GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wytyczne Norweskiego Organu w sprawie projektowania oprogramowania

Wytyczne Norweskiego Organu w sprawie projektowania oprogramowania

Na stronie Norweskiego Organu Ochrony Danych znajdują się Wytyczne w sprawie rozwoju oprogramowania zgodnie z zasadami ochrony prywatności w fazie projektowania oraz domyślnej ochrony danych.

Poniżej  znajduje się tłumaczenie listy kontrolnej dotyczącej projektowania oprogramowania. Treść przetłumaczonego rozdziału w języku angielskim dostępna jest tutaj: https://www.datatilsynet.no/globalassets/global/english/guidelines/privacy-by-design/checklist-design.pdf.

Projektowanie

Niniejsza lista kontrolna jest dynamiczna, nie jest wyczerpująca i będzie regularnie uaktualniana. […]

Wymogi projektowania zorientowane na ochronę danych

Minimalizuj oraz ograniczaj. Ilość zbieranych oraz przetwarzanych danych osobowych powinna być ograniczona do tego co jest zgodne z prawem oraz ściśle niezbędne. Dane muszą być usunięte, jeżeli ich przechowywanie nie jest dłużej wymagane do osiągnięcia celów. Przestrzegaj zasady: „wybierz zanim zbierzesz”.

Przykłady:

Chowaj i chroń – dane osobowe oraz relacje między nimi nie powinny być komunikowane, przetwarzane ani przechowywane w widocznym miejscu. W przypadku schowania bezpośrednio identyfikujących danych osobowych poza widocznym miejscem, ryzyko naruszenia oraz zakres potencjalnego incydentu jest znacznie zmniejszony. Przykłady obejmują pseudonimizację, szyfrowanie oraz agregowanie danych.

Przykłady:

Oddzielaj: Gdy to możliwe dane osobowe powinny być oddzielone od innych danych. Dane powinny być przechowywane w oddzielnych bazach danych, podmiotach oraz obszarach
w odniesieniu do każdego celu oraz procesu. Poprzez oddzielenie przetwarzania lub przechowywania kilku źródeł danych osobowych należących do tej samej osoby, prawdopodobieństwo utworzenia kompletnych profili jednej osoby jest zredukowane. Oddzielenie jest również skutecznym środkiem wypełnienia zasady ograniczenia celu oraz uniknięcia połączenia pomiędzy różnymi zestawami danych. Tabele zawierające dane osobowe powinny być krócej przechowywane oraz krótszy powinien być okres, po którym zostaną automatycznie usunięte. Tabele niezawierające danych osobowych mogą być dłużej przechowywane. Środki służące temu celowi mogą obejmować: kontrolę dostępu do tabel, rozdzielenie tabeli baz danych, rozróżnienie pomiędzy komponentami, jednostkami oraz obszarami, co do których istnieje wysoki poziom zaufania od tych,co do których istnieje niski poziom oraz rozdzielenie dostępu do poszczególnych obszarów zgodnie z zasadą niezbędności.

Przykłady:

Agreguj – Dane osobowe powinny być zbierane oraz przetwarzane w tak bardzo zagregowany sposób jak to tylko możliwe, w celu zapewnienia wykonalności praw osób, których dane dotyczą, bez uszczerbku dla wartości biznesowej oraz celu zbierania oraz wykorzystania danych.

Przykłady:

– zwiększ okresy poprzez wykorzystywanie tygodni zamiast dni lub godzin;

– korzystaj z krajów lub regionów, a nie z adresów przy alokowaniu osób lub jednostek;

– korzystaj z grupowania a nie przyporządkowania indywidualnego.

Ochrona danych w fazie ustawień – domyślnie, wszystkie ustawienia powinny być skonfigurowane w sposób najbardziej przyjazny prywatności. Użytkownik musi mieć możliwość świadomego wyboru, jeżeli chce dokonać zmian, których skutkiem byłyby ustawienia mniej przyjazne prywatności. Np., to użytkownik powinien zdecydować czy chce udostępnić więcej danych innym użytkownikom.

Przykłady:

Wymogi projektowania zorientowane na proces.

Informowanie. Oprogramowanie powinno być zaprojektowane oraz skonfigurowane w taki sposób aby osoba, której dane dotyczą była wystarczająco poinformowana o tym w jaki sposób oprogramowanie działa oraz w jaki sposób dane osobowe są przetwarzane. W przypadku przeprowadzanie profilowania lub zautomatyzowanego podejmowania decyzji osoba, której dane dotyczą powinna być poinformowana o tym w jaki sposób się to odbywa. Ważnym jest aby pamiętać, że należy stosować specjalne wymagania gdy oprogramowanie jest kierowane do dzieci.

Przykłady:

Należy utworzyć oraz udostępnić osobom, których dane dotyczą stronę internetową zawierającą informacje dotyczące oprogramowania, zanim rozpoczną oni korzystanie
z oprogramowania;

– dotyczącą celu oraz potrzeby zbierania danych;

– bezpieczeństwa oprogramowania (w jaki sposób dane są chronione);

– wykorzystania podwykonawców, oraz możliwym udostępnianiu danych podwykonawcom;

Kontroluj – Osoba, której dane dotyczą ma prawo do kontroli nad swoimi własnymi danymi osobowymi. Obejmuje to prawo dostępu w celu obejrzenia, uaktualnienia oraz/ lub usunięcia swoich danych. W przypadku automatycznego przetwarzania lub podejmowania decyzji bez interwencji człowieka, osoba, której dane dotyczą może żądać aby przetwarzanie przeprowadzono w sposób ręczny. Oprogramowanie powinno być zaprojektowane w taki sposób, aby osoba, której dane dotyczą mogła wykonać te prawa w sposób tak łatwy jak to tylko możliwe.

Przykłady:

Stwórz oraz umożliwiaj  korzystanie z  następujących funkcji:

– podgląd, które elementy operacji przetwarzania danych są konieczne w celu wykonania umowy, a które podlegają dobrowolnej zgodzie;

– umożliwienie osobie, której dane dotyczą wyrażenia zgody na stronie zawierającej informacje poprzez checkbox, przed rozpoczęciem korzystania z oprogramowania;

– wycofanie zgody poprzez menu w ramach oprogramowania. Pamiętaj, że zbieranie danych osobowych musi zostać zakończone po wycofaniu zgody;

– udzielenie dostępu w celu poprawienia, zablokowania lub usunięcia danych osobowych, np. poprzez umożliwienie podejrzenia zebranych danych bezpośrednio przez osobę, której dane dotyczą w ramach oprogramowania;

– zapewnienie trwałego usunięcia danych osobowych z bazy danych oraz z wszelkich innych miejsc w których jest przechowywane (np. kopii zapasowych). Informacja może być również wyeksportowana do pliku lub wersji papierowej w celu ręcznego sprawdzenia wraz z odpowiednią procedurą pozwalającą osobie, której dane dotyczą na poprawienie, zablokowanie lub usunięcie danych ( w ciągu 30 dni);

– rozwiązanie umowy, zainstalowanie, odinstalowanie, włączenie oraz wyłączenie aplikacji, programu, komponentu lub systemu za pomocą funkcjonalności w menu lub dedykowanej strony internetowej lub ręcznie za pomocą formularza;

– przesyłanie pytań lub skarg dotyczących ochrony danych oraz bezpieczeństwa. Innym sposobem jest udostępnienie informacji na stronie internetowej wraz z informacją dot. kontaktu połączoną z kanałem komunikacyjnym w celu rozpatrywania pytań (w takim przypadku należy przyjąć udokumentowaną procedurę);

– wyrażanie sprzeciwu wobec profilowania poprzez umożliwienie użytkownikom podjęcia świadomego wyboru o odmowie profilowania oraz redystrybucji danych osobowych. Można to przeprowadzić np. poprzez menu z checkboxem oraz flagą przechowywaną w bazie danych lub ręcznie poprzez kanał komunikacyjny.

Określenie wymagań dotyczących otwartości oraz informacji dotyczącej sposobu podejmowania zautomatyzowanych decyzji, jak również umożliwienie osobie, której dane dotyczą zwrócenia się o ręczne przetwarzanie. Jest to opisane w dokumentacji systemu oraz powinno być udostępnione na stronie informacyjnej oprogramowania.

Wdrażaj –Oprogramowanie powinno być zaprojektowane w taki sposób, aby dokumentowało w jaki sposób zapewnia wykonalność praw osób, których dane dotyczą. Dokumentacja powinna obejmować rozliczalność oraz wskazywać w jaki sposób regulacje dotyczące ochrony danych są wdrażane. Powinno być one udostępniane w przypadku audytów oraz kontroli przetwarzania. Obejmuje to również sztuczną inteligencję, profilowanie oraz zautomatyzowane przetwarzanie.

Przykłady:

– Ustawienia muszą być przedstawione w menu, gdzie osoba, której dane dotyczą podejmuje świadomą, aktywną decyzję o zmianie ustawień na mniej przyjazne prywatności;

– Jeżeli w późniejszym okresie oprogramowanie musi być zmienione na mniej przyjazne prywatności, osoba, której dane dotyczą musi być jasno poinformowana o zmianie i może się na to zgodzić poprzez zaznaczenie checkboxa po otrzymaniu/ odczytaniu informacji o zmianie;

– Musi istnieć możliwość zwrócenia się o udostępnienie własnych danych osobowych przez osobę, której dane dotyczą lub o przekazanie danych innemu dostawcy usług w standardowym oraz nadającym się do ponownego wykorzystania formacie;-

– Prawo to ma zastosowanie jeżeli przetwarzanie opiera się na zgodzie lub na umowie;

– Osoba, której dane dotyczą może zażądać, aby dane osobowe zostały wyeksportowane oraz dostarczone w bezpieczny sposób (ręcznie lub pocztą tradycyjną lub inną bezpieczną metodą przesyłki) do nowego dostawcy usług;

Zgoda wymaga aktywnej partycypacji użytkownika:

– Oprogramowanie skierowane do młodocianych oraz nieletnich musi zawierać funkcjonalność wymagającą zgody od rodzica bądź opiekuna zanim zostanie udzielony dostęp. Funkcjonalność ta musi zapewnić lub potwierdzić, że są oni upoważnieni do udzielenia tej zgody. Innym sposobem jest ustanowienie procedur dotyczących wymagania ręcznie udokumentowanej zgody rodzica lub opiekuna.

Osoba, której dane dotyczą powinna mieć wgląd w to kto, kiedy oraz w jaki sposób miał dostęp do danych (co obejmuje dostęp oraz zmiany dokonane przez osobę, której dane dotyczą) oraz jakich zgód udzielono. Każdy dostęp powinien być zarejestrowany
w logach, które mogą być udostępnione osobie, której dane dotyczą.

Wykaż – Administrator musi być w stanie udokumentować zgodność z regulacjami w zakresie ochrony danych oraz bezpieczeństwem przetwarzania. Oprogramowanie musi być zaprojektowane oraz stworzone w taki sposób, aby administrator był w stanie udokumentować oraz wykazać w jaki sposób wymogi regulacji w zakresie ochrony danych zostały wdrożone. Przykłady obejmują dokumentację wykazującą, że oprogramowanie zostało stworzone przy wykorzystaniu metodologii zapewniającej ochronę danych w fazie projektowania oraz bezpieczeństwo informacji (SSDLC – Secure Software Development Life Cycle), sprawozdania z audytów bezpieczeństwa, skanowanie podatności, testy bezpieczeństwa takie jak testy penetracyjne oraz sprawozdania dotyczące szkoleń w zakresie zarządzania naruszeniami ochrony danych.

Analiza oraz redukcja przestrzeni ataku w przypadku rozwijanego oprogramowania

Modelowanie zagrożeń

Przykłady narzędzi:

– Zasadę najmniejszego uprzywilejowania;

– Obronę w głąb;

– Uszkodzenie w kierunku bezpiecznym.

Dlaczego wymogi w obszarze projektowania są konieczne?