Kary dotyczące uwzględniania ochrony danych w fazie projektowania
17 maja 2022 / Natalia Wojciechowska-Chałupińska / Artykuły
KARY DOTYCZĄCE UWZGLĘDNIANIA OCHRONY DANYCH W FAZIE PROJEKTOWANIA
ORAZ DOMYŚLNA OCHRONA DANYCH OSOBOWYCH
(PRIVACY BY DESIGN I BY DEFAULT)
Zgodnie z art. 25 RODO, każdy administrator danych osobowych jest zobowiązany zapewnić domyślną ochronę danych osobowych (privacy by default) oraz ich ochronę już w fazie projektowania tj. przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania (privacy by design).
Jak wykazaliśmy w rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom, naruszenia ww. obowiązków uplasowały się na 6 miejscu. Jeżeli jesteś ciekawa/y, co w praktyce oznacza „privacy by design” i „privacy by default”, w jaki sposób można naruszyć obowiązki z tym związane oraz na co Prezes UODO zwracał uwagę, badając sprawy dot. naruszenia RODO w tym kontekście – zapraszamy do zapoznania się z artykułem.
Privacy by design i by default – ogólnie i w skrócie.
Jak czytamy w Wytycznych nr 4/2019 wydanych przez Europejską Radę Ochrony Danych Osobowych (dalej: „EROD”):
„Administratorzy powinni uwzględnić ochronę danych w fazie projektowania oraz domyślną ochronę danych odpowiednio wcześnie, na etapie planowania kolejnej operacji przetwarzania. Wdrażają oni ochronę danych w fazie projektowania oraz domyślną ochronę danych przed przetwarzaniem, a także w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów skuteczności wybranych środków
i zabezpieczeń. Ochronę danych w fazie projektowania oraz domyślną ochronę danych stosuje się również do istniejących systemów, które przetwarzają dane osobowe.”
W takim razie, co to jest privacy by design i privacy by default?
Privacy by design to nic innego jak obowiązek uwzględnienia ochrony danych osobowych już na etapie planowania, projektowania kolejnego procesu obejmującego przetwarzanie danych, a następnie ciągła weryfikacja zastosowanych środków i zabezpieczeń podczas przetwarzania.
Natomiast privacy by default w dużym skrócie polega na przyjęciu takich zasad czy ustawień dot. przetwarzania danych, które domyślnie maksymalnie chronią prywatność osoby, której dane dotyczy (bez konieczności podjęcia przez tę osobę żadnych działań).
Koncepcja wynikająca z tego przepisu opiera się na proaktywnym i prewencyjnym podejściu administratora polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie ich żywotności tj. od momentu ich zgromadzenia, aż do ich usunięcia.
Privacy by design, czyli ochrona danych w fazie projektowania.
Skoro już rozszyfrowaliśmy pojęcie „privacy by design”, to co dalej? Z perspektywy RODO, najistotniejszy jest rezultat uwzględnienia ochrony danych osobowych w fazie projektowania, którym powinna być:
- skuteczna realizacja zasad ochrony danych (szerzej o tych zasadach pisaliśmy w tym artykule ) oraz
- nadanie przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
Administrator ma obowiązek wdrożyć takie środki, które będą skutecznie realizować powyższe zasady, mając na uwadze szereg czynników wprost wymienionych w art. 25 RODO, a którymi są:
- stan wiedzy technicznej;
- koszt wdrażania;
- charakter, zakres, kontekst i cele przetwarzania;
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania.
Po rozpoczęciu procesu przetwarzania z uwzględnieniem ww. czynników administrator ma obowiązek stale i na bieżąco monitorować wdrożone środki ochrony danych osobowych. To z kolei obejmuje nie tylko dokonywanie odpowiednich przeglądów i aktualizacji, ale także podjęcie natychmiastowej reakcji w przypadku konieczności ich zmiany np. z uwagi na zmianę ryzyka, postęp technologiczny itp.
Co ważne, administrator powinien być w stanie wykazać zgodność przyjętych środków z obowiązującymi zasadami oraz fakt ich bieżącego monitorowania!
Privacy by default, czyli domyślna ochrona danych osobowych.
Administrator powinien wybrać i wdrożyć ustawienia ochrony danych w taki sposób, aby domyślnie przetwarzać tylko te dane, które są ściśle niezbędne do osiągnięcia określonego, zgodnego z prawem celu. Powyższy obowiązek odnosi się do:
- ilości zbieranych danych osobowych,
- zakresu ich przetwarzania,
- okresu ich przechowywania oraz
- dostępności do danych osobowych.
Oznacza to, że domyślnie administrator danych nie powinien: (i) gromadzić większej liczby danych niż jest to niezbędne, (ii) przetwarzać zgromadzonych danych w zakresie większym niż jest to niezbędne do realizacji celów, ani (iii) przechowywać danych dłużej niż jest to niezbędne.
Tytułem przykładu, jeżeli administrator przetwarza dane osobowe użytkowników danej aplikacji, jej domyślne ustawienia powinny zakładać najdalej posunięte zabezpieczenia prywatności tego użytkownika. Ewentualne ograniczenie tych zabezpieczeń powinno wymagać jego wyraźnego działania.
Jakie środki ochrony danych należy wdrożyć?
Wg EROD – co do zasady dowolne. Przepisy RODO nie zawierają katalogu dopuszczalnych środków technicznych i organizacyjnych oraz zabezpieczeń, z których może skorzystać administrator.
Ważne, aby były one odpowiednie tj. dostosowane do osiągnięcia zamierzonego celu = muszą one skutecznie realizować zasady ochrony danych (co administrator powinien być w stanie wykazać).
W Wytycznych nr 4/2019 EROD podano następujące przykłady środków technicznych i organizacyjnych oraz zabezpieczeń służących ochronie danych osobowych:
- pseudonimizację danych osobowych;
- przechowywanie danych osobowych dostępnych w ustrukturyzowanym formacie, powszechnie nadającym się do odczytu maszynowego;
- umożliwienie osobom, których dane dotyczą ingerencji w przetwarzanie;
- dostarczanie informacji na temat przechowywania danych osobowych;
- dysponowanie systemami wykrywania złośliwego oprogramowania;
- szkolenie pracowników w zakresie podstawowej higieny pracy w cyberprzestrzeni;
- wdrażanie systemów zarządzania prywatnością i bezpieczeństwem informacji, zobowiązujących umownie podmioty przetwarzające do wdrożenia określonych praktyk w zakresie minimalizacji danych itp.
A co jeżeli korzystam z podmiotu przetwarzającego?
Jak podkreśla Prezes UODO, adresatami ww. obowiązków są wyłącznie administratorzy.
Jeżeli administrator powierzył przetwarzanie danych osobowych innemu podmiotowi na podstawie art. 28 RODO, jest on odpowiedzialny za realizację obowiązków w zakresie ochrony danych w fazie projektowania oraz domyślnej ochrony danych z tytułu przetwarzania danych przez jego podmioty przetwarzające i podmioty podprzetwarzające, chyba że co innego wprost zastrzeżono w umowie z tymi podmiotami.
Decyzje UODO dot. naruszenia art. 25 RODO.
- Krajowa Szkoła Sądownictwa i Prokuratury (decyzja)
KSSIP nie zastosowała odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej KSSIP, a tym samym niewłaściwe uwzględniła ryzyko związane ze zmianami w procesie przetwarzania.Naruszenie art. 25 RODO w zw. z naruszeniem art. 5 ust. 1 lit. f) oraz art. 32 ust. 1 i 2 RODO, sprowadzało się w tym przypadku do niepodjęcia wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności zaniechanie weryfikacji, czy we wskazanej przez KSSIP lokalizacji nadal znajduje się kopia bazy danych platformy szkoleniowej KSSIP.W konsekwencji PUODO nałożył na KSSIP karę pieniężną wysokości 100 tys. zł.
- U. spółka akcyjna (decyzja)
Spółka akcyjna dobrała nieskuteczne zabezpieczenia systemu informatycznego oraz nie dokonywała odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w swoich systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.Skutkiem ww. naruszenia było przełamanie zabezpieczeń systemu informatycznego spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych.Naruszenie art. 25 RODO uwidoczniło się w powyższej sprawie na etapie weryfikacji przez PUODO realizacji obowiązku stałego monitorowania stosowanych zabezpieczeń. Spółka korzystała bowiem z oprogramowania, dla którego nie były wydawane aktualizacje. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych PUODO stwierdził, że spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy użyciu ww. oprogramowania.Prezes UODO uznał, że w ustalonych okolicznościach wystarczającym środkiem jest udzielenie spółce upomnienia.
- ID Finance Poland Sp. z o.o. w likwidacji (decyzja)
ID Finance Poland dopuściło się naruszenia RODO poprzez niewdrożenie, zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.Skutkiem powyższego naruszenia było uzyskanie przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych.Naruszenie art. 25 RODO przez ID Finance Poland polegało m.in. na braku jakiejkolwiek weryfikacji dot. stosowanych zabezpieczeń ochrony danych osobowych w postaci haseł użytkowników serwisu moneyman.pl (serwis, z którego administrator pozyskiwał dane klientów). Hasła użytkowników były przechowywane otwartym tekstem i z uwagi na roboczy charakter tej funkcjonalności oraz dostęp ograniczonej liczby osób, baza ta nie została „zaszyfrowana”.PUODO wymierzył spółce łączną karę pieniężną w wysokości 1.069.850, 00 zł.
- Morele.net (decyzja)
PUODO wymierzyło spółce Morele.net karę pieniężną w wysokości 2.830.410 zł m.in. za naruszenie art. 25 RODO, które polegało na zaniechaniu podjęcia działań mających na celu ocenę doboru środków technicznych i organizacyjnych służących ochronie danych przez pryzmat adekwatności do ryzyk.Spółka, będąc w trakcie dostosowywania wewnętrznych procesów i procedur do RODO, przeprowadziła analizę ryzyka w sposób niesformalizowany, tj. nie posiadała wystarczających dowodów na jej przeprowadzenie. Dodatkowo wywiązywała się z tego obowiązku jedynie częściowo, weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu — na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów spółki. Natomiast dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są wymogiem wynikającym m.in. z art. 25 RODO.
Jak wysokiej kary należy się spodziewać?
Naruszenie powyższych obowiązków stanowi przesłankę do nałożenia niższej administracyjnej kary pieniężnej tj. w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Jaki z tego wniosek?
Planując jakiekolwiek przedsięwzięcie lub nowy proces, który może objąć przetwarzanie danych osobowych, dokładnie przeanalizuj i udokumentuj, w jaki sposób je zabezpieczysz oraz jakie środki techniczne i organizacyjne zastosujesz.
Możesz również rozważyć przeprowadzenie oceny skutków dla ochrony danych (data protection impact assessement).
Pamiętaj, aby nie gromadzić danych w nadmiarze (na zapas) i nie przetwarzać ich dłużej niż naprawdę tego potrzebujesz oraz co istotne – na bieżąco weryfikuj stosowane zabezpieczenia, środki techniczne i organizacyjne pod kątem tego, czy są one nadal aktualne i adekwatne.
Dziękujemy, że jesteś z nami i przeczytałeś do końca!
Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar.
Obiecujemy, że to nie koniec serii. Stay tuned!
Potrzebujesz pomocy w tym temacie?
Napisz do naszego eksperta
Artykuły z tej kategorii
Civilization VII – modele LLM odkrywają tajemnice tytułowego utworu
Civilization VII – modele LLM odkrywają tajemnice tytułowego utworuCzy potrafimy zadbać o bezpieczeństwo swoich danych w modelach LLM (AI) takich jak ChatGPT?
Czy potrafimy zadbać o bezpieczeństwo swoich danych w modelach LLM (AI) takich jak ChatGPT?Cyber Monday – jak nie dać się oszukać? Cyberbezpieczeństwo klientów e-commerce
Cyber Monday – jak nie dać się oszukać? Cyberbezpieczeństwo klientów e-commerceSuno AI. Szanse i zagrożenia muzyki generowanej przez AI z perspektywy prawnej
Suno AI. Szanse i zagrożenia muzyki generowanej przez AI z perspektywy prawnej