Na czym polegają zasady privacy by default i privacy by design?
ODPOWIEDŹ FORMALNA
Zasada privacy by design oznacza, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
Zasada privacy by default oznacza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. w szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób fizycznych bez interwencji osoby, której te dane dotyczą.
ODPOWIEDŹ PRAKTYCZNA
Privacy by design to uwzględnienie ochrony danych w fazie projektowania, innymi słowy – zapewnienie zgodności z RODO, jeszcze zanim zacznie przetwarzać się dane. Przykładowo: jeśli planujemy uruchomić nowy produkt lub usługę, to zastanawiamy się, jakie będą warunki regulaminu, jaki system informatyczny będzie wykorzystywany do jej świadczenia, a także którzy z pracowników będą zaangażowani w proces sprzedaży. Już na tym etapie powinniśmy odpowiedzieć na pytania: jakie dane będziemy pozyskiwać, gdzie klienci znajdą informacje o przetwarzaniu danych, czy na ich żądanie będziemy mogli je łatwo udostępnić lub usunąć, a także czy będziemy mieli zawarte umowy powierzenia przetwarzania (np. z podmiotem dostarczającym system informatyczny).
Privacy by default to domyślna ochrona danych. Oznacza, że bez dodatkowej zgody czy potwierdzenia można przetwarzać jedynie niezbędny zakres danych do świadczenia jakiejś usługi. Przykładowo: jeśli za pośrednictwem portalu społecznościowego możemy udostępnić informacje o nas, to powinniśmy być poproszeni o taką decyzję uprzednio, a nie być zmuszani do poszukiwania w ustawieniach możliwości ukrycia pewnych informacji, które domyślnie są udostępnione. Podobnie jeśli kupujemy jakiś produkt i podajemy dane osobowe, to bez dodatkowej zgody sprzedawca nie powinien zapisywać nas do programu lojalnościowego, biuletynu informacyjnego czy konkursu.
WIĘCEJ:
- Więcej informacji znajdziesz w artykule: Jak uwzględnić prywatność w fazie projektowania?