fbTrack
REKLAMA
REKLAMA

Kadry

Dane osobowe klienta - przetwarzanie po nowemu

123RF
Ochrona prywatności konsumenta powinna być niejako wbudowana w każdy projekt przedsiębiorcy zakładający przetwarzanie danych osobowych.

Nowe unijne rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych wprowadza szereg zmian w podejściu do przetwarzania danych oraz wyraźnie reguluje niektóre kwestie, które do tej pory leżały w sferze dobrych praktyk, ale były trudne do egzekwowania. Zacznie ono wprawdzie obowiązywać 25 maja 2018 r., ale byłoby dobrze gdyby przedsiębiorcy zaczęli się już teraz przygotowywać do jego wdrożenia.

Dwie zasady

Przykładem takiej dobrej praktyki, która już jako obowiązek została unormowana w rozporządzeniu, jest konieczność przestrzegania zasad privacy by design tj. uwzględniania ochrony danych w fazie projektowania oraz privacy by default, czyli domyślnej ochrony danych.

Dzięki zastosowaniu nowych technologii przedsiębiorcy mają możliwości gromadzenia i dalszego przetwarzania ogromnych ilości danych osobowych w sposób zautomatyzowany, tworząc m.in. rozbudowane profile klientów. Ma to zarówno swoje zalety np. w postaci oferowania klientom dopasowanych do nich usług, jak i wady - nie zawsze osoby fizyczne zdają sobie sprawę z tego, w jaki sposób i dla jakich konkretnie celów przetwarza się ich dane. Obecnie problemem jest nie tyle to, jak przetwarzać większe ilości danych osobowych, ale jak odpowiedzialnie ograniczać ich przetwarzanie do minimum niezbędnego dla osiągnięcia określonych celów, zapewniając jednocześnie wysoki standard ochrony prywatności osób fizycznych.

Wdrożenie w procesy przetwarzania danych osobowych zasady privacy by design oznaczać będzie konieczność uwzględnienia ochrony danych na każdym etapie tworzenia i istnienia technologii ich przetwarzania. Elementy ochrony prywatności nie powinny być dodawane do modelu przetwarzania na samym jego końcu, jako swoista nakładka np. na istniejący już system informatyczny. Ochrona prywatności powinna od samego początku stanowić integralną część procesu przetwarzania, tj. być niejako wbudowana w każdy projekt zakładający przetwarzanie danych osobowych.

Odpowiednie środki organizacyjne i techniczne ochrony danych osobowych powinny być dostosowane do zakresu i celów przetwarzania, a także do ryzyka naruszenia praw osób fizycznych w związku z konkretnym modelem przetwarzania danych.

Unijny ustawodawca jedynie przykładowo wymienia sposoby wspomagające ochronę prywatności, takie jak:

* umożliwienie tworzenia i doskonalenia zabezpieczeń,

* umożliwienie osobom, których dane dotyczą, monitorowania ich przetwarzania oraz

* zapewnienie przejrzystości systemów przetwarzania.

Pseudonimizacji oraz minimalizacja

W rozporządzeniu sugeruje się również stosowanie pseudonimizacji oraz minimalizacja danych. Pseudonimizacja polega na takim przetworzeniu danych, aby bez dodatkowych informacji nie można było przypisać ich konkretnej osobie. Przy czym informacje pozwalające na identyfikację osoby, powinny być przechowywane odrębnie od pozostałych danych. Minimalizacja danych oznacza z kolei, że administrator nie przetwarza danych osobowych ponad te, które są mu niezbędne dla osiągnięcia określonego celu.

Z kolei zasada privacy by default oznacza, że ustawienia aplikacji czy systemów przetwarzających dane powinny domyślnie udostępniać minimalną ilość informacji o użytkowniku. Zwiększenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych w wyniku działania użytkownika. Wynika to z faktu, iż większość użytkowników korzysta z ustawień domyślnych systemów, a w przypadku, gdy rezygnują oni z części swojej prywatności, powinni mieć tego świadomość.

Przede wszystkim odpowiedzialność

Celem nowych regulacji jest zwrócenie uwagi na znaczenie odpowiedzialnego wykorzystywania danych przy jednoczesnych zachowaniu funkcjonalności systemów przetwarzania. Ochrona danych ma docelowo stanowić jedną z zasad działania organizacji i przyczyniać się do lepszego ich funkcjonowania.

W praktyce można wyróżnić siedem podstawowych filarów privacy by design, które zostały potwierdzone na mocy Rezolucji w sprawie prywatności w fazie projektowania przyjętej przez 32. Międzynarodową Konferencję Rzeczników Ochrony Danych i Prywatności w 2010 r. Są to m.in. innymi zasada proaktywnego, nie zaś reaktywnego działania, tj. uwzględniania ochrony prywatności przed wystąpieniem zagrożeń lub naruszeń danych, a także uwzględnianie interesów wszystkich uczestników, co może powodować konieczność zmodyfikowania początkowych założeń co do budowy systemu przetwarzania.

Zasada uwzględniania ochrony danych w fazie projektowania jest nierozerwalnie powiązana z przeprowadzaniem tzw. oceny skutków przetwarzania dla prywatności (tzw. privacy impact assessment). Zgodnie z rozporządzeniem, takie badanie powinno być przeprowadzane, jeśli konkretny rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena powinna być przeprowadzana w szczególności, gdy przetwarzanie danych odbywa się z wykorzystaniem nowych technologii, gdy dane przetwarzane są na dużą skalę w sposób zautomatyzowany, również w celu stworzenia profilu osoby fizycznej, na podstawie którego podejmowane są decyzje co do danej osoby (np. ocena zdolności kredytowej).

Ile ryzyka i jak mu zapobiegać

Ocena skutków przetwarzania dla prywatności dokonywana jest przez administratora przed rozpoczęciem przetwarzania i powinna ona adresować w szczególności następujące kwestie: systematyczny opis planowanego przetwarzania, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw osób fizycznych. Administrator powinien również przedstawić, jakie środki zamierza wdrożyć w celu zapobieżenia ryzykom.

Organy nadzorcze w poszczególnych państwach UE zostały zobowiązane w rozporządzeniu do stworzenia i podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.

—Agata Jankowska-Galińska

—Katarzyna Sawicka

Zdaniem autorek

Agata Jankowska-Galińska, Legal, managing associate, Deloitte

Katarzyna Sawicka, Legal, associate, Deloitte

Troska od fazy projektowania do usuwania

Zasada privacy by desing ma zasadniczo charakter klauzuli generalnej, która będzie kształtowana przez praktykę obrotu. Unijny prawodawca zdecydował się nałożyć na administratorów obowiązek dbania o prywatność użytkowników w całym cyklu tworzenia systemów oraz przetwarzania danych, od fazy projektowania, poprzez wdrażanie, wprowadzanie zmian oraz usuwanie danych. Należy zwrócić uwagę, że zgodnie z zasadą rozliczalności, to na administratorze będzie ciążył obowiązek udowodnienia, iż przeprowadził on ocenę skutków przetwarzania dla prywatności, a w swojej działalności przestrzega zasad privacy by design oraz privacy by default.

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA