Pomoc w zakresie narzędzi zgodności z RODO dla inżynierów
RODO ma wpływ na każdego – od użytkowników usług, poprzez ich dostawców, po inżynierów oprogramowania, jednak dla tych ostatnich tworzenie funkcji związanych z prywatnością jest nową koncepcją, w dodatku taką, która łatwo może zostać zepchnięta na drugi plan jako zbyt abstrakcyjna i niemająca większego znaczenia. Nie trzeba dodawać, że to błędne podejście. Niezależnie od tego, czy mówimy o inteligentnych sieciach, przetwarzaniu danych big data, pojazdach podłączonych do internetu czy bankowości, nie wolno nam pomijać kwestii inżynierii prywatności. Antonio Kung, współzałożyciel firmy Trialog i koordynator projektu PDP4E (Methods and tools for GDPR compliance through Privacy and Data Protection Engineering) mówi: „Inżynierowie potrzebują czterech rodzajów narzędzi. Pierwszy z nich to narzędzia do zarządzania ryzykiem związanym z prywatnością. Pomogą one inżynierom wskazać i ocenić ryzyko związane z prywatnością od strony technicznej, a następnie znaleźć rozwiązanie tak określonych problemów. Drugi typ dotyczy określenia wymagań związanych z prywatnością, co pomogłoby inżynierom przekształcić ograniczenia prywatności w konkretne wymagania, jednak to jeszcze nie wszystko. Inżynierowie będą też potrzebować ram narzędziowych dla tworzenia prywatności i ochrony danych w fazie projektowania, a także argumentacji wiarygodności, która pozwoli im zapewnić, że decyzje podjęte na tym etapie oraz związane z zapewnianiem prywatności i ograniczeniem wiążącego się z nimi ryzyka mogą zostać poddane audytowi pod kątem zgodności z RODO”. Projekt PDP4E zapewnia te cztery typy narzędzi, a jego twórcom przyświecał jeden cel – umożliwienie tworzenia na masową skalę produktów, systemów i usług, które będą lepiej chronić prywatność i dane osobowe obywateli UE. W tym celu wprowadzają oni inżynierię opartą na modelach. „Projekt kładzie nacisk na wykorzystanie modeli – tak zwanych przetwarzalnych reprezentacji systemu. Modele te zostały opracowane przez ekspertów w dziedzinie prywatności, co sprawia, że programiści mogą z nich korzystać wielokrotnie. Ponadto modele będą się także sprawdzać podczas objaśniania możliwości, jakimi dysponują narzędzia zapewniania prywatności”, wyjaśnia Kung. W szczególności zespół projektu ciężko pracował nad zintegrowaniem funkcji prywatności w fazie projektowania i ochrony danych z istniejącymi popularnymi programami i metodami rozwijania oprogramowania. Z kolei twórcom narzędzi, które jeszcze nie powstały lub są w fazie tworzenia, zaoferowano oprogramowanie o otwartym kodzie, które pozwoli wprowadzić do procesu pierwiastek świadomości w zakresie ochrony danych. „Zakładamy, że w naszym ekosystemie powstaną dwie otwarte społeczności – jedna zajmująca się modelem otwartym dotyczącym prywatności oraz pracująca nad narzędziami o otwartym kodzie, które posłużą do zapewniania prywatności (w obrębie społeczności Eclipse). Społeczność skupiona wokół modelu otwartego może udostępniać modele ochrony prywatności i inżynierii prywatności”.
Od pojazdów podłączonych do internetu po inteligentne sieci
Sprawdzanie rozwiązań odbywa się w dwóch innowacyjnych obszarach – pojazdów podłączonych do internetu i danych typu big data przeznaczonych dla inteligentnych sieci. Inżynierowie chcący uzyskać współpracę między pojazdami autonomicznymi, nie mogą ignorować zagrożeń, jakie niesie ona dla prywatności kierowców. W tym przypadku zespół projektu będzie skupiać się na zademonstrowaniu, jak radzić sobie z takimi zagrożeniami za pomocą rozwiązań związanych z prywatnością wdrażanych w fazie projektowania. Z kolei w przypadku przesyłania danych typu big data do inteligentnych sieci wiadomo, że proces ten niesie ze sobą krytyczne wyzwania w kontekście prywatności i ochrony danych. Tu zespół projektu stara się przeprowadzić ocenę tych wyzwań. „Głównym problemem w przypadku samochodów podłączonych do internetu są dane dotyczące lokalizacji, natomiast w przypadku udostępniania danych w inteligentnych sieciach pojawiają się wątpliwości związane z ich anonimizacją. Potrzebujemy algorytmów, które będą zapobiegać ujawnianiu wzorców życia użytkownika i urządzeń, z których korzysta, przez narzędzia inteligentnego pomiaru. Ostatecznie w obu przypadkach niezbędne będzie opracowanie złożonych ekosystemów, w których zmuszone będą uczestniczyć liczne organizacje. To dowodzi, że modele ochrony danych muszą też uwzględniać modele organizacyjne”, zauważa Kung. Kung i partnerzy projektu PDP4E mają nadzieję, że przed jego ukończeniem uda się zbudować społeczność inżynierów prywatności, a może nawet rozpocząć tworzenie sojuszu na rzecz inżynierii prywatności i ochrony danych. Wkład zespołu w działania normalizacyjne – a konkretnie ich udział w opracowaniu normy ISO 31700 (prywatność w fazie projektowania dla towarów konsumenckich i usługa) – sprawia, że trudno znaleźć lepszych kandydatów do realizacji tych celów.
Słowa kluczowe
PDP4E, RODO, zgodność, inżynierowie, otwarty kod, inteligentna sieć, pojazdy podłączone do internetu