Umożliwienie użytkownikom kontroli nad własnymi danymi. Jak działa zespół Privacy Services w Schibsted?
Według danych Schibsted, w 2020 roku użytkownicy za pośrednictwem platformy zgłosili ponad 3 miliony sprzeciwów przetwarzania ich danych osobowych. Tym między innymi zajmuje się dział Privacy Services, powołany w odpowiedzi na obowiązek wprowadzenia RODO. Na czym polega praca w tym dziale?
Spis treści
Zespół Privacy Services – czym zajmuje się na co dzień?
Od 2016 roku wszystkie kraje zrzeszone w Unii Europejskiej żyły perspektywą wdrożenia przepisów RODO (Rozporządzeniem o Ochronie Danych Osobowych, z ang. GDPR). Wtedy też w Schibsted powołany został zespół Privacy Services. Głównym celem teamu, pierwotnie zlokalizowanego w Oslo, było przeprowadzenie firmy przez zapowiadane zmiany prawne. W 2019 roku siedziba zespołu przeniesiona została do Krakowa, a sam team stale się rozrasta. W odpowiedzi na stale zmieniające się przepisy prawa modyfikacji uległ również zakres obowiązków teamu. Dziś zespół Privacy Services jest jednym z centralnych zespołów w Schibsted. Odpowiada za trzy podstawowe rozwiązania, pozwalające użytkownikom kontrolować swoje dane i pomagające innym zespołom zachować zgodność z GDPR (RODO).
Założeniem stojącym za RODO (ang. GDPR) była ochrona osób fizycznych w związku z rozpowszechnieniem przetwarzania danych osobowych. Rozporządzenie określa, w jaki sposób należy gromadzić takie informacje oraz jak nimi zarządzać w sposób prawidłowy. GDPR gwarantuje więc użytkownikom prawo do informacji i przenoszenia danych, prawo do bycia zapomnianym oraz prawo do informacji i kontroli nad przetwarzaniem danych osobowych. W związku z tym działania zespołu Privacy Services w Schibsted podzielone są na trzy obszary, bezpośrednio związane z platformami utrzymywanymi i rozwijanymi przez zespół: Privacy Broker, Privacy Settings oraz CMP.
Każda z grup roboczych, skupiona na jednym z produktów, funkcjonuje niezależnie od pozostałych – organizuje własne standupy, dwutygodniowe spotkania planistyczne, sesje demonstracyjne, retrospekcje i groomingi. To podejście pozwala pracować w skupieniu i ograniczać czynniki rozpraszające. Raz w miesiącu poszczególne grupy spotykają się, by zsynchronizować działania – zrobić retro, wymienić się doświadczeniami i wiedzą oraz podzielić się największymi osiągnięciami.
Poniżej znajdziesz informacje na temat poszczególnych platform utrzymywanych przez każdą z trzech wymienionych grup roboczych.
Privacy Broker
Privacy Broker pozwala użytkownikom końcowym na żądanie usunięcia lub pobrania danych, wspierając ich prawo do informacji i przenoszenia danych, jak również prawo do bycia zapomnianym.
Z danych Schibsted wynika, że platforma Privacy Broker tylko w 2020 roku przetworzyła ponad 12 milionów żądań usunięcia, ponad 700 tysięcy wniosków o pobranie danych. Na bieżąco obsługujemy też ponad 40 dostawców tożsamości (IdP) oraz ponad tysiąc zbiorów danych.
Jak to działa? Żądania tworzone przez użytkowników każdorazowo przekazywane są do każdego zarejestrowanego Data Store (miejsca, gdzie dane są przechowywane), a platforma Privacy Broker nadzoruje ten proces (w tym ponawianie prób, monitorowanie i zastępowanie ludzi w pracy podatnej na błędy). Składa się ona z dwóch głównych części: grupy mikroserwisów backendowych (napisanych w Javie) oraz panelu administracyjnego back-office, używanego przez wiele wewnętrznych zespołów (napisanego w JavaScript).
Privacy Settings
Privacy Settings pomaga użytkownikom zarządzać ich zgodami, wspierając ich prawo do bycia informowanym i sprawowania kontroli nad przetwarzaniem danych osobowych. Korzysta z zapisanych preferencji, aby uszanować wybory użytkowników podczas przetwarzania danych.
Platforma składa się z trzech głównych części: interfejsu użytkownika udostępnionego dla użytkowników końcowych (napisanego w JavaScript), grupy mikroserwisów backendowych (napisanych w Javie) oraz panelu administracyjnego back-office (napisanego w JavaScript).
Według danych Schibsted, w 2020 roku użytkownicy za pośrednictwem platformy zgłosili ponad 3 miliony sprzeciwów, udzielili ponad 50 tysięcy zgód, a nad ich danymi czuwało ponad 60 Administratorów Danych.
CMP
Consent Management Platform (CMP) dostarczana przez zewnętrznego dostawcę Sourcepoint to ostatnie z rozwiązań utrzymywanych przez zespół. Wspiera ono ostatnie z praw użytkowników, czyli prawo do bycia informowanym i kontroli nad przetwarzaniem danych osobowych. Na tej platformie wdrażane są trzy rozwiązania: Privacy Settings Introducer, zgoda na ciasteczka oraz TCFv2.0.
Zespół
Zespół Privacy Services w Schibsted składa się z sześciu developerów (backendowcy: Katarzyna, Jakub, Łukasz, Michał i Nazar) oraz engineering managera (Wojtka), pracujących razem w Krakowie. Ściśle współpracują oni z dwoma product managerami (Maren i Zainab) z Oslo. Mimo odległości dzielącej Polskę i Norwegię zespół spotyka się prawie codziennie – jest to możliwe dzięki trybowi pracy bazującemu właściwie w całości na spotkaniach online.
Zespół Privacy Services w Schibsted aktualnie poszukuje też nowych osób. Jeśli jesteś zainteresowany dołączeniem, możesz wysłać swoje zgłoszenie na www.schibsted.pl/career.
Stos technologiczny
Większość aplikacji Privacy Services w Schibsted napisana jest w Javie i JavaScript, ale używany jest również Kotlin i TypeScript. Wszystkie aplikacje uruchamiane są w chmurze AWS za pomocą instancji EC2 lub kontenerów Docker.
Zespół działa zgodnie z podejściem „you build it, you run it”. Oznacza to, że dba o Continous Integration and Deployment (CI/CD), uruchomione na Travis CI i Spinnaker, infrastrukturę (utrzymywaną jako kod przy użyciu CloudFormation) i monitoring (DataDog).
Aby działać efektywnie, zespół korzysta z jak największej liczby istniejących rozwiązań dostarczonych przez inne centralne zespoły, np. Developer Foundation dostarczającego np. narzędzia CI/CD, klastry Kubernetess. Ma jednak dużą swobodę w wyborze najlepszych technologii potrzebnych do realizacji projektów, co widoczne jest w jego codziennej pracy – członkowie zespołu Privacy Services mogą użyć dowolnego języka, frameworka czy narzędzia, zaakceptowanego przez zespół, do rozwiązania problemów.
Do przechowywania danych zespół używa AWS Aurora Databases, kompatybilnego z MySQL oraz AWS DynamoDB w projektach, w których lepiej sprawdzają się bazy NoSQL.
Bardzo ważne jest dla nich budowanie usług luźno sprzężonych (loosely coupled) – w tym celu wykorzystywane są kolejki dostarczane przez AWS (SNS, SQS) oraz Kafke.
Na co dzień, zarówno do zarządzania kodem i pracy z Pull Request’ami, jak i jako narzędzia do śledzenia problemów używany jest Github Enterprise.
Przyszłość
Przyszłość zespołu Privacy Services jest pełna wyzwań. W każdej z platform firma zamierza bowiem rozwijać nowe funkcjonalności i spłacać dług techniczny.
W platformie Privacy Settings zespół skupia się przede wszystkim na wsparciu firmy w zbieraniu zgód na poziomie globalnym, ponieważ do tej pory zbierane były one dla każdej marki osobno. Dzięki temu będzie można analizować dane wszystkich marek, jednocześnie pozostawiając w rękach użytkowników decyzję, jakie dane i w jaki sposób mogą być wykorzystane. Aby to osiągnąć, zespół pracuje nad nowym interfejsem użytkownika (wspieranym przez nowy BFF i Gateway), migruje dane oraz podłącza nowych klientów do swojej platformy (rozszerzając punkty integracji dostępne dla wewnętrznych klientów).
Nie mniejszym wyzwaniem na przyszłość są też prace związane z Cookie Consent and Transparency Framework v2.0, wynikające z nowych regulacji Unii Europejskiej. Zespół Privacy Services w Schibsted stara się więc odnaleźć idealny balans pomiędzy umożliwieniem użytkownikom kontroli nad swoimi danymi a niezasypywaniem ich komunikatami i informacjami na ten temat. Wymaga to wielu eksperymentów z UI oraz niezliczonych testów UX.
Największa platforma, Privacy Broker, wymaga obecnie udoskonalenia w ramach spłaty długu technicznego, jak również dostarczenia nowych funkcji. Należą do nich na przykład lepsza obsługa przeterminowanych żądań, nowe powiadomienia o trwających żądaniach dla właścicieli Data Store, wsparcie dla Retencji Danych i wiele innych.
Z technicznego punktu widzenia, jednym z największych wyzwań stojących przed zespołem Schibsted będzie migracja do Kubernetes. Jej głównym celem jest usprawnienie i przyspieszenie procesu deploymentu, przyspieszenie skalowania oraz znaczne uproszczenie rozwoju i provisioningu. Ponadto zespół Privacy Services nieustannie stara się też znaleźć równowagę pomiędzy rozwojem nowych funkcji a zadaniami związanymi z technologią.
Jeśli więc podobają Ci się te wyzwania i czujesz, że właśnie w tych obszarach możesz wykazać się swoimi umiejętnościami, koniecznie prześlij swoje zgłoszenie na www.schibsted.pl/career.
Autorem tekstu jest Wojciech Krawczyk – Engineering Manager w Schibsted.
Zdjęcie główne pochodzi z unsplash.com.