Kiedy i od kogo RODO wymaga realizacji zasady privacy by design?
O wiele łatwiej i taniej jest zaplanować zgodny z RODO proces niż poprawiać istniejący, do którego pracownicy są przyzwyczajeni. Udzielenie odpowiedzi na pytanie o zgodność z RODO planowanych zmian lub nowych operacji przetwarzania danych zawsze jest obowiązkiem administratora, zwanym privacy by design lub ściślej – data protection by design.
Przykład
Twoja firma planuje prowadzić szkolenia ze swojej specjalizacji. Ich organizacja wymaga prowadzenia zapisów, realizacji płatności, być może uwzględnienia preferencji żywieniowych uczestników, a także sprawdzania wiedzy i wystawiania certyfikatów. Prawdopodobnie w celach promocyjnych będą powstawać także nagrania lub fotografie.
Ponieważ administrator działa za pośrednictwem osób upoważnionych oraz podmiotów przetwarzających, powinien on ustalić wewnętrzną odpowiedzialność za realizację wymogu privacy by design. Najlepiej, aby za planowanie procesu odpowiadał szef jednostki organizacyjnej, w razie potrzeby – po konsultacji z inspektorem ochrony danych.
Przykład
Za projektowanie procesu szkoleń powinna odpowiadać osoba, która w praktyce będzie decydować o tym, jak wyglądają ogłoszenia, zapisy, regulaminy, a także inne kwestie organizacyjne. Jeśli w procesie występuje podział kompetencji, to najlepiej wyznaczyć zespół projektowy.
Jak krok po kroku uwzględnić prywatność w fazie projektowania?
1. Pierwszym krokiem merytorycznym powinien być opis operacji przetwarzania. Najlepiej, aby opis zawierał informacje wymagane w rejestrze czynności przetwarzania (art. 30 RODO), ponieważ po rozpoczęciu przetwarzania danych informacje o nowych operacjach i tak powinny się tam znaleźć.
Przykład
Dane osobowe będą przetwarzane w celu realizacji szkoleń ze znajomości RODO. Kategorie osób to uczestnicy szkoleń oraz ich pracodawcy. Kategorie przetwarzanych danych to: imię, nazwisko, nazwa firmy, adres, adres e-mail i NIP pracodawcy, a także imię, nazwisko, nazwa stanowiska i wizerunek uczestnika szkolenia. Odbiorcami będą ośrodki szkoleniowe, dostawcy systemów IT oraz urzędy skarbowe. Dane będą przetwarzane do czasu zakończenia szkolenia, nie będą przekazywane poza Unię Europejską.
2. Najlepszą metodą na zaplanowanie przetwarzania danych jest dokonanie oceny skutków dla ochrony danych, tzw. DPIA, i realizacja zawartych tam rekomendacji (art. 35 RODO). Ponieważ jest to proces pracochłonny, najpierw warto sprawdzić, czy występuje obowiązek dokonania DPIA.
Przykład
DPIA jest wymagana, gdy występują przynajmniej dwa z takich czynników, jak ocena lub punktacja, automatyczne podejmowanie decyzji, systematyczne monitorowanie, dane wysoce osobiste, przetwarzanie danych na dużą skalę, łączenie zbiorów danych, przetwarzanie danych osób szczególnie narażonych, wykorzystanie nowoczesnych technologii, a także możliwość odmowy korzystania z usługi lub umowy.
3. Jeśli występuje obowiązek DPIA, wymóg należy zrealizować, dokonując pełnej oceny skutków dla ochrony danych. Jak tego dokonać – wyjaśniłem w artykule „Ocena skutków dla ochrony danych (DPIA)”, dostępnym na blogu ODO 24. Jeśli wymóg DPIA nie występuje, należy przynajmniej dokonać oceny konieczności i proporcjonalności.
Przykład
Należy ocenić, czy z perspektywy celu przetwarzania – a więc prowadzenia szkoleń – wszystkie informacje zawarte w opisie operacji przetwarzania są niezbędne. W przykładzie z kroku nr 1 nie będzie niezbędne przetwarzanie wizerunku. Należy wydać więc rekomendację, żeby nie przetwarzać tego rodzaju danych, albo zalecić uprzednie zbieranie odpowiednich zgód powiązanych z innym celem, np. publikacją materiałów marketingowych.
4. Należy przygotować proces do funkcjonowania, a więc zapewnić zgodność z RODO już w momencie wprowadzenia zmian, m.in. przygotować odpowiednie klauzule zgód, klauzule informacyjne oraz umowy – w tym umowy powierzenia przetwarzania.
Przykład
Przed wdrożeniem procesu należy przygotować: propozycje aktualizacji polityki prywatności, sposób informowania o niej uczestników szkoleń i ich pracodawców, klauzule zgód na przetwarzanie wizerunku, projekty umów powierzenia przetwarzania.
Jak zapewnić rozliczalność?
Realizacja kroku nr 4, a więc przygotowanie odpowiednich klauzul i umów, jest najlepszym sposobem na wykazanie zgodności. Ponieważ może się zdarzyć, że zmiany zajdą bez jego realizacji, rozliczalność warto zapewnić już od samego początku ich planowania. W jaki sposób? Dowolny, który umożliwi administratorowi łatwe ustalenie, kto planował zmiany oraz czy i jak wykonał wymagane kroki privacy by design. Wprowadzi to poczucie odpowiedzialności właścicieli procesów, a co za tym idzie – rzeczywistą realizację wymogu.
Przykład
Najłatwiej zapewnić rozliczalność poprzez dwa proste rozwiązania: wskazanie właścicieli poszczególnych procesów w rejestrze czynności przetwarzania (będzie istniało domniemanie, że to oni byli odpowiedzialni za projektowanie danego procesu oraz wprowadzanie w nim zmian) oraz ormalne ogłoszenie zasad realizacji privacy by design, a także osób odpowiedzialnych.
Kiedy warto skorzystać z pomocy eksperta?
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Podsumowując, zasada privacy by design nie jest niczym innym jak obowiązkiem spełnienia wymogów RODO jeszcze przed wprowadzeniem zmian lub zaprojektowaniem nowych operacji przetwarzania. Jej realizacja jest o wiele łatwiejsza niż wprowadzanie zmian w już funkcjonujących procesach. Zarazem privacy by design to w zasadzie jedyny sposób na uniknięcie niezgodności z RODO już na starcie. Wykonanie kroków opisanych w niniejszym artykule wymaga jednak dyscypliny, którą można osiągnąć dzięki wyznaczeniu osób odpowiedzialnych oraz formalnym zobowiązaniu ich do stosowania jasnej instrukcji, w jaki sposób realizować wymóg privacy by design.