W ubiegły czwartek miałem okazję poprowadzić warsztaty przeznaczone dla studentów z 17 krajów (na szczęście wszyscy byliśmy w stanie dogadać się po angielsku) podczas Law School 2016: IT and IP law, którą poznańska ELSA zorganizowała na UAM w Poznaniu. Kiedy dostałem zaproszenie na te warsztaty przez chwilę zastanawiałem się, jaki temat byłby na tyle uniwersalny dla studentów z różnych państw – głównie Unii Europejskiej. I w ten sposób wpadłem na pomysł, by podzielić się z nimi moimi doświadczeniami z zakresu ochrony danych osobowych. A skoro mamy studentów – pomyślałem – to najlepiej jest odnieść się do sturtupów, które przez studentów bardzo często są zakładane. I w ten sposób powstały przeprowadzone przeze mnie warsztaty Legal fails made by start-ups – personal data & privacy in IT Projects (GPDR perspective). Dzisiaj możesz przeczytać o czym wtedy rozmawialiśmy.
Po co to i komu?
Cały warsztat miał jedno założenie – pokazanie studentom, że ochrona danych osobowych jest fajnym i dającym się lubić zagadnieniem. Co ciekawe – kiedy zapytałem studentów o to, czy w ramach swoich studiów mają taki przedmiot okazało się, że jest w programie studiów tylko jednej z włoskich uczelni. W żadnym (!) z pozostałych 16 państw (!), z których pochodzili studenci nie było takiego przedmiotu w toku ich studiów(!). W Polsce jest podobnie i póki co tak ciekawie rozwijająca się gałąź prawa nie jest powszechnie nauczana. Ani na UMK, które skończyłem jak i na UAM gdzie teraz realizuję studia doktoranckie w toku studiów prawniczych nie ma takiego przedmiotu jak ochrona danych osobowych (a przynajmniej ja o nich nie słyszałem). Tak więc jeśli chodzi o Law School to mogę z dumą stwierdzić, że mój warsztat dla większości ze studentów był w ogóle ich pierwszym doświadczeniem z prawem ochrony danych osobowych. Miałem tego świadomość i w związku z tym postarałem się przygotować dość przystępną dla nich formę zajęć.
Przetwarzanie danych osobowych przez startupy
Przygotowałem krótką część teoretyczną, w której wspólnie omówiliśmy podstawowe pojęcia – dane osobowe, przetwarzanie, profilowanie, powierzenie przetwarzania i instytucję procesora, główne zasady prawa przyświecające ochronie danych osobowych i tak dalej. Trwało to około 20 minut po których skończyliśmy filozofowanie i przeszliśmy do tego co lubię najbardziej czyli konkretów :>
Dwa kazusy, dwa różne i prawdziwe start-upy. Nazwy były zmienione, ale historie prawdziwe i dotyczyły startupów, którym miałem okazję pomóc (oczywiście pod rządem aktualnej jeszcze ustawy z 1997 r.). Wszystko zostało zestawione z nowym rozporządzeniem wprowadzającym wreszcie zapowiadaną od dawna reformę systemu ochrony danych osobowych w całej Unii Europejskiej. Swoją drogą to właśnie fakt, że mamy rozporządzenie pozwolił nadać sens temu warsztatowi przeznaczonemu przecież dla przyszłych prawników z różnych państw. Rozporządzenia mają bowiem do siebie to, że ich treść wiąże bezpośrednio na terytorium państw członkowskich. Nie ma potrzeby by jak w przypadku dyrektyw wprowadzać je do porządku prawnego każdego państwa członkowskiego np. za pomocą ustawy. Mieliśmy zatem całkiem ciekawe, transgraniczne i prawnie ustabilizowane (już) pole do dyskusji.
Aplikacja SaaS i biznes wokół aplikacji na smartfony
Pierwszy kazus dotyczył aplikacji działającej w chmurze obliczeniowej – tzw. SaaS (ang. Software as a Service). Aplikacja już w pełni działała i mała swoich użytkowników. Po prostu nasz startup stwierdził że trzeba „wyprostować” kwestię ochrony danych osobowych. Sama aplikacja w ciekawy sposób przetwarzała dane osobowe. Startup zawsze był tylko procesorem wraz z szeregiem dalszych subprocesorów. Wyzwania, przed którymi stanęli studenci to nie tylko zidentyfikować kto jest kim w różnorakich procesach przetwarzania, ale przede wszystkim jakie ma obowiązki prawne wynikające ze swojego położenia, co powinien, co może a czego nie musi brać na swoje barki. Wiele ciekawych kwestii dotyczyło samej mechaniki działania aplikacji w chmurze i wymogów rozporządzenia z tym związanych.
Drugi kazus był naturalnie krokiem dalej – inny startup stworzył aplikację na smartfony. Za jej pośrednictwem inni administratorzy udostępniali mu dane osobowe, które już na jego rzecz przetwarzał cały szereg procesorów. Ocena tego, czy wszyscy zgodnie z nowym rozporządzeniem powinni w ogóle być procesorami i w jaki sposób przepływają dane w aplikacji była swoistym preludium do prawdziwego smaczku – profilowania osób. To bowiem do tego celu tak naprawdę została stworzona aplikacja i związany z nią cały model biznesowy startupu. Muszę przyznać, że byłem zaskoczony dojrzałym i rozsądnym podejściem studentów do zagadnienia profilowania. Niektóre osoby prezentowały bardzo ciekawe spojrzenie na te problemy i wspólnie opracowaliśmy kilka naprawdę ciekawych koncepcji praktycznych dla naszego startupu.
Startupowe błędy
Zawsze czerpię olbrzymią przyjemność z dzielenia się wiedzą z innymi, szczególnie ze studentami – uwielbiam ich kreatywne pytania. Cieszę się też, że wybrałem temat ochrony danych osobowych, bo rozporządzenie wynosi tą gałąź prawa na zupełnie nowy poziom harmonizacji we wszystkich państwach członkowskich UE. Nie będę też ukrywał, że trochę się bałem tego, jak z kazusami poradzą sobie studenci. Były skomplikowane, operowały na ważnych detalach – ale były prawdziwe i dotyczyły realnych problemów sturtupów. W skrajnym przypadku ignorancja tych kwestii mogłaby zakończyć się upadkiem ich biznesów. Z dumą muszę jednak przyznać, że studenci całkiem zgrabnie rozwiązywali kolejne problemy prawne i bardzo sprawnie sami wskazywali na kolejne zagadnienia, które budziły ich wątpliwości.
Podsumowując – cieszę się, że organizatorzy zwrócili się do mnie z prośbą o przygotowanie tych warsztatów. Takie wydarzenia pozwalają w nowy (bo rozporządzenie), ciekawy (kreatywni studenci) i stanowiący wyzwanie (językowe) sposób spojrzeć na pewne problemy. Życzyłbym sobie jak najwięcej tego typu okazji w przyszłości 😉