Skip to main content

Privacy by Design i Privacy by Default przy tworzeniu oprogramowania

24 kwiecień 2025

W kontekście RODO szczególnie często pojawiają się dwa określenia – „Privacy by Design” oraz „Privacy by Default”. Wyznaczają one niejako obowiązki administratora danych, a także bezpośrednio wpływają na to, czy – i w jakim zakresie – przetwarzane będą dane osobowe użytkowników oprogramowania. Jak w praktyce należy rozumieć projektowanie software’u według filozofii Privacy by Design i Privacy by Default?

Spis treści

Czego dowiesz się z tego artykułu:

  • Zasady Privacy by Design i by Default powinny wytyczać kierunek rozwoju każdego oprogramowania.
  • Do procesu tworzenia aplikacji warto zaangażować prawnika, który zadba o compliance z RODO już od samego początku.
  • Administrator ma obowiązek wykazać zasadę rozliczalności w razie kontroli, dlatego właściwa ochrona danych osobowych jest niezwykle istotna dla zarządzania ryzykiem.

Zamów wzory umów IT!

  • Umowa na wdrożenie systemu informatycznego [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Umowa na wdrożenie systemu informatycznego [PL/EN]

    599,00 799,00  (z VAT)
  • Promocja!
    Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]

    1199,00 1999,00  (z VAT)

    Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 .

Na czym polega Privacy by Design?

Koncepcja Privacy by Design przewiduje implementację mechanizmów ochrony danych osobowych bezpośrednio na etapie projektowania architektury aplikacji, procesów i produktów. Takie proaktywne podejście zakłada, że prywatność użytkowników powinna być jednym z priorytetów o kluczowym znaczeniu. Nie może być więc tak, że dostawca oprogramowania w pierwszej kolejności udostępnia software odbiorcom, a dopiero następnie zaczyna poszukiwać sposobów, np. poprzez opracowywanie patchy i aktualizacji, które zwiększą bezpieczeństwo danych osobowych.

Projektowanie oprogramowania z zachowaniem zasady Privacy by Default wymaga przewidzenia potrzeb odbiorcy w zakresie ochrony prywatności, ale też analizy praktyk regulacyjnych.

Co wynika z Privacy by Design?

Prywatność na etapie projektowania wymaga, aby twórca aplikacji dokonał oceny tego, w jaki sposób oprogramowanie może zostać wykorzystane zgodnie z art. 25 RODO, z uwzględnieniem:

  • aktualnego stanu wiedzy technicznej,
  • ryzyka naruszenia praw osób, których dane dotyczą,
  • zakresu, charakteru, kontekstu i celu przetwarzania,
  • kosztów wdrożenia.

Wynik oceny skutków dla ochrony danych powinna być przeanalizowana z inspektorem ochrony danych, jeżeli został on wyznaczony. To konkretne obowiązki, które wymagają wygospodarowania budżetu organizacji. Zgodnie z orzecznictwem administrator danych nie może odstąpić od swoich obowiązków lub zaniechać wdrożenia odpowiednich zabezpieczeń tylko dlatego, że są to rozwiązania kosztowne.

Działania Privacy by Design nie mają charakteru jednorazowego. Aby zapewnić zgodność ze zmieniającym się krajobrazem legislacyjnym, należy regularnie audytować i usprawniać wdrożone rozwiązania tak, aby odpowiadały one aktualnym normom i wytycznym.

Czym jest Privacy by Default?

O ile Privacy by Design zakłada aktywne działania administratora danych osobowych, Privacy by Default jest swego rodzaju standardem wyznaczonym przez unijne przepisy. Główne zasady dotyczące przetwarzania danych osobowych zostały wyartykułowane w art. 5 RODO i obejmują one:

  • zgodność z prawem, rzetelność i przejrzystość przetwarzania danych osobowych,
  • ograniczenie celu i zakresu przetwarzania danych osobowych,
  • przechowywanie wyłącznie prawidłowych danych albo ich usunięcie lub aktualizację,
  • ograniczenie czasowe retencji danych osobowych,
  • integralność i poufność danych osobowych.

Przekładając treść RODO na praktykę, należy stwierdzić, że zadaniem każdego administratora danych osobowych jest opracowanie procesu lub produktu tak, aby spełniał on już od samego początku domyślny standard ochrony danych osobowych. Ten standard można podwyższyć, natomiast nie można go obniżyć poza sytuacjami wskazanymi wprost w przepisach RODO. W przeciwnym razie administrator bierze na siebie ryzyko braku możliwości wykazania zasady rozliczalności, a co za tym idzie, wysokich kar finansowych.

Z założenia Privacy by Default wynika także, że dane oprogramowanie należy skonfigurować tak, aby domyślnie wszystkie ustawienia dotyczące prywatności były włączone. Użytkownik powinien móc je wyłączyć, ale tylko na własne żądanie.

Sprawdź również: RODO w branży IT – jak uniknąć błędów i ryzyka prawnego?

Jak wdrożyć Privacy by Design i Privacy by Default w software house’ach?

Implementacja zasad zdefiniowanych przez RODO wymaga indywidualnego podejścia. Trzeba dobrze poznać oprogramowanie, aby móc zapewnić odpowiednio wysoki poziom ochrony, które ono gwarantuje. Dlatego ważne jest zaangażowanie prawnika, który pozna kierunek, w jakim zmierza aplikacja. Warto przy tym dokonać rozróżnienia na metodyki Agile, gdzie z reguły wystarczająca będzie okresowa walidacja postępów oraz Waterfall, kiedy analiza powinna być dokonana od razu w stosunku do całej dokumentacji. Na co warto zwrócić szczególną uwagę przy projektowaniu aplikacji?

  • Skąd biorą się dane w oprogramowaniu, jaki jest ich charakter i czy są one przetwarzane zgodnie z prawem,
  • czy przetwarzanie danych osobowych jest niezbędne dla działania systemu,
  • jak długo dane osobowe będą archiwizowane i kto ma do nich dostęp,
  • czy dane osobowe zostały należycie zabezpieczone,
  • gdzie znajdują się serwery, na których są zapisywane dane osobowe,
  • czy można ustalić kto, kiedy i w jakim zakresie modyfikował dane osobowe.

Pamiętaj, że zapewnienie zgodności z prawem projektowanego oprogramowania to nie tylko legal compliance. Jeżeli w trakcie procesu produkcyjnego – lub – co gorsza – po jego zakończeniu – okaże się, że aplikacja nie spełnia wymagań formalnych, trzeba będzie ją przebudować. Tego typu interwencje mogą być czasochłonne i kosztowne. Pamiętaj też, że projektowanie prywatności jest potrzebne za każdym razem, kiedy firma realizuje działania mogące mieć wpływ na przetwarzanie danych użytkowników, jak np. dodanie nowej funkcjonalności w aplikacji SaaS.

Sprawdź również: Metodyki projektowe – Agile vs. Waterfall

Kancelaria After Legal to zespół radców prawnych i adwokatów, którzy wspierają firmy IT i software house’y zajmujące się projektowaniem oprogramowania, również w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego doradztwa prawnego.

Od ponad dekady współpracujemy w software house’ami i firmami IT, doradzając w bieżących problemach biznesowych, tworząc wymaganą dokumentację i przeprowadzając audyty zgodności z RODO. Skontaktuj się z nami i sprawdź, jak możemy Ci pomóc!

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!



    Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.

    Łukasz Kulicki

    O autorze: Łukasz Kulicki

    Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    Close Menu
    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy