Materiał powstał we współpracy z firmą Sage
Tak w największym skrócie można by określić sedno zasady „privacy by design", która obok „privacy by default" jest jedną z kluczowych zasad RODO.
Skąd ten pomysł? Sama koncepcja privacy by design nie jest niczym nowym – została sformułowana przez Ann Cavoukian, byłą rzeczniczkę ds. informacji i prywatności kanadyjskiej prowincji Ontario, jako wynik wieloletnich prac nad włączeniem zasad ochrony prywatności do nowych projektów infrastrukturalnych realizowanych w Kanadzie (koncepcja zawarta we wspólnym raporcie na temat technologii podnoszących prywatność wspólnego zespołu komisarza ds. informacji i prywatności w Ontario, Kanadzie, Holenderskiego Urzędu Ochrony Danych i Holenderskiej Organizacji Badań Naukowych Stosowanych, z 1995 r. – tzw. 7 zasad Ann Cavoukian).
Ogólne rozporządzenie o ochronie danych (RODO), choć de facto nie zawiera legalnej definicji privacy by design, to zakres zastosowania zasady należy wyprowadzać z charakteru, celu i funkcji normy ustalonej w art. 25 ust. 1 RODO. Tym samym koncepcja ta staje się prawnie wiążącym obowiązkiem uwzględniania ochrony danych już w fazie projektowania. Dzięki temu ochrona prywatności z zasady włączona zostaje w samo tworzenie projektu, działanie jego składników oraz w zarządzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji.
Mamy tu więc do czynienia z proaktywnym podejściem: prywatność będzie chroniona już nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcję tak, że jest po prostu składową projektu. I tak w odniesieniu do systemów teleinformatycznych oznacza to wbudowanie ochrony prywatności zarówno w architekturę systemu, jak i w procesy biznesowe, które system obsługuje – na przykład poprzez jak najszybszą pseudonimizację danych czy też umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych.
Warto również pamiętać, że privacy by design nie ogranicza się do etapu planowania. Z RODO bowiem jednoznacznie wynika, że ocena zgodności z przepisami odnosi się również do etapu realizacji procesu.