RODO – implementacja rozporządzenia
Privacy by default, privacy by design
W tym miejscu można przejść do kolejnej zasady wyartykułowanej w rozporządzeniu, a mianowicie privacy by default. Oznacza ona, że ochrona danych prywatnych powinna być niejako w założeniu każdego procesu przetwarzania danych osobowych, bez konieczności oglądania się na jakiekolwiek szczegółowe czy dodatkowe wymagania formalne. Nie można projektować procesów przetwarzania danych osobowych, bazując na znanej skądinąd zasadzie: „co nie jest zabronione, jest dozwolone”. Dlatego też, projektując np. formularz, na którym pacjent przekazuje swoje dane osobowe, należy uwzględnić absolutnie minimalny zakres danych, niezbędny dla prawidłowego przebiegu procesu leczenia. Nie znajduje więc uzasadnienia spotykana czasem praktyka żądania podania np. nazwiska panieńskiego matki. Takie działanie może być uznane za naruszenie wspomnianej zasady privacy by default i być podstawą do wkroczenia organu nadzoru, a w konsekwencji ewentualnych dalszych sankcji.
Dalej idącą i trudniejszą w realizacji jest zasada określona jako privacy by design. Wymaga ona, aby już w fazie projektowania całego procesu przetwarzania danych, włączając w to dobór technologii, środków technicznych i organizacyjnych uwzględniać bezpieczeństwo przetwarzania danych osobowych. To samo dotyczy planowania procesu przetwarzania i ewentualnie przekazywania danych osobowych. Co bardzo istotne, trzeba będzie udokumentować cały ten proces. Ma tu zastosowanie kolejna zasada określana jako accountability – czyli „rozliczalność”. Przede wszystkim trzeba umieć wskazać właściwą podstawę prawną do procesu przetwarzania konkretnych danych osobowych oraz przypisać jednoznacznie odpowiedzialność za każdą fazę tego procesu osobom, które są uprawnione do przetwarzania tej kategorii danych.
Komentarze
Mogą zainteresować Cię również
Czytaj najciekawsze teksty branżowe
Dołącz do odbiorców newslettera!
Czytaj najciekawsze teksty branżowe
Dołącz do odbiorców newslettera!
