A beépített és alapértelmezett adatvédelem elveinek érvényesüléséhez elengedhetetlen, hogy ezen elvek gyakorlati alkalmazhatóságát elősegítő, konkrét, a termékek és szolgáltatások fejlesztésében, kialakításában résztvevőket célzó iránymutatások váljanak elérhetővé.

A közelmúltben írtam a katalán adatvédelmi hatóság fejlesztők számára készített iránymutatásáról, az alábbiakban pedig a brit adatvédelmi biztos (Information Coimmissioner's Officer) friss anyagában foglaltakat foglalom össze röviden, amely a termékfejlesztési életcikluson végighaladva mutatja be az adatvédelmi megfeleléshez feltétlenül szükséges, illetve ezen túllépve az azt elősegítő, valamint ajánlott intézkedéseket.

Bár az Egyesült Királyság EU-ból történt távozását követően a GDPR már nem közvetlenül alkalmazandó az Egyesült Királyságban, de egyrészt az ún. UK GDPR, illetve a Data Protection Act 2018 sok tekintetben a GDPR-ral azonos vagy hasonló módon szabályoz, másrészt a szempontok, amelyeket az ICO a fejlesztők figyelmébe ajánl, olyan esetekben is érdekesek lehetnek, amikor a jogszabályi kötelezettség némileg eltér. Természetesen az iránymutatásban foglaltakat nem egy az egyben, hanem az adott termék, illetve szoftver tekintetében alkalmazandó jogszabályok és a kapcsolódó gyakorlat figyelembevételével lehet alkalmazni.   

Kinek szól az iránymutatás?

Az iránymutatás elsősorban a technológiai szakemberket célozza, így különösen a termék és UX (user experience) tervezőket, szoftvermérnököket, QA (quality assurance) tesztelőket és termékmenedzsereket.  

Hogyan írja le a fejlesztési szakaszokat az iránymutatás?

Az iránymutatás a fejlesztési ciklus alábbi szakaszait vizsgálja:

• Projekt elindítása (kick-off)
• Kutatási szakasz (reserach)
• Tervezési szakasz (design)
• Fejlesztési szakasz (development)
• Piacra lépés (launch)
• Piacra lépés utáni időszak (post-launch)

Milyen módón fogalmaz meg ajánlásokat az iránymutatás?

Az iránymutatásban szereplő, az egyes szakaszokhoz kapcsolódó előírásokat, ajánlásokat három kategóriába lehet sorolni:

• feltétlenül szükséges teljesíteni jogszabályi előírás miatt (az iránymutatás szóhasználatában: must),
• teljesítendő, kivéve, ha alaposan indokolható az eltérés (should),
• ajánlott megoldások, amelyek egy lehetséges módját jelenthetik a megfelelésnek, ezektől azonban el lehet térni, más megoldások is választhatók (could).

Nézzük az egyes fejlesztési szakaszokhoz kapcsolódó legfontosabb ajánlásokat!

1. Projekt indítása (kick-off)

Feltétlenül szükséges intézkedések (must):

• az adatvédelmi szempontok érvényesítése a termék, illevte szolgáltatás tervezésének már korai fázisában,
• adatkezelés céljának meghatározása, illetve annak felmérése, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni,
• annak felmérése, hogy a szolgáltatás kapcsán milyen adatok kezelésére kerülhet sor,
• amennyiben különleges adatok (pl. egészségügyi adatok) kezelésére is sor kerül, akkor az ehhez kapcsolódó további adatkezelési feltételek biztosítása,
• amenniyben gyermekek is hozzáférhetnek a szolgáltatáshoz, akkor a gyermekek adatainak kezelésére vonatkozó követelményekre is figyelemmel kell eljárni.

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• érdekelt szereplők (stakeholder) bevonása a tervezési folyamatba (pl. cégen belüli jogi, adatvédelmi szakértők, illetve illetékes vezetők révén),
• annak tisztázása, hogy az adatvédelemmel kapcsolatos döntéseket a szervezeten belül ki(k) és miként hozzák meg, adatvédelmi tisztviselő bevonása (ha a szervezetnél kijelölésre került), a megfelelő személyek tájékoztatása az adatvédelmet érintő döntésekről,
• annak felmérése, hogy az érintettek milyen módon kerülhetnek kapcsolatba a szolgáltatással (pl. grafikus vagy szöveges módon, pl. chatboton keresztül, stb.) és az ehhez igazodó adatvédelmi követelmények vizsgálata,  
• annak felmérése, hogy az adatkezelés jár-e (további, illetve új) kockázatokkal az érintettekre nézve (ennek során nem csak a felhasználók által közvetlenül megadott, hanem a szolgáltatás használata során egyéb módon keletkező adatokra is figyelemmel kell lenni),
• a felhasználók és az adatkezelő között fennálló kapcsolat (pl. ügyfélkapcsolat) vizsgálata a szolgáltatás kapcsán (arra is figyelemmel, hogy a felek között már meglévő kapcsolatra ez miként hat),
• a tervezett új szolgáltatás befolyásolhatja-e adatvédelmi szempontból a már létező szolgáltatásokat (pl. hátrányosan megváltoztatva azok adatvédelmi paramétereit),
• az új szolgáltatással összefüggésben vizsgálni szükséges, hogy az esetlegesen visszaélési szándékkal fellépő szereplők, milyen módon tudnak visszaélést elkövetni (pl. adatokat megszerezni),
• logolással, riasztásokkal kapcsolatos kérdések tisztázása.

Ajánlott (could):

• a projekttel kapcsolatos infók megfelelő helyen (pl. intranet, wiki) elérhetővé tétele a cégen belüli érdekelt szereplők számára, ez segíthet a megfeleléssel kapcsolatos egyeztetésekben és a megfelelés igazolásában is (vö. elszámoltathatóság),
• a kezelt adatok körének és útjának vizualizációja (és ennek frissen tartása) az adatkezelési folyamat jobb áttekinthetősége érdekében,
• az adatvédelem, mint üzleti érték megjelenítése, annak bemutatása, hogy az adatvédelmi megfelelés milyen előnyökkel jár, miként mérhető (pl. ennek a projekt anyagokban történő megjelenítése, adatvédelemmel kapcsolatos KPI-ok, OKR-ek [objectives and key results] meghatározása, adatvédelmet erősítő megoldások szerepe a versenytársakhoz képest történő pozícionálásban, stb.).

2. Kutatási fázis (reserach)

Kutatás alatt a felhasználói igények kutatását érti az iránymutatás (UX kutatás, a szolgáltatás tervezésével kapcsolatos, a felhasználói igényekre fókuszáló vizsgálatok) és nem az adatvédelmi szabályokban is megjelenő tudományos, statisztikai célú kutatásokat.  

Feltétlenül szükséges intézkedések (must):

• a kutatásban résztvevők adatainak védelme (pl. adatminimalizáció elvének érvényesítése, anonimizálás, megfelelő tájékoztatás, hozzájárulások kezelése, stb.).

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• ha olyan kutatás kerül elvégzése, amely személyes adatok kezelését is jelenti, az adatok anonimizálása, amint ez lehetséges.

Ajánlott (could):

• szolgáltatás kapcsán alkalmazható adatvédelmi megoldásokra is terjedjen ki a kutatás (pl. versenytársak alkalmazott megoldásainak vizsgálata, technológiai- és iparági trendek vizsgálata, stb.),
• érintettek elvárásainak kutatása (pl. fókusz csoportos vizsgálat, interjúk készítése),  
• kutatási lépések beépítése a folyamatba (pl. elkészült elemek adatvédelmi fókuszú vizsgálata, tesztelése, adatkezelési tájékoztatók érthetőségének tesztelése, stb.).

3. Tervezés (design)

Feltétlenül szükséges intézkedések (must):

• az adatvédelmi szempontok érvényesítése a tervezés minden szakaszában,
• érthehő, átlátható, könnyen hozzáférhető adatkezelési tájékoztató készítése,
• a tájékoztatás megfelelő időben és módon történő elérhetővé tétele (pl. tájékoztatás regisztrációkor, illetve közvetlenül az egyes adatkezelési műveletek előtt/közben),
• hozzájáruláson alapuló adatkezelés esetében, a hozzájárulással kapcsolatos követelmények érvényesítése (beleértve a hozzájárulás visszavonásának – a hozzájárulás megadásával egyezően egyszerű – lehetőségét),
• érintetti jogok érvénesíthetőségének biztosítása.

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• a tervezésben résztvevő csapat figyelmének felhívása az adatvédelmi szempontok érvényesítésére,
• személyes adatok használatának mellőzése a prototípus, demó verzió elkészítése kapcsán (pl. szintetikus adatok használata),
• adatkezelési tájékoztatási megoldások hozzáigazítása a szolgáltatáshoz (pl. folyamatba épített, „just-in-time” tájékoztatási lépések, réteges tájékoztatás),
• azon felhasználói esetek (use case) figyelembe vétele, amelyek esetleg eltérnek a szolgáltató által ideálisnak tartott úttól,
• hozzájárulás szükségességének alapos átgondolása (ne maradjon el, amikor kell, de – elkerülendő a folyamatos hozzájárulás kéréssel kapcsolatos „döntési fáradtságot” – fölöslegesen ne kerüljön sor hozzájárulás kérésére),
• annak felmérése, hogy az érintetti joggyakorlás miként segíthető elő.

Ajánlott (could):

• annak vizsgálata, hogy a szolgáltatás miként működhet személyes adatok kezelése nélkül,
• a tervek jóváhagyási folyamatában az adatvédelmi szempontok megjelenítése.

4. Fejlesztés (development)

Feltétlenül szükséges intézkedések (must):

• a korábbi fázisokban felmerülő adatvédelmi szempontoknak megfelelő implementálás,
• kizárólag a szolgáltatáshoz szükséges személyes adatok kezelése,
• adatok megadására szolgáló felület oly módon történő kialakítása, hogy az adatok pontossága biztosított legyen, illetve a pontatlan adatok javításának a lehetőségét (helyesíbtéshez való jog) is meg kell adni az érintettek számára,
• az adatok megfelelő szervezési és technikai intézkedésekkel történő védelme a fejlesztés során.

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• a korábban készített „adattérképek” áttekintése annak érdekében, hogy csak a szükséges mértékű adatkezelésre kerüljön sor, a szükségtelen adatgyűjtések „kigyomlálása”, stb.,
• megfelelő biztonsági intézkedések alkalmazása (pl. jelszavak titkosítás nélküli tárolásának elkerülése) a tárolás, adattovábbítás, backup tekintetében is (pl. titkosítás),
• elérhető legjobb adatvédelmi technológiák alkalmazhatóságának vizsgálata (pl. decentralizált adatfeldolgozás, készüléken történő adatfeldolgozás, stb.),
• további, nagyobb biztonságot garantáló lehetőségek elérhetővé tétele a felhasználók számára (pl. kétfaktoros azonosítás),  
• ha a szolgáltatás előre generált jelszóval érhető el, annak biztosítása, hogy a felhasználók meg tudják változtatni ezt a jelszót,
• a fejlesztés során érvényesítendő megfelelő szervezési és technikai intézkedések kapcsán pl. az alábbi eszközök alkalmazása: hozzáférés menedzsment, adatokhoz történő hozzáférések logolása, adatmegőrzési határidők meghatározása, harmadik féltől igénybe vett szolgáltatáselemek biztonságosságának ellenőrzése, kódvizsgálat, QA beépítése a folyamatba, esetleges támadási felületek felmérése, védelem a potenciális támadások ellen.

Ajánlott (could):

• érintetti jogok gyakorlásának biztosítása közvetlenül a szolgáltatáson belül,
• elérhető biztonságos kódolási gyakorlatok alkalmazása (pl. NIST Secure development and deployment guidance vagy OWASP Secure Coding Practices Quick Reference Guide).

5. Piacra lépés (launch)

Feltétlenül szükséges intézkedések (must):

• ha a szolgáltatás megfelelő működésének vizsgálatához bármilyen adat az érintett végberendezésén kerül elhelyezésre (pl. süti telepítése) vagy a végberendezésen tárolt adathoz való hozzáférés szükséges, akkor az ehhez szükséges hozzájárulást be kell szerezni,
• az adatkezelési tájékoztató elérhetővé tétele (ha változás történik az adatkezelést érintően, akkor a tájékoztató frissítése szükséges).

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• annak végső ellenőrzése az érdekeltekkel (pl. jogi, adatvédelmi kollégák, szervezeten belüli döntéshozók), hogy adatvédelmi szempontból megfelelő-e az elkészült szolgáltatás,
• bug-ok, kódhibák keresése,
• élesítés előtt a tesztadatok eltávolítása,
• felkészülés az esetlegesen fellépő problémák elhárítására (pl. hozzáférés korlátozása, ha illetéktelen hozzáférés lehetősége merül fel),
• ügyfélszolgálati munkatársak felkészítése az esetleges kérdésekre a szolgáltatással kapcsolatban.

Ajánlott (could):

• az adatvédelemre fókuszáló tesztelés végezhető az érintettek körében (pl. érthetők-e az ezzel kapcsolatos tájékoztatások, könnyen hazsnálhatók-e az adatvédelmet biztosító funkciók, stb.),
• felhasználók figyelmének felhívása, hogy miként használhatják a szolgáltatást biztonságosan.

6. Piacra lépés után (post-launch)

Feltétlenül szükséges intézkedések (must):

• adatvédelmet érintő visszaélés, incidens, stb. esetén az illetékes személyeket (jogi csapat, adatvédelmi tisztviselő, stb.) haladéktalanul tájékoztatni kell és be kell vonni a probléma kezelésébe,
• bármilyen változtatás (pl. új funkció hozzáadása) során az adatvédelmi szempontokat ismét vizsgálni kell.

Teljesítendő, kivéve, ha alaposan indokolható az eltérés (should):

• annak figyelemmel kísérése, hogy az adatvédelmi működést érintően bármilyen váratlan, előre nem látott esemény felmerül-e,
• ha a szolgáltatás használata kapcsán előre nem várt jelenségek, magatartások tapasztalhatók, akkor ezek esetleges adatvédelmi vonatkozásait szükséges vizsgálni.

Ajánlott (could):

• annak vizsgálata (a lehető legkevesebb személyes adat felhasználása mellett), hogy a felhasználók miként reagálnak az adatvédelmi tájékoztatásra, illetve az adatvédelmi beállítások kapcsán,
• visszajelzések gyűjtése a szolgáltatás adatvédelmi vonatkozásairól,
• a projekt tanulásgainak gyűjtése, elemzése, átbeszélése a jövőbeni jobb alkalmazhatóság érdekében,
• az adatvédelmet érintően elért eredmények megfelelő elismerése (pl. esetleges kockázatok bekövetkezésének megelőzése kapcsán).

Nyilván önmagában nem elegendő ezen iránymutatás használata az adatvédelmi megfeleléshez (hiszen számos általános adatkezelést érintő kérdésre nem tér ki külön, legfeljebb utal ezekre, illetve számos projektspecifikus tényező is befolyásolhatja a megfeleléshez szükséges lépéseket), ugyanakkor az ICO iránymutatása - akár a katalán adatvédelmi hatóság hasonló útmutatója mellett - hasznos segédlet lehet a szolgátatások, termékek fejlesztésében (szoftverfejlesztésben) résztvevőknek, hogy a feladataikat az adatvédelmi megfelelést (is) szem előtt tartva tudják végezni.