Privacy by design, bo o nim właśnie mowa, to podejście zakładające uwzględnianie ochrony danych osobowych w fazie projektowania. Na czym ono polega? To wyjaśnia Michał Sztąberek, ekspert ds. ochrony danych osobowych i CEO w iSecure Sp. z o.o.
O jakie projektowanie chodzi? Mówimy tu o projektowaniu całego procesu przetwarzania danych (chodzi np. o opracowanie mobilnej gry działającej w modelu free to play, w którym jednym z istotnych założeń może być gromadzenie danych osobowych przy okazji mikrotransakcji) tak, aby od samego początku odbywało się to, najogólniej rzecz ujmując, w zgodzie z RODO.
Wiele zalet
Takie podejście ma wiele zalet, a wśród nich wskazać można m.in.:
- podjęcie działań mających na celu uprzednią identyfikację potencjalnych problemów związanych z gromadzeniem danych osobowych,
- działanie w oparciu o przepisy – w takiej sytuacji istnieje większa szansa, że nasza aplikacja mobilna od początku będzie zgodna z RODO, co jest zdecydowanie lepszym podejściem niż późniejsze jej „naprawianie”, tak by wszystko było prawidłowe,
- minimalizacja rodzajów ryzyka powiązanych z przetwarzaniem danych osobowych,
- większa świadomość przepisów o ochronie danych osobowych całego zespołu zaangażowanego w proces opracowywania aplikacji mobilnej.
Ważne reguły
Jak w takim razie zapewnić tę zgodność na etapie projektowania? Poniżej kilka istotnych reguł, które niewątpliwie będą pomocne przy tworzeniu aplikacji mobilnych zgodnych z RODO:
- Pozyskiwanie zgody albo zapewnienie innej przesłanki uprawniającej do przetwarzania danych. Warto od razu to sobie wyjaśnić – zgoda na przetwarzanie danych nie zawsze będzie potrzebna (przy aplikacjach mobilnych bardzo często dochodzi do zawarcia umowy o świadczenie usług drogą elektroniczną), ale nie jest wykluczone, że pewne funkcjonalności będą jej wymagały np. zgoda na geolokalizację.
- Minimalizacja danych. Właściwie od tego należy zacząć tę wyliczankę. To jeden z kluczy do zapewnienia zgodności z RODO. Krótko rzecz ujmując – należy ograniczyć ilość zbieranych danych do niezbędnego minimum. Prosty przykład: jeśli niezbędna jest data urodzenia, bo np. gra ma mieć oznaczenie PEGI 18 i twórca aplikacji chce zminimalizować ryzyko, że sięgną po nią młodsi użytkownicy, wtedy zbiera dane dotyczące daty urodzenia, a nie nr PESEL.
- Transparentność procesu gromadzenia danych osobowych. W zasadzie można napisać prościej – nie należy zapominać o obowiązku informacyjnym, czyli o klauzuli, w której dostarczamy użytkownikom jasne informacje na temat tego, kto będzie przetwarzał ich dane, jakie dane, w jaki sposób będą przetwarzane i do jakich celów zostaną wykorzystane. Idealnym miejscem, w którym takie informacje można umieścić, jest polityka prywatności. Nie ukrywajmy jej jednak głęboko - to musi być coś, co użytkownik z łatwością będzie mógł znaleźć i zapoznać się z zawartymi w niej informacjami.
- Retencja danych, czyli określenie, jak długo będą przechowywane dane zebrane dla poszczególnych celów, dla których je pozyskujemy. Niektóre dane będzie można przechowywać dłużej, np. dane związane z kwestiami rozliczeniowymi, inne krócej, np. do czasu wycofania zgody, co może nastąpić w dowolnym momencie. Informacje dotyczące retencji danych powinny zostać zamieszczone w obowiązku informacyjnym. Nie przechowujemy danych dłużej, niż jest to konieczne.
- Zabezpiecz dane osobowe. Niestety, to proces dość skomplikowany i potencjalnie generujący koszty. Żeby w ogóle określić, jak zabezpieczyć dane osobowe, należy przeprowadzić ocenę ryzyka dla procesu przetwarzania danych. W ten sposób zidentyfikujemy obszary obarczone większym bądź mniejszym ryzykiem. Na tej podstawie będziemy w stanie dobrać odpowiednie (adekwatne) środki bezpieczeństwa, np. stosowanie bezpiecznych protokołów https oraz technologii szyfrowania. Nie zapominajmy też o regularnych aktualizacjach, zwłaszcza tych, które są krytyczne dla bezpieczeństwa danych. Koniecznie też, zanim aplikacja zadebiutuje na rynku, należy przeprowadzić testy penetracyjne. Dzięki nim będzie możliwe „połatanie” aplikacji – tak, by była bezpieczna. Takie testy powinno się powtarzać co jakiś czas, bo technologia pędzi do przodu, a to oznacza, że i ludzie, którzy żerują na naszych danych osobowych, uczą się w tym zakresie i tworzą coraz bardziej wymyślne techniki przejmowania danych osobowych.
- Zadbaj o sprawny proces obsługi żądań zgłaszanych przez użytkowników aplikacji mobilnej. RODO daje każdemu całkiem pokaźny pakiet uprawnień, m.in. możliwość żądania usunięcia danych, dostarczenia ich kopii itd. Już na etapie projektowania całego procesu należy zadbać o dobry kanał komunikacyjny z użytkownikami oraz zatrudnienie kompetentnych osób, które będą obsługiwały takie zgłoszenia.
- Weryfikacja potencjalnych dostawców usług. Jeśli dostęp do danych osobowych mają mieć też inne firmy, czyli dostawcy usług, którzy będą pomagali przy ich realizacji, po pierwsze trzeba zadbać o to, by odpowiednio ich dobrać, po uprzednim przeprowadzeniu weryfikacji na okoliczność zgodności z RODO. UODO ostatnimi czasy rekomenduje konkretne audyty potencjalnych procesorów zamiast przesyłania im ankiety weryfikacyjnej. Po drugie należy pamiętać o tym, by zapewnić sobie odpowiednie i bezpieczne dla naszej organizacji zapisy w umowach powierzenia przetwarzania danych, które trzeba będzie zawrzeć z dostawcami usług.
Podsumowując – dobrze przeprowadzony proces privacy by design przy tworzeniu aplikacji mobilnej pozwala uniknąć w przyszłości potencjalnych ryzyk związanych z naruszeniem przepisów dotyczących ochrony danych osobowych.