RODO (Rozporządzenie o Ochronie Danych Osobowych, obowiązuje od maja 2018) nakłada na każde oprogramowanie przetwarzające dane osobowe rezydenta UE szereg obowiązków: podstawa prawna przetwarzania, rejestr czynności przetwarzania, umowy powierzenia z każdym dostawcą (SaaS, hosting w chmurze), respektowanie praw (dostęp, sprostowanie, usunięcie, przenoszenie), zgłoszenie wycieku w 72 h do UODO. Sankcje nie są symboliczne: do 20 mln € lub 4% globalnego obrotu, a organy realnie karzą (Amazon: 35 mln €, Discord: 800 tys. €).
RODO nie sprowadza się do cookies. Banner zgody to widoczna część — to, co istotne, jest niewidoczne: CRM musi potrafić wyczyścić kontakt na żądanie, ATS musi usuwać CV po 24 miesiącach, SaaS musi szyfrować dane w spoczynku i w tranzycie, twoje narzędzie biznesowe musi logować, kto co otwierał (audit trail). Po stronie procesorów każdy dostawca (Stripe, HubSpot, AWS) musi mieć podpisaną z tobą umowę powierzenia (DPA), najlepiej z przetwarzaniem w UE — od Schrems II transfery do USA są prawnie kruche mimo DPF.
Privacy by design: zgodność buduje się od specyfikacji, nie patchuje po launchu. Konkretnie: zbierać tylko to, co konieczne (minimalizacja), zdefiniować okresy retencji per typ danych i je zautomatyzować, przewidzieć eksport/usunięcie od projektu, wybrać hosting w UE (Scaleway, OVHcloud) dla danych wrażliwych. Branże regulowane (zdrowie z HDS, finanse) dokładają warstwy. Dla oprogramowania na zamówienie zgodność to 5-15% budżetu projektu — znacznie taniej niż po wezwaniu UODO.
RODO w oprogramowaniu: minimalna checklista
- Aktualny rejestr czynności: cel, podstawa prawna, czas, procesorzy dla każdej czynności przetwarzania.
- Zautomatyzowane prawa osób: eksport (przenoszenie), usunięcie, sprostowanie — nie w trybie „obsługujemy ręcznie”.
- Procesorzy: podpisana DPA z każdym zewnętrznym SaaS-em, hosting w UE dla danych wrażliwych.
- Okresy retencji zdefiniowane i zautomatyzowane: 24 mies. CV w ATS, 3 lata leady w CRM itp.
