Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.
Na zasady privacy by design i privacy by default powinien zwrócić uwagę każdy administrator. Jak stanowi art. 25 RODO w kwestii pierwszej z reguł: „uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełniać wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.
Reguła privacy by design to inaczej zasada ochrony danych w fazie projektowania. Z kolei zasada privacy by default to inaczej zasada domyślnej ochrony danych.
Przeczytaj także: Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych od podszewki
Zasada privacy by design odnosi się do pewnej filozofii oraz podejścia, zgodnie z którym prywatność powinna być uwzględniana podczas projektowania określonego systemu lub procesu. Zasada ta jest realizowana poprzez wdrożenie przez administratora danych odpowiednich środków technicznych i organizacyjnych jeszcze przed rozpoczęciem przetwarzania danych.
Wśród zaproponowanych środków RODO wymienia pseudonimizację. Polega ona na przetwarzaniu danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Warunkiem jest, aby takie dodatkowe informacje były przechowywane osobno i zostały objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO).
Privacy by design została wdrożona, by nie narażać osoby, której dane dotyczą, na naruszenie jej praw lub wolności. Warto mieć na uwadze, że zasada ta obejmuje swym zasięgiem cały proces przetwarzania danych osobowych. Oznacza to, że prywatność jest elementem procesu przetwarzania danych osobowych, stanowiąc jego integralną część. Ochrona danych i prywatności w fazie projektowania stanowi odpowiedź na ciągle rosnące systemowe efekty zastosowania technologii informacyjnych i komunikacyjnych oraz rozbudowanej infrastruktury sieciowej. Privacy by design ma zaś przede wszystkim charakter prewencyjny.
Regułę tę przyjęto w RODO jako jeden mechanizmów przeciwdziałających powstaniu naruszeń ochrony danych oraz minimalizujących powstanie szkody. Koncepcja zasady privacy by design w pełni wpisuje się w ten nurt.
Wprawdzie RODO zawiera mechanizmy prawne, które umożliwiają reagowanie w przypadku wystąpienia szkody, niemniej jednak za pośrednictwem zasady privacy by design dąży się przede wszystkim do zapobiegania powstaniu naruszenia.
Zasada privacy by design jest ściśle związana z szacowaniem ryzyka i zagrożeń, o którym mowa w art. 35 ogólnego rozporządzenia o ochronie danych. Administrator danych musi bowiem przeprowadzqć ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA). Przeczytaj także: Privacy by design a DPIA
Przeprowadzenie DPIA jest konieczne, gdy dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Administrator danych powinien przeprowadzić DPIA jeszcze przed rozpoczęciem przetwarzania. W zależności od rezultatów oceny skutków konieczne może okazać się przeprowadzenie konsultacji na temat przetwarzania z Prezesem Urzędu Ochrony Danych Osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
