privacy by design

Privacy by design i privacy by default – praktyka IOD i art. 25 RODO

Privacy by design w praktyce - jak zbudować zgodność z art. 25 RODO już na etapie projektowania

Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Korzyści 
  1. Privacy by design i art. 25 RODO – zasada ochrony danych w fazie projektowania nakłada na administratora obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów, systemów i usług, a nie w późniejszym czasie, co bezpośrednio wynika z art. 25 RODO.
  2. Privacy by default i minimalizacja danych – domyślna ochrona prywatności wymaga, aby systemy przetwarzały jedynie dane osobowe niezbędne do konkretnego celu, ograniczały zakres, czas przechowywania i dostępność danych, co jest kluczowym elementem minimalizacji i zgodności z zasadami RODO.
  3. Administrator musi stosować zasadę privacy by design m.in. poprzez dobór odpowiednich środków technicznych i organizacyjnych (jak pseudonimizacja, minimalizacja danych, zarządzanie cyklem życia danych czy kontrola dostępu oparta na rolach), prowadzenie ocen skutków dla ochrony danych (DPIA) oraz budowanie świadomości pracowników. Brak prewencyjnego podejścia i niewdrożenie odpowiednich środków na etapie projektowania jest przez Prezesa UODO często wskazywany jako przyczyna późniejszych incydentów i stanowi okoliczność obciążającą przy wymiarze kary administracyjnej.
Privacy by Design w aplikacjach webowych – kluczowe zasady ochrony danych osobowych

Privacy by Design w aplikacjach webowych – kluczowe zasady ochrony danych osobowych

Stosowanie zasady privacy by design jest nieodzowne dla skutecznej ochrony danych osobowych w aplikacjach internetowych. Wytyczne UODO jednoznacznie wskazują, że wdrożenie odpowiednich zabezpieczeń już na etapie projektowania pozwala ograniczyć ryzyka oraz zapewnić pełną zgodność z RODO. Dowiedz się, jak właściwie chronić dane użytkowników, korzystając z rekomendacji oraz najlepszych praktyk bezpieczeństwa.

Korzyści 

  • Privacy by design wymaga projektowania zabezpieczeń już na etapie tworzenia aplikacji webowych – kluczowe są minimalizacja przetwarzania danych, ścisła kontrola uprawnień, silna autoryzacja, szyfrowanie i cykliczne audyty bezpieczeństwa.

  • Bieżąca identyfikacja podatności oraz regularne testy aplikacji pozwalają na eliminowanie zagrożeń tj. IDOR, SQL Injection, XSS oraz zapewniają zgodność z wytycznymi UODO i RODO w zakresie ochrony danych osobowych.

  • Wdrożenie tokenizacji danych, monitoringu incydentów, szyfrowania oraz uwzględnienie kosztów bezpieczeństwa w fazie projektowania to niezbędne kroki dla ochrony użytkowników i minimalizowania ryzyka naruszeń.

Zasada privacy by design – jakie obowiązki oznacza dla administratorów danych

Zasada privacy by design – jakie obowiązki oznacza dla administratorów danych

Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.

044a5e02fe57a649755eac5203f8ad1f46b4176a-xlarge (1)

Wyciek danych osobowych klientów firmy ubezpieczeniowej

Szwedzki organ nadzorczy ukarał ubezpieczyciela za doprowadzenie do wycieku danych osobowych około 650 tys. klientów. Wyciek był efektem braków w środkach bezpieczeństwach danych stosowanych przez firmę ubezpieczeniową. Te z kolei wynikały z nieprawidłowości, które zgodnie z regułą privacy by design można było usunąć jeszcze na etapie projektowania systemu informatycznego.

652bb77e2805481999584dd83e5bfa36589abf5d-xlarge (1)

Facebook i Instagram pod lupą irlandzkiego organu nadzorczego

Irlandzki organ nadzorczy wymierzył karę 265 mln euro w związku z nieprzestrzeganiem zasad privacy by design i privacy by default. Zarzuty te odnoszą się do narzędzi wykorzystywanych w ramach serwisów Facebook i Instagram.

aplikacja mobilna - kontrola UODO

Przetwarzasz dane w aplikacji mobilnej? Możesz spodziewać się kontroli

W tym roku warto zwrócić uwagę na bezpieczeństwo danych osobowych przy ich przetwarzaniu w aplikacji mobilnej. W styczniu Prezes UODO opublikował bowiem plan kontroli sektorowych na 2022 r. Wskazano w nim, że kontrolowane w tym roku będą w szczególności administratorzy przetwarzający dane osobowe przy użyciu aplikacji mobilnych np. do obsługi platform społecznościowych, e-commerce czy też komunikatory. Sprawdź, jak przygotować się do takiej kontroli.

Co może podlegać kontroli

Wprawdzie Prezes UODO w planie kontroli sektorowych na 2022 r. nie sprecyzował, jaki będzie zakres kontroli. Zaznaczył jedynie, że kontrole będą dotyczyć sposobów zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji mobilnych. Kontrole mogą zatem dotyczyć przetwarzania danych w aplikacjach dostępnych publicznie, ale nie tylko.

Przykład

Prezes UODO może wszcząć kontrolę przetwarzania danych w aplikacji opracowanej w danej organizacji jako firmowy komunikator. Kontroli będzie wówczas podlegała ochrona danych osobowych personelu administratora.

4 aspekty bezpiecznego korzystania z aplikacji mobilnych

Administrator powinien wdrażać zabezpieczenia w związku z przetwarzaniem danych w aplikacjach mobilnych przy uwzględnieniu:

  • stanu wiedzy technicznej,
  • kosztu wdrażania,
  • charakteru, zakresu, kontekstu i celów przetwarzania,
  • ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikającego z przetwarzania.

Istotne jest przede wszystkim zaplanowanie całego procesu przetwarzania danych i wzięcie go pod uwagę w trakcie wyboru i wdrażania zabezpieczeń, zarówno organizacyjnych, jak i technicznych. Wdrożenie odpowiednich środków pomoże nie tylko uniknąć kary wymierzanej przez Prezesa UODO. Oprócz tego kreuje obraz przedsiębiorcy, który dba o swoich klientów i któremu można bezpiecznie powierzyć swoje dane. Znamionuje odpowiedzialne i rzetelne prowadzenie biznesu.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakie kryteria stosować w doborze zabezpieczeń,
  • jak uwzględnić reguły privacy by design i privacy by default,
  • jak respektować zasadę minimalizmu,
  • na co zwrócić uwagę, gdy korzystanie z aplikacji mobilnej wiąże się z transferem danych do państw trzecich.

Podcast: privacy by design i by default

Zasady privacy by design (ochrona danych w fazie projektowania) i privacy by default (domyślna ochrona danych) - wyjaśniamy, na czym polegają i jak realizować je w praktyce.

(I) Privacy by design w pracy programisty

Privacy by design w pracy programisty

Klienci oczekują od producentów oprogramowania zapewnienia bezpieczeństwa danych osobowych przetwarzanych za pośrednictwem tych problemów. Gwarancje te powinny być zapewnione już na etapie tworzenia tego oprogramowania, a zatem obowiązki w tym zakresie spoczywają na zespole programistycznym. W szczególności twórcy danej aplikacji powinni wziąć pod uwagę kwestie związane z ryzykiem naruszenia bezpieczeństwa danych, a następnie wdrożyć odpowiednie zabezpieczenia, tak aby te ryzyka zminimalizować. Tego wymaga wynikająca z RODO zasada privacy by design.

Korzyści 

W temacie numeru wyjaśniamy:

  • Jakie wymogi powinna spełniać tworzona aplikacja,
  • Co należy ustalić na początku prac,
  • Jak przeprowadzić analizę ryzyka w związku z tworzonym oprogramowaniem,
  • Jakie zabezpieczenia można wdrożyć.
EROD o zasadzie privacy by design

EROD o zasadzie privacy by design

Podczas 40. posiedzenia Europejskiej Rady Ochrony Danych przyjęta została ostateczna wersja Wytycznych w sprawie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Jak włączyć privacy by design w realizację projektu - na przykładzie metodyki PMIBoK®

Jak włączyć privacy by design w realizację projektu - na przykładzie metodyki PMIBoK®

Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.

514d9ff702f96eca96871105c77f4d46d8e404f0-xlarge(1)

Privacy by design a DPIA

Pytanie:  Czy prawidłowe jest powiązanie koncepcji "Privacy by design" z oceną skutków przetwarzania danych osobowych (DPIA) w sytuacji wprowadzania nowego procesu biznesowego, w którym dane osobowe są przetwarzane (lub jego aktualizacji)?
Szkolenie personelu

UODO zaprasza na seminarium „Ochrona danych w fazie projektowania”

21 września 2018 r. w Warszawie odbędzie się organizowane przez Urząd Ochrony Danych Osobowych seminarium naukowe adresowane do programistów i twórców oprogramowania - „Ochrona danych w fazie projektowania - wymogi RODO w tworzeniu oprogramowania”. Zapisy nadal trwają.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x