EROD pomoże prawidłowo wdrożyć zasady ‘privacy by design’ i ‘privacy by default’

02/12/2019

RODO obowiązuje już dokładnie półtora roku i – choć gorączka związana z wdrożeniem nowej regulacji ochrony danych osobowych opadła – wielu administratorów wciąż zmaga się z licznymi wątpliwościami w zakresie jej prawidłowej implementacji do codziennej działalności. Z pomocą przychodzi m.in. Europejska Rada Ochrony Danych (w skrócie EROD), która opracowuje wytyczne wyjaśniające zawiłości nowego systemu ochrony danych osobowych. EROD właśnie zainicjował kolejne konsultacje – tym razem w przedmiocie wymogu ochrony danych „by design” i „by default”.

Czym w ogóle są powyższe zasady? Mówiąc w uproszczeniu, „privacy by design” to zasada, w myśl której administrator powinien uwzględnić ochronę danych osobowych już w fazie projektowania danego biznesu, produktu czy usługi. „Privacy by default” lub inaczej domyślna ochrona danych to z kolei zasada, zgodnie z którą stosowane rozwiązania powinny z założenia zapewniać wymagany stopień bezpieczeństwa – przykładowo: bez dodatkowej zgody czy potwierdzenia można przetwarzać jedynie niezbędny zakres danych do świadczenia konkretnej usługi.

Zasady „privacy by design” i „privacy by default” są ze sobą ściśle związane, a ich łączne spełnienie jest niezbędne, by należycie wywiązywać się z nakładanych przez RODO obowiązków. W praktyce ich stosowanie nie jest jednak takie proste i jednoznaczne. Dobierając bowiem odpowiednie środki techniczne i organizacyjne, zapewniające właściwy poziom bezpieczeństwa danych, należy uwzględnić szereg okoliczności, które statuuje art. 25 RODO, jak np. stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania czy ryzyko naruszenia praw lub wolności osób fizycznych. Są to z założenia pojęcia bardzo ogólne (tzw. klauzule generalne), stąd budzące poważne wątpliwości interpretacyjne – wskazuje mec. Szymon Dejk z departamentu prawno–legislacyjnego ZPF.

EROD – jako organ, którego celem jest zapewnienie spójnego stosowania RODO oraz promowanie współpracy między organami ochrony danych osobowych w całej UE – zainicjował właśnie społeczne konsultacje w przedmiocie projektu wytycznych dotyczących wspomnianego art. 25 RODO. Wytyczne będą objaśniać elementy, które administratorzy powinni wziąć pod uwagę przy planowaniu przetwarzania danych osobowych, a tym samym będą przydatne w tworzeniu produktów i usług zgodnych z RODO.

Przedsiębiorstwa finansowe, zrzeszone w ZPF, przykładają dużą wagę do zapewnienia najwyższego poziomu bezpieczeństwa przetwarzanych przez nie danych osobowych. Dały temu wyraz nie tylko poprzez aktywny udział w europejskim procesie legislacyjnym w przedmiocie RODO czy krajowym w przedmiocie nowej ustawy o ochronie danych osobowych oraz ustaw wdrożeniowych RODO, uczestnictwo w szkoleniach i warsztatach poświęconych reformie prawa ochrony danych osobowych, ale także poprzez podejmowanie dodatkowych, złożonych inicjatyw, np. w postaci opracowania kodeksu postępowania RODO dla biur informacji gospodarczej, nad którym aktualnie prowadzimy intensywne prace. Z tego też względu bierzemy udział w konsultacjach EROD i przygotowujemy wspólne stanowisko reprezentowanych przez nas przedsiębiorstw finansowych – wyjaśnia mec. Marcin Czugan, Wiceprezes Zarządu ZPF.

Konsultacje EROD trwają do dnia 16 stycznia 2020 r.