Zanim znajdziemy wykonawcę aplikacji

Przygotowując aplikację internetową, należy w opisie funkcjonalności zawrzeć wymagania dotyczące zabezpieczenia danych osobowych, które będą za jej pomocą przetwarzane.

Wymagania takie określa Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie).

Wiarygodny dostęp

Podstawowym wymogiem jest uzyskanie dostępu do przetwarzanych danych osobowych wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Jeżeli dostęp będzie mieć więcej niż jedna osoba, to aplikacja powinna przydzielać oddzielne identyfikatory każdej z nich. Aplikacja powinna umożliwiać także nadawanie użytkownikom różnych poziomów uprawnień, tak aby posiadali oni dostęp wyłącznie do tych danych oraz funkcjonalności, które są im niezbędne do wykonywania obowiązków.

Kolejną rzeczą, którą powinniśmy wziąć pod uwagę, jest zapewnienie odnotowywania przez aplikację: daty pierwszego wprowadzenia danych (kiedy powstał dany rekord w bazie), identyfikatora użytkownika, który wprowadził dane osobowe do aplikacji (chyba że dostęp do aplikacji i przetwarzanych w niej danych będzie miała tylko jedna osoba), źródła danych (w przypadku zbierania danych nie od osoby, której one dotyczą), informacji o odbiorcach, którym dane osobowe będą mogły zostać udostępnione, dacie i zakresie tego udostępnienia oraz sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy będziemy zamierzali przetwarzać te dane w celach marketingowych lub przekazywać innym firmom. Dodatkowo aplikacja powinna umożliwiać sporządzenie i wydrukowanie czytelnego raportu zawierającego powyższe informacje.

Ważne jest również, aby aplikacja umożliwiała ustawienie wymuszenia długości hasła, które będzie służyło do uwierzytelnienia się (min. 8 znaków), jego złożoności (kombinacja małych i wielkich liter, cyfr lub znaków specjalnych - minimum trzy z tych czterech grup) oraz okresowej zmiany (nie rzadziej niż co 30 dni). W przypadku, gdy aplikacja będzie umożliwiać rejestrację użytkowników zewnętrznych (klientów, użytkowników portali), można zastosować tzw. badanie siły hasła, aby tychże użytkowników nie wystraszyć, a tym samym nie stracić. Tacy użytkownicy i tak będą mieli dostęp wyłącznie do swoich danych wprowadzonych podczas rejestracji, i to oni mogą decydować, jak złożonym hasłem będą chcieli je zabezpieczyć. Rejestracja oraz uwierzytelnianie takich użytkowników, a tym samym przesyłanie danych w sieci publicznej powinny być zabezpieczone poprzez środki ochrony kryptograficznej (np. protokół SSL).
Istotną sprawą jest możliwość usunięcia danych na życzenie osoby, której dotyczą lub gdy cel ich przetwarzania został osiągnięty. Czynność taka powinna być dokonana w sposób uniemożliwiający ponowne odtworzenie treści usuniętych danych, czyli tak, aby po usunięciu tych danych niemożliwe było zidentyfikowanie osoby, której dotyczą. Dopuszczalne jest zanonimizowanie takich danych, pamiętając, że adres IP lub adres e-mail mogą stanowić dane osobowe. Oczywiście, należy mieć na uwadze również przepisy prawa, które mogą określać prowadzoną przez nas działalność i stanowić o gromadzeniu określonych danych przez określony czas, a tym samym uniemożliwiać usuwanie pewnych danych.

Precyzyjna umowa

Gdy już ustalimy wszystkie wymogi, możemy rozpocząć szukanie wykonawcy, który je wszystkie będzie w stanie spełnić. W umowie o współpracy można wprowadzić (poza określeniem powyższych funkcjonalności) zapisy o tym, że aplikacja będzie zgodna z wymogami UODO oraz rozporządzenia. Jeżeli firma będąca wykonawcą będzie miała przez jakiś czas dostęp do już wykonanej i wdrożonej aplikacji, będzie odpowiadała za jej serwis, czy też udostępni serwer, na którym ta aplikacja będzie się znajdować (hosting), konieczne będzie zawarcie w umowie zapisów określonych w art. 31 UODO mówiących o powierzeniu danych osobowych do przetwarzania innemu podmiotowi.

Wybierając firmę do stworzenia aplikacji i wiedząc, że będzie się to wiązało w przyszłości z dostępem do przetwarzanych w niej danych osobowych, musimy sprawdzić, czy firma stosuje odpowiednie środki techniczne i organizacyjne, których zadaniem jest zabezpieczenie powierzonych danych, stosownie do przepisów, o których mowa w rozdziale 5 UODO oraz w rozporządzeniu. Stosowne oświadczenie należy zawrzeć w tzw. umowie powierzenia, pamiętając jednak, że warto to również sprawdzić. W umowie powinien zostać jasno określony cel i zakres przetwarzania powierzanych danych.

Powyższe elementy mają charakter obligatoryjny, jeśli chcemy działać w zgodzie z przepisami UODO, musimy je zawrzeć w umowie. Jeżeli jednak chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia powinniśmy uzupełnić jeszcze o zapisy dotyczące odpowiedzialności za wyrządzenie szkód (kary umowne), możliwość przeprowadzenia kontroli przetwarzania danych, czy też opisać sposób postępowania z danymi osobowymi po rozwiązaniu umowy.

Maria Lothamer jest wiceprezesem zarządu firmy iSecure zajmującej się doradztwem z zakresu ochrony danych osobowych.