Privacy by design. Chroń dane osobowe, zanim je pozyskasz

4 maja 2020

Katarzyna Muszyńska

Head of Data Protection Team
LexDigital
Katarzyna Muszyńska
Privacy by design. Chroń dane osobowe, zanim je pozyskasz

Wyjaśniamy, na czym w praktyce polega stosowanie reguł privacy by design, których nie można zignorować, jeśli poważnie traktuje się kwestię RODO. To już nie opcja, a obowiązek wszystkich, którzy projektują produkty i usługi cyfrowe.

Privacy by design to ochrona danych osobowych zanim (!) wejdziemy w ich posiadanie, a więc w fazie projektowania produktu lub usługi. W zasadzie jest jedynym sposobem uniknięcia niezgodności z RODO w pierwszej fazie tworzenia produktu lub usługi cyfrowej.

Nie chodzi jednak tylko o obowiązek, ale również o korzyści biznesowe. Można do nich zaliczyć:

  • gwarantowaną oszczędność kosztów i czasu,
  • unikanie tworzenia kosztownych, ale niezgodnych z prawem i w konsekwencji niewykorzystanych rozwiązań,
  • możliwość budowania przewagi konkurencyjnej na rynku e-commerce (wiarygodność ceniona przez konsumentów).

Kiedy stosować zasadę privacy by design?

Privacy by design znajduje zastosowanie na etapie planowania nowych:

  • procesów,
  • systemów,
  • aplikacji,
  • stron internetowych,
  • urządzeń,
  • usług.

Privacy by design nie jest tylko dobrą praktyką. Od maja 2018 roku to przede wszystkim prawnie ciążący obowiązek, który dotyczy podmiotów zarówno ze sfery publicznej, jak i prywatnej. Z rozporządzenia o ochronie danych osobowych wprost wynika, że administrator danych osobowych, powinien tak zaplanować projekt, aby ochrona danych osobowych stanowiła jego istotny aspekt.

Privacy by design w praktyce

W Rezolucji w sprawie prywatności w fazie projektowania, (przyjętej na 32. Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności) określono 7 podstawowych zasad privacy by design:

  1. Podejście proaktywne (czyli nie reaktywne, nie zaradcze, nie naprawcze)
    Wdrażaj konkretne działania związane z ochroną danych już na etapie koncepcji biznesowej. RODO zakłada, że jeśli będziesz przetwarzać dane na dużą skalę (w praktyce przyjmuje się 10 tys. rekordów) lub dane dotyczą stanu zdrowia, powinieneś powołać inspektora ds. ochrony danych. Możesz też skorzystać z usług zewnętrznego konsultanta. Może być on niezbędny również w przedsięwzięciach na mniejszą skalę.
    Nie angażuj inspektora tylko wtedy, gdy tworzysz tekst zgód. Poinformuj go na przykład, że planujesz wynająć podwykonawcę. Inspektor porówna potencjalnych zleceniobiorców i oceni ich pod względem ich kompetencji w zakresie bezpieczeństwa danych.
    Dokumentuj współpracę z inspektorem (lub inspektorem-konsultantem). Być może w ramach kontroli będziesz musiał przedstawić dowody na stosowanie zasady privacy by design.
  2. Prywatność jako ustawienie domyślne
    Obowiązuje tu zasada minimalizacji danych, czyli domyślne przetwarzanie tylko tych danych, które są niezbędne do osiągnięcia celu przetwarzania. Jeśli prosisz użytkownika o jakiekolwiek dane, musisz go poinformować, dlaczego to robisz.
    Przykład 1
    : jeśli organizujesz konkurs z nagrodą powyżej 760 złotych, powinieneś poprosić o PESEL, ponieważ prawo podatkowe wymaga, aby wiedzieć, kto faktycznie odebrał nagrodę o takiej lub większej wartości. W regulaminie konkursu należy podać podstawę prawną, która to uzasadnia.

    Przykład 2: gdy klient zakłada konto w e-sklepie, należy poprosić tylko o e-mail i hasło. Na tym etapie prośba o dane adresowe do wysyłki produktów z oferty sklepu byłaby niezgodna z zasadą minimalizacji danych.

    Formularz rejestracji niezgodny z prawem.

    Formularz zgodny z zasadą minimalizacji danych (źródło: healthlabs.pl)
  3. Prywatność włączona w projekt (prywatność jako składowa projektu)
    Zasada privacy by design to implementacja wszystkich przepisów prawnych, które należy uwzględnić w danym projekcie. Nie chodzi bowiem tylko o RODO – jest również Ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne, itd. Z uwagi na branżę może to być szereg innych przepisów!
  4. Pełna funkcjonalność: suma dodatnia, nie suma zerowa (zasada win-win)
    Troska o dane opłaca się wszystkim stronom: firmom oraz ich klientom.
    Przykład 1
    : Odzyskanie części leadów, które wydają się stracone ze względu na RODO i brak zebranych zgód. Inspektor oceni, czy mailing z prośbą o te zgody będzie zgodny z prawem.

    Przykład 2: Oszczędność czasu. Odpowiadanie na każdą prośbę o dane, a więc ich generowanie, szyfrowanie i przesyłanie jest czasochłonne. Być może lepiej stworzyć na stronie sekcję “RODO”, w której użytkownicy pobiorą PDF-a z danymi, o jakie proszą?


    Źródło: Instagram
  5. Ochrona od początku do końca cyklu życia informacji (bezpieczeństwo danych od chwili ich zebrania do usunięcia)
    Posłużmy się przykładem zakładania konta w serwisie. Musisz uwzględnić niezbędny do realizacji tego procesu zakres danych użytkownika, przedstawić mu informację dotyczącą przetwarzania danych osobowych (klauzula informacyjna) oraz zgromadzić zgody, np. na wysyłkę materiałów marketingowych.
    A co z “końcem cyklu życia informacji”? Ustawa określa, jak długo możesz przechowywać konkretne rodzaje danych. Trwałe ich usuwanie to złożony proces wynikający z różnych zapisów prawnych. W niektórych przypadkach, jeśli usuniesz imię i nazwisko, możesz przetwarzać resztę informacji w celach statystycznych. Wtedy nie są już danymi osobowymi.
  6. Widoczność i przejrzystość́ (finalne rozwiązanie lub produkt ma cechować się przejrzystością i dobrą widocznością kluczowych informacji)
    To w dużej mierze zadanie dla projektantów UX. Interfejs nie powinien być przeładowany informacjami, jeśli ma pozostać użyteczny. Z drugiej strony, niektóre treści muszą bezwzględnie znajdować się w wybranych jego częściach, na przykład przy formularzach. Te informacje, które nie muszą być umieszczane bezpośrednio przy nich, warto zapisać w polityce prywatności.
    Pamiętaj, że użytkownik powinien mieć możliwość zapoznania się z zasadami przetwarzania danych w momencie przekazywania tych danych. Pojawia się tu również rola UX writerów (projektantów treści). RODO wymaga bowiem, aby komunikować się w sposób dopasowany do grupy odbiorców (np. dzieci czy osób starszych). Język powinien być prosty i łatwo przyswajalny.
    Co, jeśli pojawią się skargi konsumentów związane z Twoimi procesami przetwarzania danych osobowych? Kontroler z Urzędu Ochrony Danych Osobowych może ocenić procesy w Twoim produkcie lub usłudze. Jeśli stwierdzi, że użytkownik nie był w stanie przyswoić jakiś treści, będzie to oznaczało niezgodność z prawem.
  7. Poszanowanie dla prywatności użytkowników (prywatność jako element prawa do informacyjnej niezależności)
    Informuj użytkownika o przetwarzaniu danych w taki sposób, aby już na początku procesu mógł świadomie podjąć decyzję o współpracy z Tobą. Jeśli w łatwy sposób Ci je przekazuje, musi też w łatwy sposób uzyskać do nich dostęp lub je wycofać. Konsumenci posiadają szereg praw w tej kwestii: usunięcie danych, wycofanie zgód, kopiowanie danych, przeniesienie danych do innej firmy, sprostowanie danych itd. Zagwarantuj użytkownikom łatwe metody na skorzystanie z tych praw.

W jakich projektach wdraża się privacy by design?

Koncepcja privacy by design powinna być uwzględniana przy planowaniu praktycznie wszystkich zmian w organizacji. Zmianą jest nawet reorganizacja biura. Czy nowa konfiguracja stanowisk sprawi, że osoby nieuprawnione zobaczą na monitorze dane, do których nie powinny mieć dostępu? To tylko jedno z szeregu pytań, które należy wciąż pod uwagę.

Jakie działania podjąć w ramach tworzenia stron internetowych czy usług mobilnych? W fazie projektowania tego typu produktów należy uwzględnić te elementy:

  • audyt zgodności obecnych rozwiązań,
  • zaprojektowanie formularzy (rejestracyjnego i kontaktowego), które zgodnie z zasadą minimalizacji danych będą wymagały podania jedynie tych danych, które są niezbędne do zrealizowania żądania klienta,
  • opracowanie treści zgód, obowiązków informacyjnych, Regulaminu strony, Polityki prywatności i Polityki cookies,
  • legalizacja działań marketingowych – newsletter, wtyczki portali społecznościowych (typu „Lubię to”),
  • legalizacja Programów lojalnościowych i konkursów,
  • projektowanie zabezpieczeń baz danych klientów, sposób ich weryfikacji,
  • dobór czasów retencji danych oraz zaproponowanie rozwiązań usprawniających regularną kontrolę i ich usuwanie.

Nie zwlekaj z privacy by design

Co z tego wszystkiego wynika? Im szybciej, tym taniej – im szybciej wdrożysz w swoim zespole zasady privacy by design, tym więcej zaoszczędzisz czasu, wysiłku i pieniędzy, ponieważ nie trzeba będzie wstecznie naprawiać usług i produktów wadliwych pod względem RODO.

Wciąż masz więcej pytań, niż odpowiedzi? Skontaktuj się z nami! A jeśli korzystasz z usług agencji – dopytuj, w jaki sposób realizują zasady ochrony danych osobowych w fazie projektowania. Ten artykuł powstał, ponieważ Mobee Dick wziął sobie do serca zasady privacy by design.

Masz pytania?
Porozmawiajmy