RODO, czyli strach ma wielkie oczy

Olo strzeże danych.
Bądź rozważny i strzeż danych jak Olo!

Przyjęta niedawno dyrektywa RODO (w UK mówią na toto GDPR) jawi się wielu projektantom jako potwór z piekła. Co gorsze, zestaw zasad obowiązujących organizacje zbierające i przetwarzające dane jest dość często rozumiany źle — a jego wskazania przeinaczane. Dzisiaj chciałem podzielić się z tobą paroma przemyśleniami na temat RODO i zaatakować temat od nieco innej strony. Jedziem, jak to mówi dziadzia Kutyła.

Zaznaczam, że to nie jest porada prawna — a jedynie mój pogląd na sprawę, który opieram na jako-takiej znajomości tematu i praktyce zawodowej. Mogę się mylić. Taka już ludzka natura.

RODO w pigułce

Dyrektywa zakłada, że:

  1. Każda osoba, która udostępni swoje dane organizacjom, które z kolei mają je przechowywać i przetwarzać wie, co udostępnia — i dlaczego, albo raczej po co.
  2. Każda udostępniająca dane osoba ma prawo do wglądu w nie i w dowolnym momencie korzystania z usługi może zażyczyć sobie ich usunięcia.
  3. Każdy człowiek, zgodnie z zasadami elementarnej logiki (od której wiele organizacji ochoczo odstępuje) ma prawo rozumieć, co się do niego mówi i co się dla niego napisało. Oznacza to mniej więcej tyle, że pisać o tym, co dzieje się z przechowywanymi i przetwarzanymi danymi trzeba po ludzku.
  4. Każda osoba udostępniająca dane może udostępnić je tylko, jeśli zechce, ale nie musi.
  5. Przechowywane zostanie tylko minimum potrzebnych danych. Tego z kolei często nie rozumieją geniusze małkietinga, próbując za wszelką cenę zbierać informacje zupełnie im do szczęścia niepotrzebne.
  6. Dane przechowywane są bezpiecznie i dzielnie strzeżone przez mądre algorytmy.
  7. Każda istota ludzka udostępniając swoje dane wie, z kim te dane są dzielone i powiedzieć może “nie” — tym samym ich nie dzieląc.
  8. W przypadku buby  (czyli padaki, czyli wycieku danych) organizacja, której dane wyciekły musi w jak najkrótszym okresie czasu poinformować o tym fakcie — i zapewnić użytkownikom jak największe bezpieczeństwo i komfort.
  9. Każdy programista, projektant i osoba zaangażowana w proces przetwarzania i pozyskiwania danych ma powyższe punkty na uwadze i nie zasłania się dupowisizmem w rodzaju “to nie mój problem, o tym niechaj nie decydują prawnicy”.

Tak, kochani, RODO to nasz wspólny, projektancki problem, a raczej odpowiedzialność. Przypominam, że jest to odpowiedzialność zbiorowa (termin tak mocno znienawidzony przez wielu) wszystkich osób zaangażowanych w proces. O, wciórności, jak żyć?

Czym RODO nie jest?

  1. RODO nie jest wrzodem na dupie. RODO jest przykładem na to, jak można coś ustandaryzować w sposób przejrzysty i wygodny dla końcowego użytkownika. Tak naprawdę dyrektywę określić można jako jedną z pierwszych nakierowanych na piękny i mądry UX, w którym użytkownik ma jakieś prawo (poza dotychczasowym prawem do bycia spamowanym).
  2. RODO nie jest trudne do zaimplementowania. Trudne jest dla wielu organizacji zwrócenie się ku modelowi, w którym świat kręci się dookoła użytkownika, a nie skostniałych rozwiązań wspierających klikę przyjaciół pociągających za sznurki. To wszystko można zrobić, trzeba tylko chcieć.
  3. RODO nie jest tematem dla prawników, którzy w życiu nie widzieli użytkownika na oczy — a dla takich, którzy umieją myśleć i są otwarci na świat zewnętrzny.
  4. RODO nie jest, a raczej nie powinno być terra incognita, chociaż dla wielu organizacji jest. To zmienić można za pomocą edukacji.
  5. Bezpieczne przechowywanie danych to nie jest wartość dodana do usługi — to jej podstawa. Jeśli tego nie rozumiesz, wróć na zieloną łączkę UX. Wiem jednak, że zapewne rozumiesz. Jeśli nie rozumie tego twój szef, to między innymi twoja w tym odpowiedzialność, żeby to wyjaśnić jak tzw. sołtys krowie na granicy.
  6. RODO nie oznacza, że dane nie mogą być przechowywane poza Unią Europejską. Oznacza tylko tyle, że zbieranie i przechowywanie danych ma się odbywać bezpiecznie. Jeśli bezpieczeństwo może zagwarantować serwerownia w Kambodży i dane te mogą się tamój bezpiecznie znaleźć, to jest okej.
  7. RODO nie jest okazją dla niespełnionych grafomanów i projektantów, którzy myślą, że wpieprzanie siedmiu checkboxów w jeden formularz jest w porządku do tego, by manifestować swoje chore przyzwyczajenia.

RODO jest zestawem przepisów i regulacji prawnych chroniących interesy tych, na których powinno nam najbardziej zależeć – użytkowników usług, które produkujemy. Ludzi, którzy płacą za nasze ajfony i wakacje w Portugalii.

Jak poradzić sobie z RODO, będąc projektantem UX?

Po pierwsze, nie panikować tylko zapoznać się z artykułami na temat tego wynalazku. Najlepsze źródło jakie znam to artykuł autorstwa mej znajomej Heather Burns — wprawdzie po angielsku, ale niezwykle wyczerpujący.

Po drugie, zacząć myśleć głową i testować formularze, które się projektuje. I słuchać kurwienia na temat klikania w niekończące się serie ptaszków. A potem jak prawdziwy projektant wziąć się za rozwiązanie tego problemu, idąc od góry czyli rozmawiając z osobami ustalającymi zasady magazynowania i przetwarzania danych w firmie. Nie bój się tego — projektujesz UX, jesteś od tego, by zadawać trudne pytania!

Po trzecie, pamiętać o privacy by default — czyli o tym, że ktoś może nie chcieć, by jego dane były przetwarzane i przetrzymywane. Jeśli możesz czegoś nie przechowywać, to nie przechowuj!

A teraz możesz to wydrukować i zanieść szefowi. Do miłego!

P.S. Uruchomiłem taki fajny formularz zapisu na przyszłe warsztaty. Może warto rzucić okiem.

Czy wiesz, że ten artykuł to nie wszystko?

Przeczytaj starsze wpisy, które być może też cię zainteresują.