Nowe unijne rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych wprowadza szereg zmian w podejściu do przetwarzania danych oraz wyraźnie reguluje niektóre kwestie, które do tej pory leżały w sferze dobrych praktyk, ale były trudne do egzekwowania. Zacznie ono wprawdzie obowiązywać 25 maja 2018 r., ale byłoby dobrze gdyby przedsiębiorcy zaczęli się już teraz przygotowywać do jego wdrożenia.
Dwie zasady
Przykładem takiej dobrej praktyki, która już jako obowiązek została unormowana w rozporządzeniu, jest konieczność przestrzegania zasad privacy by design tj. uwzględniania ochrony danych w fazie projektowania oraz privacy by default, czyli domyślnej ochrony danych.
Dzięki zastosowaniu nowych technologii przedsiębiorcy mają możliwości gromadzenia i dalszego przetwarzania ogromnych ilości danych osobowych w sposób zautomatyzowany, tworząc m.in. rozbudowane profile klientów. Ma to zarówno swoje zalety np. w postaci oferowania klientom dopasowanych do nich usług, jak i wady - nie zawsze osoby fizyczne zdają sobie sprawę z tego, w jaki sposób i dla jakich konkretnie celów przetwarza się ich dane. Obecnie problemem jest nie tyle to, jak przetwarzać większe ilości danych osobowych, ale jak odpowiedzialnie ograniczać ich przetwarzanie do minimum niezbędnego dla osiągnięcia określonych celów, zapewniając jednocześnie wysoki standard ochrony prywatności osób fizycznych.
Wdrożenie w procesy przetwarzania danych osobowych zasady privacy by design oznaczać będzie konieczność uwzględnienia ochrony danych na każdym etapie tworzenia i istnienia technologii ich przetwarzania. Elementy ochrony prywatności nie powinny być dodawane do modelu przetwarzania na samym jego końcu, jako swoista nakładka np. na istniejący już system informatyczny. Ochrona prywatności powinna od samego początku stanowić integralną część procesu przetwarzania, tj. być niejako wbudowana w każdy projekt zakładający przetwarzanie danych osobowych.
Odpowiednie środki organizacyjne i techniczne ochrony danych osobowych powinny być dostosowane do zakresu i celów przetwarzania, a także do ryzyka naruszenia praw osób fizycznych w związku z konkretnym modelem przetwarzania danych.