Privacy by design. Jak podzielić pracę w zespole?

10 października 2020

Katarzyna Muszyńska

Head of Data Protection Team
LexDigital
Katarzyna Muszyńska
Privacy by design. Jak podzielić pracę w zespole?

Zastosowanie privacy by design to już nie opcja, a obowiązek wszystkich, którzy projektują produkty i usługi cyfrowe. Z tego artykułu dowiesz się, kto konkretnie powinien brać udział w procesie projektowania prywatności oraz jakie zadania stawiane są przed poszczególnymi członkami zespołu.

Jeśli chcesz dowiedzieć się, czym jest privacy by design i dlaczego może być opłacalnym obowiązkiem, przeczytaj wpis Privacy by design. Chroń dane osobowe, zanim je pozyskasz.

Kogo zaangażować do pracy nad privacy by design?

Nie wystarczy doraźnie konsultować się ze specjalistą ds. ochrony danych osobowych. Efektywne wdrożenie zasady privacy by design to wyzwanie dla całego zespołu, który będzie pracował nad usługą, aplikacją czy stroną internetową.

W modelowym scenariuszu będą to:

  • Inspektor ochrony danych (IOD),
  • przedstawiciele Działu Prawnego i Działu Compliance,
  • przedstawiciele Działu PR i Marketingu,
  • zespół UX,
  • zespół deweloperski,
  • specjaliści ds. bezpieczeństwa systemów informatycznych.

Inspektor Ochrony Danych (IOD)

Rola IOD w zakresie privacy by design będzie polegała na szeroko pojętym opiniowaniu nowych projektów/procesów/zmian pod kątem zgodności z przepisami prawa dotyczącymi ochrony danych osobowych. Dlatego pamiętaj – IOD powinien uczestniczyć już we wczesnych etapach wdrażania nowych projektów. Jeśli firma tworzy produkt korzystając z usług podwykonawcy, IOD powinien zaangażować się już przy wyborze najlepszego zleceniobiorcy. Informuj go o wszystkich planowanych przedsięwzięciach, które związane są z przetwarzaniem danych osobowych.

Oto przykład, który ilustruje, dlaczego w tej kwestii obowiązuje zasada “im wcześniej, tym lepiej”:

Nasz zespół dołączył do projektu, który rozpoczął się 2 miesiące wcześniej. W tym przypadku założeniem biznesowym klienta było ograniczenie widoczności wybranych elementów aplikacji z uwagi na położenie geolokalizacyjne.

Szybko stało się jasne, że to rozwiązanie, którego nie sposób pogodzić z obowiązującym prawem, istnieje bowiem rozporządzenie zabraniające dyskryminacji z uwagi na położenie geolokalizacyjne. Strata? “Jedynie” 2 miesiące pracy. Wyobraź sobie jednak, co by było, gdyby klient zaangażował nas np. na etapie developmentu.

Do zadań IOD należy m.in.:

  • Ustalenie zakresu informacji, które będą pobierane od klientów/użytkowników projektowanej usługi. Kluczowe będzie tu zastosowanie zasady minimalizacji danych, zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

    Oprócz zasady minimalizacji danych IOD będzie odpowiedzialny za wydanie właściwych rekomendacji dotyczących spełnienia zasady ograniczenia celu czy zasady prawidłowości, które nierozerwalnie wiążą się z celami, w których dane osobowe mają być przetwarzane.

  • Określenie dopuszczalnego okresu przechowania danych, zwanego retencją danych. Na przykład w ramach projektowania rozwiązań dla sklepu internetowego wskazówką dla wyznaczania okresu może być okres przedawnienia zobowiązań podatkowych oraz okres przedawnienia roszczeń.
  • Ustalenie, co powinien zapewnić system/aplikacja/oprogramowanie w zakresie realizacji praw osób. Będzie on zatem odpowiedzialny za określenie zasad dotyczących dostępu do danych, sprostowania, usuwania, przygotowywania kopii danych itp. Warto od razu ustalić, jak dokładnie użytkownik będzie mógł zmieniać swoje dane osobowe, np. wskazać konkretną funkcję serwisu.
  • Przygotowanie treści zgód dla osób, których dane będą przetwarzane w projektowanym rozwiązaniu oraz przygotowanie obowiązków informacyjnych (tzw. klauzul informacyjnych). Ponadto w niektórych przypadkach to IOD przygotuje treść polityki prywatności, w której może opisać sposób, w jaki będziesz chronić prywatność swoich użytkowników.

Jeśli w Twojej organizacji nie powołano IOD, to zawsze możesz skorzystać z usług zewnętrznego konsultanta. Może być on niezbędny również w przedsięwzięciach na mniejszą skalę.

Dział Prawny i Dział Compliance

Głównym zadaniem Działu Prawnego oraz Compliance będzie badanie kwestii zgodności projektu z regulacjami prawnymi przez cały okres jego projektowania i wytwarzania. Jeśli projektowana aplikacja czy program będzie wymagał opracowania regulaminu dla użytkowników, to właśnie Dział Prawny będzie odpowiedzialny za ich przygotowanie. Regulamin to właściwe miejsce do określenia i opisania:

  • obowiązków informacyjnych wynikających z RODO,
  • ustawy o ochronie danych osobowych,
  • ustawy Prawo telekomunikacyjne,
  • ustawy o świadczeniu usług drogą elektroniczną,
  • innych przepisów prawa w zależności od kontekstu projektu.

Pamiętaj, że IOD powinien ściśle współpracować z Działem Prawnym i Compliance. Zdarza się, że przedstawiciele działów prawnych są świadomi swoich braków wiedzy w zakresie ochrony danych osobowych i proszą o wsparcie IOD z firmy zewnętrznej. Praktyka rynkowa pokazuje, że organizacje często obsadzają na tym stanowisku pracownika mało doświadczonego w tej materii. Robią to tylko po to, aby spełnić wymóg formalny. W praktyce i tak finalnie angażują zewnętrznego eksperta, który sprosta wyzwaniom projektowym.

Jeśli w Twojej organizacji nie ma takich jednostek organizacyjnych, skorzystaj z usług firm zewnętrznych. W zależności od projektu może się okazać, że pomoc Kancelarii Prawnej nie będzie konieczna i być może wystarczy tylko wsparcie IOD.

Dział PR i Marketing

W kwestii privacy by design Dział PR i Marketing będą odpowiedzialni za dobór narzędzi marketingowych do badania rynku, jak również pozwalających na efektywną i zgodną z prawem reklamę i sprzedaż.

Jeżeli zamierzasz promować swój produkt/projekt w mediach społecznościowych (np. na Facebooku) pamiętaj, że takie działania również wymagają pozostania w zgodzie z przepisami dotyczącymi ochrony danych osobowych. Wobec osób odwiedzających Twój fanpage musisz spełnić obowiązek informacyjny wskazując m. in. cele i podstawy przetwarzania danych. Użytkownik powinien mieć dostęp do tych informacji już na poziomie platformy społecznościowej z której korzysta.

Z punktu widzenia RODO prowadzenie marketingu wiąże się obowiązkami po stronie administratora danych. Jeżeli zdecydujesz się na wysyłkę newslettera w projektowej przez Ciebie aplikacji czy stronie internetowej, to pamiętaj, że masz obowiązek otrzymania od użytkownika zgody na kanały komunikacji, za pośrednictwem których będziesz udostępniał materiały marketingowe.

Do zadań leżących po stronie Działu będzie należało zatem zaplanowanie sposobu zbierania i przechowywania adekwatnych zgód na przetwarzanie danych osobowych, których treść zostanie wcześniej przygotowana przez IOD i/lub Dział Prawny.

Zespół UX

Pamiętaj, że RODO napędza innowacje, ponieważ daje mocne (także finansowe!) argumenty, za tym żeby tworzyć bezpieczne, bardziej dopracowane pod kątem UX i przemyślane aplikacje, usługi czy strony internetowe. Jeśli Zespół UX zastosuje zasadę privacy by design zgodnie z jej założeniami i dostosuje się do zaleceń IOD oraz Działu Prawnego, to Twoje projekty mogą okazać się atrakcyjniejsze nie tylko dla użytkowników, ale również dla inwestorów.

Świadomi inwestorzy – poważne, międzynarodowe korporacje – bardzo uważnie przyglądają się, jak organizacja, w którą potencjalnie zainwestują, dba o ochronę danych. Gdyby doszło do wycieku danych, inwestor poniósłby bardzo poważne straty wizerunkowe, czasami nie do odrobienia.

Weryfikacja przeprowadzana przez inwestorów może być bardziej lub mniej drobiazgowa, nie obędzie się jednak bez szczegółowej, rozbudowanej ankiety z bardzo precyzyjnymi pytaniami. Jeśli chcesz, aby duża firma zainwestowała w Twój produkt, bądź na to przygotowany.

Co więcej, z analiz Komisji Europejskiej wynika, że przedsiębiorstwa coraz częściej uznają dostosowanie organizacji do przepisów o ochronie danych osobowych za silną przewagę konkurencyjną.

Dla porównania: dziurawy i niedopracowany produkt to nie tylko realne ryzyko kar ze strony organu nadzorczego, ale też utraty zaufania po stronie użytkowników oraz inwestorów.

To Zespół UX będzie odpowiedzialny za właściwą adaptację w projekcie propozycji Działu PR i Marketingu (miejsce na zgody, regulamin) oraz za wdrożenie rozwiązań, które ułatwią odbiorcy korzystanie z aplikacji, strony itd.

Przykład: W ramach korzystania z usługi użytkownik wpisuje swój e-mail. Dział marketingu zamierza wykorzystać zebraną w ten sposób bazę leadów. Zazwyczaj wiąże się to z koniecznością umieszczenia w interfejsie checkboxów służących do wyrażenia zgody na działania marketingowe. Jeśli jednak dział UX zaprojektuje formularz w taki sposób, aby było jasne, że już samo pozostawienie adresu e-mail oznacza wyrażenie takiej zgody, checkboxy nie będą w ogóle potrzebne.

Zespół deweloperski oraz specjaliści ds. bezpieczeństwa IT

Rolą deweloperów będzie techniczne wdrożenie rekomendacji IOD oraz niezbędnych zabezpieczeń, w szczególności:

  • identyfikacja zakresu danych przetwarzanych w środowisku IT,
  • ustalenie miejsca utrzymania bazy danych i sposobu ich zabezpieczenia,
  • przeprowadzenie szczegółowej analizy możliwości wdrożenia technik pseudonimizacji i szyfrowania danych w systemach informatycznych zgodnych z obowiązującymi na rynku standardami,
  • ustalenie możliwości szyfrowania danych i tam, gdzie będzie to możliwe, wdrożenie takiego szyfrowania,
  • określenie zabezpieczeń systemu informatycznego, aplikacji i danych przed celową lub niezamierzoną ingerencją poprzez wykorzystanie
  • rozwiązań sprzętowych i programowych,
  • opracowanie mechanizmów pozwalających na usuwanie lub anonimizację danych,
  • określenie rodzaju danych wykorzystywanych do testowania (bazy rzeczywiste czy dane fikcyjne),
  • opracowanie planów ciągłości działania i ich systematyczne testowanie.

Współpraca Zespołu – jak ją kształtować?

Praca włożona w projekt przez poszczególnych członków zespołu nie będzie mieć sensu, jeżeli nie będzie opierać się na sprawnej, rzetelnej i bieżącej komunikacji.

Dokumentuj wszystkie spotkania, a przede wszystkim współpracę z Inspektorem (lub inspektorem-konsultantem). Być może w ramach kontroli Urzędu Ochrony Danych Osobowych będziesz musiał przedstawić dowody na stosowanie zasady privacy by design.

Rozpoczynając realizację projektu, pamiętaj o ustaleniu zasad współpracy zespołu. Powinieneś określić przynajmniej wstępny harmonogram prac. Dobrą praktyką są cykliczne spotkania podsumowujące poszczególne etapy. Im częściej będziecie się komunikować, tym większa szansa na realizację założeń zasady privacy by design.