Wielkość tekstu
Kontrast serwisu

Porada: Jak współpracować w zakresie ochrony danych osobowych z firmą tworzącą aplikacje internetowe?

Planując stworzenie aplikacji internetowej (np. firmowej strony internetowej) powinniśmy, jeszcze przed wyborem firmy-wykonawcy, która ją dla nas stworzy, do opisu podstawowej jej funkcjonalności dodać konkretne wymagania. Wymagania te będą musiały być spełnione, aby w pełni zabezpieczyć dane osobowe, które będą przetwarzane za pomocą tej aplikacji.

Określa je Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.922) (dalej UODO) oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024) (dalej Rozporządzenie). Należy również pamiętać o takich ważnych aktach wykonawczych jak Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.745) i Rozporządzenie Ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U.2015.719).

Przepisy przewidują obligatoryjne tzw. „funkcjonalności aplikacji”, jak i te fakultatywne, czy też zależne od dokonanych wyborów w ramach tych pierwszych.

Podstawowym wymogiem ww. przepisów jest możliwość dostępu przez pracowników czy osoby współpracujące z właścicielem aplikacji do danych osobowych przetwarzanych za pomocą aplikacji wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia czyli zalogowania się. Jeżeli dostęp będzie posiadała więcej niż jedna osoba to aplikacja musi posiadać możliwość przydzielenia oddzielnych identyfikatorów dostępu dla każdej z tych osób. Aplikacja taka powinna również posiadać funkcjonalność umożliwiającą nadawanie użytkownikom różnych poziomów uprawnień tak, aby posiadali oni dostęp wyłącznie do tych danych oraz tych funkcjonalności aplikacji, które są niezbędne do wykonywania obowiązków nałożonych na te osoby.

Przedsiębiorca powinien również mieć na uwadze wynikające z ww przepisów obowiązki co do posiadania i wdrożenia wewnątrz przedsiębiorstwa właściwej dokumentacji, w której powinny znaleźć się zapisy nie tylko opisujące sposób przetwarzania danych osobowych, ale także właśnie wskazanie i opis środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na dokumentację tę składają się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Wprawdzie przepisy wyodrębniają te dwa dokumenty identyfikując je odrębnie, lecz nie stoi na przeszkodzie, aby przedsiębiorca połączyły je w jeden jednolity dokument w postaci np. regulaminu. Istotne jest tu to, aby postanowienia regulacji wewnętrznej uwzględniały wymogi przepisane ww regulacjami, w tym również obejmowały i mogły być stosowane przy tworzeniu i korzystaniu z właściwych aplikacji.

Kolejnymi funkcjonalnościami, które powinniśmy wziąć pod uwagę są:

  • zapewnienie odnotowywania przez aplikację daty pierwszego wprowadzenia danych (kiedy powstał dany rekord w bazie),
  • identyfikatora użytkownika, który wprowadził dane osobowe do aplikacji (chyba że dostęp do aplikacji i przetwarzanych w niej danych będzie posiadała wyłącznie jedna osoba), pod pojęciem „identyfikatora użytkowania” w rozumieniu ww przepisów rozumie się ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one będą dotyczyć (np. zakup bazy),
  • informacji o odbiorcach danych, którym dane osobowe będą mogły zostać udostępnione, dacie i zakresie tego udostępnienia
  • oraz sprzeciwu wobec przetwarzania danych osobowych w przypadkach, gdy będziemy zamierzać przetwarzać te dane w celach marketingowych lub przekazywać innym firmom czy partnerom.

Dodatkowo aplikacja powinna umożliwiać sporządzenie i wydrukowanie czytelnego raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania określone przepisami ustawy UODO i Rozporządzeń, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

Jeżeli chodzi o funkcjonalność aplikacji to powinna ona umożliwiać również ustawienie wymuszenia długości hasła, które będzie służyło do uwierzytelnienia się przez pracownika czy osobę współpracującą z firmą (min. 6 znaków), jego złożoności (kombinacja małych i wielkich liter, cyfr lub znaków specjalnych – min. trzy z tych czterech grup) oraz jego okresowej zmiany (nie rzadziej, niż co 30 dni). Pod pojęciem „hasła” w świetle przepisów Rozporządzenia rozumie się ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym

W przypadku, gdy aplikacja będzie umożliwiać rejestrację użytkowników zewnętrznych (klientów, użytkowników portali), można zastosować tzw. badanie siły hasła, aby tychże użytkowników nie wystraszyć, a tym samym nie stracić ustawiając wymuszenie. Tacy użytkownicy i tak będą posiadali dostęp wyłącznie do swoich danych wprowadzonych podczas rejestracji i to oni mogą decydować jak złożonym hasłem będą chcieli je zabezpieczyć. Rejestracja takiego użytkownika oraz uwierzytelnianie, a tym samym przesyłanie danych w sieci publicznej, powinny być zabezpieczone poprzez środki ochrony kryptograficznej (np. protokół SSL).

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia, przepisy przewidują trzy możliwe do wprowadzenia i zastosowania poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony i wysoki. Przypadki, w których powinien znaleźć zastosowanie właściwy poziom określają przepisy Rozporządzenia (patrz par. 6).

Ważną kwestią jest również możliwość usunięcia danych. Jeżeli osoba, której dane będą przetwarzane w aplikacji będzie chciała usunąć z niej swoje dane osobowe lub zażąda tego od nas, albo zostanie osiągnięty cel przetwarzania tych danych, to aplikacja powinna umożliwiać ich usunięcie. Czynność taka powinna być dokonana w sposób uniemożliwiający ponowne odtworzenie treści usuniętych danych, czyli tak, aby po usunięciu tych danych niemożliwe było zidentyfikowanie osoby, której one dotyczyły. Dopuszczalne jest zanonimizowanie takich danych pamiętając, że adres IP lub adres e-mail mogą stanowić dane osobowe. Oczywiście należy mieć na uwadze również przepisy prawa, które mogą określać prowadzoną przez nas działalność i stanowić o gromadzeniu określonych danych przez określony czas, a tym samym uniemożliwiać usuwanie pewnych danych przed upłynięciem tego czasu.

Gdy już określimy sobie w pełni wszystkie wymogi, możemy rozpocząć szukanie odpowiedniego wykonawcy, który wszystkie te wymogi będzie w stanie zastosować w naszej aplikacji. Można wprowadzić w umowie o współpracy, poza określeniem konkretnie powyższych funkcjonalności, zapisy o tym, że aplikacja będzie zgodna z wymogami UODO oraz Rozporządzenia.

Jeżeli firma będąca wykonawcą będzie miała przez jakiś czas dostęp do już wykonanej i wdrożonej aplikacji lub będzie odpowiadała za jej serwis lub nawet udostępni serwer, na którym ta aplikacja będzie się znajdować (hosting), czyli tym samym będzie posiadała dostęp do danych osobowych, które będą przetwarzane za pomocą tejże aplikacji (sama możliwość wglądu do danych osobowych jest już ich przetwarzaniem), konieczne będzie zawarcie w umowie zapisów określonych w Art. 31 UODO mówiących o powierzeniu danych osobowych do przetwarzania innemu podmiotowi. Wybierając firmę do stworzenia aplikacji i wiedząc, że będzie to się wiązało w przyszłości z dostępem do przetwarzanych w niej danych osobowych musimy sprawdzić czy taka firma, stosuje odpowiednie środki techniczne i organizacyjne, których zadaniem jest zabezpieczenie powierzonych danych stosownie do przepisów, o których mowa w Rozdziale 5 UODO oraz w Rozporządzeniu. Stosowne oświadczenie należy zawrzeć w tzw. umowie powierzenia pamiętając jednak, że warto jest to również sprawdzić. W takiej umowie powinien zostać również jasno określony cel oraz zakres powierzanych danych.

Powyższe elementy mają charakter elementów obligatoryjnych. Przepisu ustawy UODO oraz Rozporządzenia mają charakter ius cogens (bezwzględnie obowiązujących), co oznacza, że znajdują one zastosowanie z mocy prawa. Nie mniej, to w interesie przedsiębiorcy, jako działającego zgodnie z miernikiem podwyższonej zawodowej staranności, jest, aby właściwe zapisy znalazły się również  w umowie. Jeżeli  chcemy lepiej zabezpieczyć naszą firmę, umowę powierzenia powinniśmy uzupełnić jeszcze np. o zapisy dotyczące odpowiedzialności za wyrządzenie szkód (kary umowne), możliwość przeprowadzenia kontroli przetwarzania danych, czy też opisać sposób postępowania z  danymi osobowymi po rozwiązaniu umowy. Przedsiębiorca powinien pamiętać, że w świetle ww regulacji posiada status administratora danych, a to wiąże się z konkretnymi nałożonymi na niego obowiązkami, pod rygorem określonej odpowiedzialności, o której stanowi ustawa UODO. Jest zatem obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Wybór właściwych środków i narządzi celem realizacji ww obowiązku ustawa pozostawia administratorowi danych, a więc przedsiębiorcy. W praktyce będzie to uzależnione m.in. od rozmiaru przedsiębiorstwa, charakteru prowadzonej działalności, czy środków finansowych, które przedsiębiorca może dedykować dla realizacji ochrony i zabezpieczeń; każdorazowo jednak przy uwzględnieniu określonych przepisami kryteriów i parametrów ochrony.

Może zaoszczędzimy Ci czasu? Może podejmiesz szybciej lepszą decyzję?
przekaż darowiznę Pomóż młodym mikro firmom.

6% od dochodu - odlicza płatnik podatku od osób fizycznych
10% od dochodu - odlicza płatnik podatku od osób prawnych
Dlaczego warto?
Dowód wpłaty jest dokumentem uprawniającym do odliczeń w rocznym zeznaniu podatkowym (podstawa - Ustawa o PIT)

 
 

Pomóż Nam Działać Szybciej. Jeśli nie My razem, to kto? Bo kiedy, jeśli nie teraz?

Mikroporady.pl w miesiącu odwiedza ponad 40000 unikalnych użytkowników

Przekaż ico-1procent Podatku PIT

KRS: 0000318482 - Wpisz w Deklaracji

Dlaczego warto?

przekaż darowiznę

• do 6% dochodu - osoby fizyczne
• do 10% dochodu - osoby prawne

Przekaż darowiznę on-line:

dalej
Wypełnienie pól oznaczonych gwiazdką (*) jest obowiązkowe.
 

Zapisz się na Biuletyn

Co tydzień bezpłatny Biuletyn Aktualizacyjny z nowymi wzorami dokumentów, instrukcjami, poradami, przygotowywanymi przez zespół prawników z aktualnym stanem prawnym.

Fundacja Akademia Liderów i Mikroporady ® udzielają pomocy mikro firmom bezpłatnie i bez ograniczeń.
Nie wyświetlamy żadnych reklam, nie pobieramy opłat od użytkowników, nie udostępniamy pozostawionych danych.