KraQA #32

W poniedziałek 2 lipca, tym razem w Artefact Cafe przy ulicy Dajwór, odbyło się 32 spotkanie KraQA. W trakcie bardzo ciekawej prezentacji swoją wiedzą i doświadczeniem na temat RODO podzielił się z nami Mariusz Rowiński. Mogło by się wydawać, że bardzo mocno eksploatowany ostatnio temat Rozporządzenia o Ochronie Danych Osobowych został wyczerpany, ale zarówno omówione przez Mariusza przykłady, jak również wypełniona po brzegi sala i żywa dyskusja pokazały, że temat ten ściśle związany jest z codzienną pracą testerów.

Początek prezentacji przybliżył nam kilka informacji na temat samego rozporządzenia i regulowanych przez niego danych osobowych. Oprócz tych najbardziej popularnych jak imię i nazwisko i numer PESEL, danymi osobowymi są również adres e-mail, adres IP, oraz Identyfikator internetowy. Okazało się również, że samo rozporządzenie zostało przyjęte już w kwietniu 2016 roku, ale dwuletni okres przejściowy spowodował, że w większości firm lawina nazywana RODO ruszyła dopiero w maju 2018 roku.

To jak złożonym zagadnieniem jest RODO pokazała żywa dyskusja na temat wyróżnionych przez Mariusza funkcji Administratora danych osobowych i podmiotu przetwarzającego – procesora, oraz sposobu przechowywania danych użytkowników, np. adresów email. Zgodnie z zaleceniami przedstawionymi podczas prezentacji w sposób szczególny należy zwrócić uwagę na właściwe zabezpieczenie danych, a wyzwanie stanowić może nawet projektowania prostego systemu uwierzytelniania adresów email, lub zapisywania się do newslettera. Na szczęście po przedstawieniu początkowej listy potencjalnych problemów Mariusz przedstawił kilka zasad, których zastosowanie może w sposób wymierny uprościć pracę osób zajmujących się tematem. Chodziło tu m.in. o zadanie pytania, czy wszystkie dane są w formularzu niezbędne, czy pojawiła się wymagana zgoda na temat przetwarzania tych danych, oraz czy ma ona odpowiednią formę (przykład pisma z Tauronu, gdzie X w jednym okienku miał oznaczać zgodę na całą resztę pytań i informacji.). Dopracowania wymaga również kwestia zbierania, oraz sposobu i czasu przechowywania tych danych.

Kolejna część prezentacji pozwoliła spojrzeć na temat z perspektywy osoby, której dany osobowe są przetwarzane. Jak wskazano w prezentacji, każdy właściciel danych osobowych ma prawo do m.in. indywidualnej kontroli, sprostowania i uzupełnienia, usunięcia (ciekawie brzmiące „prawo do bycia zapomnianym”), oraz ograniczenia przetwarzania swoich danych osobowych.

W prezentacji przedstawiono także szereg reguł, którymi kierować powinni się testerzy, aby zarządzać danymi w sposób bezpieczny. Wyróżniono tu zasady nadawania najmniejszych przywilejów i odpowiednich uprawnień, regularnego usuwania nieaktywnych kont, usuwania metadanych, a także niekorzystanie z danych osobowych na środowiskach testowych. Należy również uwzględnić prywatność już w fazie projektowania (privacy by design), oraz zasadę prywatności w ustawieniach domyślnych (privacy by default).

Na zakończenie Mariusz podkreślił powagę tematu wskazując na możliwe kary finansowe dla firm łamiących zapisy RODO:

  • W przypadku lekkiego naruszenia postanowień rozporządzenia mogą to być kary finansowe do 10 milionów euro, lub 2% całkowitego rocznego obrotu.
  • Kwoty do 20 milionów euro, lub 4% obrotu w przypadku ciężkiego naruszenia rozporządzenia.

Kończąc swoją prezentację Mariusz podkreślił, że RODO jest nie tylko wyzwaniem dla osoby przetwarzającej dane, ale również większą gwarancją bezpieczeństwa dla każdego z nas. Nie należy również przed RODO uciekać, a najlepszym wyjściem jest się po prostu z nowym rozporządzeniem zapoznać i skutecznie wprowadzać go w swoich firmach. Pozwoli to uniknąć kłopotów i ewentualnych kar finansowych, ale spowoduje także wzrost poziomu naszego profesjonalizmu.

Jeśli chodzi o samo spotkanie, to była to ostatnia KraQA przed wakacjami. Przez krótki okres czasu ładujemy nasze baterie i wracamy do Was z nowymi tematami już za kilka miesięcy. Stay tuned i do zobaczenia!

P.S. Wyczekujcie informacji na temat bardzo ciekawych warsztatów z Selenium i Javy, które współprowadzić będzie nasz kolega Grzegorz Witek.