RODO ustanowiło ścisłe zasady dotyczące sposobu, w jaki organizacje muszą podchodzić do przetwarzania danych osobowych. Jednym z kluczowych wymogów jest wdrożenie ochrony danych w fazie projektowania (privacy by design). Wymaga to wdrożenia podstawowych zasad ochrony danych, a także ochrony praw jednostki, a co za tym idzie zastosowania odpowiednich środków technicznych i organizacyjnych.
Oprogramowanie musi być zaprojektowane w taki sposób, aby:
- nie gromadziło nadmiarowych danych osobowych, nieadekwatnych do celów przetwarzania
- zebrane dane osobowe były poprawne
- dane nie były przetwarzane w innych celach niż pierwotnie zakładane, jeżeli nie ma do tego podstawy prawnej (m.in. zgoda osoby, której dane dotyczą, wykonanie usługi, przepis prawa czy uzasadniony interes administratora danych)
- po osiągnięciu tych celów dane zostały usunięte lub poddane anonimizacji
Projektując oprogramowanie, powinieneś zapewnić mechanizmy pozwalające na wykonywanie tych praw. Chodzi o to, aby zapewnić możliwość kontroli nad tym, jakie dane są przetwarzane, w jaki sposób się to odbywa, w jakich celach dane są przetwarzane, gdzie są przekazywane oraz kto ma do nich dostęp.
Kto odpowiada za RODO-zgodność aplikacji
Żeby prawidłowo zaprojektować aplikację pod kątem ochrony danych osobowych oraz sposobu realizacji praw podmiotów danych, niezbędne jest określenie szczegółowych wymagań.
Na wybór wymagań ma wpływ wiele elementów, jak: branża, świadczone usługi, zakres zbieranych danych i rodzaj opracowywanej aplikacji. To od nich zależy, które przepisy będą obowiązywać przy tworzeniu konkretnego oprogramowania. Przy przetwarzaniu danych osobowych nieodzowne jest RODO, ale kwestie dotyczące bezpieczeństwa danych wynikają także z wielu innych przepisów prawa, regulacji i standardów bezpieczeństwa. Przykładowo dla aplikacji mobilnych i webowych istotne znaczenie ma dyrektywa 2002/58/WE o ochronie prywatności i komunikacji elektronicznej oraz mające ją wkrótce zastąpić rozporządzenie e-Privacy (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej). Są to również wytyczne sektorowe, jak np. Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach w Polsce.
Na pewno zadajesz sobie teraz pytanie, kto odpowiada za określenie wymagań? Skąd masz wiedzieć, czy masz podstawę do przetwarzania danych albo jak długo te dane przechowywać. Wreszcie – kiedy aplikacja powinna umożliwiać eksportowanie danych dla osoby, której dane dotyczą, a kiedy nie?
O tym, jaki jest cel zbierania danych, jakie to mają być dane i w jaki sposób mają być przetwarzane, decyduje administrator danych. To na nim spoczywa główna odpowiedzialność za bezpieczeństwo danych przetwarzanych w opracowywanym oprogramowaniu. Jeżeli tworzysz oprogramowanie na zamówienie klienta, to on musi zdecydować, które wymagania są odpowiednie dla jego działalności i dostarczyć je do Ciebie na liście kontrolnej wraz z pozostałą specyfikacją.
Choć RODO nie nakłada żadnych obowiązków na dostawców oprogramowania, to w praktyce klienci oczekują, że dostarczone rozwiązanie będzie zaprojektowane wg privacy by design. Klient może nie posiadać dostatecznej wiedzy np. co do stopnia złożoności architektury aplikacji i powiązań z innymi systemami, funkcji opracowanych przez inne firmy. Może też nie mieć świadomości o potencjalnych danych osobowych ukrytych w aplikacji lub możliwych skutkach wykorzystania np. machine learning. Powinieneś więc być w stanie udzielić wszelkich niezbędnych informacji, które pomogą klientowi dokonać prawidłowej oceny ryzyka i wywiązać się z jego obowiązków wynikających z RODO.
Jeśli jednak proponujesz klientom gotowe rozwiązania, to musisz przemyśleć kwestie RODO za nich i wyposażyć aplikację w niezbędne zabezpieczenia i funkcje zapewniające ochronę danych osobowych. W tym przypadku to także klient, będący administratorem danych, będzie rozliczany z dostosowania się do RODO. Nie wróżymy więc sukcesu produktom niezgodnym z RODO. W zapytaniach ofertowych na pewno będą pojawiać się pytania o wdrożone środki ochrony i wymagane funkcjonalności, takie jak możliwość usuwania danych.
Dla pocieszenia – jeśli tylko nie jesteś freelancerem, nie zostaniesz sam. RODO-zgodność to zadanie zespołowe, które musi być realizowane przez wszystkie strony zaangażowane w projekt , w tym klienta (wymagania), product ownerów, architektów (bezpieczna architektura), programistów (bezpieczne kodowanie) i testerów (testy bezpieczeństwa). Jeśli w Twojej organizacji wyznaczono inspektora danych osobowych, włącz go w prace nad rozwojem aplikacji!
W kolejnym wpisie bardziej szczegółowo przyjrzymy się obowiązkowi privacy by design, czyli konieczności zastosowania środków ochrony prywatności już w fazie projektowania procesu biznesowego, produktu, oprogramowania czy technologii.
Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.
Zostaw komentarz
Polecamy
Data & Analytics – architektura systemów jutra
Jaka jest historia inżynierii danych? Jak przebiegał rozwój technologii i na jakie trendy zwraca obecnie uwagę świat? Marek Kozioł, Data Solution Architect i Arkadiusz Zdanowski, Cloud Data Engineer & Team Leader w Onwelo opowiedzieli o tych zagadnieniach podczas konferencji „Transformacje cyfrowe dla biznesu”. Zapraszamy do lektury artykułu przygotowanego na bazie tego wystąpienia.
Kompleksowa realizacja infrastruktury cloud przy użyciu praktyk DevOps
Transformacja cyfrowa dla biznesu to zmiana sposobu myślenia o zarządzaniu i rozwijaniu systemów IT. Zapraszamy do lektury artykułu Pawła Kalarusa i Sebastiana Frankiewicza, którzy szerzej opisują temat zaprezentowany podczas marcowej konferencji Onwelo.
Czym jest brand hero i jak może pomóc marce?
Mały Głód, Serce i Rozum, ludzik Michelin – jako brand hero reprezentują oni swoje marki. W tym roku dołączył do nich Onwelek, nasz własny brand hero. Dowiedz się, czym jest brand hero, jakie pełni funkcje i jak przebiega jego kreacja!
Data & Analytics – architektura systemów jutra
Jaka jest historia inżynierii danych? Jak przebiegał rozwój technologii i na jakie trendy zwraca obecnie uwagę świat? Marek Kozioł, Data Solution Architect i Arkadiusz Zdanowski, Cloud Data Engineer & Team Leader w Onwelo opowiedzieli o tych zagadnieniach podczas konferencji „Transformacje cyfrowe dla biznesu”. Zapraszamy do lektury artykułu przygotowanego na bazie tego wystąpienia.
Kompleksowa realizacja infrastruktury cloud przy użyciu praktyk DevOps
Transformacja cyfrowa dla biznesu to zmiana sposobu myślenia o zarządzaniu i rozwijaniu systemów IT. Zapraszamy do lektury artykułu Pawła Kalarusa i Sebastiana Frankiewicza, którzy szerzej opisują temat zaprezentowany podczas marcowej konferencji Onwelo.