Zróbmy konkurs na największą niezgodność z RODO, powiedziały serwisy internetowe

25 maja 2018 weszło w życie rozporządzenie o ochronie danych osobowych (RODO), w Europie znane pod skrótem GDPR. Ustawa miała na celu dostosowanie już wysłużonych, poprzednich przepisów o ochronie danych osobowych. Już na miesiące przed wejściem w życie siała zamęt wśród przedsiębiorców nad sposobem jej respektowania. Sprawdźmy jak popularne serwisy internetowe poradziły się z wprowadzeniem jej na swoim podwórku.

Głównymi założeniami RODO jest zwiększenie kontroli nad przetwarzaniem naszych danych. Mamy prawo wiedzieć kto je przetwarza i w jaki sposób. Wszystkie zgody, o które jesteśmy proszeni muszą być klarowne (kto prosi o zgodę, w jakim celu i tak dalej) oraz świadome i dobrowolne. Przykładowo, robiąc zakupy w sklepie internetowym nie możemy mieć „z automatu” zaznaczonych zgód na przetwarzanie naszych danych w celach marketingowych, ponieważ w tym celu musimy wyrazić świadomą zgodę. W łatwy sposób możemy również wystąpić o usunięcie naszych danych.

Ten artykuł nie ma na celu przeanalizowania dostosowania polskich serwisów do RODO w sposób bardzo fachowy, prawniczy, ani też przeanalizowania wszystkich możliwości i skutków ustawy. Ma tylko na celu pokazanie realiów wprowadzenia nowej ustawy w życie.

Dla osób zainteresowanych tematem dogłębniej polecam blog Łukasza Olejnika.

Konrad, co to jest te RODO?

Trzeba przyznać – 25 maja 2018 roku na naszych skrzynkach pocztowych działo się dużo. Jedni narzekali i przeklinali kolejną partię spamu, drudzy cieszyli się, że mogą usunąć swoje dane z nieużywanych serwisów. Trąbili o tym wszyscy. Pomimo tego, nawet wieczorem, na kilka godzin przed wejściem ustawy zadzwonił do mnie znajomy (swoją drogą przedsiębiorca, którego RODO de facto dotyczy) z pytaniem „Konrad, co to jest te całe RODO? Coś muszę z tym zrobić”.

Wrzućmy sami siebie na RODO-minę i wyślijmy e-mail do 500 osób

Klasyka gatunku – wyciek adresów e-mail. Jestem ciekaw czy główną przyczyną takich wycieków jest typowa Pani Krysia. Taka co ledwo nauczyła się obsługiwać komputer i dostała listę maili, do której trzeba wysłać wiadomość. Ciekawym zjawiskiem jest reakcja takiej firmy, jak już zorientuje się co narobiła. Magiczna formułka w odpowiedzi „odwołujemy poprzednią wiadomość” próbuje anulować wyciek danych i wszystkie przykre konsekwencje z nim związane. Jest to coś w stylu „nic nie było, proszę się rozejść”. Niczym podczas zabawy w chowanego, jak za dawnych lat zaklepanie samego siebie „1, 2, 3 za siebie”. Podczas takiej masowej korespondencji trafi się również heheszek, co postanowi do wszystkich pozostałych odbiorców tej wiadomości odpisać bardzo ważną wiadomość w stylu „Pozdrawiam”. A tak to wyglądało:

Póki co, RODO jest odpowiedzialne za największe w naszym kraju wycieki adresów e-mail, które – żeby było śmieszniej – często są danymi osobowymi. 👏👏👏 pic.twitter.com/VhufYBJ2lp

— Niebezpiecznik (@niebezpiecznik) May 26, 2018

Dane to nie tylko e-mail i pesel

Żyjemy w czasach gdzie na każdym kroku, wchodząc na pierwszą lepszą stronę zbierane są nasze dane. W pierwszej kolejności są to dane czysto statystyczne. Informują one właściciela strony na jakie podstrony wchodzą użytkownicy, z jakiej przeglądarki, z jakiego urządzenia, z jakiego źródła odbywa się wizyta, ile czasu spędzamy na stronie, na co klikamy i podobne. Najczęściej w tym celu wykorzystany jest kod Google Analytics. Możemy również trafić na ciekawsze, bardziej wyrafinowane narzędzia jak Smartlook, Inspectlet, Hotjar. Wyobraźcie sobie nagranie całej sesji użytkownika, łącznie z ruchami kursora, tak jakbyście nagrywali obraz z ekranu użytkownika.

Filozofia „privacy by default”

Zacznijmy od przejrzenia najpopularniejszych serwisów informacyjnych, na przykład Grupy Onet (m.in Onet.pl czy Business Insider). Mamy tam do czynienia z okienkami, przypominającymi te dotychczasowe dotyczące wykorzystywania plików cookie. Statystycznie rzecz ujmując zostały powiększone oraz odpowiadają jednocześnie za wyrażenie zgody do przetwarzania naszych danych w celach marketingowych. Okienka te dostały jednak pewną bardzo nieetyczną funkcję. Zamknięcie takiego komunikatu jest równoznaczne z zaakceptowaniem zgody na przetwarzania naszych danych. Przypadek szerzej został omówiony w serwisie Zaufana Trzecia Strona.

źródło: Onet.pl

Kolejny ciekawy przypadek, który nawet nie trzeba rozpatrywać w kategoriach RODO tylko logiki. Są to zgody, na które serwis między wierszami sugeruje, że kiedyś będziemy musieli się na to zgodzić. Na Antywebie mamy opcję Zgadzam się albo Nie teraz. Genezą tego zwrotu może być mama, która przypominała małemu Grzesiowi o posprzątaniu pokoju, a on co chwilę odpowiadał „Nie teraz!”

źródło: Antyweb.pl

Benchmark też zgłosił się do konkursu na najgłupszą interpretację zasad przetwarzania danych „zgodnych” z RODO. Pół nocy nie mogłem usnąć po zapoznaniu się z mętlikiem ich zasad. Serwis na dzień dobry wita czytelnika popup’em na 3/4 ekranu telefonu, bądź na połowę ekranu na komputerze. Informuje, że potrzebuje naszej zgody do przetwarzania danych. Pod tekstem dorzuca wielki przycisk Rozumiem, zamykaj równoznaczny z wyrażeniem zgody.

źródło: Benchmark.pl

Co muszę zrobić, żeby zgłosić sprzeciw do przetwarzania danych? Aaa już widzę w tekście! Muszę przejść do podstrony z polityką prywatności (na którą z telefonu, z linku w stopce nie da się wejść) i tam mogę w każdej chwili wycofać zgodę. Cała filozofia privacy by default! Następnie „scrolluje” cały regulamin i co spotykam?

źródło: Benchmark.pl

Abyśmy mogli zapomnieć Twoje dane, musisz być zalogowany. Czyli najpierw muszę się zarejestrować, zalogować i dopiero wtedy mogę usunąć swoje dane. Proste. Bardzo proste. Przez moment myślałem, że może chodziło o dane związane z zarejestrowaniem się do serwisu. Byłoby to jednak tak logicznie, jak wymuszenie zaakceptowania regulaminu zakupów w sklepie internetowym, kiedy chcemy tylko przejrzeć ofertę.

Pop-up’y informujące o plikach cookie to był dopiero początek

Jak widać ustawa, choć z pozytywnym założeniem, mocno utrudnia nam życie. Nie mówię tu o takich absurdalnych sytuacjach jak wprowadzenie zasad przetwarzania danych podczas otrzymywania wizytówek (w końcu to dane osobowe) tylko o codziennym korzystaniu z internetu. Czy serwisy wprowadziły reguły zgodne z RODO, gdzie dane możemy w łatwy sposób usunąć, a każda zgoda jest klarowna i świadoma? Na to pytanie odpowiedzcie sobie już sami.

zdjęcie główne pochodzi z serwisu Pixabay