Przyjęta niedawno dyrektywa RODO (w UK mówią na toto GDPR) jawi się wielu projektantom jako potwór z piekła. Co gorsze, zestaw zasad obowiązujących organizacje zbierające i przetwarzające dane jest dość często rozumiany źle — a jego wskazania przeinaczane. Dzisiaj chciałem podzielić się z tobą paroma przemyśleniami na temat RODO i zaatakować temat od nieco innej strony. Jedziem, jak to mówi dziadzia Kutyła.
Zaznaczam, że to nie jest porada prawna — a jedynie mój pogląd na sprawę, który opieram na jako-takiej znajomości tematu i praktyce zawodowej. Mogę się mylić. Taka już ludzka natura.
RODO w pigułce
Dyrektywa zakłada, że:
- Każda osoba, która udostępni swoje dane organizacjom, które z kolei mają je przechowywać i przetwarzać wie, co udostępnia — i dlaczego, albo raczej po co.
- Każda udostępniająca dane osoba ma prawo do wglądu w nie i w dowolnym momencie korzystania z usługi może zażyczyć sobie ich usunięcia.
- Każdy człowiek, zgodnie z zasadami elementarnej logiki (od której wiele organizacji ochoczo odstępuje) ma prawo rozumieć, co się do niego mówi i co się dla niego napisało. Oznacza to mniej więcej tyle, że pisać o tym, co dzieje się z przechowywanymi i przetwarzanymi danymi trzeba po ludzku.
- Każda osoba udostępniająca dane może udostępnić je tylko, jeśli zechce, ale nie musi.
- Przechowywane zostanie tylko minimum potrzebnych danych. Tego z kolei często nie rozumieją geniusze małkietinga, próbując za wszelką cenę zbierać informacje zupełnie im do szczęścia niepotrzebne.
- Dane przechowywane są bezpiecznie i dzielnie strzeżone przez mądre algorytmy.
- Każda istota ludzka udostępniając swoje dane wie, z kim te dane są dzielone i powiedzieć może “nie” — tym samym ich nie dzieląc.
- W przypadku buby (czyli padaki, czyli wycieku danych) organizacja, której dane wyciekły musi w jak najkrótszym okresie czasu poinformować o tym fakcie — i zapewnić użytkownikom jak największe bezpieczeństwo i komfort.
- Każdy programista, projektant i osoba zaangażowana w proces przetwarzania i pozyskiwania danych ma powyższe punkty na uwadze i nie zasłania się dupowisizmem w rodzaju “to nie mój problem, o tym niechaj nie decydują prawnicy”.
Tak, kochani, RODO to nasz wspólny, projektancki problem, a raczej odpowiedzialność. Przypominam, że jest to odpowiedzialność zbiorowa (termin tak mocno znienawidzony przez wielu) wszystkich osób zaangażowanych w proces. O, wciórności, jak żyć?
Czym RODO nie jest?
- RODO nie jest wrzodem na dupie. RODO jest przykładem na to, jak można coś ustandaryzować w sposób przejrzysty i wygodny dla końcowego użytkownika. Tak naprawdę dyrektywę określić można jako jedną z pierwszych nakierowanych na piękny i mądry UX, w którym użytkownik ma jakieś prawo (poza dotychczasowym prawem do bycia spamowanym).
- RODO nie jest trudne do zaimplementowania. Trudne jest dla wielu organizacji zwrócenie się ku modelowi, w którym świat kręci się dookoła użytkownika, a nie skostniałych rozwiązań wspierających klikę przyjaciół pociągających za sznurki. To wszystko można zrobić, trzeba tylko chcieć.
- RODO nie jest tematem dla prawników, którzy w życiu nie widzieli użytkownika na oczy — a dla takich, którzy umieją myśleć i są otwarci na świat zewnętrzny.
- RODO nie jest, a raczej nie powinno być terra incognita, chociaż dla wielu organizacji jest. To zmienić można za pomocą edukacji.
- Bezpieczne przechowywanie danych to nie jest wartość dodana do usługi — to jej podstawa. Jeśli tego nie rozumiesz, wróć na zieloną łączkę UX. Wiem jednak, że zapewne rozumiesz. Jeśli nie rozumie tego twój szef, to między innymi twoja w tym odpowiedzialność, żeby to wyjaśnić jak tzw. sołtys krowie na granicy.
- RODO nie oznacza, że dane nie mogą być przechowywane poza Unią Europejską. Oznacza tylko tyle, że zbieranie i przechowywanie danych ma się odbywać bezpiecznie. Jeśli bezpieczeństwo może zagwarantować serwerownia w Kambodży i dane te mogą się tamój bezpiecznie znaleźć, to jest okej.
- RODO nie jest okazją dla niespełnionych grafomanów i projektantów, którzy myślą, że wpieprzanie siedmiu checkboxów w jeden formularz jest w porządku do tego, by manifestować swoje chore przyzwyczajenia.
RODO jest zestawem przepisów i regulacji prawnych chroniących interesy tych, na których powinno nam najbardziej zależeć – użytkowników usług, które produkujemy. Ludzi, którzy płacą za nasze ajfony i wakacje w Portugalii.
Jak poradzić sobie z RODO, będąc projektantem UX?
Po pierwsze, nie panikować tylko zapoznać się z artykułami na temat tego wynalazku. Najlepsze źródło jakie znam to artykuł autorstwa mej znajomej Heather Burns — wprawdzie po angielsku, ale niezwykle wyczerpujący.
Po drugie, zacząć myśleć głową i testować formularze, które się projektuje. I słuchać kurwienia na temat klikania w niekończące się serie ptaszków. A potem jak prawdziwy projektant wziąć się za rozwiązanie tego problemu, idąc od góry czyli rozmawiając z osobami ustalającymi zasady magazynowania i przetwarzania danych w firmie. Nie bój się tego — projektujesz UX, jesteś od tego, by zadawać trudne pytania!
Po trzecie, pamiętać o privacy by default — czyli o tym, że ktoś może nie chcieć, by jego dane były przetwarzane i przetrzymywane. Jeśli możesz czegoś nie przechowywać, to nie przechowuj!
A teraz możesz to wydrukować i zanieść szefowi. Do miłego!
P.S. Uruchomiłem taki fajny formularz zapisu na przyszłe warsztaty. Może warto rzucić okiem.