Skip to content 
Dariusz Rycek
RODO a EN 17529
Administratorzy danych muszą uwzględnić ochronę danych i prywatności na każdym etapie ich przetwarzania, w tym także tworzenia oraz istnienia technologii wykorzystywanej do tego. Większość firm zapewne ma już ten etap poza sobą korzystając z różnych źródeł wiedzy, czy też dobrych praktyk dostępnych na rynku. Napisano już o tym tyle artykułów i książek, omówiono w ramach tak wielu szkoleń, że wydaje się iż nie ma potrzeby dalej zgłębiać go, czy też powracać do niego.
A jednak jest taka przestrzeń i pojawiła się ona za sprawą wydania normy europejskiej, nie mylić z ISO, a mianowicie EN 17529:2022 – Data protection and privacy by design and by default (Ochrona danych i prywatności w fazie projektowania i domyślnie). Normę wydano w maju br., a jak śledzę tematykę RODO to widać, że przeszła bez echa. Nie będę tutaj rozkładał na drobne samego rozporządzenia i art. 25, bo to zrobili już prawnicy i eksperci, ale zasygnalizuję zakres normy i tematy podjęte w niej zasługujące na zainteresowanie, tym bardziej w części odnoszące się do powszechnie znanego standardu ISO 9001.
EN 17529 a ISO 9001
Wspomniana norma EN 17529 zapewnia twórcom komponentów i podsystemów wczesny sformalizowany proces identyfikacji celów i wymogów w zakresie ochrony prywatności, a także niezbędne wskazówki dotyczące powiązanej oceny. Zapewnia także wsparcie w zrozumieniu kaskadowej odpowiedzialności i zobowiązań producentów i dostawców usług (m.in. odniesienie do RODO i w stosownych przypadkach odniesienie do art. 25). Jej celem jest określenie wymogów dla producentów i/lub dostawców usług w zakresie wdrożenia ochrony danych i prywatności w fazie projektowania i domyślnie na wczesnym etapie rozwoju ich produktów i usług, tj. przed (lub niezależnie) od integracji konkretnych aplikacji, aby upewnić się, że są one jak najbardziej gotowe do ochrony prywatności w odniesieniu do przewidywanych rynków.
System zarządzania jakością ISO 9001 zapewnia ramy procesowe, dzięki którym produkty i usługi mogą uwzględniać ochronę danych i prywatności w fazie projektowania. W załączniku C EN 17529 pokazano, jak ISO 9001 może być interpretowane i rozszerzane do użytku w tej domenie, gdy jest to konieczne. Cele kontroli i wymagania zostały zaczerpnięte z RODO, które producent komponentów lub podsystemów oprogramowania lub dostawca usług cząstkowych może wybrać do uwzględnienia. Klauzule te mają zastosowanie na rynku B2B, ponieważ producenci integrujący te komponenty w większych systemach będą musieli zrozumieć ograniczenia i możliwości każdego komponentu, w ramach projektowania systemu. Ponadto, określono mechanizm deklaracji własnej, który może być stosowany przez producentów komponentów i dostawców usług jako część ich poświadczenia dla integratorów systemów o możliwościach, zabezpieczeniach i ograniczeniach danego komponentu lub usługi.
Zakres normy EN 17529
W przypadku niektórych celów przetwarzania i niektórych kategorii danych osobowych należy przeprowadzić ocenę skutków dla ochrony danych (DPIA) zgodnie z normą EN ISO/IEC 29134, a oprócz wymogów podanych w niniejszym dokumencie należy również spełnić plan przetwarzania wynikający z DPIA. Dokument ten jest przeznaczony dla producentów, dostawców, twórców oprogramowania i oprogramowania dostarczających produkty i usługi dla integratorów systemów, którzy sami zamierzają oferować produkty i usługi wykorzystywane przez administratorów danych i podmioty przetwarzające dane. Umożliwia on integratorom systemów wybór i właściwe wykorzystanie oferty dostawców i producentów podsystemów i komponentów podczas tworzenia systemów, które mogą mieć wymagania dotyczące ochrony danych.
Chociaż w normie zastosowano ramy opracowane przez CEN/CENELEC i ISO w celu poprawy zgodności między ich normami dotyczącymi systemów zarządzania, to sam dokument nie stanowi normy systemu zarządzania. Natomiast dokument ten wspiera organizację w dostosowaniu lub zintegrowaniu jej rozważań rozwojowych dotyczących ochrony danych z wymaganiami norm Systemu Zarządzania.
Załącznik C.1. „Wytyczne dotyczące ISO 9001” mówi, że wymagania normy ISO 9001:2015 wspominające bezpośrednio lub w sposób dorozumiany o jakości lub „wymaganiach dotyczących produktów i usług” powinny zostać rozszerzone o zrozumienie, że społeczeństwo obecnie w sposób dorozumiany oczekuje i żąda, aby możliwości i funkcjonalność w zakresie ochrony danych i prywatności były wszechobecne we wszystkich produktach i usługach, które przetwarzają dane osobowe. Załącznik pokazuje więc, w jaki sposób ISO 9001 może być interpretowane i rozszerzane do stosowania w tej dziedzinie, oczywiście tam gdzie jest to konieczne. W „UWADZE” do niego zapisano, że w praktyce, tam gdzie w ISO 9001:2015 użyto słowa „jakość”, stosuje się również „ochronę danych i prywatność w fazie projektowania i domyślnie”. Norma EN 15729 ma zastosowanie do wszystkich sektorów biznesowych, w tym do branży bezpieczeństwa – np. ISO/IEC 27001, ISO/IEC 27701.
Całą treść normy podzielono na kluczowe rozdziały, jak:
- 4. Przygotowanie podstaw dla ochrony danych i prywatności w fazie projektowania i domyślnej,
- 5. Rozwój produktów i usług z uwzględnieniem prywatności,
- 6. Wymagania dotyczące zdolności do ochrony danych w zakresie projektowania produktów i usług,
- 7. Wymogi do autodeklaracji projektu świadomego prywatności,
Załącznik A – Mapowanie stosowalności pomiędzy wymaganiami klauzuli 6 a perspektywami lub elementami, - Załącznik B – Podejście do specyfikacji (ujętej w normie),
- Załącznik C – Wytyczne dotyczące ISO 9001,
- Załącznik ZA – Związek między normą europejską a wymogami dotyczącymi ochrony danych w fazie projektowania i domyślnej, określonymi w rozporządzeniu UE 2016/679, które mają być objęte .
Zachęcamy do lektury.
Zapraszamy do współpracy
Zespół Centre of Excellence
Bibliografia:
1) EN 17529:2022 – Data protection and privacy by design and by default (https://www.cencenelec.eu/news-and-events/news/2022/eninthespotlight/2022-03-28-discover-new-en-17529-on-data-protection-and-privacy-by-design-and-by-default/)
2) ISO 9001:2015 – Quality Management Systems (Systemy zarządzania jakością – Wymagania) – https://www.iso.org/standard/62085.html