Wraz z wejściem w życie Ogólnego rozporządzenia o ochronie danych (RODO) zasada privacy by design zyskała moc powszechnie obowiązującego prawa . Koncepcja należąca pierwotnie do dobrych praktyk i soft law obecnie wyznacza prawnie wiążący model wdrażania nowych przedsięwzięć z poszanowaniem ochrony danych osobowych.
Koncepcja privacy by design (prywatność w fazie projektowania) kojarzona jest tradycyjnie z dorobkiem Ann Cavoukian, która pełniąc rolę rzeczniczki ds. informacji i prywatności prowincji Ontario, wspólnie z Autoriteit Persoonsgegevens (niderlandzki urząd ochrony danych osobowych) oraz Holenderską Organizacją Zastosowań Nauki opublikowała w 1995 roku wspólny raport dotyczący technologii zwiększających ochronę prywatności (Privacy Enhancing Technologies – PET).
Z kolei na gruncie europejskim źródeł rozwoju tej zasady upatruje się w przyjętej w 2010 roku przez 32. Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności Rezolucji w sprawie prywatności w fazie projektowania w której privacy by design określono mianem „zasadniczego elementu podstawowej ochrony prywatności” oraz wskazano fundamentalne zasady leżące u jej podstaw.
Privacy by design w przepisach RODO
Zasada prywatności w fazie projektowania normatywny wyraz znajduje obecnie w art. 25 ust. 1 Ogólnego rozporządzenia o ochronie danych[1] („RODO”), zgodnie z którym „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.
Wykładni tego przepisu dokonywać należy z kolei z uwzględnieniem motywu 78 RODO, który stanowi, że „(…) aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych (…)”.
Prywatność w fazie projektowania – jak ją zapewnić?
Istotą zasady privacy by design jest konieczność dbania o ochronę danych osobowych na każdym etapie prowadzenia projektu biznesowego, w trakcie którego może nastąpić ich (nawet potencjalne) przetwarzanie. Ochronę danych osobowych administrator w ramach projektu powinien wziąć pod uwagę już na etapie planowania i tworzenia jego koncepcji, a odpowiednie reguły ochrony danych traktować od początku jako istotny element całości przedsięwzięcia przez cały okres jego trwania.
Realizacja zasady privacy by design powinna zgodnie z art. 25 ust. 1 RODO polegać ma na wdrożeniu odpowiednich środków technicznych i organizacyjnych już na etapie projektowania rozwiązania, a zatem na etapie poprzedzającym rozpoczęcie przetwarzania danych osobowych. Ocena tego, jakie środki będą w konkretnym przypadku odpowiednie, została pozostawiona administratorowi. Przy wyborze środków technicznych i organizacyjnych mających zapewnić realizację zasady privacy by design należy przeprowadzić analizę obejmującą takie czynniki jak stan wiedzy technicznej co do możliwych do zastosowania środków, wysokość kosztów wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw lub wolności innych osób.
Warto pamiętać, że wskazany w art. 25 ust. 1 RODO katalog środków służących realizacji zasady privacy by design ma jedynie charakter przykładowy. Oznacza to, że administrator może stosować środki różniące się od wymienionych w przepisie pod warunkiem, że będą one zapewniały realizację zasady privacy by design.
W wyznaczaniu właściwych środków pomocny może okazać się raport Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) pt. „Prywatność i ochrona danych w fazie projektowania – od polityki do inżynierii”, które wyróżnia następujące modele zabezpieczenia danych:
- minimalizacja (minimising) – strategia polegająca na tym, że ilość zbieranych danych jest ograniczona do niezbędnego minimum,
- ukrywanie (hiding) – dane, a także zależności między nimi nie są „na widoku” dla osób mających dostęp do danych (należy poczynić dodatkowe działania w celu uzyskania dostępu),
- separowanie (separating) – przetwarzanie danych odbywa się w stosunku do danych rozdzielonych, rozproszonych w poszczególnych zbiorach,
- agregowanie (aggregating) – dane są przetwarzane w możliwie najwyższym stopniu zagregowania i z możliwie jak najmniejszą liczbą szczegółów (przy jakiej są nadal użyteczne)[2].
Wynikająca z art. 25 ust. 1 RODO konieczność wzięcia pod uwagę potencjalnego ryzyka naruszeń praw i wolności osób fizycznych wyznacza pośrednio także pożądane rezultaty stosowania zasady privacy by design w konkretnym przedsięwzięciu. Stosowane środki powinny prowadzić do minimalizacji prawdopodobieństwa wystąpienia sytuacji zagrażających bezpieczeństwu przetwarzanych danych osobowych oraz do eliminacji potencjalnych źródeł zagrożeń oraz ryzykownych działań w ramach projektowanej działalności biznesowej.
[1] Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] M. Bienias, Ochrona danych w fazie projektowaniaoraz domyślna ochrona danych (privacy by design oraz privacy by default) w ogólnym rozporządzeniu o ochronie danych, Monitor Prawniczy 20/2016.