Privacy Impact Asessment – co to jest?
Każdy dom musi mieć solidne fundamenty i być wykonany zgodnie z obliczeniami architekta, budowlańców, osób zatwierdzających budowę etc. Jeśli pominie się szacunki, zaoszczędzi się na fundamentach bądź materiałach, które nie są zaprojektowane tak by wytrzymać określony nacisk/obciążenie to kwestią czasu będzie zawalenie się tego budynku.
Tak samo jest z e-usługami, których model biznesowy zakłada dostarczanie usług osobom fizycznym, przetwarzanie ich danych osobowych i siłą rzeczy także innych informacji na ich temat. Na nic zda się cudowny plan, dobrze wykonany marketing i osiągi finansowe gdy nie ma przeprowadzonego compliance (pol. ocena zgodności/ szacowanie ryzyka prawnego) z zakresu ochrony danych osobowych, świadczenia usług drogą elektroniczną i ochrony prywatności. Prędzej czy później biznes ten zacznie mówiąc wprost „kuleć” na skutek wizytacji regulatorów – GIODO, UOKiK, UKE …
PIA jest procesem, który pomaga w szacowaniu ryzyka prywatności/ ochrony danych osobowych użytkowników/usługobiorców/klientów Twoich usług. Procesem pomagającym przy gromadzeniu, wykorzystywaniu, ujawnianiu informacji, identyfikowaniu zagrożeń prywatności, przewidywaniu problemów i przedstawieniu rekomendacji. Procesem, który jest aktualnie przykładem dobrej praktyki, z której korzystają firmy myślące dalekowzrocznie. Procesem mało spójnym bo każdy ma tak naprawdę własną praktykę w obszarze jego przeprowadzania.
Osobiście i ja mam swoje zasady, wedle których przeprowadzam go dla moich klientów razem z compliance ochrony danych osobowych projektu. I powiem Tobie, że najlepiej jest go przeprowadzać jeszcze w fazie beta projektu serwisu/aplikacji, gdyż wtedy jest najwięcej możliwości do modyfikacji i zaoszczędzenia pieniędzy, które można wydać na co innego.
PIA i inne zagadnienia …
Ocena wpływu na prywatność wiąże się ściśle z:
– Privacy by Default (ochrona prywatności jako ustawienie podstawowe/ zasadnicze/ wyjściowe);
– Information Life-cycle (cykl życia informacji).
PIA stanowi także uzupełnienie Privacy by Design czyli uwzględnienia ochrony prywatności na etapie projektowania aplikacji/ strony usługowej etc. O tym czym jest Privacy by Design podobnie jak by Default więcej pisałam tutaj
Dlaczego ochrona prywatności jest taka ważna?
Jak mawia klasyk „Prywatność w sieci nie istnieje”, a ja dodam do tego „Na danych, w tym danych osobowych buduje się biznes”. Wszak nie ma biznesu bez marketingu, a nawet niekiedy model biznesowy oparty jest na analizie danych czyli obracaniu danymi. Pokuszę się zatem o stwierdzenie, że to jest cały sektor gospodarki, który jest sukcesywnie zagospodarowywany. Na tym rynku trzeba jednak umieć się poruszać bo może się on okazać bronią obosieczną dla przedsiębiorcy.
Cieszę się, że wreszcie przebiły się głosy, które uświadomiły Komisji Europejskiej pod przewodnictwem Irlandii, że wypełnianie wniosków rejestracyjnych i trzymanie niby porządku w papierach na nic się zda podczas gdy systemy informatyczne są dziurawe, niezabezpieczone, a same witryny usługodawców nie zapewniają gwarancji bezpieczeństwa – wszak ile e-sklepów/ e-usługodawców nie zabezpiecza np. komunikacji na linii klient-serwer?.
Ostatnio jeden z moich czytelników bloga powiedział mi o praktyce jednego z dużych serwisów aukcyjnych w Polsce, który nie widzi w tym problemu, że panel administracyjny użytkownika w większości nie jest szyfrowany co oznacza, że każdy kto posiada odpowiednie narzędzia (np. program, który pobierze za darmo z Internetu) może dowiedzieć się co dokładnie kupował dany użytkownik w serwisie. Czy czułbyś się w takim serwisie bezpiecznie?
Cóż nam zatem po pięknie wyglądających papierach i witrynach www skoro panuje nieład w zakresie zarządzania informacją, jej obiegiem i bezpieczeństwem teleinformatycznym? No właśnie nic! Ten biznes prędzej czy później zacznie dogorywać, gdyż atutem konkurencji stanie się zaufanie użytkownika i najwyższe standardy dbałości o dobro klienta, które przy dużej ilości usług podobnego typu staną się wiodącym kryterium wyboru.
Nie odkładaj tematu bezpieczeństwa na dalszy plan bo może się ono okazać Twoją największą słabością.
Privacy Impact Assesment – obowiązek
W polskim porządku prawnym najwyższy rangą akt prawny jakim jest Konstytucja stanowi w art. 47, że każdy ma prawo do ochrony życia prywatnego , rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Zgodnie z art. 51 Konstytucji
Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
1. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
2. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
3. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
4. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
W ustawach, rozporządzeniach i innych aktach prawnych próżno szukać wzmianki na temat PIA (co innego w tzw. miękkich regulacjach). Na dzień dzisiejszy PIA jest jednym z wielu elementów samoregulacji, swoistą dobrą praktyką stosowną z powodzeniem na całym świecie. Wszystko wskazuje jednak na to, że do końca 2014r. jest szansa, ażeby zarówno te większe jak i mniejsze firmy zwróciły swoje oczy w kierunku ochrony prywatności – pod postacią szacowania ryzyka prywatności przy wdrażaniu nowych projektów kierowanych na rynek unijny o szczególnym ryzyku ze względu na swój charakter, zakres lub cele.
Dlaczego?
Oczywiście za sprawą projektu rozporządzenia ogólnego oraz nowego projektu dyrektywy, w którym to PIA podobnie jak Privacy by Design czy Default są ustanowione jako element obligatoryjny nie zaś dobra praktyka. Osobiście bardzo się cieszę, że zdecydowano się na takie rozwiązanie, gdyż nakładając ten obowiązek jak i inne zdejmowany jest taki, który nie ma żadnego związku z bezpieczeństwem użytkowników – czyli obowiązek rejestracji zbiorów.
Zgodnie z art. 33.1 proponowanego jednolitego rozporządzenia unijnego dotyczącego ochrony danych osobowych:
Jeśli operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów, administrator lub podmiot przetwarzający przeprowadzają w imieniu administratora danych ocenę skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych.
Szczególne ryzyko zdaniem Komisji Europejskie stwarzają:
2. Szczególne ryzyko, o którym mowa w ust. 1, stwarzaj ą w szczególności następujące operacje przetwarzania:
a) systematyczna i kompleksowa ocena aspektów osobowych osoby fizycznej bądź operacje przetwarzania mające na celu analizę lub przewidzenie w szczególności sytuacji ekonomicznej, miejsca pobytu, stanu zdrowia, preferencji osobistych, wiarygodności lub zachowania osoby fizycznej, która opiera się na automatycznym przetwarzaniu, i na której opierają się środki, które wywołują skutki prawne dotyczące danej osoby lub mającej na nią istotny wpływ.
b) przetwarzanie informacji na temat życia seksualnego, stanu zdrowia, rasy i pochodzenia etnicznego oraz świadczenia usług opieki zdrowotnej, badań epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę środków lub decyzji dotyczących konkretnych osób;
c) monitorowanie publicznie dostępnych miejsc, zwłaszcza przy wykorzystaniu urządzeń optyczno-elektronicznych (wideonadzór) na szeroką skalę.
d) przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących dzieci, danych genetycznych lub biometrycznych.
e) inne operacje przetwarzania, które na mocy art. 34.2 lit.b) wymagają konsultacji z organem nadzorczym
PIA – jak mierzyć?
PIA jako element obligatoryjny ma dotyczyć oceny przewidywanych mechanizmów ochrony, wyboru środków służących do jej realizacji czyli zabezpieczeń, które muszą być zgodne z wymaganiami prawa europejskiego. Ocena ta zatem musi zostać przeprowadzona już na etapie projektowania.
Ocena ta ma być co do zasady jawna co rodzi konsekwencje w zakresie jednolitości przyjętej metodologii dla regulatora. Aktualnie trwają prace nad projektem systemu oceny, a właściwie jej szablonem. Jest on opracowywany przez różne środowiska. Ja także mam przyjemność uczestniczyć w tym procesie i wspólnie z członkami ISSA Polska zaangażowanymi w projekt MŚP rozważamy rekomendacje w tym obszarze.
Jeżeli jesteś przedsiębiorcą małego, średniego, a także dużego przedsiębiorstwa zachęcam do kontaktu.
Autor grafiki promującej wpis: Ruban Khalid