Czy kierowcy Bolta nas podsłuchują?

3 minuty

Kilka dni temu wracałem do mieszkania, jako że trasa była dłuższa niż moje normalne spacery postanowiłem, że wrócę samochodem. Wybór padł na Bolt’a. Zamówiłem przejazd, kierowca podjechał i ruszyliśmy. W pewnym momencie, gdy otworzyłem aplikację, wyświetlił mi się komunikat, że Bolt ma nową funkcję bezpieczeństwa, a mianowicie… nagrywanie. I bynajmniej, nie chodziło o nagrywanie rozmów z konsultantami, gdy dzwonimy na infolinię z problemem czy z reklamacją.

Nie.

Chodzi o nagrywanie przejazdu z wykorzystaniem mikrofonu wbudowanego w nasz szmartfon. Z punktu widzenia bezpieczeństwa? Bardzo ciekawa funkcja i bardzo przydatna, szczególnie biorąc pod uwagę przypadki naprawdę podłego zachowania.

Możliwość nagrywania przejazdu ma zarówno kierowca jak i pasażer.

Jak to ma działać?

Otóż, gdy włączymy tę funkcję, dajemy aplikacji dostęp do naszego mikrofonu i rozpoczyna się nagrywanie (nie znalazłem jednak informacji kiedy nagranie się kończy, czy jest to z momentem zakończenia przejazdu, czy możliwe jest zatrzymanie go wcześniej). Nagranie jest zapisywane lokalnie, na urządzeniu tego, kto nagrywa, a następnie przechowywane przez 24 godziny, chyba że udostępnimy je Boltowi. Nie znalazłem informacji czy jest to przechowywane w aplikacji i jak nagranie jest zabezpieczone.

Jeśli udostępnimy nagranie Boltowi, to przeprowadzą wewnętrzne dochodzenie i usuną je po 7 dniach automatycznie, chyba że „okres retencji zostanie wydłużony ręcznie w celach dochodzenia / ze względów prawnych”. Znów, informacja nie do końca precyzyjna.

W jakich celach i na jakiej podstawie Bolt przetwarza te dane?

„We may also review audio recordings submitted to us using our safety toolkit trip audio recording feature (where such feature is available). If necessary, we use these recordings for investigations, proof and protection against claims and/or for quality assurance;”

„Możemy również przeglądać nagrania audio przesłane do nas za pomocą funkcji nagrywania dźwięku w podróży zestawu narzędzi bezpieczeństwa (jeśli taka funkcja jest dostępna). W razie potrzeby wykorzystujemy te nagrania do celów dochodzeniowych, dowodowych i ochrony przed roszczeniami i/lub w celu zapewnienia jakości;”

Czyli innymi słowy, są to ich tzw. „prawnie uzasadnione interesy” (używając terminologii z RODO). Co to oznacza? Ponownie. Są to zwroty niedookreślone. Znaczy inaczej, rozumiem ich wykorzystanie, bo sam, gdy pracowałem nad klauzulami informacyjnymi tworząc dokumentację dla klientów starałem się opisywać coś w zwięzły sposób, bez ujawniania wszystkich szczegółów. I dlatego rozumiem cele „dochodzeniowe, dowodowe, ochrony przed roszczeniami”, ale już „zapewnienie jakości” jest w mojej ocenie zbyt szerokim pojęciem.

Fun fact – ta opcja bezpieczeństwa nie jest dostępna we wszystkich krajach, ale m.in. w Polsce czy w Nigerii. I drugi fun fact, w polskiej polityce prywatności nie ma wzmianki na temat przetwarzania danych z nagrań audio w ramach tego procesu. 😀

I właśnie dlatego… napisałem do Inspektora Ochrony Danych Bolta i poprosiłem m.in. o to żeby:

  1. wyjaśnili mi jak dokładnie działa proces przetwarzania w tym konkretnym przypadku, ze szczególnym uwzględnieniem nagrywania przejazdów przez kierowców;
  2. wyjaśnili jakie są podstawy przetwarzania, a jeśli są nimi prawnie uzasadnione interesy, to czy mogą podzielić się testem równowagi o którym mowa w art. 6 ust. 1 lit. f) RODO (to taki test, w którym administrator danych sprawdza, czy jego interesy rzeczywiście są ważniejsze niż nasze prawo do prywatności, i czy w konsekwencji może przetwarzać nasze dane)
  3. czy podróżni są informowani o tym, że przejazd jest nagrywany;
  4. jak zabezpieczają nagranie przed możliwością kopiowania go lokalnie.

Jak tylko dostanę odpowiedź, to zaktualizuję ten wpis!

Microsoft z karą za gromadzenie danych dzieci przez Xbox’a ($20.000.000)

1 minuta

Xbox to jeden z produktów Microsoft’u, którego głównym założeniem jest… granie w gry, bo to konsola. :v 

Federalna Komisja Handlu* (Federal Trade Commission; FTC) przeprowadziła postępowanie w sprawie wykorzystywania przez Microsoft, w ramach Xbox’a danych osobowych dzieci. I tak się jakoś okazało, że Wielki Brat przetwarzał dane dzieci niezgodnie z przepisami Children Online Privacy Protection Act (COPPA; to taka stanowa ustawa, której założeniem jest ochrona danych osobowych dzieci w Internecie). W szczególności chodziło o to, że pozyskiwali dane (w tym wizerunek i dane biometryczne) bez zgody rodziców, a następnie bezprawnie przetwarzali.

Szok i niedowierzanie!😲

Skutkiem tego postępowania jest:

    • 20 milionów dolarów kary za naruszenie;
    • obowiązek poinformowania rodziców, którzy nie utworzyli dodatkowego konta obok konta swojego dziecka, że takie działanie polepszy ochronę ich dzieci;
    • uzyskanie zgody na przetwarzanie danych osobowych zebranych przed 2021 r.;
    • usunięcie danych niezwłocznie, jednak nie później niż w ciągu dwóch tygodni, jeśli zgoda nie zostanie uzyskana (w tym w odniesieniu do danych zbieranych w przyszłości);
    • powiadomienie wydawców gier, że w sytuacji, gdy udostępniają dane dzieci, to musi się to odbywać w zgodzie z COPPA.

I za to➕ dla FTC, ale… $20.000.000 kary to niezbyt wysoka stawka w porównaniu do ponad $50.000.000.000 (tak, to jest 50 MILIARDÓW) przychodu, czyli ponad $16.000.000.000 dochodu za Q4. It’s something but… you know… 🤷‍♂️

Aczkolwiek na horyzoncie Microsoft ma kolejną karę, tym razem już trochę większą, bo około €400.000.000 za naruszenie RODO w ramach innego z ich produktów – LinkedIn.

Oryginalna notka prasowa jest o tu 👉 FTC Will Require Microsoft to Pay(…)

*FTC to taki organ (agencja) w Stanach Zjednoczonych, która zajmuje się m.in. prawem antymonopolowym, a także niektórymi aspektami dotyczącymi ochrony danych osobowych.

Microsoft z nagrodą Wielkiego Brata!

1 minuta

Ktoś kiedyś wpadł na pomysł żeby dawać nagrody za coś fajnego. I tak na przykład rozdawane są nagrody Nobla. Ktoś inny wpadł kiedyś na pomysł żeby dawać nagrody za coś niekoniecznie fajnego. I tak na przykład rozdawane są (anty) nagrody Darwina za najgłupszą rzecz, czy właśnie Big Broher Awards za praktyki przeciwko prywatności.

W tym roku taką nagrodę dostał właśnie Microsoft i to w nie byle jakiej kategorii, bo w „Lifetime Achievement”, czyli za całokształt działalności.

A to wszystko dzięki temu, że „zmuszają” wszystkich do korzystania z własnych produktów, przez wszystkich mam na myśli wszystkich-wszystkich. Od przeciętnego Kowalskiego korzystającego z Windowsa czy pakietu Microsoft, przez firmy, szkoły aż po państwa.

Nie ujawniają jakie kategorie danych przetwarzają, w jakich celach, jak długo, przesyłają dane do Stanów Zjednoczonych bez podstawy prawnej, wykorzystują sztuczną inteligencję bez kontroli… I tak można sobie wyliczać długo, długo. Czy to coś zmieni w ich polityce? 

Kompletnie nic. 🤷‍♂️

A może w takim razie to coś zmieni w podejściu do naszych danych? 🤔

Still nope, but in red.

Ot, ciekawostka. Poczytać możesz tutaj.

Now you see me🐵, now you don’t 🙈- Windows będzie wiedział, kiedy do niego podchodzisz

1 minuta

Niektóre urządzenia mają wbudowany czujnik ruchu / obecności. Microsoft oznajmił ostatnio, że w ramach systemu operacyjnego Windows 11 będzie możliwe korzystanie z czujnika ruchu właśnie z poziomu systemu operacyjnego. Co to oznacza? Otóż, dzięki niemu będzie można np. „obudzić laptopa” bez klikania jakiegokolwiek przycisku, wystarczy do niego podejść albo ekran wygasi się automatycznie, jeśli się oddalimy od komputera. Fajne, prawda?

Fajne, ale z punktu widzenia prywatności trochę niebezpieczne. Dlaczego? Otóż dlatego, że to oznacza, że dajemy (co najmniej) naszemu urządzeniu i (niektórym) aplikacjom dostęp do „skanowania” obszaru tuż przed naszym komputerem. Co prawda, Microsoft twierdzi, że nie będzie zbierał i przechowywał takich danych o tyle tego nie będzie można już powiedzieć o programach, którym damy dostęp do tej funkcjonalności.

Oświadczenie, że tego nie będą robić? Spoko. Aczkolwiek trzeba do tego podejść z dystansem, bo np. Tesla tak bardzo dba o prywatność użytkowników swoich samochodów a… nagrania z kamerek (nawet wyłączonych samochodów, które teoretycznie nie powinny nagrywać nic) śmigały sobie praktycznie bez ograniczeń pomiędzy pracownikami Tesli.

Plus jest taki, że tę opcję można wyłączyć, do czego gorąco zachęcam!

Meta znów atakuje, ale NOYB trzyma się mocno

2 minuty

Jakiś czas temu Meta (czyli Facebook, Instagram, Whatsapp, Metaverse) przegrał w grudniu 2022 r. srogo batalię przed Europejską Radą Ochrony Danych Osobowych (EROD). Co było przedmiotem tej bitwy? W dużym skrócie, przetwarzanie przez Metę danych osobowych użytkowników w celach marketingowych i do personalizacji reklam na podstawie zapisu w regulaminie (czyli na podstawie umowy i art. 6 ust. 1 lit. b RODO). Kto z Was przed dołączeniem do Facebook’a czy Instagrama przeczytał ze zrozumieniem cały regulamin? No własnie…

Według stanowiska EROD (tutaj jest link do stanowisk EROD a tutaj znajdziesz opracowanie tych stanowisk przez NOYB), aby dalej korzystać z danych osobowych do personalizacji reklam, Meta musi uzyskać zgodę od swoich użytkowników. Co ważne, musi być to zgoda „opt-in”, czyli innymi słowy „najpierw zgoda, a dopiero później zbieranie i personalizacja danych”. Meta miała 3 miesiące na dostosowanie się do tego wymogu. Co wymyśliła? 

Zmorę każdego Inspektora Ochrony Danych… Zamiast na zgodzie oparła się bowiem na…

uzasadnionym interesie administratora!!!


Co to oznacza w praktyce? 

Otóż to, że Meta będzie dalej (niemal bezkarnie) przetwarzać dane osobowe w celach marketingowych i personalizować użytkowników żeby lepiej targetować reklamy, a to użytkownik będzie musiał się SPRZECIWIĆ (opt-out) takiemu przetwarzaniu. Co więcej, Meta tak zorganizowało cały proces, że złożenie sprzeciwu nie jest takie łatwe, bo trzeba najpierw znaleźć Centrum Pomocy, potem przejść do zakładki kontaktu z ich Inspektorem Ochrony Danych i tam wypełnić formularz

Umówmy się, po pierwsze kto szuka takich zakładek (no dobra, ja czasem to robię… Ale normalni ludzie tego nie robią :v), a po drugie, komu chce się wypełniać formularze?! Shame on you Meta, shame on you Mr. Z…

Innymi słowy, z jednej nielegalnej podstawy, do drugiej… Jeśli chcesz poczytać więcej na ten temat, polecam zajrzeć tutaj. Natomiast w tym miejscu znajduje się narzędzie stworzone przez NOYB żeby móc się sprzeciwić takiemu przetwarzaniu. Jeśli wpiszemy tam swój adres e-mail powiązany z kontem Meta (może to być facebook, może to być instagram itd.), to wygenerowana i wysłana zostanie automatycznie wiadomość do Inspektora Ochrony Danych Mety ze sprzeciwem. 

Chylę czoła panie Max Schrems, chylę czoła NOYB za to.

PS Oj będzie niedługo więcej na temat samej prywatności i shady praktyk BigTech’ów, które wykorzystują nasze dane. Mniej o bezpieczeństwie, więcej o prywatności.