Jeszcze jedna refleksja na temat kary nałożonej przez PUODO na Morele.net sp. z o.o.

ale to nie będzie kolejny post rozważający, czy zastosowana przez PUODO kara jest za niska, za wysoka, czy w sam raz. Nie zamierzam również analizować zasadności nałożenia kary, ponieważ nie znam akt postępowania, jego przebiegu – to byłoby zatem po prostu nieprofesjonalne i obarczone zbyt dużym ryzykiem błędu. Mam natomiast pomysł, jakie wnioski możemy wyciągnąć z całego wydarzenia. Zacznijmy jednak początku. 

W dniu 10 września 2019 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO), stwierdzając naruszenie przez Morele.net Sp. z o. o. z siedzibą w Krakowie art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 RODO, nałożył na Morele.net Sp. z o. o. karę pieniężną w wysokości 2 830 410 PLN.

A teraz przekładając z prawniczego na ludzkie: 

PUODO nałożył na Morele.net blisko trzymilionową karę za naruszenia następujących obowiązków RODO-wskich:

  • obowiązku przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a);
  • obowiązku przetwarzania danych osobowych w sposób zapewniający odpowiednie (do ryzyka – przyp. aut.) bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f);
  • tzw. obowiązku rozliczalności – obowiązku zdolności wykazania wypełnienia ciążących na nim obowiązków związanych z przetwarzaniem danych osobowych (art. 5 ust. 2);

(tak, wiem, że to same ogólniki i truizmy, ale warto przez tę litanię przejść)

  • obowiązku wykazania, że w osoby, których dane osobowe są przetwarzane na podstawie zgody, taką zgodę wyraziły (art. 7 ust. 1);
  • obowiązku wdrożenia adekwatnych do (przede wszystkim) zdiagnozowanego ryzyka i standardów rynkowych środków organizacyjnych i technicznych zabezpieczających dane osobowe (art. 24 ust. 1), między innymi, w stosownych przypadkach:
    • zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b),
    • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych (art. 32 ust. 1 lit. d);
  • obowiązku uwzględniania ochrony danych osobowych już w fazie projektowania swojej aktywności oraz stosowania tzw. domyślnej ochrony danych osobowych (art. 25 ust. 1);
  • obowiązku uwzględniania w swoich ocenach, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności biorąc pod uwagę ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2).

Uff. To teraz do konkretów. 

W listopadzie 2018 r. Morele.net oraz jej klienci padli ofiarą ataku hakerskiego – początkowe doniesienia wskazywały na phishing, później do internetów miała wyciec baza danych klientów spółki. Spółka zgłosiła dwa naruszenia ochrony danych osobowych do PUODO. Szczegóły i bieg zdarzeń świetnie opisał Niebezpiecznik, także niezorientowanych z przyjemnością odsyłam

Po pierwsze – to nie jest kara „za atak”.

I bardzo ważne, abyśmy to zauważyli. Morele.net nie została ukarana za to, że padła ofiarą ataku (i w pewnym sensie sama się podłożyła, ponieważ zgłosiła sprawę do PUODO). Morele.net została ukarana za to, że:

  1. jej system bezpieczeństwa (rozumiany bardzo szeroko – zarówno jako sfera IT, jak i organizacja, czyli procedury i ludzie) nie był wystarczająco dobry, by zapobiec skutkom przeprowadzonego ataku, bądź je zminimalizować;
  2. nie wzięła pod uwagę, że w sytuacji, gdy przetwarza się dane osobowe X (tylu klientów, w takim zakresie (uwzględniając m.in. PESELE i numery dowodów osobistych), w dany sposób, to należy wdrożyć środki bezpieczeństwa rekomendowane „przez rynek” dla danych branż, rodzajów działalności (stąd w uzasadnieniu decyzji PUODO powołuje się m.in. na OWASP).

Doskonałym punktem odniesienia zza granicy może być sprawa British Airways, które w lipcu zarobiły od brytyjskiego odpowiednika PUODO 183 mln funtów kary za analogiczne naruszenia. Więcej informacji znajdziecie tutaj

Wniosek: to może być kierunek wymierzania kar za naruszenia RODO w całej UE.

Po drugie – dlaczego PUODO jako wymagany, niewdrożony przez Morele.net środek bezpieczeństwa tak mocno wskazuje dwuetapowe uwierzytelnianie i dlaczego ten argument jest trochę inwalidą?

Powodów powołania się na ten sposób uwierzytelniania zapewne jest kilka, o jednym wspomniałam powyżej – jest to pewien standard rekomendowany m.in. przez ENISA lub OWASP dla działalności takiej, jak prowadzona przez Morele.net. Jest to argument dobry i zły jednocześnie. Dobry – ponieważ autorytety zalecają stosowanie dwuetapowego uwierzytelniania, wobec czego możemy zakładać, że z wiarygodnych, profesjonalnych analiz ryzyka wynika, że jest to coś, co dobrze się sprawdza w praktyce. Zły – bo dwuetapowe uwierzytelnianie nie chroni przed phishingiem (od którego się zaczęło), a ewentualnie zminimalizuje jego skutki (trudniej przeprowadzić skuteczny atak phishingowy, gdy klient musi nam się jeszcze uwierzytelnić czymś więcej niż hasło), co kompletnie nie wynika z uzasadnienia decyzji PUODO. 

Po trzecie – wdrożenie teraz dwuetapowego uwierzytelniania wszędzie nie załatwi sprawy bezpieczeństwa danych osobowych.

Niezależnie od tego, że PUODO upodobał sobie w uzasadnieniu decyzji zarzut niewdrożenia akurat dwuetapowego uwierzytelniania, to art. 32 RODO jasno wskazuje, że katalog środków bezpieczeństwa w nim wymieniony jest wyłącznie przykładowy. Zatem dla każdego administratora, którego PUODO będzie „egzaminował”, katalog wymaganych zabezpieczeń będzie (a raczej powinien być) odmienny.

Po czwarte – czy brak monitorowania ruchu sieciowego i reagowania na anomalię w czasie rzeczywistym naprawdę jest „rażącym zaniedbaniem”?

Tutaj odpowiedź będzie analogiczna do punktu trzeciego – to zależy. To zresztą ulubiona odpowiedź prawników, ale wcale nie dlatego, że jesteśmy tak beznadziejnymi ludźmi i lawirantami. Po prostu jest to jedyna prawidłowa odpowiedź. 

Jeśli jesteś w stanie – biorąc pod uwagę specyfikę Twojej działalności, infrastrukturę, ludzi, pieniądze, którymi dysponujesz – zapewnić taki monitoring, być może jego niezapewnienie zostałoby uznane za zaniedbanie uzasadniające ukaranie. 

Uwaga: miliony pompowane „w bezpieczeństwo” także się nie będą liczyć, jeśli te inwestycje nie będą przemyślane i uzasadnione. Albo jeśli wdrożenie będzie przeprowadzane dla samego wdrożenia, „na sztukę”. Sorry.

Po piąte – co niesie za sobą nałożenie kary na Morele.net?

Poza uderzeniem spółki „po kieszeni”, w przypadku, gdy decyzja PUODO zostanie podtrzymana przez sąd, będzie ona mogła stanowić podstawę, na której osoby, których dane wyciekły z Morele.net będą mogły oprzeć swoje powództwa o odszkodowanie.

Co ważne, PUODO wskazuje, że nie ma dowodów na to, aby te osoby doznały szkody majątkowej, ale już samo naruszenie poufności danych stanowi szkodę niemajątkową (po cywilistycznemu – krzywdę). Osoby, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

Wreszcie – jeśli mówicie, że usunęliście jakieś dane osobowe/konta użytkowników, to nie kłamcie, bo to nieładnie. I naruszacie np. obowiązek z art. 7 ust. 1 RODO. 

Rozporządzenie ePrivacy – uboższy krewny RODO, którego (niedociągnięcia) warto poznać bliżej

Kto z Was słyszał o tzw. rozporządzeniu ePrivacy, czyli projekcie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (…)(rozporządzenie w sprawie prywatności i łączności elektronicznej)? Zakładam, że jest nas niewiele. Co więcej, moje doświadczenia wskazują, że projekt ePrivacy nie jest znany nawet w kręgach osób żywo zainteresowanych tematem ochrony prywatności w sieci. 

Zapraszam na szybki przegląd wybranych aspektów.

Rozporządzenie ePrivacy miało wejść w życie (a w zasadzie rozpocząć stosowanie, ale darujmy sobie prawniczą gadkę) razem z RODO, tymczasem kilka miesięcy temu RODO obchodziło swoją pierwszą rocznicę, a ePrivacy wciąż jest w powijakach. Oba rozporządzenia były bowiem przygotowywane w ramach Strategii Jednolitego Rynku Cyfrowego i miały na celu poprawę bezpieczeństwa oraz zaufania użytkowników do tzw. usług cyfrowych. Niestety, prace nad ePrivacy były wielokrotnie przerywane, wydłużając proces legislacyjny. Ponieważ jednak temat od września powrócił na unijne salony, myślę, że warto w kilku słowach o nim opowiedzieć. 

Rozporządzenie ePrivacy ma stanowić swoiste uzupełnienie RODO w stricte w obszarze usług cyfrowych, w tym telekomunikacyjnych. Zgodnie z art. 2 ust. 1 projektu rozporządzenia (na dzień popełnienia tego wpisu) ePrivacy ma mieć zastosowanie do przetwarzania danych pochodzących z łączności elektronicznej prowadzonej w związku ze świadczeniem usług łączności elektronicznej i korzystaniem z tych usług oraz do informacji związanych z urządzeniem końcowym użytkowników końcowych (kocham język prawny). Podobnie jak w przypadku RODO, ePrivacy ma obejmować nie tylko przedsiębiorców zarejestrowanych w UE, ale wszystkich, którzy przetwarzają dane użytkowników znajdujących się w Unii. Projektowane przepisy mają być stosowane także do komunikacji maszyna-maszyna (Internetu Rzeczy) oraz danych pochodzących np. z hotspotów. 

Naczelną dyrektywą ePrivacy jest zgoda użytkownika końcowego. Inaczej niż w przypadku RODO, które w art. 6 przewiduje sześć samodzielnych podstaw prawnych przetwarzania danych osobowych, ePrivacy niemalże każdą aktywność uzależnia od zgody użytkownika. Jednocześnie najświeższy projekt art. 6 ePrivacy, wzorem RODO, wprowadza ogólną zasadę, zgodnie z którą dane użytkownika końcowego mogą być przetwarzane tylko przez okres niezbędny do realizacji dozwolonych celów oraz jeżeli cele te nie mogą zostać osiągnięte poprzez przetwarzanie zanonimizowanej informacji.

W tym miejscu może pojawić się pierwsza generalna wątpliwość. Czy objęcie całej komunikacji maszynowej zakresem ePrivacy (a więc obowiązkiem pozyskania zgody użytkownika) nie jest nadmiarowe? Zauważmy, że nie każda wymiana komunikatów w ramach Internetu Rzeczy zawiera dane osobowe. Co więcej, zaryzykowałabym stwierdzenie, że dane ze smartwatcha o tym, ile dziś zrobiłam kroków i jakie miałam tętno (w świetle prawa potencjalnie dane szczególnych kategorii, bowiem dotyczące mojego zdrowia) są z mojej perspektywy, w przypadku ewentualnego ataku, znacznie mniej wrażliwe niż 10 moich ostatnich wyników wyszukiwania w Google (gdzie możemy znaleźć zarówno informację o tym skąd zamówiłam dzisiaj burgera na obiad i czy nie szukam przypadkiem psychiatry lub wenerologa w pobliżu swojego miejsca zamieszkania). A jednak rygory prawne mają być niemal tożsame. Co więcej, mamy już funkcjonujące (gorzej lub lepiej, ale jednak) RODO, które całościowo, systemowo adresuje kwestie przetwarzania danych osobowych. 

Projekt rozporządzenia wprowadza definicję metadanych pochodzących z łączności elektronicznej. Zgodnie z art. 4 ust. 3 lit. c ePrivacy metadane pochodzące z łączności elektronicznej to dane przetwarzane w sieci łączności elektronicznej do celów przesyłania, dystrybuowania lub wymiany treści łączności elektronicznej; w tym dane służące do śledzenia i zidentyfikowania źródła i miejsca docelowego przypadku łączności, dane dotyczące lokalizacji urządzenia wygenerowane w związku ze świadczeniem usług łączności elektronicznej oraz daty, godziny, czasu trwania oraz rodzaju łączności.

Potencjalnie mówimy zatem o dość wrażliwych informacjach. Tymczasem rozporządzenie ePrivacy co do zasady pozwala na przetwarzanie takich niezanonimizowaychmetadanych „w odniesieniu do ograniczonej liczby czynności” lub jeśli użytkownik końcowy wyraził zgodę. Mamy zatem pierwszą furtkę – „ograniczoną liczbę czynności”, która mogłaby uzasadniać zarówno świetnie zorganizowane przetwarzanie wielkich zbiorów metadanych (pochodzących ze śledzenia użytkownika) przez giganta pokroju Google’a, jak i bezrefleksyjne, bezkrytyczne rejestrowanie metadanych użytkowników „jak leci” (najlepiej przechowując jeszcze w łatwo dostępnym miejscu) bez zgody użytkownika. 

Warto w tym miejscu sięgnąć do motywu 17 rozporządzenia, który w obecnej formie wskazuje, że wymóg dotyczący stosowania podstaw prawnych przetwarzania danych z art. 6 ust. 2 ePrivacy dotyczyłby tylko… metadanych pochodzących z usług łączności elektronicznej, pozostawiając luzem przetwarzanie metadanych dotyczących lokalizacji pochodzących z innych źródeł (niż świadczenie usług łączności elektronicznej). Takie dane również mogłyby być przetwarzane bez zgody użytkownika. Podczas ostatnich prac na dokładkę dodano także motyw 17aa, zgodnie z którym metadane geolokalizacyjne zbierane na potrzeby statystyczne, badawcze czy potrzeby tworzenia innowacyjnych produktów oraz usług, które mogą przyczynić się do wzrostu bezpieczeństwa obywateli, poprawy sprawności ruchu miejskiego, czy jakości życia, również mogą być przetwarzane bez zgody użytkownika.Jednocześnie w przypadku ww. celów rozporządzenie daje użytkownikowi prawo sprzeciwu wobec takiego przetwarzania (opt-out). Prawo do sprzeciwu należy ocenić jak najbardziej pozytywnie, natomiast musimy mieć świadomość, że w przypadku danych przetwarzanych w celach badawczych czy statystycznych, możliwość złożenia przez użytkownika sprzeciwu w dowolnym czasie sprawia, że wyniki prowadzonych badań mogą nie spełniać kryteriów reprezentatywności, skazując na wylądowanie w koszu wiele sensownych prac badawczych. Kwestia może być istotna choćby w kontekście prac nad 5G.

Znalazła się i ciekawostka typowo bezpiecznikowa. Zgodnie z treścią nowego art. 8 da ePrivacy tylko dostawcy usług społeczeństwa informacyjnego uzyskiwaliby możliwość zbierania i wykorzystywania danych z urządzeń końcowych (end-users’ terminal equipment information) do celów związanych z utrzymaniem/przywróceniem bezpieczeństwa usług, zapobieganiu fraudom i wykrywania błędów technicznych.

Co mamy na dziś?

Groch z kapustą. I sporo dziur. 

Przede wszystkim wydaje się, że ePrivacy zbyt mocno próbuje wejść w buty RODO, uparcie orbitując wokół kwestii danych osobowych, zamiast skoncentrować się tylko i aż na ogólnym bezpieczeństwie komunikacji elektronicznej, zapewnieniu wysokiego standardu z jednej strony poufności danych użytkowników, z drugiej strony transparentności informacji o tym, w jaki sposób dane te są przetwarzane i po co. 

Na dokładkę, na początku września prawdopodobnie uczyniono znaczący krok w tył, koncentrując się na… telemarketingu. Pierwotna propozycja zakładała, że przedsiębiorcy powinni używać możliwego do zidentyfikowania numeru lub stosować specjalny, dedykowany prefiks wskazujący na to, że dana rozmowa ma charakter marketingowy. W najnowszej wersji projektu preambuła zachęca już jednak kraje UE do tego, by same wprowadziły określony prefiks wskazujący, że połączenie wykonywane jest w celu marketingowym. Choć wciąż telefony z ofertami zakupu wypasionych garnków są istotną bolączką – zarówno „zwykłych” osób fizycznych, jak i przedsiębiorców, to w mojej ocenie jest to niepotrzebny skok w bok rozpraszający prace nad zasadniczymi kwestiami, jak definicje czy zakresy i punkty styku RODO oraz ePrivacy. 

Jak działają reklamy w Internecie – analiza oczami czepialskiego prawnika + przegląd drugiej fali irytujących okołoRODOwskich pop-up’ów – cz. I

Jak działają reklamy w Internecie – analiza oczami czepialskiego prawnika + przegląd drugiej fali irytujących okołoRODOwskich pop-up’ów

Zgodnie z zapowiedziami chciałabym poruszyć temat śledzenia (nas wszystkich) w Internecie w celach reklamowych. Z jednej strony jest to temat ważny z punktu widzenia ochrony naszej prywatności (a w konsekwencji szeroko pojętego cyberbezpieczeństwa), z drugiej natomiast myślę, że kwestia ta w prawniczym półświatku będzie stopniowo zyskiwała na znaczeniu. I tym drugim aspektem się dziś zajmiemy.

Jak w skrócie działają profilowane (behawioralne) reklamy w Internecie?

Aby przystąpić do analizy tego tematu, musimy zdać sobie sprawę, że wydawcy najpopularniejszych serwisów internetowych utrzymują się m.in. ze sprzedaży swojej przestrzeni (powierzchni) reklamowej. Rzeczywistym klientem Onetu czy Wirtualnej Polski nie jesteśmy zatem my, a podmiot płacący za wyświetlenie na nich swojej reklamy. Celem tego podmiotu jest oczywiście zysk, zatem skoro płaci, to liczy na zwrot swojej inwestycji. Reklama powinna więc zostać wyświetlona określonemu odbiorcy, co do którego istnieje odpowiednio wysokie prawdopodobieństwo, że będzie nią zainteresowany.

Aby Onet czy inny potężny serwis mógł zaoferować taką usługę, musi dysponować danymi na temat swoich użytkowników – począwszy od ich regionu, miejsca zamieszkania, przez płeć i zainteresowania, skończywszy na stanie zdrowia, preferencjach seksualnych i historii ostatnich zakupów na Allegro. 

Jak je zdobyć? Gromadząc szczątkowe, na pierwszy rzut oka nieistotne informacje czy „odpryski” danych osobowych, takie jak logi, adresy IP, historię odwiedzanych stron, informacje o czasie aktywności, adresie strony internetowej wyświetlonej przed wizytą na stronie apteki internetowej… 

Czy przychodzi Wam do głowy już jakiś technologiczny gigant, który mógłby dysponować wieloma takimi okruchami informacji? Tak, mowa o Google’u – ale o tym za chwilę.

Otwierając puszkę Pandory – real time bidding, czyli licytacja w czasie rzeczywistym

Wydawcy serwisów poszukujący nabywców swoich przestrzeni reklamowych, nie prowadzą kwerendy ani nie wysyłają ofert mailem. Uczestniczą natomiast w (zorganizowanej przez nich samych, przy wsparciu innych silnych graczy) giełdzie reklam, na której wystawiają na licytację (stworzone w oparciu o zgromadzone przez nich dane) profile swoich użytkowników, czyli nas. Dzieje się to za pośrednictwem tzw. platform podaży (supply side platforms) – API umożliwiającego komunikację z potencjalnymi klientami. 

Po drugiej stronie barykady startują tzw. platformy popytu (demand side platforms), które na zlecenie swoich klientów (potencjalnych klientów wydawcy) poszukują odbiorców reklam o określonym profilu. 

Ponieważ do tanga trzeba dwojga, to za pośrednictwem nowoczesnego oprogramowania giełdy reklam dwie strony tej układanki są dobierane w parę. 

Cały ten mechanizm został świetnie przedstawiony przez Fundację Panoptykon na tej infografice: https://panoptykon.org/sites/default/files/leadimage-artykuly-w-skrocie/mikrosekunda_infografika_interlaced.png.

A wiecie kto stworzył wyjątkowo dobrze prosperujący system sprzedaży takich reklam? Niespodzianka – Google! W końcu kto wie o nas więcej niż on! Na rynku mamy tutaj jednak duopol – obok Google’a dzielnie działa także IAB. 

Dlaczego na to pozwalamy, a nikt nic z tym nie robi? 

Robi. Brak jest na razie spektakularnych efektów, ale fala krytyki i dezaprobaty wobec traktowania nas wyłącznie jako towarów powoli wzbiera. 

Piętnaście europejskich organizacji (w tym wspomniana wcześniej Fundacja Panoptykon) broniących praw człowieka w cyfrowym świecie złożyło skargi do organów nadzorczych w zakresie ochrony danych osobowych na Google i IAB. I bardzo dobrze, bo w szranki z Wielkim Bratem chyba można stanąć wyłącznie na szczeblu ogólnoeuropejskim. 

Skarżące organizacje zarzuciły Google i IAB, że działanie organizowanych przez nie platform stoi w sprzeczności w gruncie rzeczy ze wszystkimi zasadami przetwarzania danych osobowych wskazanymi w art. 5 RODO. Skargę Panoptykonu możecie podejrzeć tutaj: https://panoptykon.org/biblio/skargi-fundacji-panoptykon-na-iab-i-google.

W lipcu zanotowany został pierwszy ważny moment – brytyjski organ ochrony danych osobowych (ICO) wydał druzgocący raport, z którego wynika, że giełdy reklam działają nielegalnie, wobec czego potencjalnie mamy do czynienia z naruszeniem RODO w masowej skali. ICO wprost stwierdził, że sprzedaż reklam w tym modelu nie spełnia wymogu transparentności, a w jej istotę wpisane jest przekazywanie nadmiarowych danych osobowych przy jednoczesnym braku świadomości użytkowników. Raport znajdziecie tu: https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf. Gorąco polecam!

Coś drgnęło także za oceanem. W lipcu bowiem Facebook zarobił 5 mld dolarów kary od Federalnej Komisji Handlu m.in. za braki w ochronie danych osobowych (głównie na kanwie skandalu Cambridge Analytica). W połączeniu z opisywanym przeze mnie poprzednio wyrokiem TSUE tworzy to obraz rodzącego się początku walki z naszym cyfrowym niewolnictwem.

O tym, że obraz ten nie jest tylko złudzeniem czepialskich prawników i działaczy społecznych, a wydawcy zaczynają martwić się o swoją przyszłość, może świadczyć fakt, że obecnie obserwujemy wśród największych grup wydawców drugą falę zbierania zgód na przetwarzanie danych osobowych. Czy jednak na pewno wyciągnięto właściwe wnioski? 

Zapraszam na krótki przegląd, bo przecież wiem, że i tak tego nie czytacie. Spokojnie, zwrócę uwagę tylko na wybrane, najciekawsze fragmenty, a przegląd podzielę na części.

Grupa RAS Polska, czyli m.in. Onet.pl:

Klikając „Przejdź do serwisu” lub zamykając okno przez kliknięcie w znaczek X, zgadzasz się na poniższe. Możesz też odmówić zgody lub ograniczyć jej zakres.

No i proszę bardzo, pierwsze „wykroczenie” – dorozumiana zgoda, totalnie niedopuszczalna na gruncie art. 8 RODO. 

Jeśli chcesz zgodzić się na przetwarzanie przez Zaufanych Partnerów Grupy RAS Polska Twoich danych osobowych, które udostępniasz w historii przeglądania stron i aplikacji internetowych oraz danych lokalizacyjnych generowanych przez Twoje urządzenie, w celach marketingowych (obejmujących zautomatyzowaną analizę Twojej aktywności na stronach internetowych i w aplikacjach w celu ustalenia Twoich potencjalnych zainteresowań dla dostosowania reklamy i oferty) w tym na umieszczanie znaczników internetowych (cookies itp.) na Twoich urządzeniach i odczytywanie takich znaczników, kliknij przycisk „Przejdź do serwisu” lub zamknij to okno. Jeśli nie chcesz wyrazić zgody lub ograniczyć jej zakres, kliknij „Ustawienia zaawansowane”.

Zwróćcie uwagę na język – od razu „udostępniasz”, a jeśli nie chcesz, to nie ma prostego „Nie zgadzam się”, trzeba przeklikać „Ustawienia zaawansowane”. A przecież powiedzenie stanowczego „raczej nie” wydawałoby się być prostym scenariuszem. 

Powyższa zgoda dotyczy przetwarzania Twoich danych osobowych w celach marketingowych Zaufanych Partnerów. Zaufani Partnerzy to firmy z obszaru e-commerce i reklamodawcy oraz działające w ich imieniu domy mediowe i podobne organizacje, z którymi Grupa RAS Polska współpracuje lub które polecane są przez międzynarodowe organizacje branżowe takie jak np. organizacja IAB (Interactive Advertising Bureau).

Podmioty z Grupy RAS Polska w ramach udostępnianych przez siebie usług internetowych przetwarzają Twoje dane opisane na wstępie, a także zagregowane informacje o wieku, płci i lokalizacji (wielkości miasta z którego pochodzisz itp.) pochodzące z Twoich kont w usługach świadczonych przez podmioty z Grupy RAS Polska w celach marketingowych w oparciu o prawnie uzasadniony, wspólny interes podmiotów Grupy RAS PolskaDane te są jednocześnie danymi niezbędnymi do realizacji przez nas umowy zawartej z Tobą, która dotyczy korzystania przez Ciebie z naszych usług i serwisów internetowych, ze względu na właściwości tych usług

To teraz po prawniczemu: art. 6 RODO wskazuje sześć samodzielnych podstaw prawnych przetwarzania danych osobowych. Tutaj mamy fantastyczną mieszankę trzech z nich (zgoda – art. 6 ust. 1 lit. a, niezbędność do wykonania umowy – art. 6 ust. 1 lit. b oraz prawnie uzasadniony interes – art. 6 ust. 1 lit. f). Dodatkowo najpierw jesteśmy proszeni o zgodę, aby potem usłyszeć, że w sumie i tak grupa wydawcy może przetwarzać dane osobowe w oparciu o inną podstawę prawną. 

Grupa RAS udostępnia listę swoich Zaufanych Partnerów, co bez wątpienia należy uznać za dobrą praktykę. Zaufanych Partnerów mamy – bagatela – 386. Pojemne serduszko ma ten Onet. A kto zajmuje zaszczytne pierwsze miejsce? Google. Przykre jest także przy tym, że możemy zgodzić się albo zgodzić na wszystkich, albo nie zgodzić na nic (te podwójne zaprzeczenia w polskim są straszne). 

Grupa Interia.pl:

Drogi Użytkowniku,

przypominamy podstawowe informacje z zakresu przetwarzania danych dostarczanych przez Ciebie podczas korzystania z naszych serwisów. Zamykając ten komunikat (kliknięcie w przycisk „Przejdź do serwisu” lub „X”), wyrażasz zgodę na przetwarzanie Twoich danych przez naszych partnerów reklamowych dla celów opisanych poniżej. Jeżeli chcesz podjąć tę decyzję przy innej okazji, to kliknij w przycisk „Przypomnij później”.

Bu, znowu to wyrażenie zgody przez zamknięcie okienka. Plusik chociaż taki, że można odłożyć decyzję na później. 

W związku z reformą prawa ochrony danych osobowych nasi partnerzy potrzebują Twojej zgody na działania, których dokonują na naszych stronach. W przypadku jej udzielenia nasi partnerzy będą mogli, w ramach uzasadnionego interesu, wykorzystać Twoje informacje także dla celów analitycznych służących ocenie skuteczności podejmowanych działań marketingowych. Pamiętaj, że ewentualna zgoda jest Twoją dobrowolną decyzją, natomiast brak jej udzielenia może wpłynąć na Twój komfort korzystania z naszych serwisów. Reklamy nieodpowiadające zainteresowaniom użytkownika są nie tylko nieatrakcyjne, ale i drażniące dla odbiorcy.

Zgodę możesz udzielić poprzez zamknięcie tego komunikatu (kliknięcie w przycisk „Przejdź do serwisu” lub „X”). Udzieloną zgodę możesz w każdej chwili wycofać, co jednak nie będzie równoznaczne z tym, że korzystanie z tych informacji do czasu wycofania zgody było niezgodne z prawem.

Ponownie mamy przemieszane podstawy prawne przetwarzania, więc nie bardzo wiemy co z czym i do czego, co jest nieładne w świetle art. 12 ust. 1 RODO (wymóg przekazywania informacji o przetwarzaniu danych osobowych w przejrzystej, zrozumiałej formie). 

Fajny jest fragment o dobrowolności – ogólnie to zależy od Ciebie, ale jak się nie zgodzisz, to przypadkiem coś może nie działać, a tak w ogóle to korzystanie będzie uciążliwe. No prawie mnie przekonali!

Znów zgoda udzielona przez zamknięcie okienka. 

Zgodę możesz wycofać, ale nie będzie to równoznaczne z tym, że coś było niezgodne. Strasznie zagmatwane zdanie. A wystarczyło napisać, że cofnięcie zgody nie wpływa na legalność przetwarzania prowadzonego wcześniej. 

Interia jest jeszcze bardziej towarzyska od Onetu – ma aż 649 zaufanych partnerów (w tym Google), ale za to odsyła do ich polityk prywatności – to już coś. 

W związku z tym na koniec chciałabym pochwalić Interię za obszerną, przystępnie skonstruowaną Politykę prywatności. Możemy mieć inne poglądy co do meritum, ale forma jest naprawdę w porządku! 

Agora S.A., czyli np. gazeta.pl:

Agora wybrała ciekawą drogę… Zamiast centralnego wyskakującego okienka, ni stąd ni zowąd w lewym dolnym rogu pojawia się taki oto twór:

Przez dalsze, aktywne korzystanie z Serwisu, bez zmian ustawień przeglądarki, wyraziłeś zgody na przechowywanie w Twojej przeglądarce plików cookies oraz przetwarzaniu gromadzonych za ich pośrednictwem danych osobowych przez nas i naszych Zaufanych Partnerów. Dowiedz się więcej lub wycofaj zgody.

Szybki strzał: trafiony-zatopiony. 

Brak wyrażonej zgody może skutkować większą liczbą reklam, w dużej mierze niedopasowanych do potrzeb użytkownika.

Delikatna sugestia, do przeżycia.

Jakie dane są przetwarzane? 

Przetwarzane są przede wszystkim następujące dane: adres IP, adres URL żądania, nazwa domeny, identyfikator urządzenia, mobilny identyfikator reklamowy, typ przeglądarki, język przeglądarki, liczba kliknięć, ilość czasu spędzonego na poszczególnych stronach, data i godzina korzystania z Serwisu, typ i wersja systemu operacyjnego, rozdzielczość ekranu, dane zbierane w dziennikach serwera, a także inne podobne informacje.

Czyli w sumie wszystko, co akurat uznamy, że może się przydać. 

Agora S.A. natomiast pozytywnie wyróżnia się wąskim gronem zaufanych partnerów – jedynie 305 pozycji. 

Jak postanowicie mnie sprawdzić (do czego zachęcam), zauważycie, że wskazane przeze mnie pop-up’y i polityki prywatności to w gruncie rzeczy bardzo dużo słów o często niejasnej treści. Dostajemy przytłaczającą ilość informacji, w których brakuje tak naprawdę najważniejszych elementów – informacji o tym jakie konkretnie dane osobowe są przetwarzane, na jakiej podstawie? Niestety, pomimo krytyki spływającej na wydawców w ubiegłym roku (po wielkich, RODOwskich wdrożeniach), wciąż zamknięcie okienka jest traktowane jako wyrażenie ŚWIADOMEJzgody na przetwarzanie danych osobowych.

A wiecie co jest najfajniejsze? Że nawet jak się na nic nie zgodzimy, to nikt nie zagwarantuje nam, że rzeczywiście nasze dane nie są przekazywane dalej.

CDN. 

Przykre konsekwencje zbierania polubień na FB, czyli wyrok TSUE z 29 lipca 2019 r. w sprawie Fashion ID GmbH & Co. KG, C-40/17

O co poszło?

Fashion ID, niemiecka spółka zajmująca się sprzedażą odzieży online, umieściła na stronie internetowej swojego sklepu facebookową wtyczkę „Lubię to!”. O tym jak powszechne jest stosowanie tej wtyczki możecie się przekonać wchodząc teraz na trzy najczęściej przed Was odwiedzane strony. No właśnie.Kliknięcie przez użytkownika Fashion ID w przycisk „Lubię to!” powodowało, że od tego momentu jego adres IP tego był przesyłany do Facebooka za każdym razem, gdy użytkownik odwiedził tę stronę. Przesłanie tej informacji następowało automatycznie po załadowaniu się strony internetowej i bez wiedzy użytkownika. Nie miało przy tym znaczenia, czy użytkownik Fashion ID ma konto na Facebooku, czy też nie.

Verbraucherzentrale NRW (stowarzyszenie broniące praw konsumentów) zarzuciło Fashion ID przekazywanie Facebookowi danych osobowych użytkowników jej strony internetowej bez ich zgody i z naruszeniem obowiązków informacyjnych. Fashion ID zakwestionowała legitymację stowarzyszenia do działania w sprawie (co jednak nie jest przedmiotem naszego zainteresowania) oraz podniosła, że nie jest administratorem danych osobowych przekazywanych do Facebooka, ponieważ nie ma żadnego wpływu na przetwarzanie tych danych i sposób ich wykorzystania przez Facebooka. 

I tak oto, w związku z zaistniałymi na gruncie postępowania sądowego wątpliwościami, wyższy sąd krajowy w Düsseldorfie zwrócił się do Trybunału Sprawiedliwości UE z kilkoma pytaniami dotyczącymi m.in. tego:

  1. kto jest odpowiedzialny za realizację obowiązku informacyjnego wobec podmiotów danych?
  2. na czyją rzecz powinna zostać wyrażona zgoda na przetwarzanie danych (o ile jest wymagana)?
  3. czyje (tj. Fashion ID czy Facebooka) uzasadnione interesy powinny być brane pod uwagę w sytuacji, gdy podstawą prawną przetwarzania jest uzasadniony interes administratora?

Co na to Trybunał i dlaczego to ma znaczenie?

W ocenie TSUE wydawca (administrator) strony internetowej, który zamieścił na niej wtyczkę społecznościową stanowi administratora danych osobowych użytkowników jego strony internetowej, przy czym jego odpowiedzialność ograniczona jest tylko do operacji przetwarzania, których cele i sposoby zależą od niego — czyli do zbierania tych danych i ich przekazywania do serwisu społecznościowego. 

Wniosek pierwszy: TSUE przyjął, że administrator serwisu umieszczający w nim wtyczkę Facebooka jest świadomy faktu, że wtyczka służy do gromadzenia danych użytkowników. Zatem, administratorzy, macie świadomie zarządzać swoimi stronami!

Wniosek drugi: Powyższe w zupełności wystarcza do przyjęcia, że administrator tego serwisu decyduje o celach i sposobach przetwarzania danych użytkowników, które są przekazywane Facebookowi.

TSUE w swoim wyroku poszedł krok dalej, wskazując, że Fashion ID nie tylko decyduje o celach i sposobach przetwarzania danych użytkowników przekazywanych Facebookowi, ale nawet współadministruje nimi wraz z Facebookiem.

Współadministrowanie danymi osobowymi (uregulowane w art. 26 RODO) jest instytucją, która nie występowała we wcześniejszym stanie prawnym, choć była jak najbardziej dopuszczalna. Współadministrowanie jest stanem faktycznym, w którym dwóch lub więcej administratorów wspólnie ustala cele oraz sposoby przetwarzania danych osobowych. 

W praktyce oznacza to, że współadministratorzy powinni być równorzędni wobec siebie oraz ponosić taką samą odpowiedzialność wobec podmiotów przetwarzanych przez nie danych osobowych. Nie ma przy tym przeciwwskazań, aby występowali na różnych etapach przetwarzania, w różnym stopniu, aby dokonywali innych operacji przetwarzania, jak to ma miejsce w omawianym przypadku. 

Wszystko się zgadza. I tutaj urywają się dotychczasowe publikacje na temat tego wyroku.

To teraz przejdźmy do art. 26 ust. 1 zd. 2 RODO:

W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

Zagwozdka pierwsza: wspólne uzgodnienia. Współadministratorzy mają obowiązek dokonać wspólnych uzgodnień, w których w przejrzysty sposób określą zakresy swojej odpowiedzialności i pozostałe kwestie opisane powyżej. No i teraz pytanie za sto punktów – jak uzgodnić coś z Facebookiem? Czy zaakceptowanie enigmatycznych regulaminów i polityk Facebooka jest wystarczy, by móc wykazać spełnienie powyższego obowiązku? 

Zagwozdka druga: domniemane korzyści dla administratorów stron internetowych. TSUE w swoim wyroku stwierdził, że umieszczenie przez Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła – jak się zdaje – zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID.

W sumie tak, ale nie do końca. Po pierwsze, na to, jakie reklamy wyświetlają się użytkownikom Facebooka wpływ ma szereg czynników. To, na co reagował dany użytkownik jest tylko jednym z nich. 

Koncentrując się jednak na założeniu Trybunału masz korzyść – masz odpowiedzialność, warto zastanowić się, co w takim razie z użytkownikami serwisu, którzy nie mają konta na FB? Korzyść w tej sytuacji odnosi wyłącznie Facebook, który wzbogaca swoje bazy danych. Administrator serwisu internetowego w tej sytuacji tworzy wyłącznie kolejny tunel do zarabiania pieniędzy przez Facebooka. Skoro natomiast nie ma rzeczywistych korzyści po stronie administratora serwisu, to czy na pewno współadministruje on tymi danymi?

Przedmiotowy wyrok TSUE stanowi w zasadzie potwierdzenie dotychczasowej linii orzeczniczej Trybunału, zarysowanej już w wyroku C-210/16, Wirtschaftsakademie Schleswig‑Holstein. Trybunał potwierdził zatem, iż administrator strony internetowej jest administratorem danych osobowych użytkowników w zakresie, w jakim są one pozyskiwane i przekazywane dalej za pomocą np. wtyczki Facebooka, co z kolei wiąże się z obowiązkami informacyjnymi lub obowiązkiem pozyskania zgody na przetwarzanie danych osobowych. Jednocześnie, trochę między wierszami, Trybunał podkreślił, jak ważne jest świadome zarządzanie stroną internetową przez jej administratora oraz świadome korzystanie z dostępnych narzędzi, np. w zakresie reklamy. Szpiegującym reklamom poświęcę zresztą jeszcze dużo sporo czasu w przyszłości… 

Co robić jeśli wykorzystuję wtyczki Facebooka? 

  1. Zastanowić się, czy potrzebujesz tych wtyczek.
  2. Informować o ich stosowaniu, celach i konsekwencjach ich stosowania.
  3. Monitorować newsy na temat sposobu przetwarzania danych przez Facebooka.

PS Fashion ID usunęła przycisk ze swojej strony. 

Uwaga: wyrok zapadł na gruncie dyrektywy 95/46, jednak orzeczenie ma bezpośrednie przełożenie na obecny, RODO-wski stan prawny.