Przeskocz do treści

RODO – a miało być tak pięknie

Dla­cze­go wpro­wa­dzo­no RODO? Cza­sa­mi zada­ję sobie to pyta­nie, chcąc zro­zu­mieć co się dzie­je. Oczy­wi­sta wer­sja ofi­cjal­na, ma swo­je uza­sad­nie­nie. Gigan­ci bran­ży IT nie przej­mo­wa­li się zbyt­nio pry­wat­no­ścią, więc z tego punk­tu widze­nia, RODO to krok w dobrą stro­nę. Teraz znam swo­je pra­wa, mogę zabro­nić prze­twa­rza­nia moich danych np. nie­chcia­nym mar­ke­te­rom. A ci oczy­wi­ście mogą powie­dzieć “spa­daj pan”, bo to dla nas zbyt duży wysi­łek orga­ni­za­cyj­ny będzie :)

Kor­po­ra­cje, przy­naj­mniej teo­re­tycz­nie, w razie wycie­ku danych oso­bo­wych, będą musia­ły udo­wod­nić, że strze­gły ich nale­ży­cie. Jeże­li dane wyle­cą w świat oraz będą uchy­bie­nia nie­za­sto­so­wa­nia się do RODO, mogą spo­dzie­wać się finan­so­wych kar. W zależ­no­ści od rodza­ju zagro­żeń dla osób, któ­rych dane wycie­kły. Tyl­ko czy to coś zmie­ni? Czy dane będą mniej wycie­kać? Otóż nie sądzę, jako że RODO mówi tyl­ko co ma się dziać po jed­nej stro­nie bary­ka­dy, czy­li w firmach/osobach pry­wat­nych prze­twa­rza­ją­cych dane. I nie daje roz­wią­zań tech­nicz­nych (i dobrze bo tech­no­lo­gia szyb­ko się zmie­nia), tyl­ko mówi jakie rapor­ty trze­ba mieć w razie kon­tro­li, czy­li w skró­cie co trze­ba speł­niać. Oczy­wi­ście, ofi­cjal­nie rapor­ty wyni­ka­ją z rze­tel­nej ana­li­zy ryzy­ka, zapro­jek­to­wa­nia „pri­va­cy by design” i „default”, itp.

A co z pod­mio­ta­mi, któ­re chcą się wła­mać do sys­te­mu i dane wykraść? Co z inwi­gi­la­cją rzą­do­wą i służb spe­cjal­nych? Co z tech­nicz­ny­mi aspek­ta­mi, np. zaka­zem wpro­wa­dza­nia rzą­do­wych back­do­orów? A no nic. Tutaj RODO zda­je się mil­czy.

Zatem jaki cel ma to roz­po­rzą­dze­nie? Moż­na by rzec, że ustruk­tu­ry­zo­wa­nie spo­so­bu w jaki admi­ni­stra­to­rzy mają kon­tro­lo­wać prze­twa­rza­nie danych oso­bo­wych, na tere­nie Unii. W skró­cie, zrzuć­my ten baj­zel na nich, bo np. już takie pol­skie GIODO z prze­twa­rza­niem zgło­szeń baz danych było 2 lata (!) w ple­cy. Sam tego doświad­czy­łem. Bez przy­po­mnie­nia się, pew­nie cze­kał bym jesz­cze dłu­żej.

Tak więc, my będzie­my kon­tro­lo­wać ich (wraz z zain­sta­lo­wa­niem po czę­ści nasze­go czło­wie­ka u nich, czy­li IODO), a oni będą kon­tro­lo­wać dane oso­bo­we. Postrasz­my ich jesz­cze kara­mi, roz­dmu­chaj­my to w mediach, i wezmą się do robo­ty. Uff – i mamy z bań­ki.

Dla­te­go RODO nie mówi nic, co w przy­pad­ku gdy speł­niasz wszyst­kie wyma­ga­nia roz­po­rzą­dze­nia, a i tak ktoś Ci wykradł całą bazę danych z ser­we­ra z tysiącami/milionami danych oso­bo­wych, bo sys­tem ope­ra­cyj­ny ser­we­ra miał podat­ność, o któ­rej jesz­cze świat nie sły­szał. I co wte­dy? Jesteś win­ny, że tego nie przewidziałeś/aś? Czy może kary w ogó­le nie będzie, bo jesteś czy­sty na papie­rze?

Wyda­je się, że dużo tutaj zale­ży od dobrej albo złej woli urzęd­ni­ków i rela­cji ich z danym przed­się­bior­stwem. Jeże­li im pod­pad­niesz, moż­li­we, że karę szyb­ciej dosta­niesz. A co z tymi co ata­ku i kra­dzie­ży danych doko­na­li? RODO ma ich gdzieś, stan­dar­do­we śledz­two i tyle. A co jak ata­ku doko­na­ła agen­cja rzą­do­wa? Może i śledz­two jest, ale kto wie czy fik­cyj­ne pod publicz­kę. A fir­ma może zabu­li i to sło­no. A może nawet zban­kru­tu­je. Moż­li­wo­ści do nad­użyć jest spo­ro, jak np. atak na daną fir­mę aby wymu­sić na niej spo­wiedź u orga­nu nad­zor­cze­go, bo teraz każ­dy kto prze­twa­rza dane sam w cią­gu 3 dni musi zgło­sić incy­dent naru­sze­nia do PUODO. Teraz powtórz atak jesz­cze parę razy i w koń­cu PUODO sią­dzie na bie­da­ka, z pyta­niem „Co u was u licha!? Cią­gle macie incy­den­ty”.

Mało tego. Kary mają zasi­lać budżet skar­bu pań­stwa (nie mylić z naro­dem), a nie np. osób któ­re zosta­ły z powo­du wycie­ku poszko­do­wa­ne. Czy­li przy­cho­dzi mi na myśl dro­gów­ka, gdzie celem jest zasi­la­nie budże­tu z man­da­tów a nie żad­ne dobro oby­wa­te­la.

Kolej­na, może waż­na spra­wa. RODO przy­czy­ni się do zre­du­ko­wa­nia ano­ni­mo­wo­ści w sie­ci. Dla­cze­go? Np. pro­sty blog na Word­Pres­sie czę­sto ma ana­li­zę ruchu na stro­nie (naj­czę­ściej od Googla – prze­ka­za­nie danych do państw trze­cich), moż­li­wość umiesz­cza­nia komen­ta­rzy, for­mu­larz kon­tak­to­wy, new­slet­ter i co się oka­zu­je? Nie ma bata, prze­twa­rzasz jakieś dane oso­bo­we, więc musisz podać peł­ne dane kim jesteś, z adre­sem zamiesz­ka­nia, itp. No chy­ba że zre­zy­gnu­jesz z tego wszyst­kie­go – a da się.

A co jak piszesz kon­tro­wer­syj­nie o wła­dzy, ujaw­niasz ich ukła­dy?

Nowe miejsca pracy do tworzenia raportów, tony raportów

RODO na pew­no przy­czy­ni się do powsta­nia nowych miejsc biu­ro­kra­tycz­nej, niko­mu nie­po­trzeb­nej pra­cy, np. dla rze­szy inspek­to­rów, gdzie w licz­nych przy­pad­kach są wyma­ga­ni. Czy­li biu­ro­kra­cja po raz kolej­ny jest zrzu­ca­na na bar­ki przed­się­bior­ców i wszyst­kich insty­tu­cji publicz­nych. Inspek­to­ro­wi trze­ba jakąś pen­sję zapła­cić.

Poza tym oso­by prze­twa­rza­ją­ce dane zno­wu muszą napro­du­ko­wać mnó­stwo bez­war­to­ścio­we­go papie­ru (tudzież elek­tro­nicz­ne­go), aby mieć dupo­chron przed kon­tro­lą z orga­nu nad­zor­cze­go. Jest papier, jest dobrze. Nie ma, będą pro­ble­my. Tyl­ko czy reje­stry, rapor­ty, tabel­ki uchro­nią fizycz­nie dane przed wycie­kiem? Same w sobie nie, choć jeże­li wyni­ka­ją z rze­tel­nej ana­li­zy prze­twa­rza­nych danych, a nie wypeł­nia obo­wiąz­ku posia­da­nia papie­ru z same­go obo­wiąz­ku jego posia­da­nia to już sytu­acja może wyglą­dać lepiej.

Poza tym wszyst­kie fir­my muszą w jakimś stop­niu przy­sto­so­wać i zmo­dy­fi­ko­wać dotych­cza­so­wą infra­struk­tu­rę infor­ma­tycz­ną, aby dało się na niej egze­kwo­wać RODO.

No i oczy­wi­ście sed­no biz­ne­su RODO – cer­ty­fi­ka­ty! Coś jak „rze­tel­na fir­ma” tyl­ko w ramach ochro­ny danych oso­bo­wych. Kolej­ne tony biu­ro­kra­cji do wyda­wa­nia cer­ty­fi­ka­tów, ich kon­tro­lę aby fir­ma dum­nie mogła się pochwa­lić papier­kiem za wzo­ro­wą ochro­ną danych, któ­ra runie z dnia na dzień po uda­nym włamaniu/wycieku.

Paranoja

Nie­wąt­pli­wie RODO wywo­ła­ło para­no­ję, i już mamy absur­dy jak roz­sy­ła­nie e-maili o zmia­nach w poli­ty­ce pry­wat­no­ści bez BCC, czy­li z ujaw­nie­niem adre­sów wszyst­kich, do któ­rych kie­ro­wa­ny był e-mail. Czy­li samo RODO dobrze przy­czy­nia się do wycie­ków danych i nad­użyć. No bo co z tego, że wymy­śli­li sobie prze­pi­sy jak mało kto je prze­czy­tał a co dopie­ro zro­zu­miał. I oka­zu­je się, że wca­le nie trze­ba było roz­sy­łać tego SPAM-u, no chy­ba, że się w ogó­le nie sto­so­wa­ło do poprzed­nich prze­pi­sów kra­jo­wych o ochro­nie danych oso­bo­wych. Czy­li wycho­dzi na to, że kto roze­słał e-maile infor­ma­cyj­nie, był tak napraw­dę na bakier ze zna­jo­mo­ścią RODO albo miał luki w ochro­nie danych, więc roz­sy­łał jak to bar­dzo je chro­ni. Oczy­wi­ście inni roz­sy­ła­li tyl­ko dla­te­go, że poszedł efekt lawi­ny – sko­ro wszy­scy to my też.

Paranoja na WP​.PLn

Na para­no­ję w wp​.pl trze­ba prze­zna­czyć osob­ny arty­kuł. Witry­na ta zale­wa nas masą infor­ma­cji o RODO oraz zgo­da­mi. Oto pięk­ny przy­kład jak utrud­nić życie w prze­glą­da­niu stro­ny, nawet bez reje­stro­wa­nia się tam. Poza tym roz­po­rzą­dze­nie mówi aby tekst zgo­dy i jej wyco­fa­nia był jasny, przej­rzy­sty i zro­zu­mia­ły dla zwy­kłe­go zja­da­cza chle­ba z cia­sta mro­żo­ne­go. Jeże­li tak to pro­szę mi wytłu­ma­czyć co tutaj WP mia­ło na myśli: „Wyra­że­nie tej zgo­dy jest dobro­wol­ne i możesz ją dowol­nym momen­cie wyco­fać, z tym, że wyco­fa­nie zgo­dy nie będzie mia­ło wpły­wu na zgod­ność z pra­wem prze­twa­rza­nia na pod­sta­wie zgo­dy, przed jej wyco­fa­niem.” – cudow­ny RODO beł­kot. Wg mnie ich zgo­dy są nie­waż­ne.

Kolej­na cie­ka­wost­ka. Otwie­ram wp​.pl w kar­cie pry­wat­nej, czy­li mam pew­ność, że prze­glą­dar­ka nie ma zapa­mię­ta­nych żad­nych cia­ste­czek (upew­ni­łem się jesz­cze w usta­wie­niach prze­glą­dar­ki). Wcho­dzę na ich stro­nę Poli­ty­ki Pry­wat­no­ści, a tam na samym dole jest check­box do wyra­że­nia zgo­dy na prze­twa­rza­nie danych. I co się oka­zu­je? Check­box jest domyśl­nie zazna­czo­ny! A w RODO wyraź­nie jest napi­sa­ne, że zgo­da nie może być domyśl­nie wybra­na za użyt­kow­ni­ka. Taka zgo­da jest po pro­stu nie­waż­na. Tyle RODO-wania, bom­bar­do­wa­nia tek­sta­mi i wszyst­ko o kand d roz­bić.

Grunt dla oszustów

RODO to nie­ste­ty tak­że pożyw­ka dla oszu­stów, gdzie zno­wu prze­stra­szo­ne owiecz­ki mitycz­ną wyso­ko­ścią kar, idą w układ z oszu­stem, któ­ry chce wyłu­dzić od nich kasę. Od taki szan­ta­żyk, albo “mała” opła­ta dla oszu­sta, albo leci skar­ga do UODO i 20 MILIONÓW EURO KARY DOSTANIESZ!!! HAHAHA! Mamy cię!

Abs­tra­hu­jąc od tego jaką prze­stra­szo­ną owiecz­ką trze­ba być, aby się na to nabrać, spi­ra­lę stra­chu nakrę­ca­li sami eks­per­ci od RODO i dzien­ni­ka­rze szu­ka­ją­cy sen­sa­cji, któ­rzy na dzień dobry trą­bi­li tyl­ko o nie­bo­tycz­nych karach. Oczy­wi­ście gór­na pół­ka kar, nie ozna­cza że wła­śnie taką karę dosta­niesz, np. za nie­od­po­wied­nie pro­wa­dze­nie new­slet­te­ra na blo­gu lub skle­pi­ku inter­ne­to­we­go. To tak jak prze­czy­tać slo­gan “rabat nawet do 90%”, i dzi­wić się, że więk­szość pro­duk­tów ma rabat 5%. No cóż, jak się nie czy­ta ze zro­zu­mie­niem, to się póź­niej same­mu moż­na wpu­ścić w mali­ny.

Dla­te­go war­to prze­stać się bać na zapas, z zagro­że­nia któ­re nie jest real­ne.

Dobra strona mocy

Zauwa­ży­łem też dobrą stro­nę RODO. Gdy zadzwo­ni­ła do mnie pani z tele­mar­ke­tin­giem, to na dzień dobry poda­ła skąd dzwo­ni, skąd ma moje dane i czy wyra­żam zgo­dę na nagra­nie roz­mo­wy. I tutaj, zamiast od razu przejść do wci­ska­nia pro­duk­tu, jak to mia­ło miej­sce przed RODO, zacze­ka­ła na odpo­wiedź! Byłem miło zasko­czo­ny.

Co do e-maili z infor­ma­cja­mi o RODO jakie dosta­łem, to przy­naj­mniej dowie­dzia­łem się gdzie i komu zosta­wi­łem swój e-mail, wie­ki temu. Dzię­ki temu popro­si­łem o usu­nię­cie moich danych od paru admi­ni­stra­to­rów, u któ­rych już nie chcia­łem sie­dzieć w bazach danych.

Podo­ba mi się w RODO podej­ście mini­ma­li­za­cji danych. Np. pewien prze­woź­nik kole­jo­wy, wyma­gał poda­nia imie­nia, nazwi­ska oraz nawet nume­ru dowo­du oso­bi­ste­go, pod­czas kupo­wa­nia e-bile­tu. Napi­sa­łem do nich z zapy­ta­niem na jakiej pod­sta­wie zbie­ra­ją takie dane oso­bo­we, do cze­go im to potrzeb­ne. Było to jesz­cze przed wej­ściem RODO. Odpi­sa­li mi że oczy­wi­ście dla bez­pie­czeń­stwa, aby nie pod­ro­bić bile­tu, ale napi­sa­li też, że wraz z wej­ściem RODO to się zmie­ni. Jed­nak są to dane zbie­ra­ne nad­mia­ro­wo i nie są nie­zbęd­ne do pro­wa­dze­nia usłu­gi. I rze­czy­wi­ście, po 25 maja, nume­ru dowo­du już nie trze­ba poda­wać. Super.

Może nie takie RODO będzie strasz­ne. Na razie wyglą­da mi na kolej­ny bubel. Tak jak zarzą­dza­nie pli­ka­mi cookies – “ok, rozu­miem, wywal mi ze stro­ny ten komu­ni­kat”. Jed­nak mało kto zro­zu­miał isto­tę infor­ma­cji oraz wyłą­cze­nia cia­ste­czek stron trze­cich jako usta­wie­nie domyśl­ne.

Na razie podob­nie widzę zro­zu­mie­nie RODO, byle wysłać do kon­su­men­ta bez­u­ży­tecz­ne infor­ma­cje, któ­rych jak dosta­nie 50 w 2 dni to i tak nie prze­czy­ta. Tym bar­dziej, że wszyst­kie są o tym samym i tłu­ma­czą od począt­ku czym jest RODO – lito­ści. No cóż, kolej­ne udo­god­nie­nia, któ­re przy­nio­sły cza­sem i odwrot­ny sku­tek.

Cze­ka­my co przy­nie­sie ePri­va­cy!