Privacy by design to nic innego jak poszanowanie prywatności od samego początku, idea, która „liczy” sobie już 20 lat. Prywatność musi być uwzględniona już przy projektowaniu procesów i systemów, w celu osiągnięcia zintegrowanej ochrony danych.
Celem jest zapewnienie ochrony danych od najwcześniejszych etapów rozwoju, tak aby uniknąć późniejszego dodawania „warstw” do produktu lub systemu. Prywatność powinna być integralną częścią projektowanego produktu lub usługi, zaś jej ochrona trwać przez cały cykl życia systemu, sprzętu, oprogramowania czy procesu (od opracowania koncepcji, przez etap rozwoju, produkcji, eksploatacji, konserwacji i wycofania). Co powinno zatem przyświecać administratorom, aby – jak mówi RODO – jeszcze przed rozpoczęciem przetwarzania wdrożyć odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń?
Działanie proaktywne,a nie reaktywne, lepiej zapobiegać niż leczyć
Privacy by design obejmuje przewidywanie zdarzeń, które mają wpływ na prywatność, zanim do nich dojdzie. Każdy system, proces lub infrastruktura wykorzystująca dane osobowe musi zostać opracowana i zaprojektowana od początku poprzez identyfikację możliwych zagrożeń dla praw i wolności osób, których dane dotyczą, i minimalizowanie ich, zanim spowodują rzeczywiste szkody. Polityka poszanowania prywatności od samego początku charakteryzuje się przyjęciem proaktywnych środków, które przewidują zagrożenia i identyfikują słabości systemów, neutralizując lub minimalizując ryzyko. Eliminuje to konieczność stosowania środków zaradczych, stosowanych w przypadku incydentów związanych z bezpieczeństwem, które już miały miejsce.
W tym zakresie privacy by design wymaga zatem:
- wyraźnego zaangażowania ze strony organizacji, wspieranego przez najwyższe szczeble administracji,
- rozwijania kultury zaangażowania i ciągłego doskonalenia przez wszystkich pracowników, ponieważ polityka nic nie znaczy, dopóki nie zostanie przełożona na konkretne działania napędzane wynikami,
- definiowania i przypisywania konkretnych obowiązków tak, aby każdy członek organizacji był świadomy swoich zadań w zakresie prywatności,
- opracowania metod opartych na wskaźnikach wczesnego wykrywania procesów i praktyk, które nie gwarantują prywatności.
Prywatność jako ustawienie domyślne
Privacy by design ma na celu zapewnienie osobie fizycznej najwyższego poziomu prywatności możliwego na danym etapie rozwoju technologicznego, a zwłaszcza automatycznej ochrony danych osobowych w każdym systemie, aplikacji, produkcie lub usłudze. Domyślne ustawienia, tworzone na etapie projektowania, powinny zapewniać maksymalną możliwą prywatność. Jeśli osoba, której dane dotyczą nie zmieni ustawień, jej prywatność jest cały czas gwarantowana i musi pozostać nienaruszona, ponieważ wynika z ustawień domyślnych.
W praktyce zasada ta opiera się na minimalizacji danych na wszystkich etapach przetwarzania: zbierania, wykorzystywania, przechowywania i udostępniania. w tym celu konieczne jest:
- maksymalne ograniczenie sytuacji, w których dane mogą być gromadzone,
- wykorzystywanie danych osobowych do celów, dla których zostały zebrane oraz upewnienie się, że istnieje podstawa prawna do przetwarzania,
- ograniczenie dostępu do danych osobowych podmiotom zaangażowanym w przetwarzanie zgodnie z zasadą wiedzy koniecznej i tworzenie zróżnicowanych profili dostępu, zgodnie z pełnioną przez taki podmiot funkcją,
- określenie ścisłych terminów przechowywania i ustanowienie mechanizmów gwarantujących ich dochowywanie,
- stworzenie technicznych i proceduralnych barier dla nieuprawnionego łączenia różnych, niezależnych źródeł danych.
Prywatność osadzona w projekcie
Prywatność musi być integralną i nieodłączną częścią systemów, aplikacji, produktów i usług, a także praktyk i procesów biznesowych w organizacji. Uwzględnienie prywatności nie powinno odbywać się poprzez dodanie kolejnej warstwy czy modułu do istniejącej wcześniej jednostki, a raczej musi być zintegrowane z innymi wymaganiami, już od etapu koncepcji i projektowania. Aby zagwarantować, że prywatność jest uwzględniana na wczesnych etapach projektowania, musimy:
- potraktować to jako zasadniczy wymóg w cyklu życia systemów i usług, a także w projektowaniu procesów,
- przeprowadzić analizę ryzyka praw i wolności osób oraz – kiedy ma to zastosowanie - ocenę skutków dla ochrony danych jako integralną część każdej nowej inicjatywy przetwarzania danych,
- dokumentować wszystkie decyzje podjęte w organizacji, dotyczące „myślenia nastawionego na prywatność.
Pełna funkcjonalność: suma dodatnia, a nie zero
Tradycyjnie rozumiano prywatność jako coś zdobytego kosztem innych funkcjonalności, użyteczności czy korzyści biznesowych. Jest to nieco „kombinowane” podejście, zaś celem musi być poszukiwanie optymalnej równowagi, z otwartym umysłem, który akceptuje nowe rozwiązania, skuteczne i wydajne zarówno na poziomie biznesowym, jak i dla prywatności.
W tym celu już od pierwszych etapów rozwoju koncepcji produktów i usług organizacja musi:
- założyć, że różne, uzasadnione interesy organizacji i użytkowników mogą koegzystować, i że konieczna jest ich identyfikacja, ocena i zrównoważenie,
- ustanowić kanał komunikacji do współpracy i konsultacji dla użytkowników, w celu zrozumienia i połączenia wielu interesów, które na pierwszy rzut oka mogą się wydawać różne,
- jeśli proponowane rozwiązania zagrażają prywatności, szukać nowych rozwiązań i alternatyw, aby osiągnąć zamierzoną funkcjonalność i cele, ale nigdy nie tracąc z oczu faktu, że należy odpowiednio zarządzać zagrożeniami dla prywatności użytkownika.
Kompleksowe zabezpieczenia
Prywatność rodzi się w projekcie, zanim system zostanie uruchomiony i musi być zagwarantowana przez cały cykl życia danych. Bezpieczeństwo informacji obejmuje poufność, integralność, dostępność i odporność systemów, które go przechowują. Prywatność gwarantuje również przejrzystość i zdolność osoby, której dane dotyczą, do interwencji i kontroli przetwarzania.
Aby zintegrować prywatność na wszystkich etapach przetwarzania danych (zbieranie, rejestrowanie, klasyfikacja, konserwacja, konsultacje, rozpowszechnianie, ograniczanie, usuwanie itp.), należy w każdym stadium wdrożyć najbardziej odpowiednie środki ochrony informacji, jak:
- techniki pseudonimizacji lub anonimizacji,
- klasyfikację i organizację danych oraz operacji przetwarzania na podstawie profili dostępu,
- domyślne szyfrowanie, tak aby dane w przypadku kradzieży były nie do odczytania,
- bezpieczne zniszczenie informacji na koniec ich cyklu życia.
Rozliczalność i przejrzystość
Jednym z kluczy do zagwarantowania prywatności jest możliwość jej zademonstrowania oraz umożliwienie zweryfikowania, czy przetwarzanie jest zgodne z przekazanymi informacjami. Przejrzystość w przetwarzaniu danych jest niezbędna do wykazania staranności i rozliczalności przed organem nadzorczym. Przetwarzanie powinno być też przejrzyste dla osoby, której dane osobowe są gromadzone i wykorzystywane.
Zapewnienie przejrzystości i rozliczalności wymaga zastosowania szeregu środków, jak na przykład:
- opracowania polityk prywatności i ochrony danych, które regulują funkcjonowanie organizacji,
- opracowania i opublikowania zwięzłych, jasnych i zrozumiałych informacji (klauzule), które są łatwo dostępne i pozwalają osobom, których dane dotyczą, zrozumieć zakres przetwarzania ich danych, ryzyka, na jakie mogą być narażeni, a także wskażą, jak korzystać ze swoich praw dotyczących ochrony danych,
- (nie jest to obowiązkowe dla wszystkich administratorów) podanie do wiadomości publicznej lub zapewnienie łatwego dostępu dla osób, których dane dotyczą, wykazu wszystkich czynności przetwarzania przeprowadzanych w organizacji,
- udostępnianie tożsamości i danych kontaktowych administratora,
- stworzenie prostych i skutecznych mechanizmów komunikacji i składania reklamacji/skarg dla osób, których dane dotyczą.
Skupiaj się na użytkowniku
Nie zapominając o uzasadnionych interesach organizacji, ostatecznym celem musi być zagwarantowanie praw i wolności użytkowników, których dane są przetwarzane. Obejmuje to, przewidując potrzeby użytkowników, projektowanie procesów, aplikacji, produktów i usług zorientowanych na nich. Użytkownik musi odgrywać aktywną rolę w zarządzaniu swoimi danymi i kontrolowaniu tego, co inni mogą z tymi danymi zrobić. Ich bezczynność nie może oznaczać ograniczenia ich prywatności, biorąc pod uwagę wyżej wymienioną zasadę domyślnych ustawień prywatności, gwarantujących maksymalny poziom ochrony.
Zagwarantowanie prywatności osobom, których dane dotyczą, obejmuje:
- wdrażanie ustawień prywatności, które są solidne „z defaultu” i gdzie użytkownicy są informowani o konsekwencjach dla ich prywatności w momencie modyfikacji ustalonych wcześniej parametrów,
- udostępnianie kompletnych i odpowiednich informacji, które prowadzą do świadomej, dobrowolnej, konkretnej i jednoznacznej zgody, która musi być pozyskiwana we wszystkich przypadkach, gdy jest ona wymagana,
- zapewnienie podmiotom danych dostępu do ich danych oraz szczegółowych informacji na temat celów przetwarzania,
- wdrażanie wydajnych i skutecznych mechanizmów, które umożliwiają osobom, których dane dotyczą, skorzystanie ze swoich praw w zakresie ochrony danych.
RODO ustanawia ochronę danych w fazie projektowania jako wymóg prawny, zaś nieprzestrzeganie tego wymogu podlega karze. Zgodnie z art. 25 RODO obowiązek wdrożenia privacy by default ma zastosowanie do wszystkich administratorów danych, niezależnie od ich wielkości, rodzaju przetwarzanych danych lub charakteru przetwarzania. Chociaż to administrator danych jest odpowiedzialny za wypełnienie tego obowiązku, to zgodnie z motywem 78 RODO należy zachęcać wytwórców produktów, usług i aplikacji, by podczas ich opracowywania i projektowania wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. Krótko mówiąc, to administrator danych w ramach swoich obowiązków musi ograniczyć wybór produktów i podmiotów przetwarzających do tych, które mogą zapewnić wypełnienie wymagań RODO. Wymóg ten dotyczy również współadministratorów.