Najczęstsze błędy startupów z punktu widzenia ochrony danych osobowych

W ubie­gły czwar­tek mia­łem oka­zję popro­wa­dzić warsz­ta­ty prze­zna­czo­ne dla stu­den­tów z 17 kra­jów (na szczę­ście wszy­scy byli­śmy w sta­nie doga­dać się po angiel­sku) pod­czas Law Scho­ol 2016: IT and IP law, któ­rą poznań­ska ELSA zor­ga­ni­zo­wa­ła na UAM w Pozna­niu. Kie­dy dosta­łem zapro­sze­nie na te warsz­ta­ty przez chwi­lę zasta­na­wia­łem się, jaki temat był­by na tyle uni­wer­sal­ny dla stu­den­tów z róż­nych państw – głów­nie Unii Euro­pej­skiej. I w ten spo­sób wpa­dłem na pomysł, by podzie­lić się z nimi moimi doświad­cze­nia­mi z zakre­su ochro­ny danych oso­bo­wych. A sko­ro mamy stu­den­tów – pomy­śla­łem – to naj­le­piej jest odnieść się do stur­tu­pów, któ­re przez stu­den­tów bar­dzo czę­sto są zakła­da­ne. I w ten spo­sób powsta­ły prze­pro­wa­dzo­ne prze­ze mnie warsz­ta­ty Legal fails made by start-ups – per­so­nal data & pri­va­cy in IT Pro­jects (GPDR per­spec­ti­ve). Dzi­siaj możesz prze­czy­tać o czym wte­dy rozmawialiśmy.

Po co to i komu?

Cały warsz­tat miał jed­no zało­że­nie – poka­za­nie stu­den­tom, że ochro­na danych oso­bo­wych jest faj­nym i dają­cym się lubić zagad­nie­niem. Co cie­ka­we – kie­dy zapy­ta­łem stu­den­tów o to, czy w ramach swo­ich stu­diów mają taki przed­miot oka­za­ło się, że jest w pro­gra­mie stu­diów tyl­ko jed­nej z wło­skich uczel­ni. W żad­nym (!) z pozo­sta­łych 16 państw (!), z któ­rych pocho­dzi­li stu­den­ci nie było takie­go przed­mio­tu w toku ich stu­diów(!). W Pol­sce jest podob­nie i póki co tak cie­ka­wie roz­wi­ja­ją­ca się gałąź pra­wa nie jest powszech­nie naucza­na. Ani na UMK, któ­re skoń­czy­łem jak i na UAM gdzie teraz reali­zu­ję stu­dia dok­to­ranc­kie w toku stu­diów praw­ni­czych nie ma takie­go przed­mio­tu jak ochro­na danych oso­bo­wych (a przy­naj­mniej ja o nich nie sły­sza­łem). Tak więc jeśli cho­dzi o Law Scho­ol to mogę z dumą stwier­dzić, że mój warsz­tat dla więk­szo­ści ze stu­den­tów był w ogó­le ich pierw­szym doświad­cze­niem z pra­wem ochro­ny danych oso­bo­wych. Mia­łem tego świa­do­mość i w związ­ku z tym posta­ra­łem się przy­go­to­wać dość przy­stęp­ną dla nich for­mę zajęć.

Przetwarzanie danych osobowych przez startupy

Przy­go­to­wa­łem krót­ką część teo­re­tycz­ną, w któ­rej wspól­nie omó­wi­li­śmy pod­sta­wo­we poję­cia – dane oso­bo­we, prze­twa­rza­nie, pro­fi­lo­wa­nie, powie­rze­nie prze­twa­rza­nia i insty­tu­cję pro­ce­so­ra, głów­ne zasa­dy pra­wa przy­świe­ca­ją­ce ochro­nie danych oso­bo­wych i tak dalej. Trwa­ło to oko­ło 20 minut po któ­rych skoń­czy­li­śmy filo­zo­fo­wa­nie i prze­szli­śmy do tego co lubię naj­bar­dziej czy­li konkretów :>

Dwa kazu­sy, dwa róż­ne i praw­dzi­we start-upy. Nazwy były zmie­nio­ne, ale histo­rie praw­dzi­we i doty­czy­ły star­tu­pów, któ­rym mia­łem oka­zję pomóc (oczy­wi­ście pod rzą­dem aktu­al­nej jesz­cze usta­wy z 1997 r.).  Wszyst­ko zosta­ło zesta­wio­ne z nowym roz­po­rzą­dze­niem wpro­wa­dza­ją­cym wresz­cie zapo­wia­da­ną od daw­na refor­mę sys­te­mu ochro­ny danych oso­bo­wych w całej Unii Euro­pej­skiej. Swo­ją dro­gą to wła­śnie fakt, że mamy roz­po­rzą­dze­nie pozwo­lił nadać sens temu warsz­ta­to­wi prze­zna­czo­ne­mu prze­cież dla przy­szłych praw­ni­ków z róż­nych państw. Roz­po­rzą­dze­nia mają bowiem do sie­bie to, że ich treść wią­że bez­po­śred­nio na tery­to­rium państw człon­kow­skich. Nie ma potrze­by by jak w przy­pad­ku dyrek­tyw wpro­wa­dzać je do porząd­ku praw­ne­go każ­de­go pań­stwa człon­kow­skie­go np. za pomo­cą usta­wy. Mie­li­śmy zatem cał­kiem cie­ka­we, trans­gra­nicz­ne i praw­nie usta­bi­li­zo­wa­ne (już) pole do dyskusji.

Aplikacja SaaS i biznes wokół aplikacji na smartfony

Pierw­szy kazus doty­czył apli­ka­cji dzia­ła­ją­cej w chmu­rze obli­cze­nio­wej – tzw. SaaS (ang. Softwa­re as a Servi­ce). Apli­ka­cja już w peł­ni dzia­ła­ła i mała swo­ich użyt­kow­ni­ków. Po pro­stu nasz star­tup stwier­dził że trze­ba „wypro­sto­wać” kwe­stię ochro­ny danych oso­bo­wych. Sama apli­ka­cja w cie­ka­wy spo­sób prze­twa­rza­ła dane oso­bo­we. Star­tup zawsze był tyl­ko pro­ce­so­rem wraz z sze­re­giem dal­szych sub­pro­ce­so­rów. Wyzwa­nia, przed któ­ry­mi sta­nę­li stu­den­ci to nie tyl­ko ziden­ty­fi­ko­wać kto jest kim w róż­no­ra­kich pro­ce­sach prze­twa­rza­nia, ale przede wszyst­kim jakie ma obo­wiąz­ki praw­ne wyni­ka­ją­ce ze swo­je­go poło­że­nia, co powi­nien, co może a cze­go nie musi brać na swo­je bar­ki. Wie­le cie­ka­wych kwe­stii doty­czy­ło samej mecha­ni­ki dzia­ła­nia apli­ka­cji w chmu­rze i wymo­gów roz­po­rzą­dze­nia z tym związanych.

Dru­gi kazus był natu­ral­nie kro­kiem dalej – inny star­tup stwo­rzył apli­ka­cję na smart­fo­ny. Za jej pośred­nic­twem inni admi­ni­stra­to­rzy udo­stęp­nia­li mu dane oso­bo­we, któ­re już na jego rzecz prze­twa­rzał cały sze­reg pro­ce­so­rów. Oce­na tego, czy wszy­scy zgod­nie z nowym roz­po­rzą­dze­niem powin­ni w ogó­le być pro­ce­so­ra­mi i w jaki spo­sób prze­pły­wa­ją dane w apli­ka­cji była swo­istym pre­lu­dium do praw­dzi­we­go smacz­ku – pro­fi­lo­wa­nia osób. To bowiem do tego celu tak napraw­dę zosta­ła stwo­rzo­na apli­ka­cja i zwią­za­ny z nią cały model biz­ne­so­wy star­tu­pu. Muszę przy­znać, że byłem zasko­czo­ny doj­rza­łym i roz­sąd­nym podej­ściem stu­den­tów do zagad­nie­nia pro­fi­lo­wa­nia. Nie­któ­re oso­by pre­zen­to­wa­ły bar­dzo cie­ka­we spoj­rze­nie na te pro­ble­my i wspól­nie opra­co­wa­li­śmy kil­ka napraw­dę cie­ka­wych kon­cep­cji prak­tycz­nych dla nasze­go startupu.

Startupowe błędy

Zawsze czer­pię olbrzy­mią przy­jem­ność z dzie­le­nia się wie­dzą z inny­mi, szcze­gól­nie ze stu­den­ta­mi – uwiel­biam ich kre­atyw­ne pyta­nia. Cie­szę się też, że wybra­łem temat ochro­ny danych oso­bo­wych, bo roz­po­rzą­dze­nie wyno­si tą gałąź pra­wa na zupeł­nie nowy poziom har­mo­ni­za­cji we wszyst­kich pań­stwach człon­kow­skich UE. Nie będę też ukry­wał, że tro­chę się bałem tego, jak z kazu­sa­mi pora­dzą sobie stu­den­ci. Były skom­pli­ko­wa­ne, ope­ro­wa­ły na waż­nych deta­lach – ale były praw­dzi­we i doty­czy­ły real­nych pro­ble­mów stur­tu­pów. W skraj­nym przy­pad­ku igno­ran­cja tych kwe­stii mogła­by zakoń­czyć się upad­kiem ich biz­ne­sów. Z dumą muszę jed­nak przy­znać, że stu­den­ci cał­kiem zgrab­nie roz­wią­zy­wa­li kolej­ne pro­ble­my praw­ne i bar­dzo spraw­nie sami wska­zy­wa­li na kolej­ne zagad­nie­nia, któ­re budzi­ły ich wątpliwości.

Pod­su­mo­wu­jąc – cie­szę się, że orga­ni­za­to­rzy zwró­ci­li się do mnie z proś­bą o przy­go­to­wa­nie tych warsz­ta­tów. Takie wyda­rze­nia pozwa­la­ją w nowy (bo roz­po­rzą­dze­nie), cie­ka­wy (kre­atyw­ni stu­den­ci) i sta­no­wią­cy wyzwa­nie (języ­ko­we) spo­sób spoj­rzeć na pew­ne pro­ble­my. Życzył­bym sobie jak naj­wię­cej tego typu oka­zji w przyszłości 😉

Leave a Reply