25 maja zacznie obowiązywać Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR), ustawa obejmująca dowolną organizację na świecie, która gromadzi i przetwarza dane osobowe mieszkańców UE. Choć uwaga mediów, kancelarii i konsultantów skupiała się na dużych organizacjach ustawa dotyczy również deweloperów – freelancerów i właścicieli małych firm, którzy będą musieli upewnić się, że ich aplikacje i usługi są zgodne z RODO, nawet jeśli nie zamieszkują w krajach UE.
Celem RODO jest zapewnienie obywatelom UE przejrzystości w zakresie gromadzenia i wykorzystywania ich danych osobowych. To ma swoje konsekwencje dla podmiotów wymuszając na nich większą dyscyplinę jeśli chodzi o zarządzanie danymi osobowymi. Musimy być w stanie łatwo tworzyć, usuwać i kontrolować dane zaklasyfikowane jako osobowe, kontrolować przepływ, dostęp, wykorzystanie i jego uzasadnienie a w szczególnych wypadkach udowodnić instytucji audytującej zgodność stosowanych procedur z ustawą. Przyznajmy, ze w wielu przypadkach podmioty nie traktowały dotąd tego zagadnienia z należytą atencją.
Czytaj też: RODO i Big Data: antagoniści czy sprzymierzeńcy?
Indywidualni deweloperzy i małe firmy powinni zacząć od mapowania wszystkich danych osobowych znajdujących się w ich posiadaniu. RODO definiuje dane osobowe jako każdą informację, która może bezpośrednio lub pośrednio zidentyfikować konkretną osobę, taką jak imię, zdjęcie, adres e-mail, dane bankowe, posty na portalach społecznościowych lub informacje medyczne. Ponadto regulacje obejmują również specjalne kategorie danych obejmujące pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych oraz dane dotyczące orientacji seksualnej danej osoby.
Kolejnym krokiem dla deweloperów jest zrozumienie, co należy zmienić, aby dostosować się do RODO. Zasada nr 1: nie gromadź żadnych danych osobowych, które nie są rzeczywiście niezbędne w kontekście prowadzonego biznesu (usuwaj takie zarchiwizowane dane). Minimalizujmy ryzyko i unikajmy komplikacji. W przypadku danych osobowych, które są potrzebne, programiści muszą jasno określić przeznaczenie i uzyskać zgodę w każdym przypadku użycia. Przykład: jeśli gromadzimy numery telefonów od użytkowników, aby umożliwić uwierzytelnianie dwuskładnikowe, nie możemy użyć tych samych numerów telefonów do innego celu. Potrzebna będzie zgoda.
Warto pamiętać o szczególnych przypadkach, kiedy zgoda na gromadzenie i wykorzystanie danych nie jest konieczna w ramach “uzasadnionego interesu“. Przykład: jeśli pole komentarza na stronie internetowej zachęca użytkowników do pozostawienia zarówno komentarza jak i adresu e-mail, możemy użyć tego adresu e-mail, aby powiadomić ich o dalszych zdarzeniach związanych z pozostawionym komentarzem, jak pozostawione inne komentarze czy polubiena. Jednak użycie adresu e-mail do innych celów, na przykład automatycznej rejestracji do innej witryny, wymagałoby zgody.
Nie powinno też wywoływać paniki wśród deweloperów i właścicieli witryn zagadnienie rejestrowania adresów IP. Logowanie dostępu nie powinno stanowić problemu, ponieważ często wiąże się z częstą zmiennością i w związku z tym nie jest możliwe wykorzystanie ich do samodzielnej identyfikacji konkretnej osoby. Jednak jeśli dysponujemy technicznymi możliwościami aby np. dokonywać korelacji przechowywanych adresów IP użytkowników z ich zachowaniem, należy uzyskać zgodę.
Na koniec oczywiście pojawia się kwestia kontroli i kar. Deweloperzy czy małe firmy nie będą raczej przyciągać spontanicznej kontroli organów regulacyjnych, ale mogą spotkać się z osobami domagającymi się swoich praw w związku z RODO. Takie osoby mogą również składać skargi do organów regulacyjnych. Organy odpowiedzialne za egzekwowanie regulacji będą przeprowadzać audyty w celu zapewnienia zgodności z RODO, dlatego należy być na to przygotowanym i prowadzić szczegółową dokumentację kontrolingową i umożliwić pozyskiwanie raportów. Upewnij się, że “odpowiednio” chronisz dane osobowe użytkowników. Co to znaczy? Zapoznaj się z tym, kto w organizacji ma dostęp do danych osobowych i rozpocznij ograniczania dostępu tam, gdzie to możliwe. Sprawdzi się tutaj analogiczne podejście jak do konfiguracji firewalla.
W celu uzyskania bardziej pogłębionych informacji zalecamy zapoznanie się z materiałami:
