W perspektywie wejścia z dniem 25 maja 2018 r. do polskiego porządku prawego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) warto odcinkowo ale też w szerokim kontekście przyglądać się zapisom owej regulacji.
Zasada ochrony danych w fazie projektowania (data protection by design)
Zasada ochrony danych w fazie projektowania tzw. data protection by design do czasu projektu RODO nie znalazła odzwierciedlenia (na zasadzie wyraźnego zapisu) w ustawodawstwie UE.
Art. 25 ust. 1 RODO stanowi, iż Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Potrzeba precyzyjnego zapisu, z którego wynika wprost, że nie tylko same przetwarzanie danych osobowych ale również projektowanie systemów, urządzeń, aplikacji, procesów, a więc podejmowanie wszelkiego rodzajów działań przygotowawczych wymaga szczególnego nadzoru nad bezpieczeństwem przetwarzania danych. Zasada data protection by design obejmuje zasadniczo, również: „konserwacje” i „serwisowanie” aplikacji służących do przetwarzania danych osobowych zgodnie z RODO, w tym prowadzeniu wszelkich testów i działań zorientowanych na wymierzenie poziomów bezpieczeństwa i ryzyka.
Sformułowanie „przy określaniu sposób przetwarzania” choć nieostre, nakazuje myśleć, że obowiązek stosowania mechanizmów zapewniających zgodność z RODO powstaje na każdym etapie prac/działań związanych z przygotowaniem/projektowaniem prac zorientowanych do przetwarzania danych.
Zasada data protection by design – paradoksalnie – na gruncie RODO, które z zasady skłania do sięgania po różnego wykładnie lub interpretacje, obligując de facto do dokonywania własnej autorskiej interpretacji przepisów przez podmioty stosujące (vide np. opracowania „Grupy Roboczej art. 29”) jednocześnie ukróca teoretycznie mogącą powstać wątpliwość, kiedy kończy się faza projektowania (określenia sposobów przetwarzania), a kiedy rozpoczyna faza stosowania określonych systemów przetwarzania danych. Zapisy RODO jasno wskazują, że cały proces przetwarzania danych, począwszy od fazy projektowania winien podlegać szczególnej dbałości aby sprostać wymaganiom RODO.
Na zasadzie wniosku generalnego wypada zauważyć, że zasada data protection by design jednocześnie postuluje zaangażowanie środków zorientowanych na zapewnienie zgodności z RODO już przy samym określaniu sposobów przetwarzania danych, niemniej uchyla wątpliwości, od kiedy określone kryteria z RODO winny być przestrzegane.
Nie sposób odmówić również racjonalności takiemu poglądowi, gdzie, faza „określania sposobów przetwarzania danych” (projektowania) stanowi/może stanowić ipso se proces ich przetwarzania, stad zasadnym jest rozciągniecie wymogów z RODO na wszelkie fazy przetwarzania danych „uszczelniając” stosowanie tej regulacji w praktyce.
Zasada domyślnej ochrony danych (data protection by default)
Sformułowana w art. 25, ust. 2 RODO zasada data protection by default nie została dotychczas, poza RODO – podobnie zresztą jak zasada data protection by design uregulowana przepisami UE. Nie sposób jednak stwierdzić, że koncepcja która zmaterializowała się w art. 25, ust. 2 RODO uprzednio nie była wyinterpretowana z regulacji dotyczących ochrony danych osobowych. RODO również nawiązuje do owej zasady w art. 5, ust. 1, lit. c RODO (tj. zasady adekwatności), zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Art. 25 ust. 2 RODO stanowi, iż Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Zasada privacy by default oznacza, aby wyjściowy domyślny zakres przetwarzania danych osobowych był niezbędny dla celów przetwarzania, tj. aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne do osiągnięcia danego celu przetwarzania. Zasada ta, w relacji do zasady adekwatności, kładzie nacisk aby domyślnie, tj. „standardowo” przy procesach i systemach przetwarzania danych osobowych zakres przetwarzania danych pozostawiony był na takim poziomie, który jest niezbędny do zakładanego podstawowego i bazowego sposobu korzystania z systemu (na zasadzie domyślnego ustawieniu np. w interfejsie zarządzaniu daną aplikacją).
W praktyce to użytkownik systemu winien modelować zakres dostępnych sposobów przetwarzania danych w danym systemie/aplikacji poprzez modyfikację „domyślnych” ustawień zapewniających przetwarzanie danych w sposób niezbędny.
Zasada z akapitu wyżej na inny poziom winduje ocenę określania zakresu przetwarzania danych. Ocena czy dany zakres – sposób przetwarzania danych – jest właściwy, dokonywana jest nie
z perspektywy oczekiwań użytkownika, lecz z perspektywy celu przetwarzania danych osobowych rozumianego jako immanentna i podstawowa składowa funkcjonalności danego systemu i aplikacji. Jakkolwiek powodować to może określone trudności w praktyce, zasada premiuje bazowe określenie dostępnych możliwości przetwarzania danych osobowych relatywnie wąsko
(w ramach „nierozszerzająco” rozumianych funkcjonalności systemu przetwarzania danych osobowych) dedukując rozszerzenie tegoż zakresu do następczej aktywności użytkownika systemu, podmiotu, którego dane będą przetwarzane.
Ocena skutków dla ochrony danych osobowych (privacy impact assesment)
Zgodnie z art. 35 RODO Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii
– ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Ocena skutków jest dokumentem niezwykle istotnym i wzbudzającym spore zainteresowanie na gruncie RODO. Dedykując pełne jej omówienie do odrębnego podejścia wskazać wypada, że ocena ta jest działaniem inicjowanym przez podmiot przetwarzający. To po stronie podmiotu przetwarzającego winna zapaść decyzja, czy zachodzą okoliczności obligujące go do jej przeprowadzenia. Kryteria w jakich sytuacjach dokument taki należy przygotować są podobnie niedookreślone jak parametry (precyzyjnie) jakie ocena taka powinna zawierać.
Szczególnej uwagi wymaga podejście do właściwego zinterpretowania m. in. „stanów” tzw. dużego prawdopodobieństwa; wysokiego ryzyka czy sformułowania dotyczącego tzw. podobnych operacji. Ocena ryzyka dokonywana jest z uwzględnieniem specyfiki podmiotu, który ją sporządza, co oznacza, że wszystkie niedookreślone kryteria jej dotyczące będą się właśnie dookreślać w specyficznym i właściwym jedynie dla podmiotu przetwarzającego środowisku.
W konsekwencji, szukanie precyzyjnych wskazań i odpowiedzi na pytania kiedy (sporządzać taką ocenę ryzyka) i jak? (co powinna zawierać ocena ryzyka), mających zastosowanie erga omnes jest niezwykle trudne i tworzy nomen omen ryzyko błędu.
W rezultacie jako początek drogi do zgłębienia tematu oceny ryzyka, sugeruje się rozważenie danego sposobu przetwarzania w świetle zasad generalnych z RODO (art. 5 RODO) i możliwości sprostania im przez podmiot przetwarzający. Wnioski z takiej analizy mogą niejednokrotnie stanowić instrukcje i pomoc jak wykładać art. 35 RODO w ekosystemie własnej działalności.
Autor: Rafał Rozwadowski, adwokat