Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wejdzie w życie 25 maja 2018 roku. Zawiera ono przepisy o ochronie osób fizycznych w kwestii przetwarzania danych osobowych. Jego celem jest lepsza kontrola danych osobowych mieszkańców Unii Europejskiej. RODO będzie obowiązywało i będzie egzekwowane we wszystkich krajach UE. Co to oznacza dla programistów, którzy na co dzień tworzą aplikacje zawierające dane osobowe?
Co to są dane osobowe?
Dane osobowe to wszystkie informacje, które pozwalają na zidentyfikowanie osoby fizycznej. Mowa przede wszystkim o imieniu, nazwisku, adresie, numerze PESEL, który zawiera informacje o dacie urodzenia czy płci danej osoby. Innym przykładem może być adres e-mail, ale tylko wtedy, gdy bez nadmiernych kosztów czy czasu można ustalić tożsamość właściciela tego adresu poczty elektronicznej. Danymi osobowymi jest też zdjęcie twarzy lub skan dokumentów.
Nad kontrolą i ochroną prawną czuwa Generalny Inspektor Ochrony Danych Osobowych czyli GIODO.
Każdy podmiot, który przetwarza dane osobowe musi przygotować się do zmian. Przede wszystkim nowe rozporządzenie bardziej zabezpiecza interesy obywateli. Dzięki zmianom wchodzącym 25 maja 2018 roku będziemy mieli także prawo do usunięcia danych i prawo do ich przenoszenia. Wprowadzono także dokładniejsze określenie danych wrażliwych, które powiększono o dane genetyczne i biometryczne.
RODO czyli zgoda na przetwarzanie danych osobowych
RODO sprawia, że to firma będąca w posiadaniu danych osobowych ma obowiązek wykazania zgody ich właściciela na przetwarzanie (od etapu gromadzenia po usunięcie danych). Zgoda musi być dobrowolna, świadoma, a jej wycofanie powinno być łatwe. Przedsiębiorstwa, które nie będą dbały o dane, będą musiały liczyć się z bardzo dużymi karami finansowymi. W najgorszym przypadku może to być nawet 20 milionów euro lub 4 procent rocznych obrotów firmowych.
Aby uniknąć problemów, należy trzymać się ustalonych zasad. Przede wszystkim należy sprawdzić dane osobowe, które posiadamy. Powinniśmy przechowywać tylko te informacje, których potrzebujemy. Chodzi o dane klientów, partnerów, ale także współpracowników czy pracowników. Jeśli mamy dane z procesów rekrutacyjnych, zapisów na newsletter lub webinar, programów lojalnościowych czy konkursów, które przeprowadziliśmy lub obsługiwaliśmy, a nie są one już potrzebne, powinniśmy je trwale usunąć ze wszystkich miejsc. Mówi o tym przepis o tak zwanej minimalizacji danych. Potrzebne jest także ustalenie kwestii tego, jak dane są przechowywane. Należy pamiętać, że nie chodzi wyłącznie o te dane, które są przechowywane elektronicznie (na dysku komputera lub nośnikach pamięci, na serwerze, w bazie danych czy w chmurze), ale także mowa o tych archiwizowanych w formie papierowej, notesach z telefonami, umowach papierowych itp. Najlepiej aby były to zaszyfrowane pliki i dobrze zabezpieczone dokumenty. Konieczne jest także zweryfikowanie danych – przedsiębiorstwo musi wiedzieć skąd posiada te dane.
RODO dla firm IT – nowa regulacja jest dużym wyzwaniem
Pod koniec maja 2018 roku zostanie wprowadzona regulacja danych osobowych, zgodna z prawem unijnym. Po 25 maja kontrahenci mogą wymagać bardziej szczegółowych zapisów dotyczących przetwarzania danych osobowych w umowach, które będziemy podpisywali. Przedsiębiorstwa mogą także wymagać nowych, bardziej rygorystycznych środków bezpieczeństwa w kwestii przechowywania tych danych. Warto zwrócić uwagę na to, jakie zapisy w umowach proponuje administrator danych – szczególnie, czy są one zgodne z nowym rozporządzeniem. Firma programistyczna powinna zastosować najlepsze – według posiadanej wiedzy i technologii – środki bezpieczeństwa, jednak odpowiedzialność nie zawsze stoi po stronie dewelopera. Dlatego też przed podpisaniem jakiejkolwiek umowy musimy sprawdzić jej zapisy dotyczące RODO i skonsultować je z prawnikiem.
Firmy programistyczne, po uchwaleniu rozporządzenia, muszą więc nie tylko dostosować strukturę i działanie przedsiębiorstwa lecz także dostosować swoje produkty tak, aby spełniały wszystkie zasady określane przez RODO. Krótko mówiąc, każdy program dostarczony do klienta powinien posiadać wszystkie zabezpieczenia w kwestii ochrony danych osobowych. Jeśli mówimy o danych przechowywanych w formie elektronicznej, musimy skorzystać z aplikacji szyfrujących dane oraz zabezpieczających je hasłami. Te, które przechowujemy w formie fizycznej, powinny być zarchiwizowane np. w sejfie. Dlaczego to takie ważne? Bo bezpośrednia odpowiedzialność za przetwarzane dane osobowe stoi również po stronie przedsiębiorstwa oferującego usługę. Każde naruszenie będzie obarczone ryzykiem otrzymania kary finansowej.
Warto również wspomnieć o tym, jakie firmy i branże najczęściej gromadzą szczególnie dużo naszych danych osobowych. Są to między innymi sklepy internetowe, banki i parabanki, firmy ubezpieczeniowe, operatorzy komórkowi, wydawnictwa, portale społecznościowe oraz oczywiście administracja państwowa, policja czy służba zdrowia.
Programiści współpracujący z firmami wykorzystującymi dane, projektując narzędzia i aplikacje wykorzystujące dane powinni przygotować je tak, by nie przekraczały regulaminów RODO.
Firmy deweloperskie powinny podczas nawiązywania umów dokładnie czytać ich warunki, aby nie brać na siebie ryzyka konsekwencji złego zabezpieczania danych.
