Miesiąc: kwiecień 2023

*usuń aplikację* + *usuń moje dane*

1 minuta

Google wprowadza nową politykę, zgodnie z którą wszystkie aplikacje w sklepie (Google Play) będą musiały posiadać funkcję usunięcia danych użytkownika. Do 7 grudnia 2023 deweloperzy będą musieli udostępnić informację jak można usunąć dane. Jeśli nie prześlą tych informacji, nie będą mogli publikować swoich aplikacji w sklepie Google. A jeśli nie zrobią tego do 31 maja 2024 r., to ich aplikacja wylatuje ze sklepu. Co istotne, usunięcie danych MUSI być możliwe bez konieczności ponownej instalacji aplikacji.

Innymi słowy usuwając aplikację z naszego szmartfona (z Androidem) będziemy mieli możliwość łatwiejszego egzekwowania praw takich jak prawo do bycia zapomnianym, czy prawo sprzeciwu wobec przetwarzania.

Duuuży

za ten ruch!

Now you see me🐵, now you don’t 🙈- Windows będzie wiedział, kiedy do niego podchodzisz

1 minuta

Niektóre urządzenia mają wbudowany czujnik ruchu / obecności. Microsoft oznajmił ostatnio, że w ramach systemu operacyjnego Windows 11 będzie możliwe korzystanie z czujnika ruchu właśnie z poziomu systemu operacyjnego. Co to oznacza? Otóż, dzięki niemu będzie można np. „obudzić laptopa” bez klikania jakiegokolwiek przycisku, wystarczy do niego podejść albo ekran wygasi się automatycznie, jeśli się oddalimy od komputera. Fajne, prawda?

Fajne, ale z punktu widzenia prywatności trochę niebezpieczne. Dlaczego? Otóż dlatego, że to oznacza, że dajemy (co najmniej) naszemu urządzeniu i (niektórym) aplikacjom dostęp do „skanowania” obszaru tuż przed naszym komputerem. Co prawda, Microsoft twierdzi, że nie będzie zbierał i przechowywał takich danych o tyle tego nie będzie można już powiedzieć o programach, którym damy dostęp do tej funkcjonalności.

Oświadczenie, że tego nie będą robić? Spoko. Aczkolwiek trzeba do tego podejść z dystansem, bo np. Tesla tak bardzo dba o prywatność użytkowników swoich samochodów a… nagrania z kamerek (nawet wyłączonych samochodów, które teoretycznie nie powinny nagrywać nic) śmigały sobie praktycznie bez ograniczeń pomiędzy pracownikami Tesli.

Plus jest taki, że tę opcję można wyłączyć, do czego gorąco zachęcam!

Firefox nie lubi ciasteczek 🍪

1 minuta

Pamiętasz mój artykuł o 🍪🍪🍪 ? Jeśli nie, to znajdziesz go o tutaj. A dlaczego o nim przypominam? Otóż dlatego, że Mozilla (to te człowieki od przeglądarki Firefox) wdrożyli ochronę przeciwko ciasteczkom innych podmiotów i ta ochrona działa teraz domyślnie dla każdego użytkownika. Nazywa się to Total Cookie Protection. Dobra, ale co to robi? 

Otóż dużo. Dużo dla prywatności.

Otwierając jakąś stronę, która zbiera 🍪🍪🍪 podmiotów trzecich (np. Fejsbuków, Gugli i innych takich), Firefox otwiera je w osobnych „słoikach” 🫙. Każda strona jest odseparowana od siebie i nie może się ze sobą komunikować, a co za tym idzie, ciasteczka nie komunikują się ze sobą. Dzięki temu dane zebrane przez te różne ciasteczka z różnych stron nie mają możliwości wymieniać się danymi, a w konsekwencji profilować nas pod kątem określonych preferencji i reklam. Mimo że prywatnie, sam nie korzystam już z Firefox’a (ani Chrome czy Edge) to daję okejkę za ten ruch:

👌

Irański Wielki Brat patrzy 👀 | sztuczna inteligencja na służbie władz

1 minuta

Iran jakiś czas temu poinformował, że instalują w przestrzeni publicznej kamery z funkcją rozpoznawania twarzy. Dostęp do tych kamer będzie miała policja moralności (która swoją drogą miała zostać zlikwidowana, but oh well…🤷‍♂️).

Czyje twarze mają te kamery rozpoznawać? Zasadniczo wszystkich, ale przede wszystkim iranek, które nie będą nosiły nakryć głowy.

Nagrania z kamer mają być następnie wykorzystane do zidentyfikowania naruszycielek prawa hijab’u i uprzejmego poinformowania ich (najpierw za pomocą SMS’ów), że łamią prawo. Prywatność w Iranie?

0/10, would not recommend  ❌ 💔

ChatGPT 🤖 vs Włochy 🇮🇹 (runda 2)

2 minuty

Kilka tygodni temu pisałem o tym, że Włochy jako pierwszy kraj w UE zbanowały ChatGPT, chwilę później inne kraje potwierdziły, że też się nad tym zastanawiają. Czy coś się wydarzyło od tego czasu? Otóż tak. Zadziało się kilka rzeczy.

Garante (włoski PUODO) porozmawiał sobie z szefem Open.ai i nakazał aby do 30 kwietnia:

  1. ChatGPT wymagał deklaracji wieku od użytkownika;
  2. ChatGPT będzie prezentował zarejestrowanym użytkownikom informację o konieczności potwierdzenia pełnoletności, co będzie prowadziło do filtrowania treści dla użytkowników, niepełnoletnich.

A to jeszcze nie wszystko, Garante nakazał usunięcie umowy jako podstawy przetwarzania (w odniesieniu do wykorzystywania danych w celu trenowania algorytmów). Garante zwrócił uwagę, że na obecnym etapie podstawą do takiego przetwarzania może być tylko zgoda lub uzasadniony interes administratora. 

🧁 A do tego crème de la crème 🧁

ChatGPT ma umożliwić każdemu (nawet osobom, które nie korzystają z niego) realizację praw wynikających z RODO!

Co się pod tym kryje? 🤔

Quick recap – RODO „przyznaje” określony szereg praw nam, osobom których dane są przetwarzane. Dzięki tym prawom możemy napisać do dowolnego podmiotu i dowiedzieć się czy przetwarzają nasze dane, a także dlaczego, jak długo i w ogóle takie tam. Te prawa umożliwiają też poprawienie danych jeśli są błędne (np. gdy zmienimy nazwisko lub adres), złożenie sprzeciwu wobec przetwarzania w niektórych przypadkach, a nawet prawo do usunięcia danych osobowych (tzw. prawo do bycia zapomnianym).

Tutaj jeszcze krótkie wyjaśnienie czym są modele językowe, jak właśnie ChatGPT (zwane też sztuczną inteligencją). ChatGPT to program, który korzysta z przeogromnej bazy danych (pierwotnie dodano do niego bazę zawierającą około 300.000.000.000 słów) i udziela odpowiedzi na zadane pytania. Co jednak istotne, za każdym razem kiedy ktoś korzysta z tego programu, ten program się „uczy” dodając do tej bazy kolejne dane, które ten ktoś mu podaje. 

Seems legit, right? Ok, a co jeśli tam są dane osobowe? No właśnie. Tu właśnie wszedł Garante, cały na biało, nakazując dostosowanie narzędzia do wymogów RODO.

Innymi słowy, ChatGPT ma umożliwiać użytkownikom realizację tych wszystkich praw, w tym usunięcia danych na ich temat. Nie jestem specjalistą od pisania takich algorytmów sztucznej inteligencji, ale jednak przeczucie coś mi mówi, że to nie będzie takie proste. Nawet sam przedstawiciel Open.ai powiedział, że będą się starać realizować te prawa, ale w takim zakresie, w jakim będzie to możliwe. Zobaczymy co będzie dalej z tym tematem, bo dodatkowo, Europejska Rada Ochrony Danych Osobowych (to takie unijne ciało, które zrzesza wszystkie urzędy ochrony danych w UE) powołała specjalną grupę do zbadania tego tematu.

Kolejne kraje rozważają zakazanie ChatGPT

1 minuta

Kilka dni temu pisałem o tym, że włoski UODO zakazał tymczasowo korzystania z ChatGPT. Otóż, dzieje się coraz więcej na tym polu, bo kolejne kraje tzw. Zachodu rozważają podobny krok. Myślą o tym m.in. Niemcy, Szwedzi, Francuzi i Kanadyjczycy. Całą sytuację śledzi też m.in. Irlandzki komisarz ds. ochrony danych, który stwierdził, że działania w tym zakresie będą koordynowane ze wszystkimi organami ochrony danych w UE.

Avast biedniejszy o 13,7 mln euro

1 minuta

Pamiętacie, jak kiedyś wyszło, że Avast (tak, ten od antywirusów) sprzedawał reklamodawcom (m.in. Google, Microsoft, Sephora, Home Depot…) dane swoich użytkowników? Nie? Tutaj możecie o tym poczytać. 

Otóż zainteresował się tym hiszpański organ nadzorczy (odpowiednik polskiego Prezesa Urzędu Ochrony Danych), ale przetransferował sprawę do czeskiego organu. No i ten przeanalizował sprawę (zajęło mu to ponad dwa latai stwierdził, że Avast niedostatecznie informował użytkowników w momencie uzyskania od nich danych:

  • w jakich celach je zbiera
  • na jakiej podstawie je zbiera.

A jakie dane Avast zbierał? A różne: 🗺 dane o lokalizacji, 🎞obejrzane filmy na Youtube, 🪪 profile które przeglądaliśmy na LinkedIn, 🌐 strony w internetach jakie przeglądaliśmy i wiele, wiele innych. Wniosek?

💸💸💸

13,7 mln euro kary za naruszenie RODO

💸💸💸

Więcej info na stronie hiszpańskiego NGO, który jako pierwszy poinformował hiszpański organ nadzorczy o tej sprawie.

Meta znów atakuje, ale NOYB trzyma się mocno

2 minuty

Jakiś czas temu Meta (czyli Facebook, Instagram, Whatsapp, Metaverse) przegrał w grudniu 2022 r. srogo batalię przed Europejską Radą Ochrony Danych Osobowych (EROD). Co było przedmiotem tej bitwy? W dużym skrócie, przetwarzanie przez Metę danych osobowych użytkowników w celach marketingowych i do personalizacji reklam na podstawie zapisu w regulaminie (czyli na podstawie umowy i art. 6 ust. 1 lit. b RODO). Kto z Was przed dołączeniem do Facebook’a czy Instagrama przeczytał ze zrozumieniem cały regulamin? No własnie…

Według stanowiska EROD (tutaj jest link do stanowisk EROD a tutaj znajdziesz opracowanie tych stanowisk przez NOYB), aby dalej korzystać z danych osobowych do personalizacji reklam, Meta musi uzyskać zgodę od swoich użytkowników. Co ważne, musi być to zgoda „opt-in”, czyli innymi słowy „najpierw zgoda, a dopiero później zbieranie i personalizacja danych”. Meta miała 3 miesiące na dostosowanie się do tego wymogu. Co wymyśliła? 

Zmorę każdego Inspektora Ochrony Danych… Zamiast na zgodzie oparła się bowiem na…

uzasadnionym interesie administratora!!!

Co to oznacza w praktyce? 

Otóż to, że Meta będzie dalej (niemal bezkarnie) przetwarzać dane osobowe w celach marketingowych i personalizować użytkowników żeby lepiej targetować reklamy, a to użytkownik będzie musiał się SPRZECIWIĆ (opt-out) takiemu przetwarzaniu. Co więcej, Meta tak zorganizowało cały proces, że złożenie sprzeciwu nie jest takie łatwe, bo trzeba najpierw znaleźć Centrum Pomocy, potem przejść do zakładki kontaktu z ich Inspektorem Ochrony Danych i tam wypełnić formularz

Umówmy się, po pierwsze kto szuka takich zakładek (no dobra, ja czasem to robię… Ale normalni ludzie tego nie robią :v), a po drugie, komu chce się wypełniać formularze?! Shame on you Meta, shame on you Mr. Z…

Innymi słowy, z jednej nielegalnej podstawy, do drugiej… Jeśli chcesz poczytać więcej na ten temat, polecam zajrzeć tutaj. Natomiast w tym miejscu znajduje się narzędzie stworzone przez NOYB żeby móc się sprzeciwić takiemu przetwarzaniu. Jeśli wpiszemy tam swój adres e-mail powiązany z kontem Meta (może to być facebook, może to być instagram itd.), to wygenerowana i wysłana zostanie automatycznie wiadomość do Inspektora Ochrony Danych Mety ze sprzeciwem. 

Chylę czoła panie Max Schrems, chylę czoła NOYB za to.

PS Oj będzie niedługo więcej na temat samej prywatności i shady praktyk BigTech’ów, które wykorzystują nasze dane. Mniej o bezpieczeństwie, więcej o prywatności.

Brytyjczycy ukarali TikTok’a (12,7 mln funtów)

1 minuta

Dyskusji nad TikTokiem ciąg dalszy. Tym razem brytyjski organ ds. ochrony prywatności (Biuro Komisarza ds. Informacji, z ang. Information Comissioner’s Office, ICO) sięgnął po rozwiązanie umożliwiające mu nałożenie kary na administratora. I CO? – można zapytać (see what I did there?). I nałożył na TikToka’ karę w wysokości 12,7 mln funtów za:

  1. brak rzeczywistego rozwiązania umożliwiającego weryfikację wieku przez użytkownika i brak zgody przedstawiciela ustawowego. To w konsekwencji prowadzi do przetwarzania przez TikTok’a do celów biznesowych danych osobowych małoletnich.
  2. brak przejrzystych informacji o tym jak TikTok przetwarza dane, komu je przekazuje.

Fun fact – ICO planował nałożyć karę w wysokości 27mln funtów, ale TikTok wskazał, że naruszenia nie dotyczyły danych wrażliwych.

O tym, jak hiszpańska La Liga chciała odzyskać rocznie 400 mln Euro podsłuchując fanów

1 minuta

W 2018 r. hiszpańska ekstraklasa – La Liga – postanowiła dodać do swojej apki pewną ciekawą funkcjonalność. Aplikacja zaczęła korzystać z lokalizacji GPS 🛰️ i mikrofonu 🎙️. „Po jakiego grzyba?!” – zapytacie. 

Otóż, La Liga miała plan (k. sprytny). 

Dzięki fanom, którzy będą mieli zainstalowaną tę aplikację, La Liga będzie śledzić… Czy bary (lub inne przybytki) w których puszczane są mecze La Ligi, posiadają licencję na odtwarzanie meczy na telewizorach. Jak to działało?

Otóż, aplikacja działała permanentnie w trybie „nasłuchiwania” (mikrofon w szmartfonie był włączony i wykorzystywany przez apkę) i nasłuchiwał określonych, charakterystycznych ukrytych sygnałów emitowanych w trakcie meczu (tzw. akustycznych odcisków palca). Podobnie działają wszelcy asystenci głosowi typu Alexa od Amazonu czy Siri od firmy z jabłuszkiem. Jeśli wyłapała taki odcisk, to wysyłała informację o lokalizacji do La Ligii, a ta analizowała czy dany lokal posiada licencję na odtwarzanie meczy. 

Jeśli nie 🔜 cyk, pisemko z wezwaniem do zapłaty za rozpowszechnianie meczu bez licencji.

Sprytnie prawda? Tak sprytnie, że dowiedział się o tym tamtejszy Prezes Urzędu Ochrony Danych i nałożył na La Ligę karę w wysokości prawie 300 tys. Euro.