Kategoria: Newsy

Czy kierowcy Bolta nas podsłuchują?

3 minuty

Kilka dni temu wracałem do mieszkania, jako że trasa była dłuższa niż moje normalne spacery postanowiłem, że wrócę samochodem. Wybór padł na Bolt’a. Zamówiłem przejazd, kierowca podjechał i ruszyliśmy. W pewnym momencie, gdy otworzyłem aplikację, wyświetlił mi się komunikat, że Bolt ma nową funkcję bezpieczeństwa, a mianowicie… nagrywanie. I bynajmniej, nie chodziło o nagrywanie rozmów z konsultantami, gdy dzwonimy na infolinię z problemem czy z reklamacją.

Nie.

Chodzi o nagrywanie przejazdu z wykorzystaniem mikrofonu wbudowanego w nasz szmartfon. Z punktu widzenia bezpieczeństwa? Bardzo ciekawa funkcja i bardzo przydatna, szczególnie biorąc pod uwagę przypadki naprawdę podłego zachowania.

Możliwość nagrywania przejazdu ma zarówno kierowca jak i pasażer.

Jak to ma działać?

Otóż, gdy włączymy tę funkcję, dajemy aplikacji dostęp do naszego mikrofonu i rozpoczyna się nagrywanie (nie znalazłem jednak informacji kiedy nagranie się kończy, czy jest to z momentem zakończenia przejazdu, czy możliwe jest zatrzymanie go wcześniej). Nagranie jest zapisywane lokalnie, na urządzeniu tego, kto nagrywa, a następnie przechowywane przez 24 godziny, chyba że udostępnimy je Boltowi. Nie znalazłem informacji czy jest to przechowywane w aplikacji i jak nagranie jest zabezpieczone.

Jeśli udostępnimy nagranie Boltowi, to przeprowadzą wewnętrzne dochodzenie i usuną je po 7 dniach automatycznie, chyba że „okres retencji zostanie wydłużony ręcznie w celach dochodzenia / ze względów prawnych”. Znów, informacja nie do końca precyzyjna.

W jakich celach i na jakiej podstawie Bolt przetwarza te dane?

„We may also review audio recordings submitted to us using our safety toolkit trip audio recording feature (where such feature is available). If necessary, we use these recordings for investigations, proof and protection against claims and/or for quality assurance;”

„Możemy również przeglądać nagrania audio przesłane do nas za pomocą funkcji nagrywania dźwięku w podróży zestawu narzędzi bezpieczeństwa (jeśli taka funkcja jest dostępna). W razie potrzeby wykorzystujemy te nagrania do celów dochodzeniowych, dowodowych i ochrony przed roszczeniami i/lub w celu zapewnienia jakości;”

Czyli innymi słowy, są to ich tzw. „prawnie uzasadnione interesy” (używając terminologii z RODO). Co to oznacza? Ponownie. Są to zwroty niedookreślone. Znaczy inaczej, rozumiem ich wykorzystanie, bo sam, gdy pracowałem nad klauzulami informacyjnymi tworząc dokumentację dla klientów starałem się opisywać coś w zwięzły sposób, bez ujawniania wszystkich szczegółów. I dlatego rozumiem cele „dochodzeniowe, dowodowe, ochrony przed roszczeniami”, ale już „zapewnienie jakości” jest w mojej ocenie zbyt szerokim pojęciem.

Fun fact – ta opcja bezpieczeństwa nie jest dostępna we wszystkich krajach, ale m.in. w Polsce czy w Nigerii. I drugi fun fact, w polskiej polityce prywatności nie ma wzmianki na temat przetwarzania danych z nagrań audio w ramach tego procesu. 😀

I właśnie dlatego… napisałem do Inspektora Ochrony Danych Bolta i poprosiłem m.in. o to żeby:

  1. wyjaśnili mi jak dokładnie działa proces przetwarzania w tym konkretnym przypadku, ze szczególnym uwzględnieniem nagrywania przejazdów przez kierowców;
  2. wyjaśnili jakie są podstawy przetwarzania, a jeśli są nimi prawnie uzasadnione interesy, to czy mogą podzielić się testem równowagi o którym mowa w art. 6 ust. 1 lit. f) RODO (to taki test, w którym administrator danych sprawdza, czy jego interesy rzeczywiście są ważniejsze niż nasze prawo do prywatności, i czy w konsekwencji może przetwarzać nasze dane)
  3. czy podróżni są informowani o tym, że przejazd jest nagrywany;
  4. jak zabezpieczają nagranie przed możliwością kopiowania go lokalnie.

Jak tylko dostanę odpowiedź, to zaktualizuję ten wpis!

Ile jest wart tryb in cognito według Google?

2 minuty

Google oświadczyło, że zawrze ugodę w pozwie, który dotyczył trybu in cognito. Pozew opiewa na kwotę, bagatela, co najmniej 5.000.000.000 $ (słownie: pięć miliardów dolarów). Dlaczego taka kwota? Otóż po 5.000$ (słownie: pięć tysięcy dolarów) za każdego użytkownika, który został tym dotknięty od 1 lipca 2016 r. do momentu wniesienia pozwu. Na chwilę obecną nie jest znana treść ugody, ale wiemy, że sąd przed którym rozpatrywana jest sprawa, 26 grudnia 2023 r. zawiesił rozprawę i dał stronom czas na ustalenie treści ugody i przedstawienie jej sądowi do zaakceptowania (bądź odrzucenia).

O co jednak chodzi w sprawie? O naruszenie prywatności, inwigilację i targetowanie. Powodowie (in. skarżący) twierdzą, że Google, pomimo swoich zapewnień, że tryb in cognito w przeglądarkach zapewnia prywatność, nadal śledził ich ruchy i dopasowywał do nich zindywidualizowane reklamy. Innymi słowy działał tak, jak w „normalnym” trybie przeglądarki. Dotyczyć ma to nie tylko przeglądarki Chrome, ale także wszystkich innych przeglądarek, bowiem sprawa obejmuje również narzędzia takie jak Google Analytics, Ad Manager i inne. Google oczywiście się broni tym, że to przecież od użytkownika zależy jakimi danymi się podzieli z Google. Poza tym, gigant twierdzi, że sprawy o naruszenie prywatności nie są konkretne, gdy zbierane są zanonimizowane dane.

To tryb in cognito jednak nie zapewnia prywatności ani anonimowości?!

SZOK I NIEDOWIERZANIE!

Źródło: https://viralscape.com/wp-content/uploads/2014/09/Shocked-Raccoon.jpg

Sąd w trakcie rozprawy nie podzielił tego stanowiska i powołał się na podobną sprawę, nomen omen, przeciwko Facebook’owi (Campbell v. Facebook). Pośrednio podzielił tym samym zdanie, że samo zbieranie danych bez podstawy już jest konkretnym naruszeniem prywatności („concrete privacy interests”).

Jak sprawa się zakończy? Zobaczymy. Czy poznamy właściwą treść ugody? To się jeszcze okaże.

Jedno jest jednak pewne (i wiadome od dawna) tryb in cognito nigdy nie oznaczał, że można być anonimowym w sieci. Jedyne czym się różni od „zwykłego” przeglądania stron w Internecie, to to, że nie zapisuje historii przeglądania LOKALNIE, czyli na Twoim urządzeniu. A to, że Google, Facebook, dostawca Internetu, pracodawca i wszyscy święci mają do tego dostęp tak czy siak, to już było wiadome od dawna. Ta sprawa to dopiero oficjalne potwierdzenie tego stanu rzeczy i że giganci technologiczni, jak Google, wiedzieli to od dawna, a co więcej, korzystali z tego.

Tymczasem to na tyle w dzisiejszym odcinku.

Źródła:

1) News od the Reuters – https://www.reuters.com/legal/google-settles-5-billion-consumer-privacy-lawsuit-2023-12-28/

2) News od Cyberdefence24.pl – https://cyberdefence24.pl/polityka-i-prawo/tryb-incognito-to-fikcja-google-idzie-na-ugode

3) Campbell v. Facebook – https://casetext.com/case/campbell-v-facebook-inc-9

4) Postanowienie kalifornijskiego sądu o zawieszeniu rozprawy – https://storage.courtlistener.com/recap/gov.uscourts.cand.360374/gov.uscourts.cand.360374.1089.0.pdf

5) Postanowienie kalifornijskiego sądu o oddaleniu wniosku Google – https://storage.courtlistener.com/recap/gov.uscourts.cand.360374/gov.uscourts.cand.360374.969.0.pdf

Ruskij Mir… TFU! Ruski Internet 2.0 (i trochę o chińskiej cenzurze)

2 minuty

Dzisiaj będzie o Rosji. Nie, nie o tym co się dzieje pomiędzy Jewgienijem Prigożynem a Kremlem (chociaż to też turbo ciekawe i śledzę z wypiekami), ale o ru-necie, czyli ruskim Internecie 2.0.

Najpierw trochę kontekstu.

Dostęp do Internetu w Rosji nie jest tak „nieograniczony”, jak na zachodzie. Rosja już od dawna planuje „odłączyć” się od globalnej sieci i stworzyć „swój własny, prywatny Internet”. Na czym to ma polegać? Przede wszystkim na tym co rosyjski użytkownik może znaleźć w Sieci, a czego nie może znaleźć. Innymi słowy, jest to pomysł podobny do tego, który śmiga sobie w Chinach już od dawna (ciekawostka: Chiny mają nie tylko „Wielki Mur hiński”, ale stworzyły też coś, co się nazywa „Wielkim Firewallem Chińskim„) i ma przede wszystkim służyć kontroli użytkowników i treści (zarówno publikowanej przez użytkowników jak i dla nich samych). I w zasadzie kontrola treści w ruskim Internecie już jest, chociaż nie tak dopracowana jak u chińskiego sąsiada.

Ciekawostka nr 2: jeśli spróbujecie wyszukać w chińskiej wyszukiwarce (Baidu) informacji na temat masakry na placu Tiananmen, to Wam się nie uda. Te słowa są zablokowane, to oczywiste. Co jednak mniej oczywiste, to zablokowane (lub ocenzurowane) zostały m.in.:

  • 五月三十五: 35 Maja, aka 4 Czerwca (wtedy miała miejsce masakra)
  • IIXVIIIIX: Rzymskie cyfry 1-9-8-9 (rok masakry).

Nie dotyczy to jednak tylko placu Tiananmen, ale także takich kwestii jak ludobójstwo Ujgurów, balon szpiegowski (ten który latał sobie po USA) czy… Kubuś Puchatek.

Runet 2.0 ma to usprawnić i jedną z kluczowych zmian ma być to, że… jeśli Rosjanin lub Rosjanka będą chcieli wejść do Internetu (tego rosyjskiego), to będzie to wymagało podania przez nich danych ze swojego paszportu.

Żegnaj prywatności!

🤫 Żegnaj anonimowości! 🥸

Witaj inwigilacjo! ❤️🔎

(nie żeby prywatność czy anonimowość była w Rosji powszechna i możliwa dotychczas)

Pomysłodawcy tego rozwiązania mówią, że przede wszystkim ma to służyć bezpieczeństwu użytkowników, bo to pozwoli na ograniczenie ataków phishing’owych czy oszustw, bo każdy użytkownik będzie z góry znany i łatwo identyfikowalny, czy wreszcie ma to służyć „ochronie własności intelektualnej” i rozwojowi rodzimych technologii.

Pozwolę to sobie skomentować w wyszukany sposób:

xD

O czym jednak nie wspominają, to to, że takie rozwiązanie pozwoli m.in.:

  • zidentyfikować każdego
  • weryfikować co, kto, kiedy i gdzie wyszukiwał (iiiii następnie przysłać do niego smutnych panów w garniturach jeśli to były jakieś „shady” tematy)
  • kontrolować kto, co, gdzie i kiedy widzi.

Wniosek?

Rosja „uczy się” od Chin i chce wprowadzić totalną, permanentną inwigilację.

Co prawda władze twierdzą, że dostęp do „zwykłego” Internetu nadal będzie możliwy, ale tylko „na własną odpowiedzialność”. Cokolwiek to znaczy.

Spotify z karą za nierealizowanie prawa dostępu (€5.000.000)

1 minuta

Jednym z podstawowych praw wskazanych w RODO jest prawo dostępu do danych. Co się za nim kryje? Przede wszystkim możemy zażądać od tego, kto zarządza naszymi danymi (czyli administratora) kopii informacji jakie przetwarza na nasz temat.

W 2019 r. noyb (pisałem o nich już kilkukrotnie tutaj, to ci ludzie, którzy zajmują się sprawdzaniem, jak administratorzy i organy nadzorcze dają sobie radę z RODO) złożyło do szwedzkiego organu nadzorczego. Skarga dotyczyła tego, że Spotify nie chciało umożliwić zrealizowania prawa dostępu.

Po niezłych przebojach (szwedzki organ trochę leciał w kulki nie informując noyb o postępowaniu), w końcu, po 4 latach szwedzki organ wydał decyzję i nałożył na Spotify karę w wysokości € 5 milionów. Co istotne, organ podkreślił też, że realizacja prawa dostępu to nie tylko wydanie kopii danych, ale także informacji o źródłach skąd dane na nasz temat Spotify ma czy komu je przesyła (w tym czy wysyła je poza Unię Europejską).

Pełna treść decyzji, przetłumaczona na język angielski znajduje się o tutaj.

Microsoft z karą za gromadzenie danych dzieci przez Xbox’a ($20.000.000)

1 minuta

Xbox to jeden z produktów Microsoft’u, którego głównym założeniem jest… granie w gry, bo to konsola. :v 

Federalna Komisja Handlu* (Federal Trade Commission; FTC) przeprowadziła postępowanie w sprawie wykorzystywania przez Microsoft, w ramach Xbox’a danych osobowych dzieci. I tak się jakoś okazało, że Wielki Brat przetwarzał dane dzieci niezgodnie z przepisami Children Online Privacy Protection Act (COPPA; to taka stanowa ustawa, której założeniem jest ochrona danych osobowych dzieci w Internecie). W szczególności chodziło o to, że pozyskiwali dane (w tym wizerunek i dane biometryczne) bez zgody rodziców, a następnie bezprawnie przetwarzali.

Szok i niedowierzanie!😲

Skutkiem tego postępowania jest:

    • 20 milionów dolarów kary za naruszenie;
    • obowiązek poinformowania rodziców, którzy nie utworzyli dodatkowego konta obok konta swojego dziecka, że takie działanie polepszy ochronę ich dzieci;
    • uzyskanie zgody na przetwarzanie danych osobowych zebranych przed 2021 r.;
    • usunięcie danych niezwłocznie, jednak nie później niż w ciągu dwóch tygodni, jeśli zgoda nie zostanie uzyskana (w tym w odniesieniu do danych zbieranych w przyszłości);
    • powiadomienie wydawców gier, że w sytuacji, gdy udostępniają dane dzieci, to musi się to odbywać w zgodzie z COPPA.

I za to➕ dla FTC, ale… $20.000.000 kary to niezbyt wysoka stawka w porównaniu do ponad $50.000.000.000 (tak, to jest 50 MILIARDÓW) przychodu, czyli ponad $16.000.000.000 dochodu za Q4. It’s something but… you know… 🤷‍♂️

Aczkolwiek na horyzoncie Microsoft ma kolejną karę, tym razem już trochę większą, bo około €400.000.000 za naruszenie RODO w ramach innego z ich produktów – LinkedIn.

Oryginalna notka prasowa jest o tu 👉 FTC Will Require Microsoft to Pay(…)

*FTC to taki organ (agencja) w Stanach Zjednoczonych, która zajmuje się m.in. prawem antymonopolowym, a także niektórymi aspektami dotyczącymi ochrony danych osobowych.

Ponad 6.000.000 linijek (rekordów) danych do logowania dostępnych publicznie!

2 minuty

Kilka dni temu, na jednym z najpopularniejszych polskich forów w sieci TOR (forum się nazywa Cebulka, urocze, prawda?) pojawił się plik zawierający ponad 6.000.000 danych do logowania do różnych stron. Pojawił się Facebook, ING, Onet, WP. Znaczna większość z nich należy do 🇵🇱 internautów. Dane pochodzą z wielu źródeł i jest to baza „skompilowana” z wielu innych wycieków*, które miały miejsce w ostatnim czasie. Co istotne, te dane pochodzą najprawdopodobniej z lat 2020-2023. Możliwe więc, że nasze dane wyciekły już wcześniej, a dopiero teraz zostały „masowo” udostępnione.

Co robić, jak żyć?

Przede wszystkim:

  1. sprawdzić na Have I Been Pwned czy nasz adres e-mail znalazł się w upublicznionej bazie danych;
  2. można też to samo sprawdzić na uruchomionej przez polski Centralny Ośrodek Informatyki stronie – https://bezpiecznedane.gov.pl/ (minus jest taki, że najpierw trzeba się tam zalogować przez Profil Zaufany; plusem jest jednak to, że można przefiltrować bazę po słowach kluczowych a nie tylko adresach e-mail);
  3. jeśli nasze dane znajdują się w upublicznionych bazach  👉  niezwłocznie zmienić hasła w tych serwisach, gdzie wykorzystywaliśmy ten e-mail;
  4. jeśli nasze dane nie znajdują się w upublicznionych bazach… prewencyjnie i tak lepiej zmienić hasła.

i najważniejsze

WŁĄCZ WIELOSKŁADNIKOWE UWIERZYTELNIANIE WSZĘDZIE TAM, GDZIE JEST TO MOŻLIWE!!!

Bardzo fajnie (jak zwykle zresztą) sprawę opisał CERT Polska. Odsyłam do ich artykułu z poradami co robić, jak żyć –> o tutaj.

*Nie jest to „typowy” wyciek, bo dane nie popłynęły z tych serwisów (najprawdopodobniej), tylko są efektem wykorzystania złośliwego oprogramowania typu info stealer, który wykrada dane z przeglądarek i urządzeń.

A skoro nie jest to „typowy” wyciek, to sama zmiana hasła może nie wystarczyć jeśli cały czas go mamy na naszym urządzeniu (przez urządzenie mam na myśli zarówno komputer jak i smartfon). Warto przeskanować urządzenie antywirusem, a jeśli mamy taką możliwość to NAWET zresetować do ustawień fabrycznych (po uprzednim zrobieniu kopii zapasowej, oczywiście).

Natomiast co do haseł, to gdy już będziesz je zmieniać, to napisałem dwa fajne artykuły o nich:

Polecam, są spoko.

5 lat RODO – drewniane gody, czyli kiedy to minęło?

4 minuty

25 maja 2018 r. to chyba już historyczna data. Wtedy zaczęliśmy stosować RODO, czyli Ogólne Rozporządzenie o Ochronie Danych. I o ile np. w Polsce nie była to za duża rewolucja pod kątem zasad jakimi się rządziła ochrona danych osobowych, o tyle była to już rewolucja jeśli chodzi o możliwości nakładania kar.

To jest coś, co wszystkich przerażało. Widmo 20.000.000 kary w euraskach, albo nawet do 4% obrotu za ubiegły rok (zależy co wyższe).

Do tego, przez to, że RODO było „nowym” aktem, który regulował kwestię ochrony danych na tak wysokim poziomie, bo na poziomie unijnym, to stało się jednym z najbardziej niezrozumianych aktów w historii. Wszyscy pamiętamy chyba tzw. absurdy RODO jak:

  • szafki zgodne z RODO 🧰
  • niszczarki zgodne z RODO 🖨️
  • wywoływanie w kolejce po pseudonimie zamiast po nazwisku 🧸🪅 🤠
  • odmawianie udzielenia informacji „bo RODO”  🤐

Przykłady można mnożyć.

***

Co się zmieniło po tych 5 latach? Jak to wpłynęło na ochronę danych w UE? Czy miało to wpływ na to co się dzieje z danymi poza UE?

Krótkie odpowiedzi na każde pytania po kolei:

  • dużo
  • mocno
  • tak

Nieco dłuższe odpowiedzi:

Co się zmieniło?

Przede wszystkim podejście nie tylko administratorów i podmiotów przetwarzających, ale przede wszystkim nas – podmiotów danych. Zaczęliśmy zwracać więcej uwagi na to, co się dzieje z naszymi danymi, dlaczego ciągle dostajemy maile, mimo że nie chcemy. 

Jak to wpłynęło na ODO w Unii?

Rozpoczęło harmonizację całego systemu ochrony danych. Pozwoliło na wymianę informacji pomiędzy różnymi organami ochrony danych z różnych krajów UE, wymianę doświadczeń. Dzięki „temu RODU” możemy oczekiwać, jako obywatele UE, że nasze dane będą chronione w całej Unii, bez względu na to w którym kraju jesteśmy, ani bez względu na to w którym kraju są przetwarzane nasze dane.

Czy miało to wpływ na to co się dzieje poza Unią?

Zdecydowanie. Wejście w życie RODO i rozpoczęcie jego stosowania sprawiło, że Europa stała się de facto prekursorem w zakresie regulacji ochrony danych. Wyznaczyliśmy swego rodzaju „framework” na skalę światową. Przecież na bazie RODO tworzone są zagraniczne ustawy o ochronie danych (*ekhem* UK GDPR, *ekhem* chińskie RODO, *ekhem* CCPA). Każdy gracz, czy jest to jakiś John Smith prowadzący mały sklepik online i sprzedający towary Europejkom i Europejczykom, czy to spółka o wielomiliardowym zysku – wszyscy oni muszą się liczyć z tym, że jest takie coś jak RODO, i jak się nie dostosują to dostaną karę, w tym finansową.

Dobra, koniec tego dobrego. Czas na kubeł dziegciu. 

Po 5 latach stosowania RODO widzimy przede wszystkim, że:

  • administratorzy nauczyli się je ignorować lub obchodzić
  • organy nadzorcze prowadzą sprawy tak jakby chciały, a nie mogły
    • w zasadzie każdy kraj UE ma z tym problem, jedne bardziej (Irlandzki DPC… Polski PUODO…) inne trochę mniej (francuski CNIL)
  • decyzje wydawane przez organy nadzorcze nie są wykonywane
  • w niektórych krajach (np. Irlandia) rozpoczęcie dyskusji z organem nadzorczym jest tak drogie, że wręcz niemożliwe dla przeciętnego obywatela
  • każdy kraj, a co za tym idzie, każdy organ ma swoją procedurę, co powoduje że harmonizację trafia szlag.

Po tych 5 latach, na naszym własnym, polskim poletku widać też, że PUODO sobie nie radzi:

  • większość jego decyzji jest uchylanych przez sądy administracyjne
  • PUODO ma problemy z ustalaniem stanu faktycznego
  • PUODO nakłada kary na podmioty, które nie miały możliwości wdrożenia środków (spoglądam na Ciebie  decyzjo ws. Rzecznika Dyscyplinarnego Izby Adwokackiej…)
  • PUODO nie radzi sobie ze sprawami bardziej technicznymi

i w końcu – choć nie jest to najmniej ważne – są poważne wąptliwości co do niezależności obecnego PUODO (decyzja ws. KRS??? decyzja ws. wyborów kopertowych???).

Ehhh, quo vadis Polonia? Quo vadis Europa?

Nie wiem. Jest dużo „ale” w kontekście RODO, ALE jedno co wiem na pewno to to, że jednak się cieszę, że mamy ten akt, że możemy (i powinniśmy) być z tego dumni. A co najważniejsze, powinniśmy korzystać z praw, które nam przysługują, a które RODO tylko potwierdziło. O jakie prawa chodzi?

  1. prawo do informacji o tym czy i jakie dane są przetwarzane
  2. prawo do poprawienia swoich danych
  3. prawo do dostępu do swoich danych
  4. prawo do bycia zapomnianym

I co najważniejsze, RODO wzmocniło nasze podstawowe, przyrodzone prawo:

PRAWO DO PRYWATNOŚCI

Meta z historyczną karą – 1.200.000.000 euro – za transfer danych do USA!

3 minuty

Mamy nowy rekord! Meta Ireland oberwała największą dotychczas karą za naruszenie RODO. Irlandzki organ ochrony danych (DPC) w końcu wydał decyzję i W KOŃCU (nie z własnej woli, ale o tym później) nałożył na firmę Marc’a Zuckerberg’a administracyjną karę pieniężną w wysokości 1.200.000.000 Euro. Najlepsze w tym wszystkim, że to nie wszystko, to tylko 1 z 3 obowiązków wskazanych w decyzji. Pozostałe dwa obowiązki to:

  • zawieszenie przyszłego transferu (z UE do Stanów Zjednoczonych) danych użytkowników przebywających w UE w terminie 5 miesięcy;
  • zapewnienie zgodnego z prawem przetwarzania danych, w szczególności poprzez zaprzestanie niezgodnego z prawem przetwarzania i przechowywania danych w Stanach Zjednoczonych, w terminie 6 miesięcy.

Co to oznacza dla Mety? 

Innymi słowy Meta (Facebook, Instagram, WhatsApp) muszą zaprzestać przesyłania danych z Unii Europejskiej do Stanów Zjednoczonych oraz de facto zwrócić wszystkie dane, które już trafiły do USA, z powrotem do Unii Europejskiej. No i oczywiście dodatkowo zapłacić 1.200.000.000 Euro (o rany, podoba mi się to ile tam jest zer 🥰🥰🥰).

Byłoby idealnie, gdyby ta kara została wykonana, ale… Mam jednak poważne wątpliwości żeby tak się stało. Powodów jest wiele, a w skrócie chodzi o to, że to jest „dopiero” decyzja. Meta się może od niej odwołać, chociaż będzie jej ciężko zbić wszystkie argumenty, bo ta sprawa przeszła już dotychczas przez chyba wszystkie instancje. Ten case był już częściowo rozpatrywany przez irlandzki sąd najwyższy, przez Trybunał Sprawiedliwości Unii Europejskiej [uchylenie Bezpiecznej Przystani ⛵ i Tarczy Prywatności 🛡️], a także przez Europejską Radę Ochrony Danych [to ona powiedziała DPC, że MUSI nałożyć karę]. Znając Metę, będą się bronić nogami i rękoma, więc to dopiero początek (mam nadzieję, że początek końca).

Co to oznacza dla prywatności w ogóle? 

To jest ogromny krok w kierunku zabezpieczenia danych nas wszystkich. To znak dla innych podmiotów (Google, Microsoft, TikTok i inni, którzy wysyłają dane do USA), że Europa zaczyna stawiać na swoim pod kątem prywatności. Niestety… problem jest mega szeroki i nie da się tego sprowadzić do prostego stwierdzenia „wystarczy żeby dane Europejczyków i Europejek były przetwarzane w UE”. Ale o tym… już niedługo. 😋

Na zakończenie (niestety) czas na łyżkę dziegciu. Od dawna powtarzam, że RODO jest dobrze napisanym aktem. To, co jest jednak problemem, to wykonywanie decyzji, które wydają organy ochrony danych. Administratorzy (szczególnie duzi gracze właśnie pokroju Mety) nauczyli się ignorować RODO (tutaj odsyłam do ostatniego news’a o Clearview AI) i wykorzystywać formalności do omijania przepisów. Ja wiem, to jest już klasyka gatunku jeśli chodzi o prawo (believe me I know… been there, done that…), ale po prostu mam wątpliwości. Przykładowo, Meta po nałożeniu tej kary prawie w ogóle nie odczuła tego na giełdzie (wartość akcji wahała się w granicach do 1% za akcję).

Znaczy, inaczej… 

Nie uważam, że jest źle z „tym RODEM”. Wręcz przeciwnie akurat RODO wywarło realny wpływ na sposób myślenia o przetwarzaniu danych. Bez RODO prawdopodobnie nie mielibyśmy takich dyskusji na poziomie globalnym dotyczących m.in. cookies’ów🍪, czy wpływu przetwarzania danych przez AI 🤖. I okay, ja zdaję sobie sprawę, że to proces, a co gorsza, proces międzynarodowy, co jeszcze bardziej spowalnia jego wdrażanie. Czego mi jednak brakuje, to realnej sprawczości organów ochrony danych i egzekwowalności ich decyzji.

Dla wytrwałych, na koniec ciekawy raport dotyczący właśnie pracy organów ochrony danych. A jeśli chcesz poczytać trochę i dowiedzieć się więcej o przesyłaniu danych z UE do USA, to ostatnio (tutaj) dodałem nowy wpis na ten temat.

Stan Montana (USA) zakazuje TikTok’a

2 minuty

Rządzący w stanie Montana (USA) wprowadzili ustawę na szczeblu stanowym, która zakazuje TikTok’a (od stycznia 2024 r.). Przed szczegółami, kilka zapisów z preambuły, która ma za zadanie wyjaśnić intencje stojące za tą decyzją:

„Mając na uwadze, że TikTok gromadzi istotne informacje od swoich użytkowników, uzyskując dostęp do danych wbrew ich woli w celu udostępnienia ich Chińskiej Republice Ludowej (…)”

„Mając na uwadze, że TikTok nie usuwa, a wręcz promuje niebezpieczne treści, które umożliwiają nieletnim uczestnictwo w niebezpiecznych aktywnościach takich jak (…) gotowanie kurczaka w NyQuill [Raccoon to the rescue here: NyQuill to taki lek na przeziębienie], (…) oblizywanie klamek oraz desek sedesowych wystawiając się tym samym na niebezpieczeństwo zakażenia koronawirusem (…);”

„Mając na uwadze, że kradzież przez TikTok’a informacji oraz danych użytkowników, a także jego możność dzielenia się nimi z Komunistyczną Partią Chin stanowi nieakceptowalne naruszenie prawa do prywatności w Montanie; (…)

Natomiast już faktyczne zapisy to przede wszystkim:

  1. zakaz prowadzenia przez TikTok’a działalności na terenie stanu Montana,
  2. kara w wysokości 10.000 $ za każde naruszenie, a także 10.000 $ za każdy dzień trwania naruszenia.

Co istotne, zakaz ten nie dotyczy użytkowników aplikacji, lecz sklepów z aplikacjami (jak Google Play, AppStore itd.) a także samego TikTok’a. (Fun fact, influencerzy z Montany już ruszyli z pozwami.)

Ustawa sama w sobie jest dość krótka (niespełna 3 strony, z czego jedna to preambuła), a jej założenie proste – wyeliminować TikTok’a (będącego chińską aplikacją) z amerykańskiego rynku. Takiego ruchu ze strony Montany można się było spodziewać już od jakiegoś czasu, bo tamtejszy gubernator głośno się na ten temat wypowiadał wcześniej.

Ta ustawa pojawiła się na fali sprzeciwów po stronie zachodu wobec właśnie TikTok’a. Amerykańskie władze zablokowały możliwość korzystania z niego przez pracowników administracyjnych. 

Tym śladem podążyła też Unia Europejska, ale tylko Parlament Europejski i Komisja Europejska, bo w odniesieniu do państw członkowskich jest to zakres ich jurysdykcji. W odniesieniu do innych krajów, to ban na TikTok’a nałożyła też Wielka Brytania, Indie (Indie już w 2020 r.), a także m.in. – surprisesurprise Afganistan. W Polsce natomiast, Rada ds. cyfryzacji wydała rekomendację żeby pracownicy administracji publicznej usunęli aplikację ze służbowych telefonów. 

O tym, dlaczego “nagle” TikTok jest na cenzurowanym, i dlaczego tak się dzieje, przeczytasz w moim felietonie, o tutaj

PS Poniżej od tego wpisu (👇)znajdziesz mapkę na której pokazane jest które kraje i kiedy zbanowały TikTok’a.

https://banpedia.com/countries-where-tiktok-is-banned

ClearView AI z kolejną (-nymi) karą (-ami)

3 minuty

(uwaga, będzie długo, ale turbo ciekawie)

Kto to ClearView AI? 

Jest to firma zajmująca się tworzeniem rozwiązań do rozpoznawania twarzy, a do tego celu wykorzystują zdjęcia i filmy różnych ludzi znalezione w Internecie (w tym także na mediach społecznościowych pokroju Facebook, Instagram itd.). W oparciu o bazę, przyporządkowują zdjęcia 👧 🧒 👦do poszczególnych ludzi wykorzystując do tego sztuczną inteligencję. Dzięki temu stworzyli swego rodzaju wyszukiwarkę ludzi, na podstawie zdjęć. 

🚫🚫🚫 Co oznacza, że przetwarzają dane biometryczne, co do których zasadniczo jest zakaz przetwarzania, chyba że ma się specjalną przesłankę (art. 9 RODO). 🚫🚫🚫

💡 Ciekawostka 💡

Z usług Clearview AI korzystała swego czasu m.in. szwedzka Policja i… oberwała za to karą (250.000 €).

Ok, to tyle tytułem wstępu. Jedziemy dalej, bo ciekawe jest to, co się wydarzyło.

  1. Maj 2020 🇫🇷

Francuski odpowiednik Prezesa Urzędu Ochrony Danych Osobowych (CNIL) dostaje info, że jest sobie taki podmiot jak Clearview AI i rozpoczyna postępowanie.

  1. Listopad 2021 🇫🇷

CNIL ostrzega Clearview AI, że mają 2 miesiące na wstrzymanie zbierania danych francuskich obywateli z uwagi na brak podstawy prawnej, a do tego nakazuje umożliwienie wszystkim tym osobom realizację praw wynikających z RODO (w tym np. prawo do bycia zapomnianym). Clearview AI nie odpowiada.

  1. Październik 2022 🇫🇷

CNIL stwierdza, że Clearview AI nie dostosowało się do tego orzeczenia i nakłada karę w wysokości 20.000.000 Euro 💸💸💸 jednocześnie wzywając do zaprzestania przetwarzania danych. A do tego daje 2 miesiące (kolejne) na dostosowanie się, a jak nie to kara 100.000 Euro za każdy dzień opóźnienia. Clearview AI nie odpowiada.

  1. Kwiecień 2023 🇫🇷

CNIL nakłada kolejną karę na Clearview AI, tym razem 5.200.000 Euro 💸💸💸 za niewywiązanie się z obowiązków określonych w decyzji z października 2022. Clearview AI nie odpowiada.

Stop, stop! It’s already dead!…. Czyżby? Bo to nie koniec!

  1. Marzec 2022 🇮🇹

Włoski organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Czerwiec 2022 🇬🇷

Grecki organ ochrony danych nakłada 20.000.000 Euro 💸💸💸 kary za takie samo naruszenie, co CNIL. Jednocześnie zakazując dalszego przetwarzania.

  1. Maj 2023 🇦🇹

W tzw. międzyczasie austriacki organ nadzorczy (DSB) stwierdza, że Clearview AI dysponuje bazą danych zawierającą m.in. 30.000.000.000 (tak, to jest 30 MILIARDÓW) zdjęć twarzy ludzi z całego świata. Zdjęcia te zostały pobrane z Internetów, a następnie przy wykorzystaniu sztucznej inteligencji przekształcono je w zdjęcia biometryczne umożliwiające przypisanie konkretnej osoby do konkretnego zdjęcia (czyli DSB stwierdził to samo co CNIL). Jednocześnie wzywając do zaprzestania przetwarzania danych, ale tylko skarżącego (a nie jak we Francji, Grecji czy Włoszech – wszystkich danych) oraz do wyznaczenia swojego przedstawiciela w Unii (spółka nie ma siedziby w UE, tylko w Stanach Zjednoczonych). Nie znalazłem żadnych informacji czy Clearview AI się w jakikolwiek sposób do tego odniosło.

  1. Brytyjski organ też nałożył karę na Clearview AI w wysokości 7.500.000 funtów.

Co to oznacza w teorii? W teorii Clearview AI ma zakaz przetwarzania danych i nakaz usunięcia wszystkich danych, a także kilkadziesiąt milionów euro kary. Pytanie tylko czy coś sobie z tego robi? 

Na chwilę obecną, tak – ignoruje.

Mój komentarz w tej sprawie jest mimo wszystko prosty – przepisy dotyczące ochrony danych osobowych w Unii Europejskiej są dobre, ale… ale ich egzekwowanie już niestety jest mocno utrudnione, a może nawet niemożliwe w niektórych przypadkach. Czy to oznacza, że powinniśmy przestać się interesować tym kto, jakie i dlaczego przetwarza nasze dane? 🤔

Absolutnie nie! 🙅‍♂️

Wręcz przeciwnie. Im więcej takich spraw, tym świadomość społeczna jest większa, a to potrafi zmieniać politykę niejednej firmy. To wszystko w tym newsie, dbajcie o siebie, a przede wszystkim – uważajcie co i gdzie publikujecie. 

Pamiętajcie, coś raz wrzucone do Internetów pozostanie tam… na zawsze. I może to znaleźć, a następnie wykorzystać absolutnie każdy.