7 grzechów głównych przeciw RODO | RODO od kuchni cz. III

238

O zalewie pop-upów i maili dotyczących danych osobowych, grzeszkach firm igrających z RODO i karach jakie mogą je za to spotkać opowiada Maciej Zawadziński – CEO Clearcode i Piwik PRO, platformy, która rywalizuje z Google dzięki ochronie prywatności użytkowników.

Czy wszystkie maile i pop-upy, jakie oglądamy (i wysyłamy!) w związku z RODO naprawdę są niezbędne?

Łatwiej będzie wymienić te, które są zbędne! RODO nałożyło na firmy obowiązek pytania o zgodę za każdym razem, kiedy przetwarzane są dane osobowe, a te, (jak już dowiedzieliśmy się w poprzednim tygodniu) pojawiają się zawsze, kiedy mamy do czynienia z reklamą behawioralną czy nieanonimizowaną analityką internetową. Tym sposobem każda strona, która korzysta z takich rozwiązań jak Google Analytics czy Piwik PRO, musi zapytać swoich użytkowników o zgodę na śledzenie ruchu, testy A/B czy personalizację treści. Nie ma zmiłuj. Dziś niemal każda firma chce mierzyć ruch na swojej stronie, dlatego pop-upów powinniśmy się spodziewać praktycznie wszędzie.

Natomiast to, co uważam za absolutnie zbędne, to stosowanie pop-upów tam, gdzie trackery śledzące odpalane są bez względu na decyzję użytkownika. Można to łatwo sprawdzić za pomocą takich wtyczek, jak np. Ghostery, Privacy Badger czy Disconnect.

Jeśli chodzi o maile, to sprawa jest dużo bardziej złożona. Przed wejściem RODO wiele firm próbowało wyłudzić zgody pod pretekstem…informowania o nowej polityce prywatności. Ten wysyp wiadomości, który obserwowaliśmy pod koniec maja, składał się w dużej mierze z wiadomości wysłanych nielegalnie lub niepotrzebnie.

Jakie są najczęstsze błędy popełniane przy zbieraniu zgód?

Pierwszy, i najbardziej rzucający się w oczy, to stosowanie niezrozumiałego, prawniczego żargonu. RODO wyraźnie nakazuje, że regulaminy, formularze, maile i pop-upy mają być napisane prostym językiem i zrozumiałe dla każdego. Biorąc pod uwagę, że w wielu firmach układa je sztab wyspecjalizowanych prawników, nie dziwię się, że akurat to zadanie sprawia im najwięcej trudności.

Na drugim miejscu postawiłbym na wymuszanie zgody. Tutaj sposobów jest kilka. Można w ogóle nie dawać użytkownikowi opcji braku zgody. Można ten wybór dać, ale go nie respektować lub (tak, jak zrobiły to Google i Facebook) dać użytkownikowi poczucie, że akceptuje regulamin korzystania z usługi.

Popularnym błędem, który notabene przekreśla wartość zebranych zgód, jest też połączenie kilku celów przetwarzania danych w ramach jednej zgody.

Jaki jest obecnie realny poziom ryzyka dla firm, które łamią lub naginają regulację?

W Polsce niestety boleśnie niski. Nie było jeszcze żadnego przypadku ukarania firmy za złamanie RODO, a to dlatego, że prawdopodobnie nie przeprowadzono w tym kierunku jeszcze ani jednej kontroli.

Na zachodzie Europy sytuacja wygląda nieco inaczej. Pierwsze kary padły chwilę po ogłoszeniu regulacji i opiewały na kilkaset tysięcy Euro.

Na ten moment wydaje się, że prędzej Polska zostanie ukarana przez Unię Europejską za niewystarczającą ochronę interesów swoich obywateli, niż polskie firmy za naginanie prawa

Komentarze
var __collector_config = { publisher: '62CD5834-C757-4F9F-A4EA-7451478E0D3C', };