7 grzechów głównych przeciw RODO | RODO od kuchni cz. III
O zalewie pop-upów i maili dotyczących danych osobowych, grzeszkach firm igrających z RODO i karach jakie mogą je za to spotkać opowiada Maciej Zawadziński - CEO Clearcode i Piwik PRO, platformy, która rywalizuje z Google dzięki ochronie prywatności użytkowników.
Czy wszystkie maile i pop-upy, jakie oglądamy (i wysyłamy!) w związku z RODO naprawdę są niezbędne?
Łatwiej będzie wymienić te, które są zbędne! RODO nałożyło na firmy obowiązek pytania o zgodę za każdym razem, kiedy przetwarzane są dane osobowe, a te, (jak już dowiedzieliśmy się w poprzednim tygodniu) pojawiają się zawsze, kiedy mamy do czynienia z reklamą behawioralną czy nieanonimizowaną analityką internetową. Tym sposobem każda strona, która korzysta z takich rozwiązań jak Google Analytics czy Piwik PRO, musi zapytać swoich użytkowników o zgodę na śledzenie ruchu, testy A/B czy personalizację treści. Nie ma zmiłuj. Dziś niemal każda firma chce mierzyć ruch na swojej stronie, dlatego pop-upów powinniśmy się spodziewać praktycznie wszędzie.
Natomiast to, co uważam za absolutnie zbędne, to stosowanie pop-upów tam, gdzie trackery śledzące odpalane są bez względu na decyzję użytkownika. Można to łatwo sprawdzić za pomocą takich wtyczek, jak np. Ghostery, Privacy Badger czy Disconnect.
Jeśli chodzi o maile, to sprawa jest dużo bardziej złożona. Przed wejściem RODO wiele firm próbowało wyłudzić zgody pod pretekstem…informowania o nowej polityce prywatności. Ten wysyp wiadomości, który obserwowaliśmy pod koniec maja, składał się w dużej mierze z wiadomości wysłanych nielegalnie lub niepotrzebnie.
Jakie są najczęstsze błędy popełniane przy zbieraniu zgód?
Pierwszy, i najbardziej rzucający się w oczy, to stosowanie niezrozumiałego, prawniczego żargonu. RODO wyraźnie nakazuje, że regulaminy, formularze, maile i pop-upy mają być napisane prostym językiem i zrozumiałe dla każdego. Biorąc pod uwagę, że w wielu firmach układa je sztab wyspecjalizowanych prawników, nie dziwię się, że akurat to zadanie sprawia im najwięcej trudności.
Na drugim miejscu postawiłbym na wymuszanie zgody. Tutaj sposobów jest kilka. Można w ogóle nie dawać użytkownikowi opcji braku zgody. Można ten wybór dać, ale go nie respektować lub (tak, jak zrobiły to Google i Facebook) dać użytkownikowi poczucie, że akceptuje regulamin korzystania z usługi.
Popularnym błędem, który notabene przekreśla wartość zebranych zgód, jest też połączenie kilku celów przetwarzania danych w ramach jednej zgody.
Jaki jest obecnie realny poziom ryzyka dla firm, które łamią lub naginają regulację?
W Polsce niestety boleśnie niski. Nie było jeszcze żadnego przypadku ukarania firmy za złamanie RODO, a to dlatego, że prawdopodobnie nie przeprowadzono w tym kierunku jeszcze ani jednej kontroli.
Na zachodzie Europy sytuacja wygląda nieco inaczej. Pierwsze kary padły chwilę po ogłoszeniu regulacji i opiewały na kilkaset tysięcy Euro.
Na ten moment wydaje się, że prędzej Polska zostanie ukarana przez Unię Europejską za niewystarczającą ochronę interesów swoich obywateli, niż polskie firmy za naginanie prawa