A technológia és a technika rohamos fejlődésével az adatvédelem csak nehezen tud lépést tartani; azonban az egyének tudatossága és a szigorodó jogszabályok mind afelé terelik a vállalkozásokat, hogy kiemelt figyelmet fordítsanak az adatok biztonságára és megteremtsék a szolgáltatásaik iránti bizalmat, hogy versenyelőnyt szerezzenek a piacon. Az adatok biztonsága, ennek garantálásához szükséges lépések, eszközök, folyamatok, és szoftverek biztosítása számos kérdést felvethet; főként, hogy kinek milyen szerepe és felelőssége van.
Mikor lép be a képbe az adatvédelem egy fejlesztési projekt során?
Ha nagyon távolról nézzük a fejlesztés szakaszait, s nem számolunk a különféle fejlesztési módszerekkel, akkor talán kiegyezhetünk négy fázisban; nevezetesen Tervezés, Fejlesztés, Tesztelés, Terjesztés. Mindent természetesen megelőz az ötletelés, hiszen elsősorban valakinek a fejében kell megszülessen az alkalmazás ötlete. Itt talán még megbocsátható, ha nem adatvédelemről álmodozunk; ellenben a tervezési szakasszal, ahol a felhasználói élmény és az alkalmazás funkcionális és nem funkcionális paraméterei kerülnek felvázolásra. Itt már szem előtt kell tartani azokat az alapelveket, amellyel az adatok biztonsága és a követelményeknek való megfelelés biztosítható.
Természetesen a fejlesztési szakaszban a már előre definiált követelmények és elvárások technikai paraméterezése fog megvalósulni. Ezt követően (feltételezhetően) minőségbiztosításon és tesztelésen esik át a termékünk, mely fázisban a felhasználó adhat visszajelzést és javasolhat változtatásokat. Az ő szerepük is fontos az adatvédelem szempontjából; hiszen a felhasználók által tapasztalt élmények, a használhatóság az alapelvek betartásához nagyban hozzájárulnak.
Végül a termék terjesztése valósul meg, amelyet általában a piaci szereplőkön keresztül valósítanak meg (Play Áruház, App Store). Minde pedig dokumentációs szinten lesz érdekes. E négy szakaszban, főként, ha a fejlesztés megrendelés alapján valósul meg, a felelősségi viszonyok tisztázása okozhat némi fejfájást.
Kinél van a felelősség?
Első és egyben legfontosabb kérdésünk, hogy honnantól kell foglalkoznunk az adatvédelem. Kinek a fejében kell megszülessen a gondolat, hogy ezzel is foglalkozni kellene. Ha nagyon az alapjainál akarjuk megfogni a dolgot, akkor azt mondhatjuk, hogy a vállalkozás felépítésénél kezdődik; s végig kíséri a teljes szervezeti működést, egészen az utolsó projektig; majd azon is túl, amíg semmilyen jogi, törvényi kötelezettség nem áll már fent.
Ennél nagyobbat is tudunk álmodni, de az alapvetés ez kellene, hogy legyen, így a vezetői elköteleződés kulcsfontosságú. Ha csak egy adott projektet nézünk, akkor a Megrendelő és a Szolgáltató viszonyával kell kezdenünk. E két fél tárgyalásának eredményeként fog kialakulni, hogy mit és milyen keretek közt kell megvalósítani. De hogy kinél van az adatvédelmi előírások betartásáért a „felelősséglabda”, arra egy egyszerű válasza van mindkét félnek: Nem én.
Mindkét félnek megvan a maga igaza, mellette – ellene érvei, s valóságban sem ilyen egyszerű a helyzet. A megrendelő azt mondja, hogy engem nem érdekel ez az egész GDPR, én nem fizetek a plusz funkciók lefejlesztéséért. Ugyanakkor a szolgáltatóra is ró felelősséget a GDPR.
Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Ahhoz, hogy ezt tisztázhassunk, első körben el kell dönteni, hogy a két félnek milyen a viszonya; ki lesz adatkezelő; ki lesz adatfeldolgozó; netalán közös adatkezelő. Itt persze figyelembe kell venni, hogy a szolgáltató által vállaltak mire terjednek ki. Lesz-e később üzemeltetési feladat, távoli hozzáférés, valamilyen SLA?! Mindezek definiálásához javasolt bevonni az adatvédelmi tisztviselőt -ha van ilyen- és a projekt tagokat is.
Ha a menedzsmentnek sikerült mindent tisztázni, akkor a projekt során már csak azt nem szabad elfelejteni, hogy adatvédelmi oldalról is vannak feladatok. Ez pedig a projektgazda feladata lenne, aki alkalmasint emlékezteti a csapat tagjait a követelményekre és prioritással kezeli a problémakört.
Fejlesztői oldalról az előre meghatározott specifikáció mentén, az adatvédelmi és biztonsági előírások végrehajtása valósul meg; s amire nem sokan gondolnak, hogy a dizájnereknek is bizony van szerepe az adatvédelemben. Az általuk kreált megoldások a felhasználói élményt befolyásolják, érintve ezáltal az adatvédelem érintettek jogaihoz, átláthatósághoz kapcsolódó alapelveit.
A tesztelőkről nem is beszélve, akiknek feladata a kialakított megoldások vizsgálata, azok használhatósága és funkcionális működésük értékelése. Például egy adatkezelési tájékoztató vagy egy hozzájárulás során meghatározott követelményeket kell teljesíteni; s nem mindegy, hogy hány kattintásból érhető el vagy működik-e az adataim törlése gomb.
Alapelvek
Bár a rendelet sok esetben konkrét követelményeket nem ír elő; az abban meghatározott alapelvek olyan ellenőrzőpontként szolgálhatnak, amelyek képesek igazolni az adott szolgáltatás vagy termék megfelelőségét.
Jogszerűség, tisztességes eljárás és átláthatóság esetén a személyes adatok kezelésének meg kell teremteni a jogalapját; amelyhez a rendelet igen bőkezű volt, ha csak a korábbi info. törvényt nézzük. Az adatkezelés olyan formában kell megvalósuljon, hogy az az érintettek számára érthető és átlátható legyen. Ehhez rögtön társul egy célhoz kötöttség is, ami személyes adatokat meghatározott célból történő kezelését írja elő.
Integritás és bizalmas jelleg, ezek az ISO 27001-es szabványból már ismertek lehetnek; mellyel az adatokat védeni kell a jogosulatlan hozzáférésektől, a véletlen és szándékos károkozástól, illetve mindezek megelőzésére történő intézkedésekkel.
A célhoz kötöttség kiegészül még egy adattakarékossággal, amivel annyi és olyan adat kezelhető, amely a cél eléréhez szükséges. Mindamellett, hogy ezeknek az adatoknak pontosnak és naprakésznek kell lenniük.
Korlátozott tárolhatóság a talán legtöbbet vitatott alapelv, mely szerint minden adatkezelésnek van egy „lejárati ideje”; amely alapvetően a meghatározott cél teljesülése.
A szoftver vagy alkalmazás funkciói
Az alapelvek betartása mellett az érintettek jogainak biztosítására is figyelmet kell fordítani. Az adott termék funkcióinak függvényében lehet annak része, de akár teljesíthető manuálisan is. Ha például egy törlési kérelmet veszünk alapul, akkor az adott felhasználónak képesnek kell lennie a használt alkalmazásból adatai törlését kezdeményezni.
E kérelem teljesítésére automatizált folyamatok fejlesztésével lehetőség van, főként, ha nagy számú felhasználókkal tervezünk. Ebben az esetben a folyamatnak képesnek kell lennie megkülönböztetni a törölhető; – tehát a személyes adatok megőrzésére nincs kötelezettség – és a megőrzendő adatokat. Ugyan ezt a folyamatot akár manuálisan is lehet teljesíteni, ügyelni kell azonban a rendeletben meghatározott határidők betartására.
Az adatvédelmi követelményeknek megfelelő szoftver fejlesztéséhez tehát egy kockázat alapú, előzetes tervezés javasolt; aminek alapja egy a tevékenységre szabott hatásvizsgálat elkészítése.
A felhasználók egyre tudatosabbak személyes adataik tekintetében és nagyobb igény mutatkozik adataik feletti kontrollra; így a szolgáltatások és szolgáltatók kiválasztása is egy bizalmi kérdéssé kezd válni.
E bizalom megteremtéséhez tudunk segítséget nyújtani szolgáltatásainkkal, akár az adatvédelmi követelmények szervezetre/alkalmazásra illesztéséről vagy azok tesztelésről legyen is szó.