawę prawną określa się przed rozpoczęciem przetwarzania danych,
• zaprzestanie – jeżeli podstawa prawna przestaje mieć zastosowanie, przetwarzanie danych zostaje odpowiednio przerwane,
• dopasowanie – w przypadku ważnej zmiany podstawy prawnej przetwarzania faktyczne przetwarzanie musi być dostosowane do nowej podstawy prawnej,
• konfiguracja domyślna – przetwarzanie musi być ograniczone do tego, co ściśle uzasadnia podstawa prawna,
• podział odpowiedzialności – w każdym przypadku, gdy przewiduje się współadministrowanie, strony muszą w jasny i przejrzysty sposób rozdzielić swoje obowiązki wobec osoby, której dane dotyczą.

Przykład

Bank planuje zaoferować usługę mającą na celu poprawę efektywności zarządzania wnioskami kredytowymi. Ideą usługi jest to, że bank, po uzyskaniu zgody klienta, może uzyskać dane od władz publicznych na temat klienta. Mogą to być na przykład dane podatkowe z administracji podatkowej. Początkowo te dane osobowe są niezbędne do podjęcia działań na wniosek osoby, której dane dotyczą, przed zawarciem umowy. Klient może zawrzeć umowę, przekazując informacje od administracji podatkowej we własnym zakresie.

Wdrażając zasadę zgodności z prawem, administrator danych uświadamia sobie, że nie może wykorzystać przesłanki niezbędności do wykonania umowy (art. 6 ust. 1 lit. b RODO) dla tej części przetwarzania, która wiąże się z gromadzeniem danych osobowych bezpośrednio od organów podatkowych. Bank stwierdza, że ta część przetwarzania musi opierać się na zgodzie.

Bank przedstawia zatem informacje o przetwarzaniu danych w sposób ułatwiający osobom, których dane dotyczą, zrozumienie, jakie przetwarzanie jest obowiązkowe, a jakie fakultatywne. Domyślna konfiguracja wniosku nie pozwala na pobranie danych bezpośrednio ze źródeł innych niż sama osoba, której dane dotyczą, a opcja bezpośredniego pobierania informacji jest przedstawiona w sposób niezniechęcający osoby, której dane dotyczą.

Każda udzielona zgoda jest przetwarzana elektronicznie w sposób udokumentowany, a osoby, których dane dotyczą, w łatwy sposób są informowane na temat przysługujących im praw, w szczególności możliwości wycofania wyrażonej zgody.

Administrator danych dokonał wcześniej oceny wymogów DPbDD i włącza wszystkie te kryteria do specyfikacji wymagań dotyczących przetargu na zakup platformy. Jest świadomy, że jeżeli nie uwzględni wymogów DPbDD w przetargu, późniejsze dostosowanie platformy może być dla niego zbyt kosztowne lub w ogóle niemożliwe .

Rzetelność

Rzetelność jest nadrzędną zasadą, wymagającą, aby dane osobowe nie były przetwarzane w sposób, który byłby szkodliwy, dyskryminujący, nieoczekiwany lub wprowadzający w błąd osobę, której dane dotyczą. Środki i zabezpieczenia wdrażające zasadę rzetelności wspierają również prawa i wolności osób, których dane dotyczą, w szczególności prawo do informacji (przejrzystość), prawo do interwencji (dostęp do danych, ich usuwanie, przenoszenie, korygowanie) oraz prawo do ograniczenia przetwarzania (prawo do niepodlegania zautomatyzowanemu, indywidualnemu procesowi decyzyjnemu i niedyskryminacji osób, których dane dotyczą).

Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• autonomia – osobom, których dane dotyczą, przyznaje się najwyższy możliwy stopień autonomii w odniesieniu do kontroli ich danych osobowych,
• interakcja – osoby, których dane dotyczą, muszą być w stanie komunikować się z administratorem danych i korzystać z przysługujących im praw,
• oczekiwania – przetwarzanie powinno odpowiadać oczekiwaniom osób, których dane dotyczą,
• niedyskryminacja – administrator danych nie dyskryminuje osób, których dane dotyczą,
• nieeksploatowanie – administrator danych nie wykorzystuje potrzeb ani słabości osób, których dane dotyczą,
• wybór konsumenta – administrator danych nie powinien „blokować” swoich użytkowników. W każdym przypadku, gdy usługa lub towar są spersonalizowane lub zastrzeżone, może to doprowadzić do ich zablokowania, tj. trudności ze zmianą usługodawcy. Jeżeli zmiana administratora danych jest z tego powodu trudna dla osoby, której dane dotyczą, może być to niesprawiedliwe,

• balans mocy – w miarę możliwości należy unikać asymetrii w podziale mocy lub ją łagodzić.  Administratorzy nie powinni przenosić ryzyka związanego z operacjami przetwarzania na osoby, których dane dotyczą,
• poszanowanie praw i wolności – administrator danych musi szanować podstawowe prawa i wolności osób, których dane dotyczą, oraz wdrażać odpowiednie środki i zabezpieczenia, aby nie naruszać tych praw i wolności,
• etyka – administrator danych powinien dostrzec szerszy wpływ przetwarzania na prawa i wolności osób fizycznych, j) prawdziwość – administrator danych musi działać tak, jak deklaruje, rozliczać się z tego, co robi, i nie wprowadzać w błąd osób, których dane dotyczą,
• interwencja człowieka – administrator danych musi uwzględnić interwencję człowieka, która może zmienić decyzję będącą wynikiem działania algorytmu, w związku z prawem, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO),
• sprawiedliwe algorytmy – osobom, których dane dotyczą, dostarcza się informacji na temat przetwarzania ich danych osobowych na podstawie algorytmów analizujących lub przewidujących ich wykorzystanie, takich jak wydajność pracy, sytuacja ekonomiczna, zdrowie, preferencje osobiste, wiarygodność lub zachowanie, lokalizacja lub przemieszczanie się.

Przykład I

Administrator danych obsługuje wyszukiwarkę, która przetwarza głównie dane osobowe generowane przez użytkowników. Odnosi korzyści z posiadania dużej ilości danych osobowych i możliwości wykorzystywania ich do kierowania spersonalizowanych reklam do użytkowników. Chce on zatem wpłynąć na osoby, których dane dotyczą, aby umożliwić obszerne gromadzenie i wykorzystywanie ich danych osobowych.

Wdrażając zasadę rzetelności, administrator danych bierze pod uwagę charakter, zakres, kontekst i cel przetwarzania danych. Zdaje sobie sprawę, że nie może przedstawiać opcji w sposób, który popchnąłby podmiot danych w kierunku umożliwienia administratorowi zgromadzenia większej ilości danych osobowych, niż gdyby ta opcja została przedstawiona neutralnie. Oznacza to, że nie może on przedstawiać osobom, których dane dotyczą, opcji przetwarzania w sposób utrudniający im powstrzymanie się od dzielenia się swoimi danymi lub dostosowanie ustawień prywatności i ograniczenie przetwarzania. Domyślne opcje przetwarzania muszą być najmniej inwazyjne, a wybór dalszego przetwarzania – przedstawiony w sposób niezniechęcający osoby, której dane dotyczą, do ich zaakceptowania.

Przykład II

Wdrażając zasadę rzetelności, administratoAdministrator danych przetwarza dane osobowe w celu świadczenia usługi streamingowej, w ramach której użytkownicy mogą wybierać między regularnym abonamentem zapewniającym standardową jakość a abonamentem gwarantującym podwyższoną jakość. W ramach abonamentu premium abonenci otrzymują priorytetową obsługę klienta. Jeśli chodzi o zasadę rzetelności, uprzywilejowana obsługa klienta, przyznana abonentom uiszczającym podwyższoną opłatę, nie może dyskryminować praw innych osób, których dane dotyczą, zgodnie z art. 12 RODO. Chociaż abonenci, którzy zdecydowali się na podwyższoną opłatę, otrzymują uprzywilejowaną usługę, takie ich traktowanie nie może skutkować tym, że administrator nie zapewni odpowiednich środków umożliwiających udzielenie regularnym abonentom odpowiedzi na ich wnioski bez zbędnej zwłoki, a w każdym razie w ciągu jednego miesiąca od otrzymania danego wniosku .

Ograniczenie celu

Administrator danych musi gromadzić dane w określonych, jednoznacznych i legalnych celach, a ponadto nie może dalej przetwarzać danych w sposób niezgodny z celami, dla których zostały one zgromadzone. Jeżeli ma odbywać się jakiekolwiek dalsze przetwarzanie, administrator danych najpierw musi się upewnić, że cele tego przetwarzania są zgodne z celami pierwotnymi, i odpowiednio zaprojektować takie przetwarzanie. To, czy nowy cel jest z nimi zgodny, czy nie, ocenia się na podstawie kryteriów określonych w art. 6 ust. 4 RODO.

Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• określenie z góry – uzasadnione cele muszą zostać określone przed zaprojektowaniem operacji przetwarzania,
• specyficzność – cele muszą być specyficzne dla danego przetwarzania i wyraźnie wskazywać, dlaczego dane osobowe są przetwarzane,
• orientacja na cel – cel przetwarzania powinien przyświecać projektowi przetwarzania i wyznaczać granice przetwarzania,
• konieczność – cel określa, jakie dane osobowe są niezbędne do przetwarzania,
• zgodność – każdy nowy cel musi być zgodny z pierwotnym celem, dla którego dane zostały zgromadzone, oraz musi determinować odpowiednie zmiany w projekcie,
• ograniczenie dalszego przetwarzania – administrator danych nie powinien łączyć zbiorów danych ani dokonywać dalszego przetwarzania w nowych, niezgodnych celach, g) weryfikacja – administrator danych musi regularnie sprawdzać, czy przetwarzanie jest konieczne do celów, dla których dane zostały zebrane,
• techniczne ograniczenia ponownego wykorzystywania – administrator danych powinien stosować środki techniczne, w tym szyfrowanie i kryptografię, aby ograniczyć możliwość zmiany przeznaczenia danych osobowych.

Przykład

Administrator danych przetwarza dane osobowe swoich klientów. Celem przetwarzania jest realizacja umowy, tzn. możliwość dostarczenia towaru na właściwy adres i otrzymania zapłaty. Przechowywane dane osobowe to historia zakupów, nazwisko, adres, adres e-mail i numer telefonu.

Administrator rozważa zakup produktu do zarządzania relacjami z klientami (CRM), który gromadzi w jednym miejscu wszystkie dane dotyczące klientów, takie jak sprzedaż, marketing i obsługa klienta. Produkt daje możliwość przechowywania wszystkich rozmów telefonicznych, działań, dokumentów, e-maili i kampanii marketingowych w celu uzyskania 360-stopniowego podglądu klienta. Ostatecznie CRM automatycznie analizuje siłę nabywczą klientów, wykorzystując posiadane informacje. Celem analizy jest lepsze ukierunkowanie reklamy, ale nie jest to część pierwotnego, zgodnego z prawem celu przetwarzania.

Aby zachować zgodność z zasadą ograniczenia celu, administrator danych wymaga od dostawcy produktu mapowania różnych czynności przetwarzania z wykorzystaniem danych osobowych w celach istotnych dla administratora danych. Innym wymogiem jest to, że produkt powinien być w stanie oznaczyć, który rodzaj przetwarzania z wykorzystaniem danych osobowych jest niezgodny z uzasadnionymi celami administratora danych. Po otrzymaniu wyników mapowania administrator danych ocenia, czy nowy cel marketingowy i cel reklamy docelowej mieszczą się w celach umownych, czy też potrzebują innej podstawy prawnej dla tego przetwarzania. Ewentualnie administrator danych mógłby zdecydować się na niekorzystanie z tej funkcji w produkcie .

Minimalizacja danych

Przetwarzane powinny być tylko te dane osobowe, które są odpowiednie, istotne i ograniczone do tego, co jest konieczne dla osiągnięcia celu. Minimalizacja danych uzasadnia i urzeczywistnia zasadę konieczności. Podczas dalszego przetwarzania administrator danych powinien okresowo rozważać, czy przetwarzane dane osobowe są nadal odpowiednie, istotne i konieczne, czy też dane te powinny zostać usunięte lub zanonimizowane.

Administrator danych powinien przede wszystkim ustalić, czy musi przetwarzać dane osobowe do osiągnięcia zakładanych przez siebie celów. Powinien sprawdzić, czy istnieją technologie, procesy lub procedury, które mogłyby sprawić, że potrzeba przetwarzania danych osobowych stanie się nieaktualna. Taka weryfikacja mogłaby odbywać się w konkretnym punkcie czynności przetwarzania lub nawet w trakcie całego cyklu przetwarzania.

Minimalizacja może również odnosić się do stopnia identyfikacji. Jeżeli cel przetwarzania nie wymaga, aby ostateczny zestaw danych odnosił się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (np. w statystykach), administrator danych anonimizuje dane osobowe, gdy tylko identyfikacja nie jest już potrzebna. Jeżeli zaś konieczna jest dalsza identyfikacja w przypadku innych działań związanych z przetwarzaniem danych osobowych, powinny być one poddane pseudonimizacji w celu zmniejszenia ryzyka dla praw osób, których dane dotyczą.

Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• unikanie danych – należy unikać przetwarzania danych osobowych, gdy jest to możliwe w danym celu,
• istotność – dane osobowe muszą być istotne dla danego przetwarzania, a administrator danych musi być w stanie wykazać tę istotność,
• konieczność – każda kategoria danych osobowych powinna być konieczna do osiągnięcia określonych celów i przetwarzana tylko wtedy, gdy nie jest możliwe osiągnięcie celu w inny sposób,
• ograniczenie – ograniczenie ilości gromadzonych danych osobowych do tego, co jest konieczne do osiągnięcia celu,
• agregacja – w miarę możliwości należy stosować dane zagregowane,
• pseudonimizacja – pseudonimizacja danych osobowych, gdy tylko nie jest już konieczne posiadanie bezpośrednio identyfikowalnych danych osobowych i oddzielne przechowywanie kluczy identyfikacyjnych, 
• anonimizacja i usunięcie – w przypadku gdy dane osobowe nie są potrzebne lub nie są już potrzebne do realizacji celu, powinny być anonimizowane lub usuwane,
• przepływ danych – przepływ danych powinien być na tyle efektywny, aby nie tworzyć większej liczby kopii lub punktów wprowadzania danych, niż jest to konieczne,
• stan wiedzy technicznej – administrator danych powinien stosować dostępne i odpowiednie technologie w celu unikania i minimalizacji danych.

Przykład I 

Księgarnia chce zwiększyć swoje dochody, sprzedając książki online. Właściciel księgarni chce stworzyć odpowiedni formularz zamówienia. Aby zapobiec sytuacji, w której klienci nie wypełnią wszystkich niezbędnych informacji, właściciel księgarni czyni wszystkie pola formularza wymagalnymi (jeśli nie wypełnią wszystkich pól, nie będą mogli złożyć zamówienia) za pomocą standardowego formularza kontaktowego. Właściciel sklepu internetowego początkowo korzysta z formularza, który pyta klienta o datę urodzenia, numer telefonu i adres domowy. Jednak nie wszystkie pola w formularzu są bezwzględnie konieczne do celów zakupu i dostarczenia książek. Data urodzenia i numer telefonu osoby, której dane dotyczą, nie są niezbędne do zakupu produktu. Oznacza to, że nie mogą one być wymagane w polach formularza internetowego w celu zamówienia produktu. Ponadto istnieją sytuacje, w których adres nie będzie konieczny. Na przykład przy zamawianiu e-booka klient może pobrać produkt, ale jego adres nie musi być przetwarzany przez sklep internetowy.

Właściciel sklepu internetowego decyduje się zatem na sporządzenie dwóch formularzy internetowych: jednego do zamawiania książek z polem adresu klienta, a drugiego do zamawiania e-booków bez pola adresu klienta.

Przykład II

Przedsiębiorstwo transportu publicznego chce zebrać informacje statystyczne oparte na trasach pokonywanych przez podróżnych. Jest to przydatne w celu dokonywania właściwych wyborów dotyczących zmian w rozkładach jazdy transportu publicznego i prawidłowych tras pociągów. Pasażerowie muszą przejść przez czytnik za każdym razem, gdy wchodzą do środka komunikacji zbiorowej lub z niego wychodzą. Po przeprowadzeniu oceny ryzyka związanego z prawami i wolnościami pasażerów w zakresie gromadzenia tras podróży administrator stwierdza, że możliwa jest identyfikacja pasażerów na podstawie posiadanych kart miejskich. W związku z tym, ponieważ nie jest to konieczne do celów optymalizacji rozkładów jazdy transportu publicznego i tras pociągów, administrator nie przechowuje identyfikatora karty miejskiej. Po zakończeniu podróży administrator przechowuje jedynie poszczególne trasy podróży, tak aby nie być w stanie zidentyfikować podróży związanych z poszczególną kartą.

W przypadkach gdy istnieje ryzyko identyfikacji osoby wyłącznie na podstawie trasy podróży (może tak być przy odległych trasach), administrator wdraża środki mające na celu zagregowanie trasy podróży, takie jak skrócenie początku i końca trasy.

Przykład III

Firma kurierska planuje ocenę efektywności swoich dostaw pod względem czasu dostawy, harmonogramu obciążenia pracą i zużycia paliwa. Aby osiągnąć ten cel, kurier musi przetworzyć szereg danych osobowych dotyczących nie tylko pracowników (kierowców), lecz także klientów (adresy, przedmioty do dostarczenia itp.). Ta operacja przetwarzania wiąże się z ryzykiem związanym zarówno z monitorowaniem pracowników, co wymaga szczególnych zabezpieczeń prawnych, jak i ze śledzeniem przyzwyczajeń klientów na podstawie wiedzy o dostarczonych towarach w czasie. Ryzyko to można znacznie ograniczyć poprzez odpowiednią pseudonimizację danych pracowników i klientów. W szczególności jeśli klucze do pseudonimizacji są często „obracane” i zamiast szczegółowych adresów uwzględniane są obszary makro, dąży się do skutecznej minimalizacji danych, a administrator może skupić się wyłącznie na procesie dostawy i optymalizacji zasobów, bez przekraczania progu monitorowania zachowań osób (klientów lub pracowników).

Prawidłowość danych

Dane osobowe powinny być dokładne i aktualne. Należy także poczynić wszelkie uzasadnione kroki w celu zapewnienia niezwłocznego usunięcia lub poprawienia nieprawidłowych danych osobowych z uwzględnieniem celów, dla których są one przetwarzane.

Wskazane wymogi należy rozpatrywać w odniesieniu do ryzyka i konsekwencji konkretnego wykorzystania danych. Nieścisłe dane osobowe mogą stanowić zagrożenie dla praw i wolności osób, których dane dotyczą, na przykład gdy prowadzą do błędnej diagnozy lub podjęcia błędnej decyzji (jak choćby nieprawidłowy wizerunek osoby podczas kontroli dostępu).

Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• źródło danych – źródła danych powinny być wiarygodne pod względem dokładności danych,
• stopień dokładności – każdy element danych osobowych powinien być tak dokładny, jak jest to konieczne dla określonych celów,
• mierzalna dokładność – należy zmniejszać liczbę błędnych danych osobowych,
• weryfikacja – w zależności od charakteru danych oraz w odniesieniu do tego, jak często mogą one ulegać zmianie, administrator danych powinien weryfikować poprawność danych osobowych przed rozpoczęciem i na różnych etapach przetwarzania,
• usuwanie/poprawianie danych – administrator danych powinien bezzwłocznie usunąć lub poprawić nieprawidłowe dane,
• skumulowane błędy – administrator danych powinien łagodzić skutki skumulowanych błędów w łańcuchu przetwarzania,
• dostęp – osoby, których dane dotyczą, powinny uzyskać wgląd i łatwy dostęp do danych osobowych w celu kontrolowania dokładności i korygowania ich w razie potrzeby,
• stała dokładność – dane osobowe powinny być dokładne na wszystkich etapach przetwarzania, testy dokładności powinny być przeprowadzane w kluczowych (krytycznych) punktach danego procesu,
• aktualność – dane osobowe powinny być aktualizowane, jeżeli jest to konieczne do osiągnięcia celu,
• projektowanie danych – wykorzystanie technologicznych i organizacyjnych cech konstrukcyjnych w celu zmniejszenia niedokładności, np. listy rozwijane z ograniczonymi wartościami, wewnętrzne procedury kontroli jakości.

Przykład

Administrator danych jest instytucją medyczną poszukującą metod zapewnienia integralności i dokładności danych osobowych w rejestrach pacjentów. W sytuacji, gdy dwie osoby przybywają do instytucji w tym samym czasie i są traktowane w ten sam sposób, istnieje ryzyko pomyłki, jeśli jedynym parametrem, który je identyfikuje, jest nazwisko. Aby zapewnić dokładność, administrator danych potrzebuje niepowtarzalnego identyfikatora dla każdej osoby, a zatem więcej informacji niż tylko nazwisko pacjenta. Instytucja korzysta z kilku systemów zawierających dane osobowe pacjentów i musi zapewnić, że informacje dotyczące pacjenta są poprawne, dokładne i spójne we wszystkich systemach w dowolnym momencie. Instytucja zidentyfikowała kilka rodzajów ryzyka, które mogą powstać w przypadku zmiany informacji w jednym systemie, ale nie w innym.

Administrator danych podejmuje decyzję o ograniczeniu ryzyka poprzez zastosowanie techniki haszującej, którą można wykorzystać w celu zapewnienia integralności danych w dzienniku leczenia. Niezmienne podpisy skrótów są tworzone dla zapisów dziennika leczenia i powiązanego z nimi pracownika, tak aby wszelkie zmiany mogły być rozpoznane, skorelowane i prześledzone w razie potrzeby.

Ograniczenie przechowywania

Administrator danych musi zapewnić przechowywanie danych osobowych w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to konieczne do celów, dla których dane osobowe są przetwarzane. Istotne jest, aby administrator danych dokładnie wiedział, jakie dane osobowe przetwarza i dlaczego. Cele przetwarzania są kryteriami decydującymi o tym, jak długo dane osobowe będą przechowywane. Środki i zabezpieczenia wdrażające zasadę ograniczenia przechowywania uzupełniają prawa i wolności osób, których dane dotyczą, w szczególności prawo do usunięcia danych, prawo do sprzeciwu i profilowania.

Implementacja omawianej zasady w ramach mechanizmów DPbDD powinna obejmować następujące elementy:

• usuwanie – administrator danych musi dysponować jasnymi wewnętrznymi procedurami usuwania danych,
• automatyzacja – usuwanie niektórych danych osobowych powinno być zautomatyzowane,
• kryteria przechowywania – administrator musi określić, jakie dane i jak długo przechowywane są niezbędne dla osiągnięcia zakładanego celu przetwarzania,
• egzekwowanie zasad zatrzymywania danych – administrator danych musi egzekwować wewnętrzne zasady retencji danych i weryfikować (audyt), czy organizacja stosuje swoje zasady,
• skuteczność anonimizacji/usunięcia – administrator danych upewnia się, że nie jest możliwa ponowna identyfikacja danych zanonimizowanych lub odzyskanie danych usuniętych,
• uzasadnienie ujawnienia – administrator danych musi być w stanie uzasadnić, dlaczego okres przechowywania danych jest konieczny do osiągnięcia tego celu, oraz ujawnić uzasadnienie dotyczące okresu przechowywania danych,
• przepływ danych – administratorzy muszą być ostrożni i starać się ograniczyć „tymczasowe” przechowywanie danych osobowych,
• tworzenie kopii zapasowych/logów – administratorzy muszą określić, które dane osobowe i jak długo są niezbędne do tworzenia kopii zapasowych i logów.

Przykład

Administrator danych zbiera dane osobowe w celu zarządzania członkostwem osoby, której dane dotyczą. Dane te są usuwane po ustaniu członkostwa. Administrator danych przeprowadza wewnętrzną procedurę zatrzymywania i usuwania danych. Zgodnie z tym pracownicy muszą ręcznie usunąć dane osobowe po zakończeniu okresu przechowywania danych. Pracownik postępuje zgodnie z procedurą regularnego usuwania i korygowania danych z wszelkich urządzeń, kopii zapasowych, dzienników, wiadomości e-mail i innych istotnych nośników danych. Aby zwiększyć efektywność usuwania danych, administrator wprowadza automatyczny system regularnego usuwania danych. System jest skonfigurowany tak, aby postępować zgodnie z podaną procedurą usuwania danych, która następuje w z góry określonych, regularnych odstępach czasu, w celu usunięcia danych osobowych ze wszystkich firmowych nośników danych. Administrator regularnie weryfikuje i testuje politykę przechowywania danych .

Integralność i poufność

Zasada integralności i poufności obejmuje znane właściwości bezpieczeństwa informacji – poufność, integralność i dostępność – które wzmacniają „odporność” przetwarzanych danych. W odniesieniu do omawianej zasady kluczowe elementy DPbDD mogą obejmować:

• system zarządzania bezpieczeństwem informacji (SZBI) – posiadanie operacyjnych środków zarządzania polityką i procedurami w zakresie bezpieczeństwa informacji. W przypadku niektórych administratorów może to być możliwe przy pomocy SZBI,
• analiza ryzyka – ocena ryzyka w odniesieniu do bezpieczeństwa danych osobowych i przeciwdziałanie zidentyfikowanym ryzykom,
• odporność – przetwarzanie powinno być wystarczająco solidne, aby wytrzymać zmiany, wymogi regulacyjne, incydenty i ataki cybernetyczne,
• zarządzanie dostępem – dostęp do danych niezbędnych do realizacji zadań związanych z przetwarzaniem danych ma tylko upoważniony personel,
• bezpieczne przelewy – przelewy są zabezpieczone przed nieautoryzowanym dostępem i zmianami,
• bezpieczne przechowywanie – przechowywanie danych jest zabezpieczone przed nieautoryzowanym dostępem i zmianami,
• kopie zapasowe/logi – przechowywanie kopii zapasowych i dzienników w zakresie niezbędnym do zapewnienia bezpieczeństwa informacji, wykorzystywanie audytu i monitorowania zdarzeń jako rutynowej kontroli bezpieczeństwa,
• specjalna ochrona – specjalne kategorie danych osobowych powinny być chronione odpowiednimi środkami i, w miarę możliwości, oddzielone od reszty danych osobowych,
• pseudonimizacja – dane osobowe i kopie zapasowe/logi powinny być pseudonimizowane jako środek bezpieczeństwa w celu zminimalizowania ryzyka potencjalnego naruszenia danych, na przykład przy użyciu funkcji haszującej lub szyfrowania,
• reagowanie na incydenty związane z bezpieczeństwem – należy wprowadzić procedury wykrywania, obsługiwania, raportowania i wyciągania wniosków z incydentów,
• postępowanie w przypadku naruszenia ochrony danych osobowych – zintegrowanie zarządzania powiadomieniami (organu nadzorczego) i obowiązków informacyjnych (osób, których dane dotyczą) w razie naruszenia ochrony danych z procedurami zarządzania incydentami bezpieczeństwa,
• konserwacja i rozwój – regularne przeglądy i testy oprogramowania w celu wykrycia luk w systemach wspomagających przetwarzanie danych.

Przykład

Administrator chce zapisać na swoim serwerze dane osobowe dotyczące badań medycznych pacjentów. Ocenił ryzyko związane z planowaną operacją jako wysokie dla praw i wolności osób, których dane dotyczą. U administratora funkcjonuje tylko jedna komórka organizacyjna, która musi przetwarzać dane pacjentów. Aby uregulować dostęp i złagodzić ewentualne szkody spowodowane złośliwym oprogramowaniem, administrator decyduje się na rozdzielenie sieci i ustanowienie kontroli dostępu do serwera i katalogu. Ponadto wprowadza system monitorowania bezpieczeństwa oraz system wykrywania i zapobiegania włamaniom. Administrator aktywuje kontrolę dostępu na serwerze i separuje go od rutynowego użytkowania. Wprowadza także zautomatyzowany system audytu w celu monitorowania dostępu i zmian. Te środki bezpieczeństwa mają zapewnić, że wszyscy użytkownicy będą mieli ograniczony dostęp zgodnie z zasadą wiedzy koniecznej. Niewłaściwe użytkowanie może być szybko i łatwo rozpoznawane.