Oprogramowanie – co na to RODO?

Oprogramowanie – co na to RODO?

Tworzysz oprogramowanie? A może Twoja organizacja zleca budowę lub planuje zakup aplikacji biznesowej? Niezależnie, którą stronę reprezentujesz, na pewno w kontekście oprogramowania wielokrotnie słyszałeś powtarzane niczym mantrę słowa: RODO, privacy by design i privacy by default.

Minął już ponad rok, od kiedy obowiązują przepisy RODO, więc pewnie wiesz, o co w nim chodzi i że ten irytujący telemarketer od garnków nie powinien do Ciebie wydzwaniać 5 razy dziennie, bo nigdy o tej firmie nie słyszałeś ani nigdzie na nic się nie zgadzałeś. Ale co to ma wspólnego z aplikacją, którą tworzysz lub zamawiasz?

Bardzo dużo. Telemarketer działa według procesu biznesowego, który powinien być zaprojektowany tak, by spełniał wymagania RODO. To samo dotyczy Twojej aplikacji, jeśli mają być w niej przetwarzane dane osobowe. Jeśli myślisz, że to artykuł jednak nie dla Ciebie, bo przecież w Twojej aplikacji nigdzie nie będzie danych identyfikujących kogokolwiek, to koniecznie zerknij na poniższą definicję.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osobę można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Oznacza to, że Twoja aplikacja wcale nie musi gromadzić danych, jak imię, nazwisko, adres e-mail czy adres zamieszkania, które pozwalałyby na bezpośrednią identyfikację osoby. Wystarczy, że możemy rozpoznać, iż mamy do czynienia z tym, a nie innym użytkownikiem w oparciu o unikatowe identyfikatory z urządzeń i aplikacji, takie jak adres IP, MAC, IMEI, Android ID czy ID cookie, a nawet informacje pochodzące z ustawień przeglądarki. To właśnie identyfikacja pośrednia.

Do identyfikacji pośredniej mogą posłużyć metadane, jak lokalizacja urządzenia, historia przeglądarki czy czas spędzony na danej stronie witryny internetowej. Dlaczego to takie istotne? Dane o urządzeniu końcowym mogą w przyszłości zostać połączone z innymi informacjami i posłużyć do rozpoznania smartfona i jego użytkownika. W oparciu o adres IP możliwe jest zebranie szerokiego zakresu informacji (np. przeglądane produkty i usługi, informacje z cookies), które umożliwiają tworzenie profilu danej osoby, w tym jej tożsamości dotyczącej np. preferencji kulinarnych i zamiłowania do jarmużu, ale gorzej, że także stanu zdrowia, orientacji seksualnej, poglądów politycznych czy wyznania religijnego.

To co z tymi danymi osobowymi w Twojej aplikacji?

Zakładam, że czytasz dalej. 🙂 RODO obowiązuje każdy podmiot, który w związku z prowadzoną działalnością przetwarza dane osobowe. Każdy taki podmiot, niezależnie od wielkości, skali działania i formy prawnej, musi być w stanie udowodnić, że chroni dane osobowe w odpowiedni sposób, w tym, że używa ich zgodnie z podstawowymi zasadami przetwarzania danych osobowych.

Jeśli taki podmiot decyduje się na usługę, produkt, urządzenie czy właśnie oprogramowanie (niezależnie od tego, czy jest mobilne, webowe, czy desktopowe) mające służyć do przetwarzania danych osobowych – musi wykazać ich zgodność z RODO.

Dlaczego to takie ważne?

Źle zaprojektowane pod względem bezpieczeństwa oprogramowanie może stać się celem ataku, którego skutkiem będzie naruszenie ochrony danych, jak kradzież, wyciek czy nieautoryzowana modyfikacja. Każdy wie, jakie konsekwencje może ponieść firma – to kara finansowa do 20 000 000 EUR lub 4 procent całkowitego rocznego obrotu z poprzedniego roku nałożona przez organ nadzorczy (uściślając: naruszenie nie powoduje automatycznie nałożenia kary finansowej ani jej najwyższego wymiaru, organ nadzorczy może skorzystać z ostrzeżeń czy upomnienia lub innych środków korygujących). Osoby, które poniosły szkody w wyniku wycieku ich danych, mogą też dochodzić odszkodowania. Z punktu widzenia organizacji najbardziej kosztowna może być jednak utrata zaufania klientów i reputacji.

Jednak to nie interes firmy czy organizacji jest tu najważniejszy. W kontekście RODO najistotniejsza jest prywatność osób, których dane są przetwarzane. Organizacje gromadzą ogromne ilości danych, jednocześnie mamy coraz więcej naruszeń, które mogą powodować szkody dla osób fizycznych. Rok 2018 w obszarze kłopotów z ochroną prywatności bezsprzecznie należał do Facebooka, który wystawiał API z nieograniczonym dostępem dla zewnętrznych aplikacji (afera Cambridge Analytica), wszystkim znany jest też wyciek haseł w Morele.net, które znalazło się pod lupą Prezesa Urzędu Ochrony Danych (polski organ nadzorczy). Perspektywa dotkliwych kar ma więc zmotywować firmy i inne organizacje do tego, aby uwzględniały ochronę danych podczas tworzenia czy zakupu oprogramowania.

Ochrona danych osobowych stanowi obecnie integralną część rozwoju technologicznego i dostarczania oprogramowania.

O czym warto pamiętać?

Jeśli jesteś twórcą oprogramowania, pamiętaj, że każdy świadomy klient zapyta o RODO-zgodność dostarczanej przez Ciebie aplikacji, a w przypadku, gdy będziesz chciał ją umieścić w sklepie z aplikacjami, to każdy z nich posiada swoje wytyczne dla programistów odnośnie minimum prywatności, jakie musi zapewniać aplikacja swoim użytkownikom.

Jeśli zlecasz budowę lub kupujesz oprogramowanie dla swojej organizacji, nie ryzykuj i nie kupuj rozwiązania, dla którego producent nie będzie umiał wykazać zgodności z RODO; w świetle prawa to administrator danych, a nie dostawca, odpowiada za zgodne z prawem przetwarzanie danych osobowych.

Przy projektowaniu oprogramowania nie możesz zignorować RODO. W serii artykułów postaram się rozwinąć ten temat. Wymaga on od Ciebie zaznajomienia się z wszystkimi pojęciami i przepisami RODO, aby dobrze zrozumieć wpływ tej regulacji na projektowane rozwiązanie. W kolejnych artykułach pokrótce wyjaśnię Ci najważniejsze kwestie:

  • Co RODO wymaga od oprogramowania
  • Kto odpowiada za zgodność oprogramowania z RODO
  • Czym są privacy by design oraz privacy by default i jak je wdrożyć
  • Jak Onwelo może pomóc Ci w rozliczeniu oprogramowania pod kątem zgodności z RODO

Zapraszam do lektury!

Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *