Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

25/01/2024

Co oznacza Privacy by design w IT ?

Zarówno dostawcy oprogramowania jak i jego klientowi finalnie zależy na bezpieczeństwu danych osobowych,ale obie strony często przypominają sobie o tym dopiero, gdy... oprogramowanie zostało już wdrożone. O czym zapomnieli? O privacy by design czyli zasadzie prywatności w fazie projektowania.

 

W praktyce, zgodnie z art. 25 ust.1 RODO jeżeli wdrażamy rozwiązanie informatyczne istotne jest, aby już na etapie jego projektowania administrator danych m.in. ustalił czy i jakie dane osobowe będą przetwarzane w systemie, w jakim celu i jaki powinien być ich zakres, jakie jest ryzyko naruszenia prawa lub wolności oraz wziął pod uwagę reguły wynikające z przepisów RODO, a  następnie zastosował odpowiednie środki w celu ochrony tych danych.

Powyżej wskazany przepis wskazuje wprost, że należy uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, a następnie wdrożyć odpowiednie środki techniczne i organizacyjne, (takie jak np. pseudonimizacja) zaprojektowane w celu skutecznej realizacji zasad ochrony danych ( takich jak np.minimalizacja danych) oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

 

Co ciekawe, zasadę tą stosuje się najczęściej do rozwiązań IT, ale tak naprawdę znajduje ona zastosowanie do każdego nowego rodzaju przetwarzania danych w organizacji np. przy wprowadzaniu nowej strategii marketingowej, która przewiduje wykorzystanie danych osobowych.

 

O czym często  zapomina się przy realizacji zasady Privacy by design?

  • Zasada ta nie dotyczy wyłącznie środków technicznych stosowanych w związku z tworzeniem oprogramowania, ale również środków organizacyjnych stosowanych poza tym oprogramowaniem czyli np. procedur lub szkoleń, które powinny zostać zaplanowane przez administratora danych  w związku z przetwarzaniem danych w nowym oprogramowaniu.
  • Kwestie ochrony danych osobowych powinny być uwzględniane nie tylko na początku (choć ten moment bywa kluczowy dla ustalania procesów i funkcjonalności) lecz również na dalszych etapach tworzenia i wdrażania oprogramowania, jak i dalszego przetwarzania w nim danych.
  • Zastosowanie zasady privacy nie jest teoretycznym lub pozornym działaniem, ale zapobiega późniejszym naruszeniom ochrony danych osobowych (które z reguły następują dopiero po jakimś czasie).

Przykładami nie zastosowania zasady privacy by design, którą obserwujemy we wdrożonym już oprogramowaniu to np.

  • sytuacja w której do wystawienia faktury wymagane jest utworzenie i kompletne wypełnienie „kartoteki klienta” wraz z jego stanem cywilnym, adresem zamieszkania i zameldowania, adresem e-mail i numerem telefonu włącznie (zdecydowanie zapomniano tu o zasadzie minimalizacji danych),
  • brak  mechanizmów, które pozwalają na usuwanie danych (tutaj z kolei nie wzięto pod uwagę zasady ograniczenia przechowania danych - a w związku z tym, że jest to częsty przypadek, będziemy jeszcze o tym pisać).

Jak temu zaradzić?

  • Etap zamówienia oprogramowania (w szczególności tego dedykowanego dla konkretnego przedsiębiorstwa) to najlepszy moment, aby zastosować zasadę privacy by design. Jeżeli jesteś dostawcą, porozmawiaj o tym z zamawiającym . To pozwoli również na bardziej świadome ustalanie jakie funkcjonalności
    i zabezpieczenia muszą  pojawić się w kosztorysie. Administrator danych (Klient) powinien zacząć od przeprowadzenia DPIA (analizy skutków dla ochrony danych). Jej wyniki pozwolą na właściwe zadbanie o dane, które będą przetwarzane w tym systemie i wypełnienie obowiązków wynikających z art. 25 RODO kompleksowo - czyli zarówno pod względem  technicznym jak i organizacyjnym.
  • Klient  i dostawca powinni umówić planowane przetwarzanie danych w systemie i jego zabezpieczenia. Oczywiście najlepiej opierając się na informacjach wynikających z DPIA (a dotyczących kwestii IT). Często jest niestety tak,że klient nie przekazuje dostawcy tak kluczowej informacji jak np. cel przetwarzania danych w projektowanym systemie i stąd później okazuje się,że oprogramowanie nie posiada opowiednich funkcjoności lub są one niewspółmierne do realizacji tego celu.
  • Istotne jest,aby klient otrzymał jasną informacją od dostawcy, że późniejsze zmiany w oprogramowaniu mogą okazać się  niemożliwe lub dość kosztowne. Wbrew pozorom takie rzetelne przedstawienie tematu, często jest w stanie: a)przekonać klienta, że warto więcej zainwestować już na starcie oraz b)uniknąć późniejszych pretensji klienta, że nie miał takiej świadomości.
  • Klient często rezygnuje z niektórych funkcjonalności nawet już w trakcie realizacji projektu (aby zmniejszyć koszty). Dobrze, aby wiedział się, że nie powinien rezygnować z zabezpieczeń danych osobowych, gdyż taka oszczędność wcześniej czy później wpędzi go w kłopoty.
  • Jeżeli tworzysz oprogramowanie dla tzw. ogółu (a nie dla konkretnego odbiorcy) i chcesz skupić sie wyłącznie na sprzedaży licencji - przy tworzeniu i jego rozwijaniu również uwzględniaj  zasadę privacy by design. Dzięki temu zdobędziesz nowych klientów, którzy coraz częściej przy wyborze oprogramowania weryfikują go rownież pod tym kątem.

 Jeżeli mają Państwo jakiekolwiek pytania związane z tym tematem, zapraszamy do kontaktu z naszą Kancelarią: kancelaria@apogado.pl