Prezentacja dot. Privacy by Design na konferencji Urzędu Och

Prezentacja dot. Privacy by Design na konferencji Urzędu Ochrony Danych Osobowych

Na konferencji organizowanej przez Urząd Ochrony Danych Osobowych (UODO) zaprezentowałem temat dotyczący ochrony danych w fazie projektowania z perspektywy administratora danych.

Ochrona danych osobowych

5 lutego 2025

dr Piotr Siemieniak 8 min. czytania

Privacy by Design (PbD) to podejście, które wskazuje, że ochrona prywatności i danych osobowych powinna być brana pod uwagę już w pierwszych fazach projektowania systemów, procesów oraz usług. Koncepcja została opracowana w Kanadzie, a następnie została włączona do europejskiego porządku prawnego jako Data Protection by Design & Default (art. 25 RODO). W praktyce oznacza to, że każdy administrator danych ma obowiązek uwzględniać ochronę danych oraz bezpieczeństwo już w trakcie tworzenia nowych rozwiązań, a nie dopiero po ich wdrożeniu.

Wprowadzenie do idei Privacy by Design

Privacy by Design wywodzi się z prac dr Ann Cavoukian, która zaproponowała siedem prostych zasad. Ich wspólnym mianownikiem jest przekonanie, że skuteczna ochrona danych nie może być wyłącznie dodatkiem „na końcu”, ale raczej punktem startowym w całym cyklu życia produktu bądź usługi. W Unii Europejskiej ta filozofia została zauważona i włączona do przepisów RODO, co w praktyce wymusza na administratorach danych wdrożenie rozwiązań technicznych i organizacyjnych już od momentu koncepcji projektu.

Dlaczego Privacy by Design jest ważne?

W przestrzeni publicznej spotykamy się z licznymi mitami na temat prywatności, np. „Jeśli nie masz nic do ukrycia, nie masz się czego obawiać” bywa powtarzane niemal jak mantra. Jest to jednak błędne myślenie, które często prowadzi do degradacji praw i wolności obywateli. Dane osobowe gromadzone w nieprzemyślany sposób oraz nadmiarowe przetwarzanie informacji mogą skutkować realnymi zagrożeniami – od nadużyć marketingowych aż po naruszenia bezpieczeństwa czy kradzież tożsamości.

Właśnie dlatego art. 25 RODO wymaga uwzględnienia zasad ochrony danych od najwcześniejszych etapów tworzenia nowych procesów przetwarzania. Administrator danych ponosi odpowiedzialność za stosowanie adekwatnych środków technicznych, a także za rozwijanie procesów wewnętrznych, które wspierają ochronę danych osobowych.

Różnice między Privacy by Design a Data Protection by Design & Default

Warto zauważyć, że choć oba pojęcia są ściśle ze sobą powiązane, nie są one tożsame. Privacy by Design to szersza idea, swego rodzaju zestaw zasad czy dobrych praktyk, które można wdrażać w projektach. Data Protection by Design & Default natomiast to już prawnie uregulowany obowiązek, zakorzeniony w art. 25 RODO. Ten drugi nakłada wymóg zgodności na administratorów, co oznacza, że brak przestrzegania tych reguł może prowadzić do odpowiedzialności prawnej i kar administracyjnych.

Privacy Enhancing Technologies kontra Privacy Invading Technologies

W ramach Privacy by Design podkreśla się konieczność wyboru odpowiednich rozwiązań technologicznych. Privacy Enhancing Technologies (PET), takie jak szyfrowanie, pseudonimizacja czy anonimizacja, mają za zadanie wzmacniać prywatność i dawać użytkownikom kontrolę nad ich danymi. Istnieje jednak także kategoria Privacy Invading Technologies (PIT), które projektuje się wręcz w celu przechwytywania czy nadużywania informacji. Przykładem są tak zwane Dark Patterns – interfejsy stron czy aplikacji, które w sposób manipulacyjny wymuszają na użytkownikach określone zgody lub wyłudzają dane.

W praktyce odpowiedni dobór narzędzi i rozwiązań od samego początku może znacząco zredukować ryzyko naruszenia prywatności oraz konsekwencje prawne z tym związane. Tym samym właściwe zrozumienie i umiejętne wdrożenie technologii wspierających prywatność stanowi jeden z filarów skutecznej realizacji art. 25 RODO.

Kluczowe obowiązki wynikające z artykułu 25 RODO

Artykuł 25 RODO nie jest rozbudowany, ale ma daleko idące konsekwencje. Nakazuje on administratorom stosować odpowiednie środki techniczne i organizacyjne, które uwzględniają ryzyko naruszenia praw i wolności osób fizycznych. Te obowiązki mają charakter ciągły i dynamiczny. Nie można raz przeprowadzić analizy ryzyka czy audytu i uznać sprawy za zamkniętą – należy regularnie weryfikować, czy przyjęte rozwiązania nadal są adekwatne.

Dodatkowo podejście to wymaga interdyscyplinarnej wiedzy – z obszarów prawa, technologii i zarządzania. Wdrażając je, administrator powinien uwzględniać zarówno warstwy procesowe (procedury, regulaminy, instrukcje), jak i technologiczne (konfiguracje systemów, szyfrowanie, anonimizacja). Dopiero takie wieloaspektowe podejście daje realną szansę na budowanie organizacji, w której prywatność jest traktowana priorytetowo już na etapie projektowania.

Wyzwania i ograniczenia w praktyce

Choć wymóg prawny dot. ochrony danych w fazie projektowania wydaje się prosty, rzeczywistość pokazuje wiele trudności. Przepisy prawa dają sporo elastyczności, co z jednej strony bywa zaletą, ale z drugiej utrudnia administratorom pewną i jasną interpretację. Mechanizmy certyfikacji i kodeksy dobrych praktyk, które potencjalnie mogłyby pomóc w wykazywaniu rozliczalności, nie są w pełni rozwinięte i dostępne na szeroką skalę.

Dodatkowym problemem jest kwestia skali. Organizacje o większych zasobach i rozbudowanym dziale prawnym czy technicznym mają większe szanse na wdrożenie dobrych praktyk. Małe firmy i startupy często nie dysponują specjalistami, którzy potrafią skutecznie połączyć zagadnienia prawne z technologiami zapewniającymi wysoki poziom ochrony. To podnosi koszty i wydłuża czas potrzebny na przygotowanie zgodnych z RODO rozwiązań.

Wizja rozwoju i rekomendacje

Ochrona prywatności staje się coraz bardziej złożona, zwłaszcza w kontekście nowoczesnych technologii, takich jak sztuczna inteligencja. Dobrym rozwiązaniem byłoby rozszerzenie koncepcji „by Design” także na inne obszary, niekoniecznie ściśle związane z przetwarzaniem danych osobowych. Technologie IoT, inteligentne urządzenia czy „smart” zabawki potrafią wpływać na prywatność, nawet jeśli nie przetwarzają danych w oczywisty sposób.

Kluczowe znaczenie ma również edukacja. Wiele organizacji wciąż nie dysponuje wykwalifikowanymi ekspertami, którzy byliby w stanie przeprowadzić przez proces wdrożenia zasad ochrony danych w fazie projektowania wymaga wszystkich interesariuszy: prawników, inżynierów i menedżerów. Potrzebne są zatem szkolenia, konferencje i materiały pozwalające uporządkować wiedzę. Działania tego typu mogą przyczynić się do obniżenia barier wejścia dla mniejszych podmiotów i startupów, które przecież często wprowadzają na rynek nowatorskie produkty.

Podsumowanie

Data Protection by Design – czyli uwzględnianie ochrony danych już w fazie projektowania – jest wyzwaniem interdyscyplinarnym, które łączy w sobie wiedzę z zakresu prawa, inżynierii i zarządzania. Choć artykuł 25 RODO wydaje się zwięzły, wdrożenie jego założeń w praktyce wymaga rzetelnej analizy ryzyka, doboru właściwych środków technicznych i organizacyjnych oraz stałej weryfikacji, czy dotychczasowe zabezpieczenia są nadal aktualne.

Trudności wynikają zarówno z braku łatwo dostępnych mechanizmów certyfikacyjnych, jak i z niedoboru specjalistycznej wiedzy w obszarze łączenia prawa i technologii.

W dłuższej perspektywie regulacja dot. ochrony danych w fazie projektowania wpływa jednak pozytywnie na rozwój kultury ochrony danych, promuje etyczne projektowanie systemów i pomaga budować świadomość znaczenia prywatności w społeczeństwie cyfrowym. Aby jednak stała się ona standardem, konieczna jest dalsza praca nad edukacją, praktycznymi wytycznymi i wsparciem organizacji w dążeniu do pełnej zgodności z RODO już od pierwszych chwil tworzenia nowych rozwiązań.

Całe nagranie dostępne na YouTube: