Łukasz Olejnik

Bezpieczeństwo, prywatność, ochrona danych

RODO, zgoda i przetwarzanie danych - analiza

Strony internetowe, aplikacje, urządzenia mobilne czy Internetu Rzeczy i w zasadzie dowolne inne produkty, systemy i procesy - w większości przypadków będą musiały przeprojektować to w jaki sposób zarządzają zgodą i świadomością użytkownika o przetwarzanych danych. Dlaczego? Z powodu General Data Protection Regulation (GDPR), w Polsce często bardziej znanego pod nazwą Rozporządzenia Ogólnego o Ochronie Danych (RODO).

RODO odrobinę zbliża “zgodę” do realnej zgody użytkownika na przetwarzanie danych, co jest doskonałe dla użytkowników. Ale ta regulacja to także wiele wyzwań i nowe wymogi dla biznesu, firm, organizacji, instytucji.

Zdaję sobie sprawę z faktu prowadzonych prac, perypetii i wielu kampanii adaptacyjnych wynikających z GDPR / RODO - w kilku krajach Europy. “Zgoda” jest często w centrum uwagi jako jedno z największych wyzwań.

Szczęśliwie, jest już dostępnych kilka jakby oficjalnych dokumentów, które traktują temat specjalistycznie. Są opinie ICO (brytyjski odpowiednik Generalnego Inspektora Ochrony Danych Osobowych) i innych instytucji. Nawet w Polsce głos zabrało GIODO, problem był też całkiem szeroko omawiany, np. w tym artykule.
Niedawno ukazał się ciekawy dokument od Grupy Roboczej 29, dostępny tu. Tak jak w wielu innych przypadkach, dokument ten jest dość ogólny, traktuje temat szeroko, a w wielu miejscach stosowanie go wymaga analizy. Więc zaczynajmy!

Na samym początku trzeba podkreślić jasno: wg RODO to firma/organizacja ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona. Warto więc zaczynać od tego punktu. Jeśli firma nie jest w stanie udowodnić posiadania zgód, to ich zgody nie są ważne. Trzeba je pobrać ponownie. W praktyce jednak część organizacji zechce i tak pobrać zgody na nowo.

Kilka rad:

  • Sprawdź jak w twojej organizacji zarządza się zgodami. Czy proces ten jest zgodny z RODO? Jeśli nie, może być potrzeba pozyskania zgód ponownie
  • Nie ma procesu zarządzania zgodami? To wskazówka, że poprzedni punkt może nie być spełniony
  • Przetwarzanie jest na podstawie zgody użytkownika, ale nie ma po nich śladu? Wygląda więc na to, że proces zarządzania zgodą w Twojej organizacji nie tylko nie istnieje, ale masz też szereg innych problemów. Zbuduj go. Pobierz zgody na nowo.

Co czyni zgodę zgodą

Na zgodę zgodną z RODO składa się kilka warunków.

Dobrowolność

Użytkownicy nie mogą zostać zmuszeni do udzielenia zgody. Ta decyzja należy tylko do nich. Zgoda nie może być też jedynym warunkiem przed np. podpisaniem umowy. Wtedy zgoda nie jest ważna.

Więc jednym z najważniejszych zadań w celu dojścia do zgodności z RODO będzie analiza istniejących zasad kontraktowych, systemów itd - by sprawdzić czy zgoda była wymogiem korzystania z nich.

Granularność

Są bardzo dobre powody by dzielić systemy na podsystemy (systemy mniejsze), nie tylko funkcjonalnie. By korzystać z niektórych usług czy funkcji, trzeba mieć więc osobne zgody na konkretne rzeczy. Jednocześnie nie ma sensu pozyskiwania zgód na korzystanie z funkcji lub produktów w praktyce nie używanych. Zgody powinny więc być granularne, odnosić się do konkretnych zastosowań. Powinno być też jasne, na co udzielana jest zgoda.

Przykład. “Użyjemy Twoich danych by polepszyć nasze usługi” (jakie usługi? w jaki sposób?). “Użyjemy tych danych w celach naukowych” (kto? jakie konkretnie cele?).

Ten ciekawy punkt odnosi się też do smartfonów czy przeglądarek internetowych, aplikacji.

Wycofanie zgody

Wg RODO wycofanie zgody powinno być łatwe. Użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody. Organizacje muszą więc honorować takie żądania. Konkretniej, musi to być w ogóle możliwe - w sposób łatwy. Taka decyzja nie powinna też wywoływać negatywnych następstw dla użytkownika. Po wycofaniu wcześniej udzielonej zgody przetwarzanie danych nie jest dalej możliwe.

Specyficzna

Zgoda jest ważna jeśli jest udzielona na konkretne użycie danych. Innymi słowy, zgody muszą być uzyskane z konkretnymi, wcześniej określonymi celami. Te cele są ograniczone od samego początku i muszą być zakomunikowane użytkownikowi w trakcie pozyskiwania zgody.

Przykład? Dostawca internetu nie może nagle pewnego dnia zdecydować o przekazaniu firmie marketingowej wzorców użycia internetu i odwiedzanych stron.

Świadoma

Użytkownicy muszą być świadomi konsekwencji podejmowanych decyzji. Wymóg transparentności. O tym też dalej.

Minimalne wymogi dla zgody

Formularz zgody (papierowy, internetowy, w aplikacji, czy w czymkolwiek) musi co najmniej zawierać:

  • tożsamość administratora/kontrolera danych
  • cele każdej operacji przetwarzania
  • type pozyskiwanych i używanych danych, możliwość wycofania zgody
  • czy decyzje będą podejmowane automatycznie
  • czy dane będą przesyłane do państw trzecich

Czasem trzeba będzie podać więcej informacji. Oraz odpowiednio to sformułować. Chodzi jednak o to, że są pewne szczątkowe wymagania dotyczące interfejsu. Wciąż mówimy na wysokim poziomie abstrakcji.

OK, ale jak właściwie to robić?

Wiele wymogów na pierwszy rzut oka budzi wątpliwości. Więc jak w praktyce dostarczyć monit o zgodę dla użytkownika? To zakres zainteresowań inżynierii zgody. Bo sposobów udzielenia zgody może być wiele - tak jak wiele jest sytuacji wymagających pozyskiwania danych. Po prostu nie da się zdefiniować uniwersalnego interfejsu. Inaczej powinien on wyglądać w przypadku strony internetowej, a inaczej gdy używamy elektrycznej szczoteczki do zębów w ramach Internetu Rzeczy. Szeroki temat. Więc… Użyj najlepszego dla Ciebie sposobu, który jednak będzie przyjazny dla użytkownika. Brzmi mgliście lub nawet rozczarowująco? No cóż, to nie żart. Organizacje będą faktycznie musiały pomyśleć. Często trudno bowiem wskazać kompleksowe rozwiązanie “dla każdego”. Nie jesteś pewny? Szukaj pomocy.

Kilka punktów pod rozwagę:

  • Zgody piszemy jasnym i zwięzłym językiem
  • Muszą być proste do zrozumienia. Żadnych 50-stron tekstu z buzzwordami. Jeśli użytkownik nie jest w stanie tego zrozumieć, taka zgoda jest nieważna
  • Dostosowane do specyficznych odbiorców (zwłaszcza jeśli wcześniej znana jest grupa docelowa).
  • Nie wolno zakładać, że użytkownik jest prawnikiem (tekst zgody pisany językiem prawniczym jest kierowany przede wszystkim do tej grupy odbiorców, czy to jest twoja grupa odbiorców?)
  • Czy w ramach grup docelowej będą dzieci? Wtedy zgody muszą być zrozumiałe także dla nich (wnioski mogą być bardzo ciekawe )

Jednoznaczność

Użytkownicy muszą rozumieć co się dzieje i że zgody to nie jest tylko szablon, “check-lista” do odhaczenia typu “akceptuję wszystko jak leci”. Co więcej, organizacje muszą umieć wykazać, że użytkownik podjął świadomą decyzję. Stanowi to oczywiście wyzwanie. Jednym z przykładów od GR29 jest użytkownik udzielający zgody pisząc e-maile. Wyobraźmy więc sobie, że piszę do kogoś maila:

“Szanowny Panie! Udzielam niniejszym zgody na przetwarzanie moich danych w celach marketingowych do tego, tego i owego. Dodatkowo, bardzo chętnie w celu otrzymywania informacji o charakterze premium, zgodzę się na to to i tamto. Konkretnie jednak, proszę nie zapisywać mnie do tego i tamtego. Aha, ale jeśli wasze usługi predykcyjnego wypełniania kosza z zakupami faktycznie wiedzą tak dobrze, lepiej ode mnie co chcę zjeść za tydzień (a także mój kot), to bardzo chętnie. To mój częsty problem.”

To faktycznie dość jednoznacznie i świadomie wyrażona zgoda na przetwarzanie danych. Jej problemem jest jednak to, że ta metoda jest totalnie nieskalowalna.

Może więc nagrywać podczas udzielania zgody głos klienta? Np. w sklepie, ale też na stronie internetowej. Ekscentryczne, choć może i mogło by działać w pewnych specyficznych zastosowaniach (w innych - tworzyło dodatkowe problemy). Mimo to, raczej nie na stronach internetowych, w dodatku tych kierowanych do klientów z różnych krajów.

Szczęśliwie, firmy mogą same zdecydować o sposobie pozyskiwania zgód, który będzie dla nich najwłaściwszy. Pozostanie więc wyzwanie: jak zapewnić tę świadomość? Może kazać użytkownikom potrząsać smartfonem? Dlaczego nie. Może z automatu zaznaczyć pole “nie wyrażam zgody”? To będzie wymagało pewnej interakcji. Być może będzie większa szansa, że użytkownik wie co robi.

Pod rozwagę! Zastanówmy się, czy pracownik firmy telekomunikacyjnej, banku czy innej organizacji podczas podpisania umowy może stwierdzić, że udzielono np. świadomej zgody na kierowanie treści marketingowych (lub innej zgody) jeśli użytkownik nawet nie rzucił okiem na umowę i było to przecież wyraźnie widoczne?

  • Pytanie bonusowe: co się stanie, jeśli był to test konsumencki, wykonywany świadomie w celach testowych, porównawczych?
  • Pytanie za €20 000 000: co może się stać, gdy takie sytuacje zostaną następnie zgłoszone do organu nadzorczego, GIODO/UODO?

Wykazanie zgody

Posiadanie zgody na przetwarzanie danych musi być w stanie udowodnić administrator danych. RODO jest tu jasne. Trzeba móc udowodnić, że wszystko jest w porządku i że każdy wymóg jest spełniony. Wersja minimum: że zgody w ogóle istnieją. RODO nie mówi w jaki sposób można to zrobić, Mówi, że musi być zrobione. Czy brak szczegółowych instrukcji w tym miejscu utrudni prowadzenie biznesu? Wręcz przeciwnie. Powiedziałbym, że to dobrze. Najlepiej zostawić to organizacjom. Same znajdą najwłaściwsze, najbardziej kreatywne i innowacyjne rozwiązania.

Faktycznie są pewne rozwiązania mające ułatwiać zarządzanie zgodami. W praktyce jednak często nie są one obecnie dostosowane do faktycznych potrzeb i wymogów. Trudno więc jakieś szczerze polecić. Zdecydowanie nie chcesz jednak przechowywać informacji o zgodach w arkuszu Excela.

Czas ważności udzielonej zgody

Odświeżanie zgody jest nie tylko dobrą praktyką, ale i wymogiem. Zależy on od specyficznych przypadków użycia. Należy więc je przeanalizować i odpowiednio wybrać.

Wycofanie zgody

Użytkownicy muszą wiedzieć, że można wycofać zgodę. Musi być to łatwe. Co do zasady, powinno być to co najmniej tak łatwe jak udzielenie zgody. Czyli jeśli zgody udzielono przy użyciu pięknego interfejsu webowego, użytkownik nie powinien musieć wysyłać żądania wycofania zgody listem poleconym.

Czy zgody uzyskane przed Majem 2018 zachowają ważność?

Tak. Jeśli spełniają wymogi RODO. Przeanalizuj więc twoją konkretną sytuację.

Podsumowanie

Użytkownik musi być w pełni świadomy co dzieje się z jego danymi i mieć nad nimi pełną kontrolę.

RODO może wymagać przeprojektowania sposobów zarządzania zgodą. Chodzi więc m.in. o procedury, procesy, systemy, produkty, działy IT. To te decyzje będą świadczyć o zgodności z RODO. Często warto też umieścić szereg całkiem szczegółowych informacji o zgodzie w DPIA, ocenie skutków dla ochrony danych (o której pisałem np. tu)

W praktyce trzeba będzie kompleksowo zarządzać zgodami. Będą one bardziej “żywe” i częściej można będzie spotkać sytuacje takie jak wycofanie zgody czy zmiana ich zakresu. Konieczne będzie zdefiniowanie interwału ważności zgód i ich odświeżanie, itd.

Przy konstruowaniu systemów zarządzania zgodami warto być tego świadomym. RODO to nie tylko prawo, cyberbezpieczeństwo, audyty. To także wymóg myślenia i dobrego projektowania - najlepiej z Privacy by Design, nie sprowadzanego jedynie do buzzworda.

Zainteresowała Cię tematyka tego problem? Masz pytania lub wątpliwości? Zachęcam do kontaktu (lukasz.w3c@gmail.com).

Comments is loading...

Comments is loading...