Privacy by design & privacy by default w aplikacjach mobilnych

Ochro­na danych oso­bo­wych w fazie pro­jek­to­wa­nia oraz zasa­da domyśl­nej ochro­ny danych to nowe obo­wiąz­ki, któ­re zosta­ną nało­żo­ne na admi­ni­stra­to­rów danych oso­bo­wych 25 maja 2018 r. W dniu tym wcho­dzi w życie nowe ogól­ne roz­po­rzą­dze­nie w spra­wie ochro­ny danych oso­bo­wych wpro­wa­dza­ją­ce te zasa­dy. Jeśli jesteś pro­gra­mi­stą, to lepiej nie machaj ręką na to, że do ich wej­ścia w życie pozo­sta­ło jesz­cze pół­to­rej roku. Mówię o tym dla­te­go, że więk­szość opro­gra­mo­wa­nia, któ­re ist­nie­je lub dopie­ro powsta­je, pra­wie na pew­no będzie dzia­łać 25 maja 2018 r. i póź­niej. Siłą rze­czy ich twór­cy muszą liczyć się ze wspo­mnia­ny­mi obo­wiąz­ka­mi. Co one ozna­cza­ją? Opo­wia­da­łem o tym w ubie­głym tygo­dniu, pod­czas kon­fe­ren­cji Code Euro­pe w Kra­ko­wie i War­sza­wie. Na blo­gu poja­wi­ły się już moje wra­że­nia na temat samej kon­fe­ren­cji. Teraz zatem pora na szcze­gó­ły doty­czą­ce moich wystąpień.

O moich wystąpieniach

Oba moje wystą­pie­nia odby­wa­ły się w wie­czor­nych czę­ściach kon­fe­ren­cji. Mia­łem tro­chę oba­wy, czy nie wpły­nie to nega­tyw­nie na fre­kwen­cję, ale na szczę­ście bez­pod­staw­nie. Sale były peł­ne – zwłasz­cza w War­sza­wie, gdzie nie było chy­ba ani jed­ne­go wol­ne­go miej­sca. Bar­dziej jed­nak od ilo­ści osób cie­szy mnie ilość pytań, któ­re po zakoń­cze­niu wystą­pie­nia zosta­ły mi zada­ne. W Kra­ko­wie zamy­ka­łem obra­dy, a zatem nie było więk­sze­go limi­tu cza­so­we­go – skut­ko­wa­ło to tym, że po 30 minu­tach wystą­pie­nia odpo­wia­da­łem jesz­cze przez 40 minut na pyta­nia ze sali. Było super ????

W War­sza­wie nie­ste­ty nie było tyle cza­su, bo swo­je wystą­pie­nie zaraz po mnie roz­po­czy­nał Michał Bar­ty­zel. Jed­nak i tak uda­ło się ukraść tro­chę cza­su (pro­ble­my tech­nicz­ne kolej­ne­go wystą­pie­nia), a z kil­ko­ma oso­ba­mi uda­ło mi się też poroz­ma­wiać już poza salą.

Co się zmienia w ochronie danych?

Nowe pra­wo, to coś wię­cej niż tyl­ko zmia­na prze­pi­sów. To tak napraw­dę pró­ba podą­ża­nia pra­wo­daw­cy za duchem cza­sów. Zasa­da pri­va­cy by design to tak napraw­dę pewien para­dyg­mat. Nie może­my jej wysło­wić i zde­fi­nio­wać jed­no­ra­zo­wo – ona ma być w pew­nym sen­sie neu­tral­na cza­so­wo dosto­so­wu­jąc się do aktu­al­nej tech­no­lo­gii. Para­dyg­mat ten naka­zu­je wdra­żać odpo­wied­nie środ­ki tech­nicz­ne i orga­ni­za­cyj­ne, takie jak np. pseu­do­ni­mi­za­cja. Mają być one pro­jek­to­wa­ne w celu sku­tecz­nej reali­za­cji zasad ochro­ny danych. Jed­ną z takich zasad, do reali­za­cji któ­rych nale­ży dążyć jest mini­ma­li­za­cja prze­twa­rza­nia i prze­twa­rza­nych danych.

Uwzględ­nie­nie ochro­ny danych w fazie pro­jek­to­wa­nia wią­że się z pod­sta­wo­wy­mi nowo­ścia­mi – sza­co­wa­niem ryzy­ka i zagro­żeń. Nowe pra­wo odcho­dzi od zało­że­nia, w któ­rym wdra­ża­my sobie doku­men­ta­cję czy speł­nia­my for­mal­ne wymo­gi np. zwią­za­ne z reali­za­cją obo­wiąz­ków infor­ma­cyj­nych. Będzie­my mie­li obo­wią­zek uwzględ­nia­nia sta­nu wie­dzy tech­nicz­nej, kosz­tów wdro­że­nia oraz cha­rak­te­ru, zakre­su, kon­tek­stu i celów prze­twa­rza­nia danych. Obej­mu­je to tak­że ryzy­ko naru­sze­nia praw lub wol­no­ści osób fizycz­nych o róż­nym praw­do­po­do­bień­stwie wystą­pie­nia i wadze zagro­że­nia wyni­ka­ją­ce z przetwarzania.

Zasa­da pri­va­cy by default sta­no­wi dopeł­nie­nie omó­wio­nej wcze­śniej sio­stry. Wią­że się tro­chę z mini­ma­li­za­cją prze­twa­rza­nia, ale też w ogó­le z samym pro­ce­sem prze­twa­rza­nia i tym co z dany­mi oso­bo­wy­mi się dzie­je. To sze­reg takich zagad­nień jak kwe­stie domyśl­ne­go zaka­zu udo­stęp­nia­nia danych, czy kon­fi­gu­ra­cji usta­wień apli­ka­cji lub ser­wi­su w spo­sób domyśl­nie zakła­da­ją­cy mak­sy­mal­ną ochro­nę prze­twa­rza­nych danych.

Te dwie zasa­dy będą sta­no­wić trud­ny orzech do zgry­zie­nia, szcze­gól­nie w przy­pad­ku apli­ka­cji czy softu teraz powsta­ją­ce­go, któ­ry zacznie być eks­plo­ato­wa­ny w momen­cie wej­ścia w życie roz­po­rzą­dze­nia. War­to się na to przy­go­to­wać, i jak to kon­kret­nie robić wska­zy­wa­łem uczest­ni­kom Code Euro­pe. Zasta­na­wia­łem się, w jaki spo­sób do tego pro­ble­mu podejść i stwier­dzi­łem, że naj­le­piej będzie wybrać kil­ka kon­kre­tów i odnieść je do nama­cal­ne­go opro­gra­mo­wa­nia – tak by te skom­pli­ko­wa­ne zasa­dy sta­ły się nie­co bar­dziej przyjazne.

Aplikacje mobilne

Codzien­nie korzy­sta­my z apli­ka­cji na naszych Andro­idach i iOSach. Rów­nież na Code Euro­pe było wie­lu pro­gra­mi­stów zaj­mu­ją­cych się two­rze­niem apli­ka­cji mobil­nych. Dłu­go się zatem nie zasta­na­wia­jąc zde­cy­do­wa­łem, że to wła­śnie one będą moim punk­tem odnie­sie­nia. Sku­pi­łem się na tym, jak w prak­ty­ce zasa­dy pri­va­cy by design pri­va­cy by default powin­ny być wdra­ża­ne w apli­ka­cjach mobil­nych. Poka­za­łem kon­kret­ne przy­kła­dy, oma­wia­jąc po kolei kwe­stie fron­ten­du, bac­ken­du i inne apli­ka­cję w nie uni­wer­sal­nych zagad­nień doty­czą­cych ochro­ny danych. Mia­łem świa­do­mość, że te ostat­nie zagad­nie­nia będą nie­co skom­pli­ko­wa­ne, więc na samym koń­cu zro­bi­łem case stu­dy w opar­ciu o jed­ną z apli­ka­cji, przy pro­jek­to­wa­niu któ­rej dora­dza­łem w kwe­stiach zwią­za­nych z ochro­ną danych osobowych.

Cała pre­zen­ta­cja zakła­da­la zmia­nę slaj­du co 30 sekund i… wyda­je mi się, że zało­że­nie było dobre, bo pozwo­li­ło utrzy­mać dyna­mi­kę wystą­pie­nia. Jeśli jesteś zain­te­re­so­wa­ny, to poni­żej wrzu­cam pre­zen­ta­cję. Jeśli masz jakieś pyta­nia – zachę­cam do komentowania

1 komentarz do “Privacy by design & privacy by default w aplikacjach mobilnych”

Leave a Reply