Kancelaria Radców Prawnych Górski&Szetela

Zasada privacy by default kładzie nacisk na to,że należy przetwarzać tylko te dane, które są niezbędne do obranego celu przetwarzania. Taka "podstawa prywatności" powinna zostać domyślnie wpisywana w każdy proces przetwarzania, a co za tym idzie również w każde rozwiązanie informatyczne do którego będą wprowadzane dane.

W myśl art. 25 ust. 2 RODO Administrator  danych zobowiązany  jest do wdrożenia  takich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Obowiązek ten odnosi się do:

• ilości zbieranych danych osobowych,
• zakresu ich przetwarzania,
• okresu ich przechowywania oraz ich dostępności.

W praktyce administrator danych (czyli np. przedsiębiorca wprowadzający do systemu dane swoich klientów) nie zawsze posiada wpływ na tworzenie rozwiązania IT (chyba,że jest ono dedykowane lub modyfikowane do jego potrzeb), ale zawsze powinien wybierać takie, które jest tworzone z zachowaniem zasady privacy by default. Oczywiście są sytuacje,że dostawca sam będzie administratorem danych dla tworzonych przez siebie rozwiązań informatycznych. I to są dwa istotne powody dla których warto stosować tą zasadę w praktyce.

O czym często zapomina się przy realizacji zasady Privacy by default?

• Zasada bazuje również na tym,że nie można odbierać osobie, której dane dotyczą możliwości decydowania  o tym, jakie jej dane i w jakim zakresie będą dostępne  oraz narzucać niejako " z góry" mechanizmy zbierające np.dużą ilość danych,
• W kontekście  produktów i usług IT zasada ta polega na obowiązku „wpisania” domyślnej prywatności na każdym etapie tworzenia i funkcjonowania rozwiązania informatycznego: od projektu poprzez wdrożenie, aż do zakończenia użytkowania oprogramowania, platformy, portalu społecznościowego itp.
  
• Jej zastosowanie nie wiąże się z zwiększonymi kosztami produkcji rozwiązania IT. Natomiast może zaoszczędzić dodatkowe koszty w przyszłości wynikające np. z: a) konieczności modyfikacji rozwiązania IT, b) konieczności zmiany stosowanego rozwiązania, które nie zostało dostosowane do przepisów RODO  lub  c) z zaistniałego naruszenia ochrony danych do którego przyczyniło się niestosowanie art. 25 ust. 2 RODO).
  

Przykładami nie stosowania Privacy by default z którymi często się spotykamy to np.:

• brak technicznej możliwości usunięcia konta użytkownika w systemie,
• pobieranie i wykorzystania danych osób zakładających konto klienta w innym zakresie oraz celu niż pierwotnie podawano tj. np. również do wysyłki im newsletter bez ich zgody,
• automatyczne ustawienie profilu użytkownika portalu społecznościowego, tak aby był dostępny dla nieograniczonej liczby osób.

Jak temu zaradzić?

• Projektować produkty IT  do których będą wprowadzane dane osobowe z zachowaniem zasady domyślnej prywatności osób fizycznych, których te dane dotyczą. Wyklucza to m.in. zbyt długi okres przechowywania tych danych lub zbyt szeroki ich zakres.
• Stosować podejście eksperckie do Klienta i już na etapie projektowym dzielić się z nim wiedzą np. zwrócić uwagę, że pobieranie daty urodzenia przy zakładaniu konta użytkownika w sytuacji, gdy te dane w praktyce nie są do tego potrzebne, nie jest właściwym rozwiązaniem.
• Umożliwić wprowadzenie zakresów dostępów do konkretnych danych i zaprojektować możliwość ich modyfikacji np. aby w systemie można było nadać dostęp do danych osobowych klientów pracownikom którym jest to faktycznie potrzebne do pracy (a nie automatycznie wszystkim).
• Przeszkolić swój Zespół projektowy, aby przy tworzeniu oprogramowania w którym przetwarzane są dane osobowe uwzględniał zasadę privacy by default.

Jeżeli mają Państwo jakiekolwiek pytania związane z tym tematem, zapraszamy do kontaktu z naszą Kancelarią: kancelaria@apogado.pl