RODO w pigułce cz. 4 – Privacy by design i privacy by default

| Danuta Gogolińska-Gajda
privacy by design

Rozporządzenie dotyczące Ochrony Danych Osobowych (RODO) wprowadza do europejskiego porządku prawnego dwie nowe zasady: privacy by design i privacy by default. Administratorzy danych będą zobowiązani uwzględniać ochronę  oraz prywatność na każdym etapie tworzenia i późniejszego funkcjonowania technologii obejmującej przetwarzanie tych danych.

PRIVACY BY DESIGN (zasada prywatności w fazie projektowania)

Zgodnie z zasadą privacy by design, ochrona prywatności powinna być wbudowana w każdy nowy projekt. Oznacza to, że prywatność będzie chroniona nie poprzez dodatki do systemu czy nakładki tworzone dla obecnie już funkcjonujących rozwiązań, ale będzie wbudowana w samą konstrukcję systemu (oprogramowania) czyli będzie elementem składowym danego projektu. Zgodnie z zasadą privacy by design administrator danych będzie zobowiązany zapewnić, już na etapie projektowania systemu wprowadzenie odpowiednich rozwiązań zapewniających ochronę danych użytkowników i ich przetwarzanie zgodnie z RODO.

PRIVACY BY DEFAULT (zasada prywatności w ustawieniach domyślnych)

Privacy by default oznacza zagwarantowanie ustawień, które zapewniają ochronę danych, jako pierwotnych ustawień systemu informatycznego bądź oprogramowania. Oznacza to, że ustawienia aplikacji bądź systemów przetwarzających dane osobowe, domyślnie powinny udostępniać minimalną ilość informacji o jego użytkowniku. Inaczej mówiąc privacy by default przewiduje jak najszerszą domyślną ochronę prywatności wszystkich użytkowników danego systemu bądź oprogramowania. Poszerzenie zakresu danych jakie będą udostępniane może nastąpić wyłącznie na podstawie zmiany ustawień dokonanych przez samego użytkownika lub na jego wyraźne życzenie.

OD KIEDY TRZEBA BYĆ GOTOWYM?

RODO ma w pełni być stosowane od 25 maja 2018 roku. Do tego dnia przedsiębiorcy powinni przystosować wszystkie procesy przetwarzania danych, które funkcjonują w ich firmach do nowej regulacji. Organ ochrony danych osobowych będzie mógł przeprowadzić kontrolę w zakresie stosowania omówionych reguł, a w razie stwierdzenia naruszenia którejkolwiek z nich będzie miał prawo nałożyć karę finansową. Należy zaznaczyć, że w przyszłości (po uchwaleniu odpowiednich regulacji krajowych) administrator danych będzie mógł wykazać, że wywiązał się z obowiązków wynikających z wyżej opisanych zasad poprzez poddanie się mechanizmowi certyfikacji ustanowionej przez RODO.