„Skutki” ochrony danych

Jeden z sobotnich poranków, sprawdzam prywatną pocztę i wśród wiadomości znajduję zatytułowaną w następujący sposób: „Komunikat ws. naruszenia ochrony danych osobowych” (więcej o takich komunikatach można znaleźć w sieci Internet) . W pierwszym momencie zrobiło mi się gorąco, bo tego się nie spodziewałem i może to być problem, w zależności od tego, który podmiot wysłał taką wiadomość (w domyśle jakimi danymi dysponował). Spojrzałem na nadawcę i trochę się uspokoiłem. Pierwsze pytanie, które sobie zadałem: „Kiedy korzystałem z tego serwisu?”. Na pewno dawno (po sprawdzeniu okazało się, że kilka lat temu), więc czytam już spokojnie całą wiadomość. Wiadomość można streścić w 5 punktach (więcej o takim zawiadomieniu można znaleźć na stronie UODO):

  1. co się stało? czyli opis sytuacji;
  2. co to może oznaczać? czyli konsekwencje. Przy tym punkcie postanowiłem, że sprawdzę jakie moje dane mają, zmienię hasło dostępu oraz wyślę prośbę o usunięcie konta.
  3. co zrobili i co planują zrobić? To, co przeczytałem wzbudziło mój niepokój ale mnie nie zaskoczyło, bo te elementy znam już z artykułów związanych z RODO (o kilku kwestiach pisałem też na blogu).
  4. co mogę zrobić po swojej stornie? Informacje odnosiły się bardziej do sugerowanych reakcji, gdy jednostka/osoba, która weszła w posiadanie moich danych, zaczęła je wykorzystywać. Utwierdziłem się w przekonaniu co do akcji, które chciałem podjąć. Dodatkowo zdecydowałem się na zarejestrowanie się w BIK, co wskazywał jeden z punktów.
  5. dodatkowe informacje. Można powiedzieć, że przyjąłem do wiadomości.

Wykonałem akcje:

  • [grupa A na diagramie:] sprawdziłem jakie dane podałem – na szczęście nie podałem PESEL, serii dowodu osobistego oraz innych specyficznych danych. Dane były bardzo ograniczone (uff!) i błędnie sformatowane ze względu na wprowadzone zmiany w systemie.
  • [grupa A na diagramie:] zmieniłem hasło. Nigdy nie zaszkodzi.
  • [grupa A na diagramie:] wysłałem prośbę o usunięcie konta w serwisie ze wszystkimi danymi powiązanymi (bo takiej opcji nie ma w samym serwisie) – nie jest mi potrzebny dostęp do tego serwisu i nie mam żadnych aktywnych usług/transakcji/opcji. Konto zostało usunięte.
  • [grupa B na diagramie:] zapoznałem się z informacjami na stronie BIK, a następnie zarejestrowałem się w serwisie.

Powyższy diagram prezentuje wykonane ścieżki postępowania. Rozpoczyna się od zdarzenia inicjującego opartego o komunikat (message event). Następnie przybliża ścieżkę weryfikacji danych, zmiany hasła, prośby o usunięcie konta, a następnie rejestracji w BIK.    

Wskazany proces rejestracji w BIK (link znalazłem po przygotowaniu powyższego diagramu) jak widać ma dużo elementów mających na uwadze bezpieczeństwo danych oraz jednoznaczne potwierdzenie tożsamości. Samo potwierdzenie rejestracji jest wieloetapowe – trzeba zrobić przelew weryfikacyjny (na przykład korzystając z płatności online), dane przelewu muszą się zgadzać z wprowadzonymi danymi, trzeba wykonać kroki z wiadomości wysłanej na wskazany e-mail, po drodze dostajesz specjalny kod na wskazany numer telefonu i go podajesz podczas ustalania hasła, a potem trzeba zalogować się dodatkowo podając PESEL w formie maskowanej. Czułem, że podmiotowi zależy na ochronie moich danych przy równoczesnym zabezpieczeniu się przed nieuprawnionym dostępem do nich.

Po otrzymaniu takiej wiadomości, mamy jakieś opcje, aby upewnić się czy nasze dane nie zostały wykorzystane lub jak poznać, że zostały wykorzystane lub też co możemy zrobić, aby się ustrzec przed takim ryzykiem w przyszłości (wiadomość wskazywała takie opcje, można też znaleźć takie informacje w dedykowanych artykułach). Wiele zależy od rodzaju danych, które wpadły w niepowołane ręce. Im ich więcej lub/i bardziej detaliczne, to można powiedzieć, że ryzyko jakiś niechcianych zdarzeń, z perspektywy ich właściciela, rośnie.

Dobrze zawsze się zastanowić czy udostępniane dane (wprowadzane podczas rejestracji lub przy innej okazji) pasują do działań/operacji możliwych do wykonania w serwisie lub w danej funkcjonalności/procesie. Jeżeli na przykład w serwisie będzie tylko korzystać z publikacji wewnątrz serwisu, podawanie numeru PESEL czy dowodu osobistego nie wydaje się uzasadnione. Z kolei, gdy zamierzamy podejmować zobowiązania wymagające jednoznacznego potwierdzenia tożsamości, brak podania takich danych może uniemożliwić skorzystanie z takich usług online czy nawet stacjonarnie. O przykładzie nadmiarowych danych podczas zgłoszenia reklamacji pisałem w innym wpisie.

Ankieta oceny realizacji zamówienia

Dzisiejszy tytuł wpisu nie jest przypadkowy. Jest to dokładnie tytuł wiadomości e-mail jaką otrzymałem od sklepu internetowego następnego dnia po odebraniu zamówienia w wybranym punkcie. Czasami uruchamiam te ankiety a czasami usuwam takie wiadomości. Tym razem postanowiłem, że przyjrzę się bliżej takiej ankiecie.

Proces realizacji zamówienia rozpoczął się „tradycyjnie” w serwisie internetowym – po przejrzeniu oferty, wybrałem produkty, które chciałem zamówić. Następnie określiłem sposób dostawcy i wskazałem punkt odbioru. Po otrzymaniu wiadomości SMS udałem się po odbiór zamówienia. Proces ten jest przedstawiony na poniższym diagramie. Na diagramie znalazł się również krok: Oceń proces, ponieważ przeważnie występuje on w procesie realizacji zamówienia inicjowanego w sklepie internetowym.

ocena_procesu450px

Wykonując krok Oceń proces musiałem skorzystać z ankiety wskazanej poprzez link w otrzymanej wiadomości. Link kierował do dedykowanego serwisu. W ankiecie były pytania wskazane poniżej. Dla potrzeby wpisu trochę je uogólniłem, aby nie wskazywały wprost jaki sklep internetowy dokładnie wysyła taką ankietę. Jest to zestaw pytań, które potencjalnie pasują do różnych sklepów.

Pytania są następujące:

 

Oznaczenie Pytanie Oceniany krok
A1 Pytanie o szerokość oferty Przejrzyj ofertę, Wybierz produkty
A2 Pytanie o podział oferty na kategorie Przejrzyj ofertę
A3 Pytanie o wyszukiwarkę Przejrzyj ofertę
A4 Pytanie o ceny Przejrzyj ofertę, Wybierz produkty
B1 Pytanie o formy dostawy Złóż zamówienie
B2 Pytanie o formy płatności Złóż zamówienie
C Pytania o lokalizację punktu odbioru Odbierz zamówienie
D Pytania o obsługę w punkcie odbioru Odbierz zamówienie
E Pytanie o zadowolenie z obsługi w punkcie odbioru Odbierz zamówienie
F Pytanie o problemy w trakcie realizacji lub odbioru Odbierz zamówienie
G Pytanie o polecenie sklepu innym cały proces

Pytania na diagramie zostały przyporządkowane do poszczególnych części procesu, zgodnie z powyższą tabelką. Patrząc na pytania w ramach poszczególnych grup można spróbować zinterpretować wyniki:

  • jeżeli spadają oceny w zakresie pytań z grupy A, może to sugerować, że w ofercie brakuje części poszukiwanych produktów przez Klientów i zamawiają te, które znaleźli lub też ceny produktów Klienci są w stanie zaakceptować ale mogłyby być niższe. Jeżeli oceny rosną lub utrzymują się na wysokim poziomie, oznaczać to może, że oferta spełnia oczekiwania Klientów lub jeżeli ktoś już złożył zamówienie, to ocenia w taki sam sposób sklep, nie wnikając w szczegóły. Kwestię dostosowania produktów i ich cech do oczekiwań Klientów opisywałem we wpisie „Promocyjny proces
  • jeżeli spadają oceny w zakresie pytań z grupy B, to oznacza, że Klienci sobie radzą ale oczekują jednak określonych zmian w procesie zamówienia, np. nowej formy dostawy, formy płatności lub inne sklepy stosują rozwiązania, które bardziej odpowiadają Klientom. Jeżeli oceny rosną lub utrzymują się na tym samym wysokim poziomie, oznacza to, że serwis działa zgodnie z oczekiwaniami bądź też korzystają z niego te same grupy Klientów. Dostępność usług analizowałem kiedyś we wpisie „Punkty przełamania dla usługi”.
  • oceny z pytań z grupy C są uzależnione od tego jak gęsta jest sieć punktów odbioru oraz od odległości punktu odbioru od miejsca przebywania, pracy czy zamieszkania Klienta. Zakładając, że Klient wybiera dostawę do danego punktu odbioru świadomie, negatywne oceny mogą świadczyć, że tych punktów jest za mało. Inna sprawa, że niektóre sklepy dostarczają tylko do punktów odbioru i wtedy Klient nie ma wyjścia, jeżeli korzysta z danego sklepu i może to wtedy wpłynąć na oceny. Może też być jeden punkt odbioru w danym mieście.
  • oceny pytań z grup D-E są silnie uzależnione od interakcji międzyludzkich, od czasu i okoliczności, kolejek w punkcie odbioru, doświadczenia osób w nim pracujących, oczekiwań Klientów, rodzaju i jakości produktów, infrastruktury oraz problemów niezależnych od punktu odbioru (np. przerwy w działaniu kart czy brak prądu). O ryzykach, które powodują, że zakupy się nie udają pisałem w innym wpisie.
  • oceny z ostatnich grup F-G, to ocena całego procesu zamówienia i jego odbioru. Im lepsze oceny tym większa szansa, że obecny Klient może przyciągnąć kolejnych Klientów do danego sklepu. Przeważnie są to pytania o chęć polecenia sklepu innym lub powrotu do sklepu kolejny raz. W tej części są także pytania o problemy oraz sugestie Klienta odnośnie procesu. Dzięki odpowiedziom w tej sekcji możemy się dowiedzieć co konkretnie można poprawić. Ocena jakości procesu czy usługi wymaga zbudowania wskaźników.
  • co ciekawe żadne z pytań nie dotyka wprost kwestii związanej z czasem realizacji zamówienia, dlatego też element oczekiwania na możliwość odbioru zamówienia nie został przypisany do żadnej z grup, a został uwzględniony jako elementy oceny całości procesu. Na czas procesu można spojrzeć w różny sposób.

Odpowiednio skonstruowana ankieta i jej analiza pozwalają odpowiedzieć na pytania, które już kiedyś analizowałem we wpisie „Dlaczego taki proces?” oraz „A gdzie wartość dodana procesu?” oraz we wpisach powiązanych. Zakładając, że wypełnione ankiety zawierają „prawdziwe” dane i to, że Klienci chcą nam coś przekazać, abyśmy poprawili proces oraz podejmują taki wysiłek w większości przypadków, gdy mają uwagi, to wnioski takiej ankiety mogą być przydatne podczas poprawy procesu oraz dostosowania go do oczekiwań Klientów.

Myślę, że warto wypełniać jednak takie ankiety po zrealizowanym zamówieniu a także wtedy, gdy takie zamówienie nie dochodzi do skutku (jeżeli jest taka możliwość). Korzyścią jest to, że w przyszłości będziemy mogli potencjalnie skorzystać z lepszego procesu lub też ułatwimy innym korzystanie ze sklepu. Warto też wskazywać konkretne słabości lub braki.

Cookies wspierające proces

Od jakiegoś czasu w serwisach internetowych pojawia się ramka informacyjna na temat tzw. cookies, sposobu i celu ich wykorzystania. Są to pliki zapisywane na komputerze użytkownika serwisu www, gdy go przegląda. W plikach zapisywane mogą być takie informacje jak: najczęściej wykorzystywane elementy strony, ustawienia pomocnicze, personalizacja strony, elementy wpływające na wyświetlane reklamy itp. Zgodnie z nowelizacją ustawy Prawo telekomunikacyjne każdy serwis wykorzystujący te mechanizmy musi poinformować użytkownika o takim mechanizmie. Powinien także zostać poinformowany o tym jak może wyłączyć zapisywanie cookies na swoim komputerze. Wyłączenie cookies jest jakby rezygnacją z części funkcjonalności dostępnych w serwisie www.

collaborationpr450

Załóżmy, że w danym serwisie, bez zalogowania, można wskazać, która zakładka ma się zawsze pojawiać jako pierwsza – np. na stronie operatora komórkowego, chcemy najpierw widzieć informacje przeznaczone dla abonentów, bez konieczności logowania się za każdym razem. Zaznaczenie przy pierwszej wizycie, przy równoczesnym włączeniu cookies, pozwoli na zapamiętanie takiej informacji dla danego użytkownika (z danego komputera).

W takiej sytuacji, można powiedzieć, że ma miejsce proces, przedstawiony na powyższym diagramie, w którym zaangażowany jest użytkownik, jego przeglądarka oraz serwis www. Użytkownik komunikuje się z serwisem poprzez odpowiednie wybory. Bez włączonych cookies jego działania zmierzające do personalizacji serwisu, nie powiodłyby się. Jego wybory byłyby jednorazowe I ważne tylko do zamknięcia przeglądarki. Za każdym razem musiałby wykonać wybór zakładki albo filtrowanie informacji, które go interesują.