Dlaczego wprowadzono RODO? Czasami zadaję sobie to pytanie, chcąc zrozumieć co się dzieje. Oczywista wersja oficjalna, ma swoje uzasadnienie. Giganci branży IT nie przejmowali się zbytnio prywatnością, więc z tego punktu widzenia, RODO to krok w dobrą stronę. Teraz znam swoje prawa, mogę zabronić przetwarzania moich danych np. niechcianym marketerom. A ci oczywiście mogą powiedzieć “spadaj pan”, bo to dla nas zbyt duży wysiłek organizacyjny będzie :)
Korporacje, przynajmniej teoretycznie, w razie wycieku danych osobowych, będą musiały udowodnić, że strzegły ich należycie. Jeżeli dane wylecą w świat oraz będą uchybienia niezastosowania się do RODO, mogą spodziewać się finansowych kar. W zależności od rodzaju zagrożeń dla osób, których dane wyciekły. Tylko czy to coś zmieni? Czy dane będą mniej wyciekać? Otóż nie sądzę, jako że RODO mówi tylko co ma się dziać po jednej stronie barykady, czyli w firmach/osobach prywatnych przetwarzających dane. I nie daje rozwiązań technicznych (i dobrze bo technologia szybko się zmienia), tylko mówi jakie raporty trzeba mieć w razie kontroli, czyli w skrócie co trzeba spełniać. Oczywiście, oficjalnie raporty wynikają z rzetelnej analizy ryzyka, zaprojektowania „privacy by design” i „default”, itp.
A co z podmiotami, które chcą się włamać do systemu i dane wykraść? Co z inwigilacją rządową i służb specjalnych? Co z technicznymi aspektami, np. zakazem wprowadzania rządowych backdoorów? A no nic. Tutaj RODO zdaje się milczy.
Zatem jaki cel ma to rozporządzenie? Można by rzec, że ustrukturyzowanie sposobu w jaki administratorzy mają kontrolować przetwarzanie danych osobowych, na terenie Unii. W skrócie, zrzućmy ten bajzel na nich, bo np. już takie polskie GIODO z przetwarzaniem zgłoszeń baz danych było 2 lata (!) w plecy. Sam tego doświadczyłem. Bez przypomnienia się, pewnie czekał bym jeszcze dłużej.
Tak więc, my będziemy kontrolować ich (wraz z zainstalowaniem po części naszego człowieka u nich, czyli IODO), a oni będą kontrolować dane osobowe. Postraszmy ich jeszcze karami, rozdmuchajmy to w mediach, i wezmą się do roboty. Uff – i mamy z bańki.
Dlatego RODO nie mówi nic, co w przypadku gdy spełniasz wszystkie wymagania rozporządzenia, a i tak ktoś Ci wykradł całą bazę danych z serwera z tysiącami/milionami danych osobowych, bo system operacyjny serwera miał podatność, o której jeszcze świat nie słyszał. I co wtedy? Jesteś winny, że tego nie przewidziałeś/aś? Czy może kary w ogóle nie będzie, bo jesteś czysty na papierze?
Wydaje się, że dużo tutaj zależy od dobrej albo złej woli urzędników i relacji ich z danym przedsiębiorstwem. Jeżeli im podpadniesz, możliwe, że karę szybciej dostaniesz. A co z tymi co ataku i kradzieży danych dokonali? RODO ma ich gdzieś, standardowe śledztwo i tyle. A co jak ataku dokonała agencja rządowa? Może i śledztwo jest, ale kto wie czy fikcyjne pod publiczkę. A firma może zabuli i to słono. A może nawet zbankrutuje. Możliwości do nadużyć jest sporo, jak np. atak na daną firmę aby wymusić na niej spowiedź u organu nadzorczego, bo teraz każdy kto przetwarza dane sam w ciągu 3 dni musi zgłosić incydent naruszenia do PUODO. Teraz powtórz atak jeszcze parę razy i w końcu PUODO siądzie na biedaka, z pytaniem „Co u was u licha!? Ciągle macie incydenty”.
Mało tego. Kary mają zasilać budżet skarbu państwa (nie mylić z narodem), a nie np. osób które zostały z powodu wycieku poszkodowane. Czyli przychodzi mi na myśl drogówka, gdzie celem jest zasilanie budżetu z mandatów a nie żadne dobro obywatela.
Kolejna, może ważna sprawa. RODO przyczyni się do zredukowania anonimowości w sieci. Dlaczego? Np. prosty blog na WordPressie często ma analizę ruchu na stronie (najczęściej od Googla – przekazanie danych do państw trzecich), możliwość umieszczania komentarzy, formularz kontaktowy, newsletter i co się okazuje? Nie ma bata, przetwarzasz jakieś dane osobowe, więc musisz podać pełne dane kim jesteś, z adresem zamieszkania, itp. No chyba że zrezygnujesz z tego wszystkiego – a da się.
A co jak piszesz kontrowersyjnie o władzy, ujawniasz ich układy?
Nowe miejsca pracy do tworzenia raportów, tony raportów
RODO na pewno przyczyni się do powstania nowych miejsc biurokratycznej, nikomu niepotrzebnej pracy, np. dla rzeszy inspektorów, gdzie w licznych przypadkach są wymagani. Czyli biurokracja po raz kolejny jest zrzucana na barki przedsiębiorców i wszystkich instytucji publicznych. Inspektorowi trzeba jakąś pensję zapłacić.
Poza tym osoby przetwarzające dane znowu muszą naprodukować mnóstwo bezwartościowego papieru (tudzież elektronicznego), aby mieć dupochron przed kontrolą z organu nadzorczego. Jest papier, jest dobrze. Nie ma, będą problemy. Tylko czy rejestry, raporty, tabelki uchronią fizycznie dane przed wyciekiem? Same w sobie nie, choć jeżeli wynikają z rzetelnej analizy przetwarzanych danych, a nie wypełnia obowiązku posiadania papieru z samego obowiązku jego posiadania to już sytuacja może wyglądać lepiej.
Poza tym wszystkie firmy muszą w jakimś stopniu przystosować i zmodyfikować dotychczasową infrastrukturę informatyczną, aby dało się na niej egzekwować RODO.
No i oczywiście sedno biznesu RODO – certyfikaty! Coś jak „rzetelna firma” tylko w ramach ochrony danych osobowych. Kolejne tony biurokracji do wydawania certyfikatów, ich kontrolę aby firma dumnie mogła się pochwalić papierkiem za wzorową ochroną danych, która runie z dnia na dzień po udanym włamaniu/wycieku.
Paranoja
Niewątpliwie RODO wywołało paranoję, i już mamy absurdy jak rozsyłanie e‑maili o zmianach w polityce prywatności bez BCC, czyli z ujawnieniem adresów wszystkich, do których kierowany był e‑mail. Czyli samo RODO dobrze przyczynia się do wycieków danych i nadużyć. No bo co z tego, że wymyślili sobie przepisy jak mało kto je przeczytał a co dopiero zrozumiał. I okazuje się, że wcale nie trzeba było rozsyłać tego SPAM‑u, no chyba, że się w ogóle nie stosowało do poprzednich przepisów krajowych o ochronie danych osobowych. Czyli wychodzi na to, że kto rozesłał e‑maile informacyjnie, był tak naprawdę na bakier ze znajomością RODO albo miał luki w ochronie danych, więc rozsyłał jak to bardzo je chroni. Oczywiście inni rozsyłali tylko dlatego, że poszedł efekt lawiny – skoro wszyscy to my też.
Paranoja na WP.PLn
Na paranoję w wp.pl trzeba przeznaczyć osobny artykuł. Witryna ta zalewa nas masą informacji o RODO oraz zgodami. Oto piękny przykład jak utrudnić życie w przeglądaniu strony, nawet bez rejestrowania się tam. Poza tym rozporządzenie mówi aby tekst zgody i jej wycofania był jasny, przejrzysty i zrozumiały dla zwykłego zjadacza chleba z ciasta mrożonego. Jeżeli tak to proszę mi wytłumaczyć co tutaj WP miało na myśli: „Wyrażenie tej zgody jest dobrowolne i możesz ją dowolnym momencie wycofać, z tym, że wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania na podstawie zgody, przed jej wycofaniem.” – cudowny RODO bełkot. Wg mnie ich zgody są nieważne.
Kolejna ciekawostka. Otwieram wp.pl w karcie prywatnej, czyli mam pewność, że przeglądarka nie ma zapamiętanych żadnych ciasteczek (upewniłem się jeszcze w ustawieniach przeglądarki). Wchodzę na ich stronę Polityki Prywatności, a tam na samym dole jest checkbox do wyrażenia zgody na przetwarzanie danych. I co się okazuje? Checkbox jest domyślnie zaznaczony! A w RODO wyraźnie jest napisane, że zgoda nie może być domyślnie wybrana za użytkownika. Taka zgoda jest po prostu nieważna. Tyle RODO-wania, bombardowania tekstami i wszystko o kand d rozbić.
Grunt dla oszustów
RODO to niestety także pożywka dla oszustów, gdzie znowu przestraszone owieczki mityczną wysokością kar, idą w układ z oszustem, który chce wyłudzić od nich kasę. Od taki szantażyk, albo “mała” opłata dla oszusta, albo leci skarga do UODO i 20 MILIONÓW EURO KARY DOSTANIESZ!!! HAHAHA! Mamy cię!
Abstrahując od tego jaką przestraszoną owieczką trzeba być, aby się na to nabrać, spiralę strachu nakręcali sami eksperci od RODO i dziennikarze szukający sensacji, którzy na dzień dobry trąbili tylko o niebotycznych karach. Oczywiście górna półka kar, nie oznacza że właśnie taką karę dostaniesz, np. za nieodpowiednie prowadzenie newslettera na blogu lub sklepiku internetowego. To tak jak przeczytać slogan “rabat nawet do 90%”, i dziwić się, że większość produktów ma rabat 5%. No cóż, jak się nie czyta ze zrozumieniem, to się później samemu można wpuścić w maliny.
Dlatego warto przestać się bać na zapas, z zagrożenia które nie jest realne.
Dobra strona mocy
Zauważyłem też dobrą stronę RODO. Gdy zadzwoniła do mnie pani z telemarketingiem, to na dzień dobry podała skąd dzwoni, skąd ma moje dane i czy wyrażam zgodę na nagranie rozmowy. I tutaj, zamiast od razu przejść do wciskania produktu, jak to miało miejsce przed RODO, zaczekała na odpowiedź! Byłem miło zaskoczony.
Co do e‑maili z informacjami o RODO jakie dostałem, to przynajmniej dowiedziałem się gdzie i komu zostawiłem swój e‑mail, wieki temu. Dzięki temu poprosiłem o usunięcie moich danych od paru administratorów, u których już nie chciałem siedzieć w bazach danych.
Podoba mi się w RODO podejście minimalizacji danych. Np. pewien przewoźnik kolejowy, wymagał podania imienia, nazwiska oraz nawet numeru dowodu osobistego, podczas kupowania e‑biletu. Napisałem do nich z zapytaniem na jakiej podstawie zbierają takie dane osobowe, do czego im to potrzebne. Było to jeszcze przed wejściem RODO. Odpisali mi że oczywiście dla bezpieczeństwa, aby nie podrobić biletu, ale napisali też, że wraz z wejściem RODO to się zmieni. Jednak są to dane zbierane nadmiarowo i nie są niezbędne do prowadzenia usługi. I rzeczywiście, po 25 maja, numeru dowodu już nie trzeba podawać. Super.
Może nie takie RODO będzie straszne. Na razie wygląda mi na kolejny bubel. Tak jak zarządzanie plikami cookies – “ok, rozumiem, wywal mi ze strony ten komunikat”. Jednak mało kto zrozumiał istotę informacji oraz wyłączenia ciasteczek stron trzecich jako ustawienie domyślne.
Na razie podobnie widzę zrozumienie RODO, byle wysłać do konsumenta bezużyteczne informacje, których jak dostanie 50 w 2 dni to i tak nie przeczyta. Tym bardziej, że wszystkie są o tym samym i tłumaczą od początku czym jest RODO – litości. No cóż, kolejne udogodnienia, które przyniosły czasem i odwrotny skutek.
Czekamy co przyniesie ePrivacy!