Z opadającego kurzu powoli wyłaniał się obraz pola bitwy. Zwycięzcy, ofiary, zniszczony sprzęt. Zapadał zmierzch i Jagiełło zmęczonym wzrokiem spoglądał na pole bitwy przy niewielkiej miejscowości Grunwald.

To była bitwa. Teraz czas na normalne życie bo niej.

Wybaczcie grafomaństwo. Zamieńcie Jagiełłę na CIO czy inne stanowisko, pole bitwy na firmy i systemy informatyczne, a Grunwald na RODO.

Kurz opada po RODO. Minęła magiczna data 25-go maja. Firmy dostosowały się (albo i nie). W ostatniej chwili blogerzy i inni ludzie działający w przestrzeni on-line zagotowali serwery MailChimp i podobnych do czerwoności.

Powiadomienia wysłane, polityki napisane, umowy rozesłane. Minął pierwszy dzień obowiązywania RODO.

I co?

I RODOdendron!

(chodziła mi ta fraza po głowie od czasu, jak usłyszałem o RODO i musiałem w końcu jej użyć :D)

Niby wszystko zrobione, a jednak coś tutaj nie pasuje i jakoś tak dziwnie pachnie, a wszyscy czują jakiś niesmak.

Dotąd jakoś nie zabierałem się na blogu do tematu RODO. Dlaczego? Dookoła było tyle szumu informacyjnego, nagłych ekspertów i konsultantów od RODO. Jakoś nie czułem potrzeby bycia kolejnym z nich. Teraz, gdy już jesteśmy po magicznej dacie, mam nadzieję, że zaczniemy na ten temat sensownie rozmawiać.

(Bycie konsultantem i ekspertem w sprawie regulacji, która kilkanaście miesięcy temu jeszcze oficjalnie nie istniała i jeszcze nikt jej nie wdrożył w praktyce – TO JEST SZTUKA przez duże SZ!)

 

Dlaczego potrzebowaliśmy i potrzebujemy RODO?

Pierwsze pytanie: dlaczego potrzebowaliśmy RODO (czy ogólniej GDPR)? Mieliśmy już prawo o ochronie danych osobowych. Czy to nie wystarczało?

Pamiętacie, jak pisałem o tym, że jesteśmy produktem? (jeżeli nie, to warto przeczytać). To w zasadzie główny powód i nie trzeba dalszego uzasadnienia.

Nasze dane napędzają ekonomię Internetu. Mają realną wartość i są towarem, który firmy gromadzą, przetwarzają i wykorzystują do zarabiania pieniędzy.

Do tej chwili mogły zbierać dowolne dane, przechowywać je jak długo chcą, przetwarzać je tak, jak chcą i przekazywać też komu chcą.

Wy, jako podmiot tych danych, nie mieliście na to żadnego wpływu i nawet nie mieliście jak uzyskać informacji o tym, kto-gdzie-jak przetwarza wasze dane.

Z drugiej strony, systemy i aplikacje były (i zapewne są nadal) pisane bez myślenia o tym, że dane zbierane mogą dotyczyć fizycznej osoby, która ma jakieś prawa, że mogą wymagać wykasowania w przyszłości i w zasadzie może wymagane by było przemyślenie na początku:

  • Czy ich zbieranie jest wymagane do celu, jaki ma osiągnąć aplikacja czy system?
  • Czy nawet jeżeli ich potrzebujemy, to musimy je przechowywać (może wystarczy pobrać je tylko do jednej transakcji)?
  • Jeżeli już je zbieramy, to jak długo zamierzamy je trzymać i co się dzieje po tym okresie?
  • Jeżeli je zbieramy, to czy przemyśleliśmy, w jaki sposób to robimy: czy na pewno osoba, której te dane dotyczą, zgodziła się na to, żebyśmy je zbierali i przetwarzali w takiej formie?

Niby oczywiste pytania, ale większości twórców i projektantów aplikacji nie przyszły wcześniej do głowy. Co więcej, nie dość, że nie zadawano ich sobie, ale budowano dookoła tego stanu rzeczy cały biznes.

Skąd to wiadomo? Najprostsza odpowiedź: spójrzcie na listę firm i aplikacji, które wyłączyły swoje serwisy z użytkowania dla Europy w związku z magiczną datą 25-go maja!

Przykładów jest więcej. Każda z tych firm odpowiedziała sobie na powyższe pytania (przynajmniej na tę chwilę), stawiając swój biznes ponad waszymi danymi i waszą prywatnością.

Jeszcze jeden przykład, który pokazuje, że odpowiedzi na te pytania mają też bardzo praktyczny wymiar.

USA Today zdecydował się udostępnić dla Europy osobną wersję strony, która nie zawiera skryptów mogących naruszać waszą prywatność.

Efekt:

  • Rozmiar strony zmniejszony z 5.2 MB do 500KB
  • Czas ładowania zmniejszony z 45 sec do 3 sec
  • Ilość JS na stronie z 124 zmniejszona do 0.

Płacimy za to kosztami połączeń mobilnych I czasem.

 

Nie tak panowie (i panie), nie tak!

Przejdźmy od rozważań teoretycznych do bardziej praktycznej strony RODO.

To, o czym będę pisał, to punkt widzenia CTO firmy, która sama musiała się do RODO dostosować od strony procesów, ale też współpracuje z zewnętrznymi firmami jako klientami i dostawcami.

Z tego punktu widzenia mówię Wam, moi drodzy czytelnicy  – COŚ POSZŁO NIE TAK!

Zdjęcie: dan.boss z Visualhunt.com   CC BY-NC-SA

Zapewne wiele rzeczy dzieje się w sposób niewidoczny dla mnie, ale w tej chwili RODO ma głównie wymiar dokumentów, którymi firmy zasypują inne firmy. Dokumenty te wyprodukowały kancelarie prawne, według mnie – skupiając się jedynie na aspekcie zabezpieczenia swojego zleceniodawcy i litery rozporządzenia, niezbyt zastanawiając się, jak to będzie działało praktycznie.

Żeby chociaż kancelarie poszły po rozum do głowy, dogadały się pomiędzy sobą jak podejść do zagadnienia i jaka jest wykładnia tych przepisów. O…, co to – to nie.

Jako firma, otrzymujemy szereg umów związanych z wprowadzeniem RODO (i szerzej GDPR).

Każda umowa jest inna i inaczej podchodzi do wymagań, zobowiązań i wykładni w kwestii realizacji zapisów RODO. Każda z nich narzuca swoje, inne niż pozostałe, wymogi związane z dokumentacją, sposobem jej przygotowania i przechowywania.

Każda z nich ma swoje unikalne podejście do tego, jak zamierzają odnieść się do wymagań audytu i udostępnienia informacji, kto jest odpowiedzialny za powiadamianie odpowiednich organów, jaki jest czas wymagany dla tych powiadomień i jak należy ich dokonywać.

Każda z firm ma SWOJE wymagania co do tego, jak MY – jako firma – powinniśmy odnieść się do środków technicznych i organizacyjnych dotyczących zabezpieczeń danych po naszej stronie.

W jednej z nich pojawia się 23 (słownie: DWADZIEŚCIA TRZY) wymagane procedury w formie dokumentów, które powinniśmy stworzyć, aby działać zgodnie z wymaganiami firmy co do jej standardów przetwarzania danych.

W każdej z nich za to pojawiają się zawsze wymagania związane z naszą odpowiedzialnością w pełnym wymiarze za potencjalne naruszenia i kary.

Umowy te mają pomiędzy 30 a 60 stron.

NIE TĘDY DROGA. (Tak mi się przynajmniej wydaje)

TO NIE PROWADZI DO ROZWIĄZANIA PROBLEMU.

To, do czego to prowadzi, to tylko OGROMNE KOSZTY, wyrażone w pracy ludzkiej, czasie, opłatach dla prawników i zapewnieniu wytworzenia i przechowywania dokumentacji wymaganej przez te umowy (niektóre z nich zabraniają przechowywania jej w formie elektronicznej).

Żadna z firm, z którą się zetknąłem (w roli CTO w Predica i prywatnie jako użytkownik sieci) nie przedstawiła informacji dotyczącej tego, jak zmieniła swoje systemy i procedury, aby zapewnić to, o co chodziło od początku w RODO: kontrolę użytkownika nad tym, kto i jakie zbiera dane o nim, jak je przetwarza i komu je przekazuje.

 

To jak to powinno wyglądać?

Jeżeli nie o dokumenty chodzi, to o co? Mógłbym się tutaj rozpisać, ale wczoraj trafiłem na artykuł, który przedstawia chyba najlepiej, co jest sednem całego zamieszania.  Polecam na potem – The GDPR blog post.

Popatrzmy na bardzo prosty przykład, jak pod kątem GDPR autor i jego firma, przemyśleli podejście do produktu i jego funkcjonalności. Niby prosta rzecz – zaproszenie użytkownika do grupy na platformie.

Jak wyglądało to przed GDPR?

 

A jak zmieniło się, gdy przemyśleli swoje podejście i zmienili ten proces, uwzględniając w tym potrzebę i zgodę użytkownika?

 

Podsumowując:

  • firma przemyślała co, dlaczego i w jakiej formie potrzebuje
  • zastanowiła się, jak w to wszystko wpisuje się użytkownik i jego wyraźna i świadoma zgoda na ich działania.
  • umożliwiła mu podjęcie tej decyzji w sposób świadomy i zapamiętała jego wybór.

Nie wymagało to wdrożenia nowoczesnych technologii. Żadnego szyfrowania, anonimizacji czy blockchain.  Nic z takich rzeczy!

Wymagało przemyślenia podejścia i odpowiedzi na pytania, które wskazałem wcześniej.

Czy to wymagało wysiłku i nakładów pracy? Tak! Czy zrujnowało ich firmę? Nie!

Czy coś zyskali? Pozwólmy odpowiedzieć tutaj samemu autorowi wpisu.

 

TAK! Przy odpowiedni podejściu, daje nam to szansę być lepszą firmą, mieć lepszy produkt i lepszą ochronę dla nas jako użytkowników!

Teraz, gdy mamy te regulacje, ten proces myślowy powinien się odbyć w momencie, gdy produkt, usługa lub proces jest projektowany.

Jestem realistą. W wielu miejscach nie odbędzie się. Za jakiś czas zobaczymy w jak wielu, gdy projekt pod tytułem RODO wejdzie w fazę “SPRAWDZAM”!

 

Skok na RODO. O przepraszam: skok na kasę i stracona szansa!

Nie chcę wyrokować, ale z mojego punktu widzenia, zamiast szansy na poprawę tego, co było zrobione w przeszłości, RODO zostało potraktowane trochę jako skok na kasę. Kasę firm, o których wiadomo było, że nie są do tego przygotowane. Firm, o których wiadomo było, że nie są w stanie się przygotować.

Z tym, że nikt tego tak naprawdę tego od nich (REALNIE) nie oczekiwał.

W mojej skromnej opinii, termin wdrożenia nałożony w rozporządzeniu miał wymusić zapoczątkowanie tego procesu. Realnie nikt nie oczekiwał, że wszystkie procesy, usługi i aplikacje będą wtedy do tych wymogów dostosowane.

Mieliśmy szansę pomóc tym firmom w tym procesie, pozwalając im skupić się na tym, co ważne. Jak?

Zamiast wymagać od każdego z nich, aby sami doszli do tego, co rozporządzenie dla niego znaczy, strona rządowa mogła przygotować JEDNOZNACZNE i PRAKTYCZNE wytyczne dotyczące tego, jak poszczególne zapisy rozporządzenia należy interpretować i wykonać.

Ministerstwa i organizacje skupiające przedsiębiorców czy NGO mogły zebrać siły, opracować i opublikować szablony dokumentów, które firmy musiałyby tylko dostosować do swoich realiów, wskazując dokładnie, gdzie i jakie dokumenty są wymagane, a kiedy nie są potrzebne.

Organizacje stowarzyszające prawników, mogły zebrać ich i ustalić jedną wykładnię co do tego, jakie zapisy i szablony umów powinny być przygotowane, jakie zapisy powinny zawierać i jak podchodzimy do kwestii odpowiedzialności, wymagań formalnych itp.

Zamiast tego, mamy dowolność formułek i wymagań, które teraz każdy z nas będzie musiał przetworzyć, skonsultować z prawnikami i zdobyć się na wysiłek dostosowania się do nich.

Oczywiście, jest też wyjście takie, żeby tego nie robić i zrezygnować ze współpracy z firmami, które będą miały względem nas takie wymagania. Realnie, ile firm może sobie na to pozwolić?

 

I wy, drodzy blogerzy, i sołszal midia!

Kontynuując powyższy wątek: straciliśmy też szansę w blogosferze.

W ostatnich dniach obserwowałem, chociaż w bardzo ograniczonym zakresie (bo śledzę niewielką liczbę ludzi w sołszial midiach), jak podobną szansę tracą blogerzy czy ogólnie ‘influencerzy”.

To była okazja, żeby powiedzieć ludziom – TAK, zmienia się, idzie nowe. Wasze prawa są ważne i my je respektujemy, a oprócz tego ważne jest, żebyście wy je też egzekwowali. Ten e-mail wpada do was dlatego, że … (tutaj kawałek wartościowej edukacji w temacie).

Zamiast tego w większości był foch typu “To bzdura. Muszę. Patrzcie – każą mi to robię, ale ogólnie to temat uważam za bzdurny i go olewam, bo przeszkadza mi w X,Y,Z“.

Pamiętajcie! Jesteście dla tych ludzi “influencerami”. Wpływacie na to, jak oni to postrzegają. Niby prosty e-mail, ale jednak oni odbiorą to jako “Xinski, Zetowski czy Ygrekowski pokazał, że to nic, błahostka i urzędnicza głupota. To ja też nie będę się tym przejmował”.

Niby mała rzecz, a ma jednak duży zasięg.

 

To jak – uważasz, że to coś zmieni?

Takie zadanie zadała mi Ewa (Head of Administration w Predica, osoba, o której warto napisać artykuł sam w sobie).

TAK. UWAŻAM, ŻE TO COŚ ZMIENI!

Najgorsze, co może się stać, to że teraz, po magicznej dacie, wszyscy szybko zapomną o RODO, spokojni, że za swoim murem zbudowanym z umów, prawników i procedur są bezpieczni.

To jednak teraz zaczyna się prawdziwa praca.

Przy każdym nowym systemie czy aplikacji, trzeba będzie zastanowić się nad tym, jak ma się ona do wymagań stawianych przez RODO (GDPR).

W długim okresie czasu to powinno zmienić sposób, w jaki przetwarzane są nasze dane.

Z czasem użytkownicy dowiedzą się, jakie są ich prawa i jak z nich korzystać. Oczywiście, prawdopodobnie czeka nas okres różnego rodzaju patologii i prób zdobycia szybkich pieniędzy na braku wiedzy u użytkowników, jak i firm.

W obu przypadkach wymagana jest edukacja. To jest kolejna szansa, którą mamy w naszej branży w tej chwili – wyedukować nowych specjalistów, którzy będą inaczej postrzegać te problemy.

I tutaj pytania do Was, drodzy czytający:

Czy wiecie, co RODO zmienia w waszej codziennej pracy związanej z projektowaniem, wdrażaniem czy zarządzaniem systemami (czy to w formie sieci, czy też aplikacji)?

Architekcie! Czy przewidziałeś wymagania RODO w aplikacji, którą właśnie projektujesz? Jak mogłeś przeczytać wcześniej – nie trzeba wiele, żeby je spełnić.  

Czy wiecie, do kogo zwrócić się w swojej firmie z pytaniem: CO TO DLA NAS ZNACZY!? 

Jeżeli nie znacie odpowiedzi na to ostatnie pytanie, warto ją znaleźć.

Tak! Uważam, że ta regulacja w długim okresie czasu coś zmieni. Jaki będzie tego wynik – dzisiaj wam nie powiem.

Będziemy wszyscy się tego uczyć i obserwować, jak to działa.

 

Zdjęcie główne Visualhunt

About Author

1 Comment

  1. Kocham RODO, a wcześniej kochałem UODO i tylko żałowałem że nie było w nim żadnych kar. Pomimo tego braku niemal od zawsze firmy brały na wstrzymanie jeśli się prosiło spełnienie obowiązku informacyjnego wynikającego z art. 32 ustawy o ochronie danych osobowych.

    http://skonieczny.pl/2012/07/18/ustawa-o-ochronie-danych-osobowych-pozwala-walczyc-ze-spamen/

    Jedyna rzecz jakiej nigdy mi się nie udało przewalczyć to używanie mojego adresu email przez mBank w połączeniu z kontem innego Janusza Skoniecznego. Kilka skarg ciągle wyłączanie zgód marketingowych i ciągle to samo — bank nie weryfikuje kto jest właścicielem danych! Masakra! Nie potrafią zrobić tego co na dzień dobry robi pierwszy lepszy serwis internetowy.

    Jeśli bank w ten sposób podchodzi do weryfikacji pożyczkobiorców to nic dziwnego że tyle się słyszy o kradzieżach tożsamości i lewych kredytach. Skoro google potrafi wysłać listem kod potwierdzający obecność pod wybranym adresem, to dlaczego tego nie robią banki? Bo to potencjalna przeszkoda w złapaniu klienta za rękę — klient może się rozmyślić.

    Teraz tylko czekam jak dostanę jakąś informację o zaległościach w spłacie kredytu tego innego Janusza Skoniecznego, będę się uczył składać skargę do PUOD 🙂

    Napisałeś o przeniesieniu kar i odpowiedzialnośći na podwykonawców. IMHO to dobry krok. Posłużę się przykładem z mojego podwórka: Szkoła ma dziennik elektroniczny — z grubsza jedynie miejsce gdzie dane są przetwarzane poza szkołą — a jednak dostawca w umowie zastrzega sobie ograniczenie odpowiedzialności do połowy ew. kary, co więcej ogranicza ją tylko do wysokości abonamentu! Jak to świadczy o dostawcy? To pytanie retoryczne.

    Jeszcze z innej strony, od zawsze w naszym biznesie krążą NDA z absurdalnymi karami “za przewinienie” których z założenia nie podpisuję. Nigdy nie miałem problemu wzięciem odpowiedzialności za powstałe szkody, ale nie chcę by mnie ktoś ciągał po sądach próbując wyłudzić pół miliona złotych za to, że wytarłem tablicy po spotkaniu w biurze klienta zostawiając z grubsza niezrozumiałe bazgroły, bazgroły które ktoś uzna za super duper tajną tajemnicę.

    Uwielbiam UE za jej regulacje, bo zmuszają do myślenia i poruszają status quo, które amerykanie nazywają samo równoważącym się rynkiem.

Leave A Reply

Share This

Share This

Share this post with your friends!