Ochrona danych osobowych zmusza organizację do przyjęcia podejścia prywatności już w fazie projektowania (privacy by design) procesu biznesowego, produktu, oprogramowania czy technologii.  W jaki sposób możesz dostosować się do tych wymogów?

Zgodnie z tą koncepcją już na etapie projektowania aplikacji musisz wziąć pod uwagę kwestie prywatności i ochrony danych oraz zaplanować odpowiednie środki techniczne i organizacyjne, które pozwolą na skuteczną realizację wyżej wymienionych zasad i praw. Dotyczy to każdego etapu przetwarzania danych – od pobrania, przez przechowywanie, modyfikowanie, przeglądanie, przesyłanie, aż po archiwizację i usunięcie lub anonimizację danych.

Jakie to środki ochrony? RODO nie podsuwa gotowej checklisty do odhaczenia. Jedyna podpowiedź dotyczy środków zapewniających bezpieczeństwo przetwarzania danych, które zostały wymienione w art. 32 RODO:

Dlaczego RODO nie wskazuje konkretnych rozwiązań? Ponieważ przepisy nie nadążają za nowymi technologiami. Środki dziś wskazane jako wystarczające za rok mogą nie spełniać wymagań. W czasie gdy opracowywano RODO (a weszło ono w życie w 2016! roku), nikt nie brał pod uwagę Bluetooth 5, który dzisiaj umożliwia komunikowanie się ze sobą urządzeń IoT w Twoim domu. To dlatego odpowiedzialność za właściwy dobór środków ochrony została przeniesiona na podmioty, które przetwarzają dane osobowe.

Aby spełnić wymogi, musisz stosować podejście oparte na ryzyku (Risk Based Approach), na które RODO kładzie szczególny nacisk. Czyli co?

Chcesz w aplikacji zastosować sztuczną inteligencję, blockchain lub inną innowacyjną technologię? Świetnie, ale najpierw zidentyfikuj konkretne zagrożenia dla prywatności poszczególnych osób i określ środki techniczne, które wyeliminują lub zniwelują ryzyko wystąpienia zagrożenia.

Projektując aplikację już na etapie jej wymyślania, musisz rozważyć wpływ tworzonych rozwiązań na sferę prywatności, przewidzieć potencjalne zagrożenia i przeciwdziałać im poprzez konkretne środki ochrony, jak pseudonimizacja, szyfrowanie czy kontrola dostępu. Podejście oparte na ryzyku obejmuje cały cykl życia danych, ale także aplikacji, a każda zmiana, tworzenie nowych funkcjonalności czy rozbudowa modułów wymaga ponownej analizy pod kątem wpływu tych zmian na ochronę prywatności i doboru właściwych zabezpieczeń.

Wybierając środki ochrony, weź pod uwagę:

Pamiętaj, że im wyższe ryzyka naruszenia praw lub wolności osób fizycznych przez dany rodzaj przetwarzania, tym bardziej zaawansowane zabezpieczenia powinieneś zastosować (koniecznie zajrzyj do poradnika PUODO dotyczącego Risk Based Approach).

Dokonując oceny ryzyka, musisz przenalizować:

• jakie zdarzenia mogą wydarzyć się przy okazji korzystania z Twojej aplikacji (przeanalizuj wszystkie elementy, m.in.: wybraną technologię, źródła danych, punkty dostępu, przepływ danych, integrację z innymi aplikacjami oraz dostawców rozwiązań zastosowanych w aplikacji; pod uwagę należy wziąć ryzyko związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym  dostępem  do  danych  osobowych przesyłanych,  przechowywanych  lub  przetwarzanych w  inny  sposób)
• jakie są źródła oraz prawdopodobieństwo wystąpienia tych zagrożeń
• jakie mogą wystąpić konsekwencje dla praw i wolności osób, których dane są przetwarzane w aplikacji (np. skutkiem nieuprawnionego dostępu może być dyskryminacja, kradzież tożsamości, oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia czy utrata możliwości sprawowania kontroli nad swoimi danymi osobowymi)
• jak przeciwdziałać zagrożeniom lub jak je zminimalizować

Jeśli przetwarzanie danych w aplikacji stwarza potencjalnie wysokie ryzyko dla osób fizycznych, musisz dodatkowo przeprowadzić ocenę skutków dla ochrony danych osobowych (Data Protection Impact Assesment, DPIA).

Teraz zapewne zastanawiasz się, czy Twoja aplikacja stwarza wysokie ryzyko?

TAK, jeśli:

• za jej pośrednictwem monitorujesz zachowanie osób albo wykorzystujesz nowe technologie
• zastosowałeś algorytm podejmujący automatyczne decyzje, które mogą wywoływać skutki prawne lub inne podobne np. mogą doprowadzić do dyskryminacji (dojdzie do niej np. jeśli algorytm jest szkolony na losowej próbce populacji, w której niektórzy członkowie są rzadziej włączani do zbioru danych)
• w aplikacji przetwarzane są dane wrażliwe, jak stan zdrowia, orientacja seksualna, dane biometryczne, poglądy polityczne, wyznanie religijne lub inne o charakterze wysoce osobistym (w oparciu o przetwarzane dane można wyciągnąć różne wnioski na temat konkretnej osoby – za aferą Cambridge Analytica krył się algorytm, który na podstawie like’ów i postów użytkowników tworzył ich profile psychologiczne w celu przewidywania preferencji politycznych i wpływania na wyniki wyborców w USA)

Więcej przykładów tego, jakie przetwarzanie wiąże się z wysokim ryzykiem praw lub wolności osób fizycznych określa art. 35 RODO:

Jeśli w Twojej aplikacji będzie dochodziło do któregoś z wyżej wymienionych przetwarzań – przeprowadź DPIA dla swojego produktu! To nic trudnego, w praktyce DPIA jest pogłębioną oceną ryzyka, niemniej jest to temat na osobny artykuł.

Niezależnie od wyniku oceny ryzyka – Twoim zadaniem jest podjęcie wszelkich środków, aby zmniejszyć ryzyko, dopóki nie będzie ono na poziomie, które można tolerować. Wybór zabezpieczenia powinien być adekwatny do ryzyka naruszenia ochrony danych osobowych.

Przy wyborze środków ochrony kieruj się standardami bezpiecznego kodowania i dobrymi praktykami w zakresie bezpieczeństwa IT, w tym zasadami kryptografii, bezpieczeństwem komunikacji sieciowej, składowaniem danych, metodami uwierzytelniania, zarządzaniem użytkownikami etc. Przykładowe zabezpieczenia znajdziesz w normach ISO z serii 27000. Koniecznie skorzystaj z metodyki OWASP. Tutaj zapoznasz się z 10 zasadami bezpieczeństwa, którymi dobrze jest kierować się przy projektowaniu aplikacji. (W poprzednim wpisie blogowym Paweł Kaleciński opisał pierwszą pozycję z tej listy, którą jest Injection.) Standardem powinny być dla Ciebie także dokumenty OWASP ASVS lub MASVS, które zawierają listy wymagań bezpieczeństwa, które muszą spełniać aplikacje oraz listy testów potrzebnych do sprawdzenia rzeczywistego poziomu bezpieczeństwa aplikacji.

Natalia Zacharewicz – Inspektor Ochrony Danych w Onwelo. Zajmuje się audytami w zakresie ochrony danych osobowych, w tym audytami zgodności systemów i aplikacji z RODO oraz wdrożeniami systemów ochrony danych osobowych i informacji niejawnych. Prywatnie fanka dobrych reportaży i wędrówek krajoznawczych.