RODO ustanowiło ścisłe zasady dotyczące sposobu, w jaki organizacje muszą podchodzić do przetwarzania danych osobowych. Jednym z kluczowych wymogów jest wdrożenie ochrony danych w fazie projektowania (privacy by design). Wymaga to wdrożenia podstawowych zasad ochrony danych, a także ochrony praw jednostki, a co za tym idzie zastosowania odpowiednich środków technicznych i organizacyjnych.

Rysunek 1. Podstawowe zasady ochrony danych osobowych

Oprogramowanie musi być zaprojektowane w taki sposób, aby:

• nie gromadziło nadmiarowych danych osobowych, nieadekwatnych do celów przetwarzania
• zebrane dane osobowe były poprawne
• dane nie były przetwarzane w innych celach niż pierwotnie zakładane, jeżeli nie ma do tego podstawy prawnej (m.in. zgoda osoby, której dane dotyczą, wykonanie usługi, przepis prawa czy uzasadniony interes administratora danych)
• po osiągnięciu tych celów dane zostały usunięte lub poddane anonimizacji

Rysunek 2. Ochrona praw jednostki

Projektując oprogramowanie, powinieneś zapewnić mechanizmy pozwalające na wykonywanie tych praw. Chodzi o to, aby zapewnić możliwość kontroli nad tym, jakie dane są przetwarzane, w jaki sposób się to odbywa, w jakich celach dane są przetwarzane, gdzie są przekazywane oraz kto ma do nich dostęp.

Kto odpowiada za RODO-zgodność aplikacji

Żeby prawidłowo zaprojektować aplikację pod kątem ochrony danych osobowych oraz sposobu realizacji praw podmiotów danych, niezbędne jest określenie szczegółowych wymagań.

Na wybór wymagań ma wpływ wiele elementów, jak: branża, świadczone usługi, zakres zbieranych danych i rodzaj opracowywanej aplikacji. To od nich zależy,  które przepisy będą obowiązywać przy tworzeniu konkretnego oprogramowania.  Przy przetwarzaniu danych osobowych nieodzowne jest RODO, ale kwestie dotyczące bezpieczeństwa danych wynikają także z wielu innych przepisów prawa, regulacji i standardów bezpieczeństwa. Przykładowo dla aplikacji mobilnych i webowych istotne znaczenie ma  dyrektywa 2002/58/WE o ochronie prywatności i komunikacji elektronicznej oraz mające ją wkrótce zastąpić rozporządzenie e-Privacy (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej). Są to również wytyczne sektorowe, jak np. Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach  w Polsce.

Na pewno zadajesz sobie teraz pytanie, kto odpowiada za określenie wymagań? Skąd masz wiedzieć, czy masz  podstawę do przetwarzania danych albo jak długo te dane przechowywać. Wreszcie – kiedy aplikacja powinna umożliwiać eksportowanie danych dla osoby, której dane dotyczą, a kiedy nie?

O tym, jaki jest cel zbierania danych, jakie to mają być dane i w jaki sposób mają być przetwarzane, decyduje administrator danych. To na nim spoczywa główna odpowiedzialność za bezpieczeństwo danych przetwarzanych w opracowywanym oprogramowaniu. Jeżeli tworzysz oprogramowanie na zamówienie klienta, to on musi zdecydować, które wymagania są odpowiednie dla jego działalności i dostarczyć je do Ciebie na liście kontrolnej wraz z pozostałą specyfikacją.

Choć RODO nie nakłada żadnych obowiązków na  dostawców oprogramowania, to  w praktyce klienci  oczekują, że dostarczone rozwiązanie będzie zaprojektowane wg privacy by design. Klient może nie posiadać dostatecznej wiedzy np. co do stopnia złożoności architektury aplikacji i powiązań z innymi systemami, funkcji opracowanych przez inne firmy. Może też nie mieć świadomości o potencjalnych danych osobowych ukrytych w aplikacji lub możliwych skutkach wykorzystania np. machine learning. Powinieneś więc być w stanie udzielić wszelkich niezbędnych informacji, które pomogą klientowi dokonać prawidłowej oceny ryzyka i wywiązać się z jego obowiązków wynikających z RODO.

Jeśli jednak proponujesz klientom gotowe rozwiązania, to musisz przemyśleć kwestie RODO za nich i wyposażyć aplikację w niezbędne zabezpieczenia i funkcje zapewniające ochronę danych osobowych. W tym przypadku to także klient, będący administratorem danych, będzie rozliczany z dostosowania się do RODO. Nie wróżymy więc sukcesu produktom  niezgodnym z RODO. W zapytaniach ofertowych na pewno będą pojawiać się pytania o wdrożone środki ochrony i wymagane funkcjonalności, takie jak możliwość usuwania danych.

Dla pocieszenia – jeśli tylko nie jesteś freelancerem, nie zostaniesz sam. RODO-zgodność to zadanie zespołowe, które musi być realizowane przez wszystkie strony zaangażowane w projekt , w tym klienta (wymagania), product ownerów, architektów (bezpieczna architektura), programistów (bezpieczne kodowanie) i testerów (testy bezpieczeństwa). Jeśli w Twojej organizacji wyznaczono inspektora danych osobowych, włącz go w prace nad rozwojem aplikacji!

W kolejnym wpisie bardziej szczegółowo przyjrzymy się obowiązkowi privacy by design, czyli konieczności zastosowania środków ochrony prywatności już w fazie projektowania procesu biznesowego, produktu, oprogramowania czy technologii.

Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.