Jeszcze kilka lat temu temat ochrony danych osobowych w technologiach informatycznych i internetowych nie istniał. Użytkownicy korzystali z narzędzi, które przygotowywali dla nich programiści i nikt nie przejmował się, kto i w jaki sposób zbiera dane osobowe, jak je zabezpiecza i przede wszystkim - w jaki sposób wykorzystuje.
Większość firm zbiera dane osobowe. 3 na 4 firmy nie potrafią wyjaśnić przyczyny i nie widzą w przyszłości potrzeby ich wykorzystywania. W czasach RODO takie podejście do danych nie może mieć miejsca, ponieważ każdy podmiot musi zdefiniować cel i warunki przechowywania danych.
RODO zostało wprowadzone w 2015 roku w miejsce obowiązującej od 20 lat unijnej dyrektywy o ochronie danych osobowych. RODO było odpowiedzią na szybko zmieniający się rynek nowych technologii. Technologie stawały się ważną częścią gospodarki, a ich rozwój był stale rosnący.
Dlaczego wprowadzenie RODO było takie istotne? Ponieważ RODO jest neutralne technologicznie. Oznacza to, że bez względu na rozwój technologiczny w każdym miejscu i o każdym czasie przepisy o ochronie danych osobowych mają moc. Niezależnie od tego, czy przetwarzanie danych osobowych odbywa się na dysku komputera czy na papierze, przepisy RODO regulują je w ten sam sposób. Za bezpieczeństwo danych odpowiada administrator danych osobowych, który de facto decyduje o sposobie zabezpieczeń. W zależności od tego, jak bardzo wrażliwe są przechowywane czy też przetwarzane dane, sposób ich zabezpieczeń może być inny. W konsekwencji tego postanowienia instytucje i przedsiębiorstwa, które mają do czynienia z wrażliwymi danymi typu data urodzenia czy PESEL użytkownika, są zobligowani do ich bezpiecznego przechowywania.
Z punktu widzenia programowania rozporządzenie RODO wprowadza dwa kluczowe pojęcia: privacy by design oraz by default. Pierwsze z nich wprowadza konieczność wpisania przez administratora zasad ochrony danych osobowych do zakresu projektu. Musi to być zestaw konkretnych rozwiązań technologicznych i wdrożenie tych zasad. Należą do nich m.in. zdefiniowanie wyłącznie danych, które są niezbędne do danego celu, okresowe kasowanie tych danych, zapewnienie odpowiednich poziomów dostępu do danych.
Drugie z nich oznacza, że domyślnie powinien być wprowadzony maksymalny zakres ochrony danych osobowych. Jeśli zatem projekt nie określa dodatkowych wymagań dotyczących danych, poziom ich zabezpieczenia powinien spełniać wymogi RODO.
W praktyce oznacza to, że jeśli jakikolwiek projekt dotyczy danych osobowych użytkowników, zasady RODO powinny zostać uwzględnione.
Przekłada się to bezpośrednio na rozwój oprogramowania. Wszędzie tam, gdzie mamy do czynienia z danymi osobowymi, programiści muszą wziąć na swoje barki rozwiązania, które będą służyły do ich ochrony.