Ochrona danych w procesie wytwarzania oprogramowania – kilka istotnych kwestii, o których musisz wiedzieć

Respektowanie przepisów ochrony danych w procesie wytwarzania oprogramowania jest niezwykle istotne, ponieważ dzięki temu może być wykorzystywane zgodnie z prawem. Firma ogranicza również ryzyko otrzymania wysokich kar wynikających z niewłaściwej ochrony. Jakie zmiany w tym aspekcie wprowadziło RODO? Jakie są najczęstsze problemy w ochronie danych przy tworzeniu oprogramowania? Odpowiedzi na te i inne pytania znajdują się w niniejszym artykule.

 

 

Jakie dane trzeba chronić w procesie wytwarzania oprogramowania?

 

W procesie wytwarzania oprogramowania należy chronić wszystkie gromadzone i przetwarzane dane, nawet te znajdujące się w kopiach zapasowych. Należy również pamiętać, by zbierać jedynie te dane, które są wymagane do poprawnego działania tworzonych aplikacji, ponieważ gromadzenie informacji na zapas jest nie zgodne z prawem i skutkuje nałożeniem surowych kar. Oczywiście im bardziej wrażliwe dane są wykorzystywane, tym bardziej złożonych systemów zabezpieczeń należy użyć, by zapewnić im stosowną ochronę.

 

 

Jakie zmiany w ochronie danych przy wytwarzaniu oprogramowania wprowadziło RODO?

 

Wejście w życie rozporządzenia RODO wprowadziło kilka istotnych zmian w ochronie danych przy wytwarzaniu oprogramowania. Do najważniejszych należy zaliczyć wprowadzenie wymogu ochrony danych w fazie projektowania, czyli privacy by design oraz zasady prywatności w ustawieniach domyślnych, czyli privacy by default. Podstawowym celem koncepcji privacy by design jest takie zaprojektowanie oprogramowania, by ochrona danych została wbudowana w każdy projekt zakładający ich przetwarzanie w taki sposób, aby od samego początku jego tworzenia ochrona prywatności stanowiła jego część składową. Koncepcja privacy by design została uregulowana w art. 25 ust. 1 Rozporządzenia RODO, który określa, że: uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Mówiąc prostym językiem artykuł ten ustanawia generalną zasadę, zgodnie z którą administrator danych jest zobowiązany do zapewnienia zarówno na etapie projektowania systemu, jak i wykorzystywania go do przetwarzania danych wprowadzenia do niego odpowiednich środków technicznych i organizacyjnych, które zagwarantują ochronę danych użytkowników oraz ich przetwarzanie zgodnie z RODO.

Jedną z najważniejszych zasad koncepcji privacy by design jest reguła privacy by default, którą określa ust. 2 wspomnianego wcześniej artykułu. Zgodnie z jego treścią administrator zobowiązany jest do wdrożenia takich środków technicznych i organizacyjnych, które zagwarantują, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia wskazanego celu przetwarzania. Dotyczy to zarówno ilości gromadzonych danych i zakresu ich przetwarzania, jak i okresu ich przechowywania oraz ich dostępności. Wdrożone środki muszą gwarantować, że udostępnienie danych osobowych będzie możliwe wyłącznie dzięki świadomemu działaniu ich właściciela.

 

 

Jakie są najczęstsze problemy w ochronie danych przy tworzeniu oprogramowania?

 

Najczęstsze problemy w ochronie danych przy tworzeniu oprogramowania to właściwe zaprojektowanie rozwiązań oraz określenie jakie dane będą przetwarzane. Trudności pojawiają się również na etapie przewidywania potencjalnych zagrożeń, a także dobierania odpowiadających im poziomów zabezpieczeń. Aby uniknąć problemów w ochronie danych przy tworzeniu oprogramowania należy zadbać o właściwą współpracę administratora danych osobowych ze specjalistami realizującymi projekt. Zagwarantuje to rozwój odpowiednich rozwiązań, które będą zgodne z prawem i dostatecznie zabezpieczą gromadzone dane.

 

 

Podstawowe wytyczne ochrony danych w procesie wytwarzania oprogramowania

 

Rozporządzenie RODO nie określa szczegółowych wytycznych w zakresie zabezpieczenia danych osobowych. Dlatego też każdy administrator musi posiadać komptencje umożliwiające odpowiedni dobór systemów zabezpieczeń do poziomu występującego ryzyka. Musi również zdefiniować potencjalne zagrożenia już na etapie projektowania oprogramowania, a także uczestniczyć w pracach zespołu specjalistów IT i na bieżąco reagować na wprowadzane przez nich zmiany w projekcie. Administrator danych osobowych musi zatem dokonać analizy zakresu i celu przetwarzania danych, a także ryzyka naruszenia praw ich właścicieli. Na jej podstawie zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych obejmujących zarówno określenie sposobów przetwarzania, jak i samo przetwarzanie.

 

Jakie mogą być kary przy niewłaściwej ochronie danych w IT?

 

Niewłaściwa ochrona danych w branży IT, czyli naruszenie przepisów RODO przez podmioty może wiązać się z ryzkiem nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) wysokich kar finansowych. Mogą one wynieść:

– do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (stosuje się wyższą karę) w przypadku wykrycia:

  •  nieprawidłowości w zakresie powierzenia przetwarzania danych;
  • braku lub niewłaściwe prowadzonego rejestru czynności przetwarzania;
  • niezgłoszenia naruszenia ochrony danych lub niezawiadomienia o nim osoby, której dane dotyczą.

– do 20 000 000 euro, lub do do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego w przypadku wykrycia:

  • przetwarzania danych osobowych niezgodnych z zasadami RODO;
  • niedotrzymania warunku wyrażenia zgody na przetwarzanie danych;
  • niedotrzymania warunków przetwarzania szczególnych kategorii danych osobowych, czyli informacji o stanie zdrowia, wyznaniu, czy orientacji seksualnej;
  • niedopełnienia obowiązku informacyjnego, czy prawa do sprostowania.

Oczywiście wysokość kary musi być współmierna do odnotowanego naruszenia, co oznacza, że inny rodzaj sankcji zostanie nałożony na prywatnego przedsiębiorcę z branży IT, który wysłał niezabezpieczony plik z danymi, a inna kara spotka globalną markę, która nie zabezpieczyła odpowiednio danych wrażliwych swoich klientów i dopuściła do ich wycieku. Co więcej, kary te mogą być nakładane z urzędu, bez uprzedniego wezwania do naprawy nieprawidłowości.

Ochrona danych w procesie wytwarzania oprogramowania jest bardzo ważną kwestią, której pod żadnym pozorem nie należy marginalizować. Przestrzeganie właściwych przepisów prawa, czyli przede wszystkim rozporządzenia RODO pozwala uniknąć dotkliwych kar, które może nałożyć organ nadzorujący. Zagwarantuje to zatrudnienie odpowienidnich specjalistów w zakresie ochrony danych osobowych.