Uwzględniane ochrony danych już w fazie projektowania (privacy by design) – opiera się na założeniu ochrony proaktywnej i prewencyjnej. Stanowi to odejście od modelu ochrony reaktywnej i zaradczej na rzecz ochrony prywatności od początku do końca życia cyklu informacji, a także transparentności i przejrzystości. Zakłada się, że ochrona będzie stale monitorowana i w razie potrzeby poprawiana.
Posiłkowo można opierać się na wypracowanych 7 zasadach:

• podejściu proaktywnym, nie reaktywnym i zaradczym, nie naprawczym;
• prywatności jako ustawieniu domyślnym;
• prywatności włączonej w projekt;
• pełnej funkcjonalności rozumianej jako suma dodatnia, nie suma zerowa;
• ochronie od początku do końca cyklu życia informacji;
• transparentności i przejrzystości;
• poszanowaniu dla prywatności użytkowników.

Wykorzystanie środków gwarantujących domyślne przetwarzanie wyłącznie tych danych, które są niezbędne do osiągnięcia konkretnych celów przetwarzania (privacy by default).

Na administratora nałożony jest obowiązek prowadzenia rejestru czynności przetwarzania, za które są odpowiedzialni. Rejestr może być prowadzony w formie papierowej lub elektronicznej.
Elementy, które powinny znaleźć się w rejestrze (niezbędne minimum):

• imię i nazwisko (nazwa), dane kontaktowe administratora, współadministratorów, gdy ma zastosowanie: przedstawiciela administratora i inspektora ochrony danych (zaleca się podanie więcej niż jednej danej kontaktowej);
• cele przetwarzania;
• opis kategorii osób, np. podmioty świadczące usługi IT, księgowo-kadrowe, przewoźnicy;
• opis kategorii danych osobowych;
• kategorie odbiorców danych, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej
• jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych – w wielu bowiem przypadkach wskazanie nawet planowanych terminów usunięcia nie jest możliwie lub jest co najmniej znacznie utrudnione;
• jeżeli jest to możliwe – ogólny opis technologicznych, organizacyjnych środków bezpieczeństwa.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wywiązywanie się z obowiązków można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.
Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je PUODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego PUODO po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Zgłoszenie musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić PUODO weryfikowanie przestrzegania tego obowiązku.

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zawiadomienie jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki.
Zawiadomienie nie jest wymagane, w następujących przypadkach:

• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, PUODO – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków wyłączający ten obowiązek.

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.
Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Ocena zawiera co najmniej:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania.
Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z PUODO.

Umowa powierzenia przetwarzania danych jako element wtórny nie powinna być traktowana jako kryterium istnienia powierzenia, ponieważ to nie umowa kreuje de facto powierzenie.
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Umowa lub inny instrument prawny mają, zgodnie z art. 28 ust. 9 RODO, formę pisemną, w tym formę elektroniczną, ale w komentarzach wskazuje się, że pojęcie to należy interpretować w myśl przepisów unijnych, a zatem obejmuje to także formę tekstową czy dokumentową.
W treści dokumentu będącego podstawą powierzenia danych powinny się znaleźć zapisy, iż podmiot przetwarzający:

• przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
• zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
• podejmuje wszelkie środki wymagane na mocy art. 32 RODO;
• przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, tj.:


• nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian;
• zapewnia, iż na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym;




• biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
• uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;
• po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
• udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W ramach takich ustaleń strony mogą uzgodnić także m.in. kwestie związane z:

• przedmiotem przetwarzania – opis samego przedmiotu umowy, czyli poszczególnych operacji na danych i wyjaśnienie, czy mają one charakter samoistny, czy wtórny, subsydiarny do określonych usług przetwarzania;
• czasem trwania przetwarzania, nawet jeżeli mówimy o czynności jednorazowej;
• charakterem i celem przetwarzania;
• rodzajem danych osobowych;
• kategoriami osób, których dane dotyczą;
• naruszeniami – czasem, w którym procesor ma poinformować o naruszeniu w przypadku dostrzeżenia przez podmiot przetwarzający naruszenia ochrony danych osobowych i ustaleniem rozkładu odpowiedzialności w relacjach wewnętrznych pomiędzy administratorem a podmiotem przetwarzającym;
• zastrzeżeniem kar umownych w przypadku naruszenia przez podmiot przetwarzający postanowień umowy;
• wprowadzeniem szczegółowych zasad prowadzenia audytów lub inspekcji przez administratora;
• skutecznością i mocą wiążącą zaleceń wydawanych w toku prowadzonych audytów lub inspekcji;
• wspieraniem administratora w przypadku kontroli przestrzegania przepisów RODO;
• zasadami współpracy z inspektorem ochrony danych powołanym po stronie podmiotu przetwarzającego;
• wynagrodzeniem z tytułu przetwarzania danych w imieniu administratora;
• możliwymi sposobami zakończenia współpracy;
• stosownymi obostrzeniami lub konkretnymi rozstrzygnięciami w zakresie obligatoryjnych środków technicznych i organizacyjnych, których zastosowania żąda administrator;
• ustaleniem prawa właściwego w relacjach transgranicznych.

Wystarczające gwarancje podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.
Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny mogą się opierać w całości lub w części na standardowych klauzulach umownych, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu.
Jeżeli podmiot przetwarzający naruszy RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.