Programiści, projektanci i architekci to bystre umysły. Przekonałam się o tym nie raz. Uwielbiam z nimi pracować bo dla nich także nie ma rzeczy niemożliwych. Jednak często ich projekty nie odnoszą się w sposób odpowiedni do ochrony prywatności. A to jest błąd. Jeżeli zamierzasz wypuścić własną aplikację i na niej zarabiać podpowiem Tobie dzisiaj…
…na co powinieneś zwrócić szczególną uwagę z punktu widzenia ochrony danych osobowych i ochrony prywatności. Jak zapewne doskonale wiesz świadcząc usługi online powinieneś respektować przepisy m.in. ustawy o świadczeniu usług drogą elektroniczną. Właśnie ta ustawa jest najbardziej znana wśród e-przedsiębiorców. Przepisami dotyczącymi ochrony danych osobowych interesują się oni najczęściej wtedy, gdy na stronie projektu chcą dodać newsletter. Super, że newsletter kojarzy się ze zbiorem danych osobowych. Ale to nie wszystko.
Dlatego dzisiaj skupię się na fragmencie legal&compliance, które warto wdrożyć w ramach Twojego startupu. Dodam, że przykłady to coś więcej niż zalecenia wdrożenia to pewna filozofia firmy, która w dzisiejszych czasach może okazać się atrakcyjna dla klientów.
1. Privacy by design
Podejście do ochrony prywatności oraz ochrony danych osobowych zmieniło się na przestrzeni kilku ostatnich lat dość mocno. Twoi potencjalni klienci lub/i klienci są bardziej wyczuleni na tym punkcie dlatego właśnie powinieneś zwrócić szczególną uwagę na te zagadnienia bo zwiększa to konkurencyjność Twojej firmy na rynku.
To co jest na chwilę obecną uznawane za dobrą praktykę – mam na myśli privacy by design (czyli uwzględnienie ochrony prywatności już na etapie projektowania) – w najbliższej przyszłości może stać się obowiązkiem wprowadzonym np. rozporządzeniem unijnym (projekt jednolitego rozporządzenia unijnego dot. ochrony danych osobowych zaprezentowany w ubiegłym roku przenosi siłę postrzegania privacy by design z dobrej praktyki na obligatoryjnie wdrożony w firmie standard).
O co chodzi w privacy by design?
Najprośćiej mówiąc chodzi o wdrożenie 7 zasad podstawowych jeszcze przed powstaniem produktu:
Aczkolwiek nie każda firma radzi sobie z wdrożeniem takiej metodyki.
Rozwiązaniem może być przygotowanie odpowiedniej listy pytań i późniejsza weryfikacja możliwych zagrożeń dla ochrony prywatności poprzez uzyskane odpowiedzi (czyli checklist). Privacy by design stosuje się po to, aby wprowadzić zmiany już na etapie projektowania. Dzięki takiej kolejności wdrożenia zyskasz. Dlaczego? Jeśli nie stosujesz privacy by design to w późniejszym czasie może się okazać, że trzeba poprawić pewne elementy (zdarza się to nader często). A to generuje dodatkowe koszty i problemy. Dlatego o wiele prościej i taniej jest napisać aplikację zgodnie z projektem uwzględniającym privacy by design aniżeli poprawiać ją w późniejszym czasie.
Przykładowe pytania audytowe powinny odnosić się nie tylko do jednego produktu, ale do funkcjonowania całej organizacji, a konkretniej np. do:
2. Privacy by default
Drugi standard, który zainteresował Komisję Europejską to właśnie privacy by deafult (czyli prywatność jako ustawienie domyślne w systemie). W tym miejscu chciałabym Cię uczulić, że privacy by design i privacy by default to nie jest to samo.
Zazwyczaj firmy wdrażają w zależności od programu określony poziom prywatności na starcie. I co do zasady może być on inny. Wynika to z prostego faktu, że aplikacje mogą różnić się od siebie, a co za tym idzie ich funkcjonalność i zakres zbieranych danych także nie jest taki sam. Ustawienia prywatności jako ustawienia domyślne powinny być ustanowione zgodnie z privacy by dseign. Dopiero na etapie rejestracji w systemie użytkownika nastąpi weryfikacja ustawień.
3. Privacy Impact Assesment
Ocena wpływu usługi (a już zwłaszcza chmurowej) na ochronę prywatności to także ważne zagadnienie, które znalazło się w obszarze zainteresowań Komisji Europejskiej. Podobnie jak Privacy by design ocena skutków przedsięwzięć dla ochrony prywatności ma swą ugruntowaną pozycję i powinna być stosowana jako uzupełnienie privacy by design. Istnieje bardzo wiele rekomendacji w temacie PIA. Szczególnie polecam Tobie te.
Koncepcja oceny skutków przetwarzania danych dla ochrony prywatności osób fizycznych wyparła (na kanwie unijnych propozycji zmian przepisów) np. rejestrację zbiorów danych. To duża zmiana, która dla wielu firm może okazać się skomplikowana. Warto już teraz zacząć myśleć poważniej o PIA oraz o tym jakie środki, mechanizmy i zabezpieczenia prowadzą lub będą prowadzić do zgodności z prawem dot. ochrony danych osobowych.
4. System Zarządzania Bezpieczeństwem Informacji
Wdrożenie standardów bezpieczeństwa pracy w systemach teleinformatycznych jak zapewne doskonale wiesz ma istotne znaczenie dla Twojego biznesu. Wystarczy zajrzeć do działu Ataki sieciowe i już widać dlaczego.
Dlatego tak ważnym jest opracowanie indywidualnych dokumentów takich jak Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym oraz Plan Ciągłości Działania.
Późniejsze stosowanie się do zaleceń oraz podnoszenie kwalifikacji Twoich pracowników nt. cyberzagrozeń czy ochrony prywatności jest bardzo ważne. Jeżeli dobre standardy „wejdą w krew” Twoim pracownikom to zminimalizuje to wystąpienie incydentu (np. wycieku danych).
5. Polityka prywatności danych osobowych – informowanie jest ważne!
O tym jak ważna jest dla Ciebie dbałość o prywatność powinieneś mówić swoim klientom. Zrób to w atrakcyjny i wyróżniający się sposób. Dobrym pomysłem jest przygotowanie informacji w formie ulotki czy filmiku. Tylko nie zapomnij o przygotowaniu informacji w tych językach, których używają Twoi klienci.
Informacje powinny być proste, zrozumiałe i przejrzyste. Zawsze kiedy opracowuję politykę prywatności lubię stosować wypunktowania oraz pogrubienia dlatego zachęcam Ciebie do zamieszczania takich polityk, które są przystępne dla odbiorcy czyli łatwo i szybko się je czyta.
Autor grafiki promującej wpis: Evgeny Skidanov