Dane otaczają nas wszędzie, a szczególnie kiedy tworzone są produkty cyfrowe. Produkujemy ich więcej niż kiedykolwiek, media społecznościowe, witryny internetowe oraz wiele przeróżnych aplikacji. Często też, słyszy się w przestrzeni publicznej, iż żyjemy w gospodarce opartej o wartość i informacje, której podstawą są dane tzw. „data driven economy”. Niemniej, od czasu do czasu słyszymy o problemach przedsiębiorców, w zakresie bezpieczeństwa przetwarzania danych lub sposobu ich przetwarzania. Czasem dotyczą one dużych korporacji jak Facebook, czy banki, a czasem mniejszych firm czy organizacji rządowych. Rozpoczynając swoją przygodę z biznesem, a szczególnie usługami cyfrowymi, ten temat Cię nie ominie. Toteż od samego początku budując swoją wiarygodność warto pokazać, w jaki sposób Twój projekt podchodzi do kwestii przetwarzania danych, gdyż posiadając odpowiednią wiedzę, już dziś użytkownicy biorą ten temat pod uwagę korzystając z cyfrowych usług. Oprócz budowania swojej wiarygodności i reputacji kolejnym powodem dlaczego warto zadbać o zagadnienie sposobów przetwarzania danych są sankcje. To one oprócz negatywnego rozgłosu w sieci internet, mogą przełożyć się dotkliwie na kwestie finansowe Twojego projektu.
Ten wpis pomoże ci zidentyfikować elementy mające wpływ na przygotowanie projektu informatycznego będącego aplikacją SAAS, czy sklepem internetowym, czy też aplikacją opartą o blockchain i należącą do środowiska Web 3.0. Ostatecznie jednak warto sięgnąć po pomoc ekspertów, szczególnie gdy Twój biznes rośnie i zaczyna przykuwać uwagę coraz większej ilości osób, a ty możesz przetwarzać specyficzne rodzaje danych, którymi będą dzielić się Twoi użytkownicy. Oto 6 kluczowych zasad przetwarzania danych osobowych, o których należy pamiętać tworząc cyfrowy produkt.
Przede wszystkim pamiętaj, że gromadzenie i wykorzystywanie danych w ramach obsługi firmy lub projektowanego produktu, usługi lub technologii, nadaje Twojej firmie status administratora tych danych. W praktyce oznacza to, że Twoja firma staje się adresatem większości obowiązków wynikających z RODO, których naruszenie może skutkować nałożeniem wysokich kar pieniężnych i utratą zaufania społeczności użytkowników. W konsekwencji, od momentu zgromadzenia danych, Twoja firma będzie zobowiązana do zapewnienia ich ochrony oraz wykorzystywania ich w sposób zgodny z przepisami RODO. A zatem…
Wg ustawy o ochronie danych osobowych zasada „ograniczenia celu” wymaga od administratora oznaczenia jasnego celu w jakim dane osobowe mają być zbierane. Powinno to nastąpić w sposób jednoznaczny i możliwie jak najdokładniej, aby odbiorca usługi, aplikacji czy kupujący w sklepie internetowym wiedział do jakich celów dane, które zostawia, będą wykorzystywane. Na przykład, wskazanie jako celu „realizacji istotnych interesów administratora” należy uznać jako nazbyt ogólne i niezgodne z omawianą zasadą. W tym wypadku dla bezpieczeństwa, należy wskazać podstawę prawną, która będzie stanowić uzasadnienie. Co istotne, cel należy określić jeszcze przed rozpoczęciem przetwarzania danych, a osoba, której dane dotyczą musi zostać o nim prawidłowo poinformowana, nie później niż w momencie ich zbierania. Oznacza to bezwzględny zakaz zbierania danych „na zapas” z przekonaniem, że mogą się przydać w przyszłości oraz w celach ukrytych, z którymi podmiot danych nie został zaznajomiony na etapie gromadzenia danych. Obowiązkową praktyką w ramach obecnych przepisów prawa jest w tym względzie realizacja „obowiązku informacyjnego” - na przykład w przypadku rejestracji użytkownika w usłudze jest to wysłanie automatycznej informacji do użytkownika jaki zakres danych będzie przetwarzany i jakie prawa ma np. w kontekście wglądu do danych, czy ich usunięcia.
Zasada ta wskazuje, iż zebrane dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Prowadząc projekt należy zatem korzystać wyłącznie z takiego zakresu danych, bez którego nie da się osiągnąć zamierzonego celu ich zebrania np. sprzedaż w sklepie internetowym lub uruchomienie cyfrowej usługi. Tym samym, gromadzenie danych „na wszelki wypadek” stanowi naruszenie RODO. Przykładowo, nieadekwatne jest pozyskiwanie numeru PESEL w formularzu kontaktowym na stronie internetowej firmy, gdyż do obsługi wiadomości wystarczające jest posiadanie imienia i nazwiska oraz adresu e-mail lub numeru telefonu nadawcy.
O zasadzie tej należy pamiętać szczególnie na etapie projektowania aplikacji mobilnych, które podczas procesu instalacji mogą pozyskiwać dostęp do szerokiego zakresu danych użytkownika, np. danych lokalizacyjnych, czy kontaktów. Konieczna jest wówczas ocena, jakie dane są administratorowi faktycznie niezbędne do poprawnego działania aplikacji oraz wdrożenia mechanizmów zapewniających, że domyślnie przetwarzane będą wyłącznie te dane, które są rzeczywiście konieczne do osiągnięcia zamierzonego celu.
Zasada prawidłowości, inaczej merytorycznej poprawności kładzie nacisk na jakość danych posiadanych przez administratora. Wynika z niej obowiązek do podejmowania wszelkich rozsądnych działań, aby przetwarzane dane były prawidłowe, tj. kompletne i zgodne ze stanem rzeczywistym oraz w razie potrzeby uaktualniane, a dane nieprawidłowe – niezwłocznie usuwane lub sprostowane.
Zasada ta, oznacza to, że administrator nie może przechowywać danych w nieskończoność, w szczególności „na zapas” lub „na wszelki wypadek”. Punktem granicznym jest zrealizowanie przez administratora celu, w którym dane zebrał i przetwarzał. Po osiągnięciu celu, dane powinny zostać trwale i nieodwracalnie usunięte np. poprzez ich anonimizację lub zupełnie skasowane. Warto przy tworzeniu wymagań do budowy Twojego systemu określić reguły rządzące tym procesem.
Zasada integralności i poufności wymaga od administratora wdrożenia w firmie odpowiednich rozwiązań technicznych (np. hasła dostępu, szyfrowanie danych) oraz organizacyjnych (np. polityka bezpieczeństwa, matryce dostępu do danych). Przy tej okazji warto prowadzić okresowe testy weryfikujące stopień podatności Twojej cyfrowej usługi na zagrożenia ze strony sieci.
Zasada rozliczalności wskazuje, że każdy administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych osobowych i musi być w stanie wykazać, że ich przestrzega oraz że wykonuje pozostałe obowiązki wynikające z RODO, które na nim spoczywają. W praktyce oznacza to, że jeśli w firmie przeprowadzona zostanie kontrola pod kątem zgodności z prawem przetwarzania danych, wówczas przedsiębiorca będzie musiał wykazać, że dysponuje odpowiednią dokumentacją z podjętych działań oraz decyzji, która potwierdza prawidłowość procesów przetwarzania z wymogami RODO, np. realizację obowiązków informacyjnych. Dobrą praktyką więc jest zbudowanie listy kontrolnej w tym obszarze, która może być też przygotowana w formie zautomatyzowanego raportu.
Tworząc startup, czy inne usługi cyfrowe np. aplikacje mobilne pamiętaj o zasadach związanych z „privacy by design”. W ten sposób będziesz nie tylko zgodny z regulacjami określającymi zasady przetwarzania danych w tym danych osobowych, ale też zyskasz szacunek i dobrą reputację wśród społeczności użytkowników. Miej na uwadze, iż prawidłowe ukształtowanie, już na początku, procesów przetwarzania danych w ramach firmy lub projektowanego produktu, usługi lub technologii, wspiera poprawny rozwój przedsięwzięcia i korzystnie wpływa na jego wizerunek wśród potencjalnych inwestorów i klientów. Ponadto, istotnie ogranicza ryzyko nałożenia kar pieniężnych za naruszenie wymogów RODO.
Jest to szczególnie istotne w przypadku aplikacji mobilnych, które aby mogły zostać udostępnione użytkownikom, powinny już na etapie ich tworzenia uwzględniać standardy ochrony danych wynikające z RODO stąd projektując usługę warto wspierać się ekspertem z zakresu prawa ochrony danych osobowych, który nie tylko pomoże ci spełnić wymagania, ale też zdefiniuje procesy rządzące sposobem przetwarzania danych i wyeliminuje ryzyko regulacyjne i braku zaufania do Twojej marki.
