RODO, czyli strach ma wielkie oczy

Olo strzeże danych.
Bądź rozważny i strzeż danych jak Olo!

Przyjęta niedawno dyrektywa RODO (w UK mówią na toto GDPR) jawi się wielu projektantom jako potwór z piekła. Co gorsze, zestaw zasad obowiązujących organizacje zbierające i przetwarzające dane jest dość często rozumiany źle — a jego wskazania przeinaczane. Dzisiaj chciałem podzielić się z tobą paroma przemyśleniami na temat RODO i zaatakować temat od nieco innej strony. Jedziem, jak to mówi dziadzia Kutyła.

Zaznaczam, że to nie jest porada prawna — a jedynie mój pogląd na sprawę, który opieram na jako-takiej znajomości tematu i praktyce zawodowej. Mogę się mylić. Taka już ludzka natura.

RODO w pigułce

Dyrektywa zakłada, że:

  1. Każda osoba, która udostępni swoje dane organizacjom, które z kolei mają je przechowywać i przetwarzać wie, co udostępnia — i dlaczego, albo raczej po co.
  2. Każda udostępniająca dane osoba ma prawo do wglądu w nie i w dowolnym momencie korzystania z usługi może zażyczyć sobie ich usunięcia.
  3. Każdy człowiek, zgodnie z zasadami elementarnej logiki (od której wiele organizacji ochoczo odstępuje) ma prawo rozumieć, co się do niego mówi i co się dla niego napisało. Oznacza to mniej więcej tyle, że pisać o tym, co dzieje się z przechowywanymi i przetwarzanymi danymi trzeba po ludzku.
  4. Każda osoba udostępniająca dane może udostępnić je tylko, jeśli zechce, ale nie musi.
  5. Przechowywane zostanie tylko minimum potrzebnych danych. Tego z kolei często nie rozumieją geniusze małkietinga, próbując za wszelką cenę zbierać informacje zupełnie im do szczęścia niepotrzebne.
  6. Dane przechowywane są bezpiecznie i dzielnie strzeżone przez mądre algorytmy.
  7. Każda istota ludzka udostępniając swoje dane wie, z kim te dane są dzielone i powiedzieć może “nie” — tym samym ich nie dzieląc.
  8. W przypadku buby  (czyli padaki, czyli wycieku danych) organizacja, której dane wyciekły musi w jak najkrótszym okresie czasu poinformować o tym fakcie — i zapewnić użytkownikom jak największe bezpieczeństwo i komfort.
  9. Każdy programista, projektant i osoba zaangażowana w proces przetwarzania i pozyskiwania danych ma powyższe punkty na uwadze i nie zasłania się dupowisizmem w rodzaju “to nie mój problem, o tym niechaj nie decydują prawnicy”.

Tak, kochani, RODO to nasz wspólny, projektancki problem, a raczej odpowiedzialność. Przypominam, że jest to odpowiedzialność zbiorowa (termin tak mocno znienawidzony przez wielu) wszystkich osób zaangażowanych w proces. O, wciórności, jak żyć?

Czym RODO nie jest?

  1. RODO nie jest wrzodem na dupie. RODO jest przykładem na to, jak można coś ustandaryzować w sposób przejrzysty i wygodny dla końcowego użytkownika. Tak naprawdę dyrektywę określić można jako jedną z pierwszych nakierowanych na piękny i mądry UX, w którym użytkownik ma jakieś prawo (poza dotychczasowym prawem do bycia spamowanym).
  2. RODO nie jest trudne do zaimplementowania. Trudne jest dla wielu organizacji zwrócenie się ku modelowi, w którym świat kręci się dookoła użytkownika, a nie skostniałych rozwiązań wspierających klikę przyjaciół pociągających za sznurki. To wszystko można zrobić, trzeba tylko chcieć.
  3. RODO nie jest tematem dla prawników, którzy w życiu nie widzieli użytkownika na oczy — a dla takich, którzy umieją myśleć i są otwarci na świat zewnętrzny.
  4. RODO nie jest, a raczej nie powinno być terra incognita, chociaż dla wielu organizacji jest. To zmienić można za pomocą edukacji.
  5. Bezpieczne przechowywanie danych to nie jest wartość dodana do usługi — to jej podstawa. Jeśli tego nie rozumiesz, wróć na zieloną łączkę UX. Wiem jednak, że zapewne rozumiesz. Jeśli nie rozumie tego twój szef, to między innymi twoja w tym odpowiedzialność, żeby to wyjaśnić jak tzw. sołtys krowie na granicy.
  6. RODO nie oznacza, że dane nie mogą być przechowywane poza Unią Europejską. Oznacza tylko tyle, że zbieranie i przechowywanie danych ma się odbywać bezpiecznie. Jeśli bezpieczeństwo może zagwarantować serwerownia w Kambodży i dane te mogą się tamój bezpiecznie znaleźć, to jest okej.
  7. RODO nie jest okazją dla niespełnionych grafomanów i projektantów, którzy myślą, że wpieprzanie siedmiu checkboxów w jeden formularz jest w porządku do tego, by manifestować swoje chore przyzwyczajenia.

RODO jest zestawem przepisów i regulacji prawnych chroniących interesy tych, na których powinno nam najbardziej zależeć – użytkowników usług, które produkujemy. Ludzi, którzy płacą za nasze ajfony i wakacje w Portugalii.

Jak poradzić sobie z RODO, będąc projektantem UX?

Po pierwsze, nie panikować tylko zapoznać się z artykułami na temat tego wynalazku. Najlepsze źródło jakie znam to artykuł autorstwa mej znajomej Heather Burns — wprawdzie po angielsku, ale niezwykle wyczerpujący.

Po drugie, zacząć myśleć głową i testować formularze, które się projektuje. I słuchać kurwienia na temat klikania w niekończące się serie ptaszków. A potem jak prawdziwy projektant wziąć się za rozwiązanie tego problemu, idąc od góry czyli rozmawiając z osobami ustalającymi zasady magazynowania i przetwarzania danych w firmie. Nie bój się tego — projektujesz UX, jesteś od tego, by zadawać trudne pytania!

Po trzecie, pamiętać o privacy by default — czyli o tym, że ktoś może nie chcieć, by jego dane były przetwarzane i przetrzymywane. Jeśli możesz czegoś nie przechowywać, to nie przechowuj!

A teraz możesz to wydrukować i zanieść szefowi. Do miłego!

P.S. Uruchomiłem taki fajny formularz zapisu na przyszłe warsztaty. Może warto rzucić okiem.