Jak zapewnić RODO-zgodność?

RODO ustanowiło ścisłe zasady dotyczące sposobu, w jaki organizacje muszą podchodzić do przetwarzania danych osobowych. Jednym z kluczowych wymogów jest wdrożenie ochrony danych w fazie projektowania (privacy by design). Wymaga to wdrożenia podstawowych zasad ochrony danych, a także ochrony praw jednostki, a co za tym idzie zastosowania odpowiednich środków technicznych i organizacyjnych.

 

Rysunek 1. Podstawowe zasady ochrony danych osobowych

 

Oprogramowanie musi być zaprojektowane w taki sposób, aby:

  • nie gromadziło nadmiarowych danych osobowych, nieadekwatnych do celów przetwarzania
  • zebrane dane osobowe były poprawne
  • dane nie były przetwarzane w innych celach niż pierwotnie zakładane, jeżeli nie ma do tego podstawy prawnej (m.in. zgoda osoby, której dane dotyczą, wykonanie usługi, przepis prawa czy uzasadniony interes administratora danych)
  • po osiągnięciu tych celów dane zostały usunięte lub poddane anonimizacji

 

Rysunek 2. Ochrona praw jednostki

Projektując oprogramowanie, powinieneś zapewnić mechanizmy pozwalające na wykonywanie tych praw. Chodzi o to, aby zapewnić możliwość kontroli nad tym, jakie dane są przetwarzane, w jaki sposób się to odbywa, w jakich celach dane są przetwarzane, gdzie są przekazywane oraz kto ma do nich dostęp.

 

Kto odpowiada za RODO-zgodność aplikacji

 

Żeby prawidłowo zaprojektować aplikację pod kątem ochrony danych osobowych oraz sposobu realizacji praw podmiotów danych, niezbędne jest określenie szczegółowych wymagań.

Na wybór wymagań ma wpływ wiele elementów, jak: branża, świadczone usługi, zakres zbieranych danych i rodzaj opracowywanej aplikacji. To od nich zależy,  które przepisy będą obowiązywać przy tworzeniu konkretnego oprogramowania.  Przy przetwarzaniu danych osobowych nieodzowne jest RODO, ale kwestie dotyczące bezpieczeństwa danych wynikają także z wielu innych przepisów prawa, regulacji i standardów bezpieczeństwa. Przykładowo dla aplikacji mobilnych i webowych istotne znaczenie ma  dyrektywa 2002/58/WE o ochronie prywatności i komunikacji elektronicznej oraz mające ją wkrótce zastąpić rozporządzenie e-Privacy (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej). Są to również wytyczne sektorowe, jak np. Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach  w Polsce.

Na pewno zadajesz sobie teraz pytanie, kto odpowiada za określenie wymagań? Skąd masz wiedzieć, czy masz  podstawę do przetwarzania danych albo jak długo te dane przechowywać. Wreszcie – kiedy aplikacja powinna umożliwiać eksportowanie danych dla osoby, której dane dotyczą, a kiedy nie?

O tym, jaki jest cel zbierania danych, jakie to mają być dane i w jaki sposób mają być przetwarzane, decyduje administrator danych. To na nim spoczywa główna odpowiedzialność za bezpieczeństwo danych przetwarzanych w opracowywanym oprogramowaniu. Jeżeli tworzysz oprogramowanie na zamówienie klienta, to on musi zdecydować, które wymagania są odpowiednie dla jego działalności i dostarczyć je do Ciebie na liście kontrolnej wraz z pozostałą specyfikacją.

Choć RODO nie nakłada żadnych obowiązków na  dostawców oprogramowania, to  w praktyce klienci  oczekują, że dostarczone rozwiązanie będzie zaprojektowane wg privacy by design. Klient może nie posiadać dostatecznej wiedzy np. co do stopnia złożoności architektury aplikacji i powiązań z innymi systemami, funkcji opracowanych przez inne firmy. Może też nie mieć świadomości o potencjalnych danych osobowych ukrytych w aplikacji lub możliwych skutkach wykorzystania np. machine learning. Powinieneś więc być w stanie udzielić wszelkich niezbędnych informacji, które pomogą klientowi dokonać prawidłowej oceny ryzyka i wywiązać się z jego obowiązków wynikających z RODO.

Jeśli jednak proponujesz klientom gotowe rozwiązania, to musisz przemyśleć kwestie RODO za nich i wyposażyć aplikację w niezbędne zabezpieczenia i funkcje zapewniające ochronę danych osobowych. W tym przypadku to także klient, będący administratorem danych, będzie rozliczany z dostosowania się do RODO. Nie wróżymy więc sukcesu produktom  niezgodnym z RODO. W zapytaniach ofertowych na pewno będą pojawiać się pytania o wdrożone środki ochrony i wymagane funkcjonalności, takie jak możliwość usuwania danych.

Dla pocieszenia – jeśli tylko nie jesteś freelancerem, nie zostaniesz sam. RODO-zgodność to zadanie zespołowe, które musi być realizowane przez wszystkie strony zaangażowane w projekt , w tym klienta (wymagania), product ownerów, architektów (bezpieczna architektura), programistów (bezpieczne kodowanie) i testerów (testy bezpieczeństwa). Jeśli w Twojej organizacji wyznaczono inspektora danych osobowych, włącz go w prace nad rozwojem aplikacji!

W kolejnym wpisie bardziej szczegółowo przyjrzymy się obowiązkowi privacy by design, czyli konieczności zastosowania środków ochrony prywatności już w fazie projektowania procesu biznesowego, produktu, oprogramowania czy technologii.

Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.

Zostaw komentarz

Polecamy

Wychwycić najsłabsze ogniwa, czyli czym są testy penetracyjne

Wychwycić najsłabsze ogniwa, czyli czym są testy penetracyjne

Czym są testy penetracyjne? Jaki jest poziom świadomości zagrożenia cyberprzestępczością wśród organizacji? Przed jakimi niebezpieczeństwami pentesty mogą uchronić firmy, szczególnie w okresie wzmożonej aktywności grup hakerskich, jakim jest pandemia? O tych tematach rozmawialiśmy z Filipem z zespołu Cyber Security w Onwelo.

#Udostępnij

strzałka przewiń do góry strony