RODO w art. 25 przewiduje obowiązek uwzględniania ochrony danych osobowych w fazie projektowania (Privacy by Design). Jest to jedna z najważniejszych zmian przewidzianych w reformie danych osobowych. Zgodnie z tą zasadą ochrona danych osobowych wymaga stworzenia gwarancji technologicznych i organizacyjnych, w taki sposób aby dane były chronione i nie były udostępniane bez woli osoby, której dotyczą. Dotyczy to w szczególności systemów informatycznych.

Zasada Privacy by Design ma bardzo szeroki zakres zastosowania. Z zasady tej wynika obowiązek minimalizacji pozyskiwanych danych, jak najszybszej pseudonimizacji danych oraz przemyślenia domyślnych ustawień prywatności. Dodatkowo prawidłowe wdrożenie tej zasady wymaga przeprowadzenia analizy opartej na ryzyku (więcj na ten temat we wpisie „Analiza ryzyka„).  Nakaz ten dotyczy w coraz większym zakresie firm, które przetwarzają dane w systemach informatycznych na dużą skalę, w konsekwencji systemy te muszą uwzględniać zasadę Privacy by Design.

Nakaz uwzględniania ochrony danych osobowych w fazie projektowania wyrażony został w trzech ustępach art. 25 RODO oraz w motywie 78 RODO. W myśl powołanych przepisów wskazane w nim obowiązki dotyczą nie tylko fazy projektowania ale również realizacji procesu:

Uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszeń praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

W związku z  powyższym podmiot przetwarzający dane powinien podjąć środki mające na celu:

  • minimalizację danych osobowych
  • pseudonimizację danych osobowych
  • przejrzystość co do funkcji i przetwarzania danych osobowych
  • umożliwienie osobie, której dane dotyczą monitorowania przetwarzania danych
  • umożliwienie administratorowi tworzenie i doskonalenie zabezpieczeń

W razie dodatkowych pytań zachęcamy do kontaktu:

tel.: + 48 692 479 841

e-mal: t.majkowycz@mkp-legal.pl