09.09.2022

Zasada privacy by default – na czym polega i dlaczego warto ją wdrożyć

Krzysztof Jarosiński

Prywatność jako ustawienie domyślne

W poprzednim Newsletterze TLhub zaprezentowaliśmy Państwu najważniejsze aspekty zasady privacy by design, a więc konieczności uwzględnienia aspektu ochrony danych osobowych w fazie projektowania jakiegokolwiek procesu, usługi, narzędzia, w którym będą przetwarzane dane osobowe. Z zasadą privacy by design nieodłącznie (co wynika wprost z art. 25 RODO) powiązana jest zasada privacy by default, która nakazuje, aby w każdym procesie, usłudze lub narzędziu ochrona danych osobowych była ustawieniem domyślnym.

Privacy by default w organizacji

Podmioty gospodarcze prowadzą różne procesy – wewnętrzne, zewnętrzne, organizacyjne, biznesowe. Istotnym aktywem tych procesów są dane, w tym dane osobowe. Realizując procesy, zarządza się również danymi – i odwrotnie – zarządzanie danymi wpływa na sposób realizacji procesów.

Zasada privacy by default odnosi się do domyślnego sposobu realizacji tych procesów i dotyka wielu płaszczyzn funkcjonowania przedsiębiorstwa: systemów IT, fizycznej organizacji biura lub innej lokalizacji, w której przetwarzane są dane, zarządzania dostępami i uprawnieniami w systemach IT, ale również do dokumentacji papierowej, a nawet dostępami fizycznymi do pewnych obszarów przedsiębiorstwa.

Zakres danych adekwatny do celu

Zasada privacy by default wskazuje, że domyślnie w ramach procesu mają być przetwarzane tylko te dane osobowe, które są niezbędne do osiągnięcia celu tego procesu. Przykładowo:

  • do utworzenia konta użytkownika w serwisie opinii zazwyczaj nie ma potrzeby uzyskania od użytkownika numeru PESEL,
  • od kandydatów do pracy nie wolno wymagać dołączenia zdjęcia do CV, ponieważ nie znajduje to podstawy w przepisach kodeksu pracy,
  • zbieranie danych dotyczących serii i numeru dowodu tożsamości w przypadku umawiania wizyty do lekarza za pośrednictwem platformy internetowej również nie jest niezbędne.

Niech użytkownik sam zdecyduje, jakie dane chce upublicznić

Privacy by default odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu przechowywania oraz dostępności.

W przypadku udostępniania przez administratora funkcjonalności konta w ramach portalu internetowego warto zwrócić uwagę na zakres danych tego konta, który domyślnie jest widoczny dla pozostałych użytkowników serwisu lub dla użytkowników Internetu w ogóle. Łatwo wyobrazić sobie sytuację, w której po odwiedzeniu profilu takiego użytkownika możemy zobaczyć różne informacje na jego temat. Przykładowo mogą to być imię i nazwisko, zainteresowania, historia aktywności w portalu itd. Dane te powinny być domyślnie ukryte i to użytkownik powinien móc samodzielnie zdecydować, czy chce, aby były one publicznie widoczne. Nie chodzi tu więc o umożliwienie użytkownikowi „ukrycia” takich danych, ale o to, aby były one od samego początku ukryte, użytkownik zaś ma mieć możliwość ich upublicznienia. Jak obserwujemy, na wielu portalach takie dane często są domyślnie widoczne.

Granulacja uprawnień

W większych organizacjach zazwyczaj każdy członek zespołu ma swoją rolę i przypisane zadania, „nie zajmuje się wszystkim”. Należy to wziąć pod uwagę i przypisując dostępy w ramach różnych systemów informatycznych, ograniczyć dostęp pracownikom wyłącznie do takich danych, do których dostęp jest im niezbędnie konieczny. Oznacza to, że pracownik musi mieć dostęp do tych danych, bez których nie jest w stanie pracować. Domyślna prywatność danych nie może blokować możliwości wykonania pracy albo korzystania z udostępnionego narzędzia. Odpowiednio zaprojektowane zasady przetwarzania danych osobowych gwarantują realną ochronę tych danych, nie paraliżując całego procesu. Przykładowo:

  • dział programistów zazwyczaj nie potrzebuje wglądu do danych osobowych dostępnych dla działu księgowego,
  • dział prawny zazwyczaj nie potrzebuje danych dostępnych dla działu kadr.

Da się i warto!

Projektowanie procesu w taki sposób, żeby był on efektywny i zgodny z zasadą privacy by default jest zadaniem wymagającym, ale nie niemożliwym. Z całą pewnością kontrola nad obiegiem danych osobowych w przedsiębiorstwie pomaga w dobrym projektowaniu procesów z poszanowaniem zasad ochrony danych. Dlatego pierwszym krokiem do skutecznego stosowania domyślnej ochrony prywatności jest porządek w rejestrze czynności przetwarzania oraz skuteczne wprowadzenie odpowiednich zasad (polityk) podczas pracy z danymi osobowymi. Domyślna ochrona danych pozwoli nam zapewnić zgodność z przepisami RODO. Warto pamiętać, że za nieprzestrzeganie tychże przepisów organ nadzorczy może nałożyć karę administracyjną w wysokości nawet 2% globalnego obrotu przedsiębiorstwa. Ochrona danych z pewnością ucieszy również osoby, których dane dotyczą – pokazujemy im w ten sposób, że podchodzimy poważnie do ochrony ich danych osobowych. Nie warto więc zwlekać.

 

Krzysztof Jarosiński

Radca prawny