Materiał powstał we współpracy z firmą Sage

Tak w największym skrócie można by określić sedno zasady „privacy by design", która obok „privacy by default" jest jedną z kluczowych zasad RODO.

Skąd ten pomysł? Sama koncepcja privacy by design nie jest niczym nowym – została sformułowana przez Ann Cavoukian, byłą rzeczniczkę ds. informacji i prywatności kanadyjskiej prowincji Ontario, jako wynik wieloletnich prac nad włączeniem zasad ochrony prywatności do nowych projektów infrastrukturalnych realizowanych w Kanadzie (koncepcja zawarta we wspólnym raporcie na temat technologii podnoszących prywatność wspólnego zespołu komisarza ds. informacji i prywatności w Ontario, Kanadzie, Holenderskiego Urzędu Ochrony Danych i Holenderskiej Organizacji Badań Naukowych Stosowanych, z 1995 r. – tzw. 7 zasad Ann Cavoukian).

Ogólne rozporządzenie o ochronie danych (RODO), choć de facto nie zawiera legalnej definicji privacy by design, to zakres zastosowania zasady należy wyprowadzać z charakteru, celu i funkcji normy ustalonej w art. 25 ust. 1 RODO. Tym samym koncepcja ta staje się prawnie wiążącym obowiązkiem uwzględniania ochrony danych już w fazie projektowania. Dzięki temu ochrona prywatności z zasady włączona zostaje w samo tworzenie projektu, działanie jego składników oraz w zarządzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji.

Mamy tu więc do czynienia z proaktywnym podejściem: prywatność będzie chroniona już nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcję tak, że jest po prostu składową projektu. I tak w odniesieniu do systemów teleinformatycznych oznacza to wbudowanie ochrony prywatności zarówno w architekturę systemu, jak i w procesy biznesowe, które system obsługuje – na przykład poprzez jak najszybszą pseudonimizację danych czy też umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych.

Warto również pamiętać, że privacy by design nie ogranicza się do etapu planowania. Z RODO bowiem jednoznacznie wynika, że ocena zgodności z przepisami odnosi się również do etapu realizacji procesu.

Dlatego jak najbardziej zasadne jest uznanie, że regularny przegląd funkcjonowania procesu przetwarzania danych oraz jego składowych elementów, takich jak systemy informatyczne, sposoby zbierania zgód, wypełnianie obowiązków informacyjnych itp., stanowić będzie realizację zasady privacy by design.

Ważne: bardzo często proces przetwarzania danych nie kończy się w momencie zakończenia akcji, np. w przypadku prowadzonego konkursu dane osobowe są przetwarzane dłużej niż do dnia zakończenia przyjmowania zgłoszeń, w postaci wydania nagród, uregulowania należnych zobowiązań, procesu reklamacji itp.

Więcej o tym, jak zaprojektować prywatność według 7 zasad Ann Cavoukian w „Rzeczpospolitej Cyfrowej" 3 kwietnia