Privacy by design, czyli projektowanie wg RODO

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 29 listopada 2020

29

lis
2020

Dla wypełnienia zadań organizacji, jej rozwoju i adaptowania się do zmieniającego się otoczenia, co jakiś czas pojawia się potrzeba rozpoczęcia nowego projektu. W większości przypadków, dla realizacji celu inicjowanego projektu (w większym lub w mniejszym zakresie) może dochodzić do wykorzystania danych osobowych.

Pamiętaj! Projekt, w którym będą pojawiać się dane osobowe powinien być poddany analizie, czy nie wymaga realizacji obowiązków wynikających z przepisów prawa. Jeżeli nie jesteś tego pewien, skonsultuj się z osobą odpowiedzialną za ochronę danych osobowych np. Inspektorem Ochrony Danych.

Poniżej znajdują się wskazówki, które należy uwzględnić np. w przypadku projektowania strony internetowej lub innego systemu:

  • Zwróć uwagę na poprawność kodu źródłowego – błędy programistyczne mogą doprowadzić do wycieków danych osobowych. Na etapie projektowania umowy z dostawcą dopilnuj, aby w treści występowały zapisy zobowiązujące do wykonania oprogramowania zgodnie ze standardami bezpieczeństwa informacji i do pokrycia kosztów podejmowanych działań zaradczych, w przypadku stwierdzenia podatności na zagrożenia;

  • Przy planowanym użyciu technologii cookies należy pamiętać o obowiązku zebrania zgody na ich zapisywanie (jeśli nie są niezbędne do funkcjonowania witryny, np. formularza) oraz o obowiązku informowania o szczegółach zastosowania tej technologii (Polityka Cookies);

  • W sytuacjach, w których w trakcie sesji umieszczane są cookies identyfikujące użytkowników, należy sprawdzić możliwość ich edycji przez osoby niepowołane – jeżeli edycja cookies jest możliwa, atakujący może próbować podszyć się pod innego (zalogowanego) użytkownika;

  • Jeżeli organizacja ma korzystać z usług hostingu serwerów, w ramach którego mają być przechowywane dane osobowe, to z usługodawcą należy zawrzeć stosowaną umowę powierzenia przetwarzania danych osobowych;

  • Potencjalna współpraca z wybranym podmiotem przetwarzającym powinna zostać poddana ocenie. Może okazać się, że będą występować przesłanki wskazujące na niedojrzałość wykonawcy w zakresie ochrony danych osobowych lub współpraca z nim będzie rodziła dodatkowe obowiązki – np. w sytuacji przechowywania danych na serwerach poza Europejskim Obszarem Gospodarczym;

  • Jeżeli za pośrednictwem tworzonego oprogramowania (w tym np. formularza kontaktowego) mają być zbierane dane osobowe, to organizacja będzie zobligowana do spełnienia obowiązku informacyjnego, o którym mowa w RODO oraz do zapewnienia właściwej ochrony przesyłanych danych osobowych – należy pamiętać o tym przy kreowaniu wymagań dla dostawcy.

Nowy projekt może nieść ze sobą potrzebę wypełnienia szeregu obowiązków. Istotne jest, aby włączać Inspektora Ochrony Danych (o ile został wyznaczony) do projektu już na samym jego początku („privacy by design”), gdyż ocena projektu pod kątem wymagań przepisów o ochronie danych osobowych może wymagać czasu. Zbyt późne poinformowanie IOD o nowym projekcie, może doprowadzić do zmian w harmonogramie prac lub narazić organizację na niepotrzebne koszty, związane z potrzebą naniesienia poprawek w już rozpoczętym projekcie.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.