Your browser is not supported for the Live Clock Timer, please visit the Support Center for support.
Do góry

RODO w praktyce, czyli teoria tylko na papierze

Z kursorem myszki zatrzymanym na polu z polityką prywatności, z okiem zawieszonym na banerze goniącym cię przez kolejne strony, z pop-up’em wyskakującym na smartfonie, z ciekawością zatrzymaną przez kolejny e-mail odwiedzający twoją skrzynkę pocztową… myślisz sobie – po co mi te wszystkie reklamy? Jednocześnie nie masz pojęcia jak zaawansowana i brutalna walka toczy się w każdej milisekundzie o twoje dane, o dostęp do nich, o uzyskanie zgody na przetwarzanie, o zapis na newsletter, o bycie pierwszym „w twojej kieszeni”.

Ostatnie 10 lat w marketingu internetowym to ostre cięcie nożem z wytłoczonym na krawędzi ostrza napisem „bazy danych = mając dane, mamy wszystko”, jest to do tego stopnia prawdziwe twierdzenie, że w niektórych przypadkach zupełnie zastępuje jakość przekazu reklamowego, z którym firmy chcą dzielić się z potencjalnym klientem. Dlaczego? Nie ważne bowiem, że nie kupisz u nas butów, nie zapiszesz się na jazdę próbną naszym samochodem – wykonasz zapewne szereg innych kroków zakupowych w sieci, a my mając twoje dane możemy na tym zyskać.

W praktyce dzisiaj nie zarabia się już tylko na sprzedaży własnych usług czy produktów, ale w coraz szerszej perspektywie również na komplementarnych ofertach, których firma nie jest właścicielem. Witaj w świecie nieskończonej prowizji za twoje zakupy w Internecie, które może śledzić tylko jedna firma – ta, której dzisiaj udostępniasz własne dane (często również nieświadomie).

 

Nowe, ale czy lepsze

 

Aż nadchodzi RODO, które ma przynieść rewolucję w zapewnieniu skutecznych praw użytkownikom, stworzyć reguły w przetwarzaniu i powierzaniu danych, w ich ochronie, które przewracają się po twardych dyskach wszystkich komputerów świata, również twojego i mojego.

Uważam, że dla Polski (ale i innych krajów EU) RODO miało stać się starszą (silniejszą) siostrą dla Ustawy o Ochronie Danych Osobowych z 1997 roku, gdyż o pomstę do nieba o tym, co wyprawiało GIODO, wołały wszelkie głosy na rynku – głuche i niesłyszalne prawie nigdzie głosy użytkowników Internetu. GIODO nie miało żadnych możliwości działania, weryfikowania, dbania o prawa użytkowników Internetu, choćby dlatego, że nie miało odpowiednio wysokich budżetów na działania oraz narzędzi służących do wymierzania sprawiedliwości.

Czy któryś z przedsiębiorców wystraszył się otrzymując list wzywający do uzupełnienia braków w procesie przetwarzania danych osobowych? Czy jakaś firma otrzymała znaczną karę za nieprawidłowości w realizacji ustawowych zadań wobec użytkownika znajdującego się w bazie danych? Czy wreszcie któryś z klientów – który był przez pseudo firmy atakowane mailingiem, telefonami z numerów zastrzeżonych, informacjami o rzekomym nieprzekazywaniu jego danych dalej – otrzymał za takie działania satysfakcjonujące odszkodowanie?

GIODO umożliwiało wielu firmom korzystanie z dobroci, jakie dawała ustawowa możliwość powierzenia przetwarzania danych osobowych, jednak o ile jeden z warunków „takiej czynności” był w istocie dopełniany (sporządzono umowę / określano zasady / bezpiecznie dane udostępniano i tworzona była procedura określająca dostęp i zabezpieczenia), to drugi warunek, obowiązkowy wobec użytkowników w takiej przekazywanej do przetwarzania bazie się znajdujących, tj. obowiązek informacyjny, był prawie zawsze pomijany.

 

Absurdy w świetle prawa

 

Spam królował przez wiele lat, a GIODO było wobec wszelkiego typu spamu bezsilne, dobitnym przykładem niech będzie formalny proces składania skargi na nieprawidłowości związane z przetwarzaniem danych. Aby zgłosić skargę na firmę przetwarzającą twoje dane (bez wymaganych zgód oraz bez podawania na żądanie źródła pozyskania twoich danych – mogły zostać bowiem skradzione lub nielegalnie sprzedane), można było pójść do siedziby GIODO i sporządzić w obecności urzędnika skargę w formie pisemnej, podając wszelkie okoliczności. Urzędnik musiał zapytać:
„Proszę powiedzieć, czy firma X przetwarza Pan(i)a dane?”;
„Już nie przetwarza, gdyż zgodnie z moim żądaniem zaprzestano przetwarzania i usunięto moje dane z ich bazy”;
„W takim razie nie możemy przyjąć skargi – skargę można bowiem złożyć na firmę, która Pan(i)a dane przetwarza – skoro już nie są te dane przetwarzane, to nie ma podstaw do złożenia skargi w tym zakresie”.

I myślisz sobie – brawo wy, czyli GIODO, Ustawa, rzeczywiste prawa klienta/użytkownika. Światełko w tunelu pojawiło się, gdy lokomotywa RODO zaczynała krzyczeć przeraźliwym dźwiękiem: „Kary nawet do kilkudziesięciu milionów euro!!!”. Ale czy RODO wniosło odpowiedni poziom bezpieczeństwa danych, na których bezpieczeństwie nam zależy? To dyskusyjny temat, który będzie kontynuowany szczególnie w pierwszych latach nowych przepisów, które dopiero zaczną tworzyć nowy ład i porządek – ale do tego ładu jeszcze daleko.

 

 

Wyrażam zgodę, czy raczej nie

 

„Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę X, a jednocześnie zgodę na otrzymywanie informacji handlowych drogą elektroniczną WYŁĄCZNIE od firmy X”, zaznaczając taki checkbox, użytkownicy nie chcieli zaznaczać kolejnego, który mówił „o przetwarzaniu danych przez innych partnerów firmy” – dla wielu firm taki zapis oznaczał spore trudności w monetyzowaniu takiej bazy danych z użyciem innych niż dana firma ofert reklamowych.

Ale czy dobrze czytamy zgodę? Jeżeli produkuję wiertarki, mając zgodę od klienta na otrzymywanie oferty tylko od mojej firmy, to mogę wysłać takiemu klientowi dowolną ofertę reklamową od jakiejkolwiek innej firmy – bo to ciągle będzie oferta „wyłącznie ode mnie” nie ważne, że jest to oferta innej firmy. Proste, prawda? W taki sposób można ominąć każdą zgodę na otrzymywanie ofert handlowych „tylko od jednej firmy”, gdyż oferta nie musi dotyczyć oferty twojej firmy, musi pochodzić od ciebie – a to już jest nieścisłość i gigantyczne pole do manewru.

 

Czubek góry lodowej

 

O ile mówię o danych w postaci numeru telefonu, e-mail, adresu fizycznego, to dopiero początek danych. Magiczny wymiar ma cookie (czyli kaloryczne, danych pełne ciastko), prosty kod składający się z kilku znaków, zapisywany w naszych przeglądarkach.

Tutaj nikt o zgody nie pyta, gdyż świadomość rynku (użytkowników Internetu) jest na tyle mała, że nie dbają oni o wyświetlane im „niby to incydentalnie oraz przypadkowo” reklamy na stronach internetowych. W przypadku twoich cookies liczba zaufanych partnerów, którym Twoje dane zostaną powierzone, to liczone w setkach (tysiącach) przedsiębiorstwa oraz technologie, które będą twoje ciastko wyciskać jak cytrynę. Nie wierzysz?

Sprawdź na dowolnym z horyzontalnych portali internetowych politykę prywatności i zakładkę „zaufani partnerzy” – twoje dane mogą być wszędzie, bo każdy z zaufanych partnerów ma kolejnych X-set zaufanych partnerów, i tak dalej… Zatrzymywanie danych behawioralnych, adresów IP, cookies, maili czy dowolnej ilości leadów w bezpiecznym miejscu, w jednym kraju, w „bazie naszej firmy”, czy to jest możliwe?

To teoria, napisana właśnie po, aby procedurom stało się zadość, gdyż ustawowo tego od firm wymagają. Panowanie nad rzeczywistym bezpieczeństwem danych ma wymiar iluzoryczny, a już na pewno mocno dyskusyjny. Nie będzie skuteczności RODO bez świadomości użytkowników. Tylko czy komukolwiek zależy na tym, aby edukować użytkownika w inny sposób niż doprowadzenie jego procesu ścieżki zakupowej do przycisku „teraz zapłać”? Wierzę, że RODO będzie kiedyś edukować oraz chronić rynek, a nie tylko wyznaczać standardy, jak wcześniej w erze GIODO.

 

Autor artykułu: Szymon Surma

 

Źródło zdjęć: Gazeta Małych i Średnich Przedsiębiorstw

Gazeta Małych i Średnich Przedsiębiorstw Gazeta MSP jest miesięcznikiem ekonomicznym skierowanym do właścicieli oraz osób zarządzających firmami z sektora małych i średnich przedsiębiorstw. Gazeta dostępna jest na rynku od 17 lat. Misją Gazety MSP jest dostarczanie przedsiębiorcom oraz osobom ...