Czy kierowcy Bolta nas podsłuchują?

3 minuty

Kilka dni temu wracałem do mieszkania, jako że trasa była dłuższa niż moje normalne spacery postanowiłem, że wrócę samochodem. Wybór padł na Bolt’a. Zamówiłem przejazd, kierowca podjechał i ruszyliśmy. W pewnym momencie, gdy otworzyłem aplikację, wyświetlił mi się komunikat, że Bolt ma nową funkcję bezpieczeństwa, a mianowicie… nagrywanie. I bynajmniej, nie chodziło o nagrywanie rozmów z konsultantami, gdy dzwonimy na infolinię z problemem czy z reklamacją.

Nie.

Chodzi o nagrywanie przejazdu z wykorzystaniem mikrofonu wbudowanego w nasz szmartfon. Z punktu widzenia bezpieczeństwa? Bardzo ciekawa funkcja i bardzo przydatna, szczególnie biorąc pod uwagę przypadki naprawdę podłego zachowania.

Możliwość nagrywania przejazdu ma zarówno kierowca jak i pasażer.

Jak to ma działać?

Otóż, gdy włączymy tę funkcję, dajemy aplikacji dostęp do naszego mikrofonu i rozpoczyna się nagrywanie (nie znalazłem jednak informacji kiedy nagranie się kończy, czy jest to z momentem zakończenia przejazdu, czy możliwe jest zatrzymanie go wcześniej). Nagranie jest zapisywane lokalnie, na urządzeniu tego, kto nagrywa, a następnie przechowywane przez 24 godziny, chyba że udostępnimy je Boltowi. Nie znalazłem informacji czy jest to przechowywane w aplikacji i jak nagranie jest zabezpieczone.

Jeśli udostępnimy nagranie Boltowi, to przeprowadzą wewnętrzne dochodzenie i usuną je po 7 dniach automatycznie, chyba że „okres retencji zostanie wydłużony ręcznie w celach dochodzenia / ze względów prawnych”. Znów, informacja nie do końca precyzyjna.

W jakich celach i na jakiej podstawie Bolt przetwarza te dane?

„We may also review audio recordings submitted to us using our safety toolkit trip audio recording feature (where such feature is available). If necessary, we use these recordings for investigations, proof and protection against claims and/or for quality assurance;”

„Możemy również przeglądać nagrania audio przesłane do nas za pomocą funkcji nagrywania dźwięku w podróży zestawu narzędzi bezpieczeństwa (jeśli taka funkcja jest dostępna). W razie potrzeby wykorzystujemy te nagrania do celów dochodzeniowych, dowodowych i ochrony przed roszczeniami i/lub w celu zapewnienia jakości;”

Czyli innymi słowy, są to ich tzw. „prawnie uzasadnione interesy” (używając terminologii z RODO). Co to oznacza? Ponownie. Są to zwroty niedookreślone. Znaczy inaczej, rozumiem ich wykorzystanie, bo sam, gdy pracowałem nad klauzulami informacyjnymi tworząc dokumentację dla klientów starałem się opisywać coś w zwięzły sposób, bez ujawniania wszystkich szczegółów. I dlatego rozumiem cele „dochodzeniowe, dowodowe, ochrony przed roszczeniami”, ale już „zapewnienie jakości” jest w mojej ocenie zbyt szerokim pojęciem.

Fun fact – ta opcja bezpieczeństwa nie jest dostępna we wszystkich krajach, ale m.in. w Polsce czy w Nigerii. I drugi fun fact, w polskiej polityce prywatności nie ma wzmianki na temat przetwarzania danych z nagrań audio w ramach tego procesu. 😀

I właśnie dlatego… napisałem do Inspektora Ochrony Danych Bolta i poprosiłem m.in. o to żeby:

  1. wyjaśnili mi jak dokładnie działa proces przetwarzania w tym konkretnym przypadku, ze szczególnym uwzględnieniem nagrywania przejazdów przez kierowców;
  2. wyjaśnili jakie są podstawy przetwarzania, a jeśli są nimi prawnie uzasadnione interesy, to czy mogą podzielić się testem równowagi o którym mowa w art. 6 ust. 1 lit. f) RODO (to taki test, w którym administrator danych sprawdza, czy jego interesy rzeczywiście są ważniejsze niż nasze prawo do prywatności, i czy w konsekwencji może przetwarzać nasze dane)
  3. czy podróżni są informowani o tym, że przejazd jest nagrywany;
  4. jak zabezpieczają nagranie przed możliwością kopiowania go lokalnie.

Jak tylko dostanę odpowiedź, to zaktualizuję ten wpis!

Cena uwagi

9 minut

Jakiś czas temu opublikowałem artykuł o wpływie social mediów na naszą prywatność. Tym samym, jest to pierwszy artykuł z nieformalnego cyklu właśnie o mediach społecznościowych i reklamach. Dzisiaj, czas na kolejny.

Tym razem na tapet bierzemy… targetowanie i reklamy.

Disclaimer: ten artykuł NIE będzie dotyczył:

  • reklam na Facebooku, Instagramie i innych tzw. platformach społecznościowych. Tam kwestia reklam wygląda inaczej i poświęcę im osobne odcinki;
  • targetowania w celach politycznych. Temu też będzie poświęcony inny odcinek.

Kiedy to TY jesteś „przedmiotem” aukcji

Otwierasz przeglądarkę. Wpisujesz w pasku adres strony internetowej na którą chcesz wejść, może to być ulubiona strona z memami, może to być strona z wiadomościami ze świata, a może to być też ulubiony blog (btw. ktoś dziś jeszcze czyta blogi?), cokolwiek. Chwilę później, w mgnieniu oka, załadowała Ci się ta strona, więc ją przeglądasz.

A czy wiesz co wydarzyło się w tym mgnieniu oka, kiedy spoglądając w ekran czekał_ś aż się otworzy? Czy wiesz, że w tle odbyła się właśnie aukcja, której przedmiotem była… Twoja uwaga?

Rozłóżmy to na czynniki pierwsze i przyjrzyjmy się marketingowi internetowemu razem!

W momencie, gdy otwierasz jakąś stronę, to ta strona wysyła sygnał, że dostępne jest na niej miejsce reklamowe i, że ktoś (Ty) chce na nią wejść. Razem z tą informacją mogą być, i w większości przypadków są, wysłane inne dane, takie jak:

  • kto wszedł na daną stronę (adres IP, przybliżone dane lokalizacyjne, identyfikator użytkownika itd.);
  • skąd przyszedł (np. z wyszukiwarki typu Google, Bing itd. lub został przekierowany z Facebooka, Xa / Twittera lub jeszcze innej strony)
  • data i godzina wejścia;
  • co ta strona oferuje (np. jest to blog o szopach, albo strona z przepisami kulinarnymi, albo artykuł o leczeniu depresji)

i wiele, wiele innych danych. Sky is the limit, powiedziałbym. To w zasadzie zależy od właściciela strony i tego, co na niej się znajduje (w tym ciasteczka, pluginy, narzędzia firm trzecich jak logowanie przez Facebooka, pixele śledzące itd.) i z kim współpracuje.

Gdzie te dane są wysyłane? Na serwer reklam wydawcy, który następnie gromadzi to i przesyła do Platformy Sprzedażowej (Ad Platform, Supply-side Platform; SSP). Taką platformą jest na przykład należący do Microsoftu – Xandr (o nim będzie za chwilę, bo jakiś czas temu był w centrum, nomen omen, uwagi). Tam, na giełdzie reklam rozpoczyna się aukcja, której przedmiotem jest miejsce reklamowe na stronie internetowej, którą odwiedzasz. Różne podmioty uczestniczące w tej aukcji – Reklamodawcy – błyskawicznie korelują te wszystkie dane ze swoimi bazami danych sprawdzając, czy Twoja uwaga warta jest ich pieniędzy.

Ten, kto wygra otrzymuje prawo żeby wyświetlić na tej konkretnej stronie wybraną przez siebie reklamę. Może to być reklama samochodu, cukierków, leków, czegokolwiek.

Ważne zastrzeżenie – w większości przypadków w imieniu Reklamodawców działają agencje marketingowe, reklamowe, mediowe (jak zwał, tak zwał).

Jest, mamy to! Reklamodawca nr 1 zaoferował najwyższą cenę, aukcja zakończona! Teraz następuje przybicie, czyli wyświetla się strona, NA KTÓREJ znajduje się reklama ich produktu.

Wizualna wersja tego procesu jest o tutaj, na tej infografice stworzonej przez Panoptykon.

Jak widzą Cię Reklamodawcy?

Reklamodawcy zarabiają na naszej uwadze i na naszym zainteresowaniu. To jest fakt, tak było od zawsze i tak najprawdopodobniej będzie. Przecież na tym opiera się cały koncept reklamowy. Bez względu na to czy mówimy o papierowej gazecie, kimś dorabiającym na roznoszeniu ulotek, spotach reklamowych w telewizji między programami czy w końcu – reklamie w Internecie.

I z tym nie mam problemu, bo przecież o to chodzi w sprzedaży produktu – chcesz po prostu na tym zarobić.

To gdzie pojawia się problem, to kwestia JAK to robisz, JAK zabiegasz o czyjąś uwagę, SKĄD wiesz, że jakiegoś mieszkańca wojewódzkiego miasta w zachodniej Polsce zainteresuje produkt A (pierwotnie zamiast „A” było tutaj „X”, ale przez ruch pewnego multimiliardera od „tłitów” musiałem zmodyfikować ten przykład :v), ale już w przypadku kogoś mieszkającego we wschodniej Polsce, produkt B.

I tutaj w grę wchodzi właśnie ustalenie przez sprzedawcę produktu czy usługi – kto będzie potencjalnym klientem, kogo może ten produkt czy usługa zainteresować.

Opiera się to na ustalaniu kategorii potencjalnych odbiorców. Logiczne prawda? Jeśli jesteś 30 letnim mężczyzną zainteresowanym samochodami, to najprawdopodobniej będziesz też zainteresowany kupnem ubezpieczenia OC / AC lub personalizowanych felg (wink wink). Jeśli jesteś 30 letnią kobietą zainteresowaną jogą to możesz być zainteresowana kupnem maty do jogi lub akupresury.

I w takiej sytuacji ubezpieczyciel nie będzie zabiegał o uwagę tej 30 letniej kobiety, a sprzedawca maty do akupresury nie będzie zabiegał o uwagę tego 30 letniego mężczyzny. Znaczy, i tak będzie, ale you get the point.

Dobra, tyle o logice, a jak to się ma do reklam w Internecie? W poprzedniej sekcji opisałem Tobie jak mniej więcej działa obecnie Internet z punktu widzenia reklamowego. A co jeśli Ci powiem, że Reklamodawcy (lub ci, którzy działają w ich imieniu) nie tylko korzystają z danych, które przesyła Twoje urządzenie, gdy wchodzisz na jakąś stronę, ale jeszcze do tego nadają Ci określone plakietki (inaczej, także – tagi)? 😵

Krótkie zadanko!

Brzmi enigmatycznie i podejrzanie, wiem. Już śpieszę z wyjaśnieniem, ale najpierw małe zadanie dla Ciebie – opisz siebie w kilku słowach. Tak jak np. opisujesz siebie na social mediach w zakładce „O mnie”.

Dla przykładu, ja zacznę. Na Mastodonie – do którego serdecznie zachęcam! – opisałem siebie tak:

Formerly lawyer. Currently working in cybersec. After hours privacy enthusiast. Raccoons fan. (Były prawnik. Obecnie pracujący w cyberbezpieczeństwie. Po godzinach entuzjasta prywatności. Fan szopów.)

Proste prawda? Teraz Ty.

No dobra, ale czemu właściwie służy to ćwiczenie, możesz zapytać. Odpowiem: w ten sam sposób Reklamodawcy opisują Ciebie w Internecie np. w oparciu:

  • o to na jaką stronę trafił_ś i jak często ją odwiedzasz;
  • o to z jakiej strony tutaj trafił_ś;
  • o to skąd pochodzisz;
  • na jakie inne strony odwiedzasz;
  • w jakich godzinach przeglądasz Internet;
  • co ostatnio kupił_ś w Internecie.

Tych czynników, dzięki którym mogą Cię opisać jest (tak, powiem to) nieskończona ilość. Wszystko zależy od tego w jaki profil reklamowy akurat w tym momencie musisz zostać wpisan_.

To są takie „twarde” dane, czyli te które można bez problemów zauważyć. Niemniej, trochę przerażające, prawda? W takim razie lepiej usiądź i się czegoś złap, bo robi się jeszcze gorzej… Reklamodawcy korzystają z narzędzi (algorytmów) do przewidywania jakie dodatkowe tagi mogą być przypisać do Ciebie, aby móc zaoferować Ci jeszcze bardziej dopasowane reklamy, na które zwrócisz uwagę. Wykorzystują do tego m.in. dane zebrane o Tobie z innych stron na których też oferują swoje reklamy, ale także od innych podmiotów na rynku, którzy zajmują się „handlowaniem informacjami”. To tzw. marketing behawioralny. Daje im to możliwość coraz lepszego odtworzenia profilu potencjalnego konsumenta. Twojego profilu. Chodzi o nie tylko tak ogólne kwestie, jak wspomniana wcześniej płeć czy przybliżona lokalizacja, ale możliwe jest też oznaczenie w ten sposób bardzo specyficznych grup potencjalnych konsumentów:

  • uzależnienia od alkoholu;
  • uzależnienia od leków (w tym konkretnych, pojedynczych leków);
  • uzależnienia od zakupów;
  • czy jesteś pro-life, czy może pro-choice;
  • czy jesteś w ciąży, a jeśli tak, to na którym jej etapie;
  • czy masz depresję lub jakiekolwiek inne schorzenie;
  • czy masz problemy z finansami, czy może raczej Ci się „powodzi”;
  • jakiego jesteś wyznania;
  • jakiego jesteś stanu cywilnego, w tym kiedy mógł Ci się on zmienić;
  • jakie jest Twoje pochodzenie etniczne.

Sporo tego, prawda? A wymieniłem „tylko” dziesięć. Na samym początku wspomniałem o Xandr. Jest to taka platforma reklamowa należąca do Microsoftu. Jakiś czas temu „okazało się”, że miała ona co najmniej 650.000 (słownie: sześćset pięćdziesiąt tysięcy) tagów przydatnych Reklamodawcom do określania w Internecie potencjalnych kupujących! Następnie, dzięki tym tagom mogli bardziej precyzyjnie określać potencjalnych kupujących (każdego, kto korzystał z Internetu) i oferowania im bardziej adekwatnych produktów czy usług.

Lista była dostępna w Internecie i choć zniknęła z platformy dość szybko, to jednak jak głosi stare internetowe powiedzenie:

To, co raz trafi do Internetu, zostanie tam na zawsze.

Możesz ją znaleźć o tutaj i „pobawić się” szukając tagów, którymi mogł_ś zostać oznaczon_ podczas przeglądania Internetów.

A to tylko czubek góry lodowej, o którym wiemy. To, co znajduje się pod powierzchnią stanowi tylko pole do domysłów.

Oczywiście, te wszystkie platformy reklamowe, czy Reklamodawcy, nie będą najprawdopodobniej (chociaż o wyjątkach, w innym odcinku) w stanie stwierdzić, że ktoś, którego lokalizacja wskazuje, że mieszka w Polsce, kto przegląda stronę z samochodami, to jest Jan Kowalski mieszkający przy ulicy Kremówkowej 21 m. 37 w Krakowie (z góry przepraszam, jeśli przy ul. Kremówkowej 21 m. 37 mieszka Jan Kowalski, jesteś tylko przykładem 🙈). Niemniej, taki zestaw danych oraz inne tagi może z dużym prawdopodobieństwem doprowadzić do identyfikacji kogoś. A to już jest co? No właśnie. To już są dane osobowe, których ochrona jest ściśle regulowana przez nasze kochane RODO (i nie tylko).

Jak się przed tym chronić?

To proste. Nie przeglądać Internetu.

Joke! ………… (?)

A tak na serio. Możliwości jest wiele. Zacznijmy od najprostszych:

  1. 🍪 możesz przestać zgadzać się na ciasteczka kiedy buszujesz po Internecie;
  2. 🛑 możesz zainstalować wtyczkę do przeglądarki, która blokuje reklamy – ja np. korzystam z uBlock Origin;
  3. 🦡 możesz zainstalować wtyczkę do przeglądarki, która nie tylko blokuje reklamy, ale też narzędzia, które służą do śledzenia Ciebie i nadawania Ci właśnie tych tagów – ja np. korzystam z Privacy Badger.

Te trzy kroki to, moim zdaniem, absolutne minimum, które nie wymagają prawie żadnego wysiłku, a naprawdę mocno ograniczają możliwości wszystkowidzących Reklamodawców i ich popleczników w postaci agencji marketingowych.

Są też dodatkowe rozwiązania, możesz również:

  1. 🦆 przestać korzystać z wyszukiwarek internetowych (Google czy Bing), które opierają się właśnie na treściach reklamowych, bo to ich główne źródło przychodów. Zamiast tego możesz korzystać z takich wyszukiwarek, które nie gromadzą Twojej historii wyszukiwania (chyba że im na to pozwolisz) jak np. DuckDuckGo, BraveSearch czy SearXNG;
  2. 🔐 korzystać z VPN’u, który „ukrywa” część danych o Tobie;
  3. 📧 zgłosić się do administratorów danych (m.in. właścicieli stron internetowych, brokerów danych, agencji reklamowych, platform reklamowych) z żądaniem realizacji praw określonych w RODO. Przede wszystkim z:

prawem dostępu do danych (art. 15 RODO) – aby dowiedzieć się jakimi rzeczywiście danymi na Twój temat dysponuje administrator;

🗑 prawem usunięcia Twoich danych (art. 17 RODO, tzw. prawo do bycia zapomnianym) – aby administrator usunął wszystkie Twoje dane, które nie są mu już potrzebne, lub co do których nie ma już podstawy prawnej do przetwarzania;

prawem sprzeciwu (art. 21 RODO) – aby sprzeciwić się dalszemu przetwarzaniu przez administratora Twoich danych w oparciu o jego uzasadnione interesy (takim uzasadnionym interesem, np. może być właśnie targetowanie, czy marketing).

Na zakończenie – nie zrozumcie mnie źle, nie jestem przeciwny platformom reklamowym, ba! Nie jestem przeciwny gromadzeniu danych na mój temat. Czemu jednak się sprzeciwiam to nieograniczonemu gromadzeniu i przetwarzaniu moich danych bez żadnej kontroli, a tym bardziej bez mojej wiedzy na temat takiego gromadzenia i przetwarzania. Tak samo jak bardzo wysublimowanym reklamom podprogowym, które bazują na przewidywaniu naszych zachowań.

Trudnych relacji RODO z USA ciąg dalszy

3 minuty

Kiedyś zdarzyło mi się popełnić pierwszy wpis o tym dlaczego przesyłanie danych z Unii Europejskiej do Stanów Zjednoczonych jest problematyczny na gruncie RODO. Ten artykuł jest jego uzupełnieniem. Nie jest kolejną „oficjalną” częścią, którą tam zapowiadałem, ale bezpośrednio do niego nawiązuje.


No i stało się. Mamy to.

Komisja Europejska wydała nową decyzję o adekwatności (inaczej: decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych), to taki instrument z RODO, dzięki któremu KE może stwierdzić, że państwo X zapewnia podobny poziom ochrony danych, jaki wynika z RODO. I teraz, po 3 latach od uchylenia Tarczy Prywatności taka decyzja (znowu) została wydana wobec USA. Nazywa się to mniej lub bardziej oficjalnie – Ramy ochrony danych UE-USA, po ang. EU-USA Data Privacy Framework (DPF). Co to oznacza? A to, że transfer danych do USA z UE jest już PODOBNO możliwy, ale tylko po spełnieniu określonych przesłanek. Jakie to przesłanki?

✅ Pierwsze primo: pozwolenie na transfer nie jest dla każdego administratora, a tylko dla tych, którzy zostaną wpisani na odpowiednią listę przez Departament Handlu USA (DoC).

✅ Drugie primo: aby dostać pozwolenie konieczne jest spełnienie określonych przesłanek wynikających z RODO, jak np. dysponowanie podstawą do przetwarzania danych, retencja danych, minimalizacja danych, zabezpieczenie danych.

✅ Trzecie primo: „na straży” danych mają stać:

  • po stronie USA tzw. urzędnik ds. ochrony swobód obywatelskich (CLPO) i „sąd” (który sądem jest tylko z nazwy),
  • po stronie UE organy nadzorcze państw członkowskich.

Jak to ma działać w praktyce?

Federalna Komisja Handlu (FTC) oraz Departament Handlu mają okresowo monitorować podmioty wpisane na listę DPF. Jeżeli ktoś z Europy będzie miał wątpliwości czy przypdakiem nie jest inwigilowany lub jego dane nie są przetwarzane przez organy USA (np. Agencję Bezpieczeństwa Narodowego – NSA, czy Agencję Wywiadu – CIA), będzie mógł napisać skargę do organu nadzorczego – czyli w Polsce PUODO (xD ← tak to skomentuję) – a ten będzie w jego imieniu kontaktował się z odpowiednimi organami w stanach (FTC, DoC, CLPO), a na samym końcu „sąd” będzie badał sprawę i wyda wyrok (xDD ← tak to skomentuję ponownie). Innymi słowy, taki ktoś z Europy NIGDY nie będzie miał do czynienia z tymi organami, a co za tym idzie, nie będzie mógł dochodzić swoich praw bezpośrednio.

Dlaczego mój komentarz jest cyniczny? Dlatego, że każdy wyrok ma brzmieć w ten sposób:

Nie potwierdzając ani nie zaprzeczając, że skarżący podlegał działaniom wywiadu sygnałowego Stanów Zjednoczonych, przegląd albo nie zidentyfikował żadnych objętych nim naruszeń, albo Sąd Kontroli Ochrony Danych wydał orzeczenie wymagające odpowiednich środków zaradczych.

I cyk, sprawa załatwiona (można wracać do CS’a).


Ehhh… Czy coś się zatem zmieniło w prawodawstwie USA?

Nie.

A może ten akt jest inny niż Tarcza Prywatności?

Też nie, ale na czerwono.

Może zatem FISA 702 już nie będzie obowiązywać?!

Otóż – również nie. FISA jest i ma się dobrze.

Noyb i Max Schrems już stwierdzili, że miło będzie się spotkać z Komisją Europejską po raz trzeci w Trybunale Sprawiedliwości Unii Europejskiej żeby uchylić, tym razem DPF.

Innymi słowy, pomimo tego porozumienia pomiędzy KE a USA, przepisy Stanów Zjednoczonych (takie jak wspomniana FISA, czy Dekret Wykonawczy 14086) nadal stoją nad zasadami ochrony danych osobowych Europejczyków i Europejek.

Na zakończenie tego wszystkiego, zrobiłem mema – it ain’t much, but it’s an honest work:

Spotify z karą za nierealizowanie prawa dostępu (€5.000.000)

1 minuta

Jednym z podstawowych praw wskazanych w RODO jest prawo dostępu do danych. Co się za nim kryje? Przede wszystkim możemy zażądać od tego, kto zarządza naszymi danymi (czyli administratora) kopii informacji jakie przetwarza na nasz temat.

W 2019 r. noyb (pisałem o nich już kilkukrotnie tutaj, to ci ludzie, którzy zajmują się sprawdzaniem, jak administratorzy i organy nadzorcze dają sobie radę z RODO) złożyło do szwedzkiego organu nadzorczego. Skarga dotyczyła tego, że Spotify nie chciało umożliwić zrealizowania prawa dostępu.

Po niezłych przebojach (szwedzki organ trochę leciał w kulki nie informując noyb o postępowaniu), w końcu, po 4 latach szwedzki organ wydał decyzję i nałożył na Spotify karę w wysokości € 5 milionów. Co istotne, organ podkreślił też, że realizacja prawa dostępu to nie tylko wydanie kopii danych, ale także informacji o źródłach skąd dane na nasz temat Spotify ma czy komu je przesyła (w tym czy wysyła je poza Unię Europejską).

Pełna treść decyzji, przetłumaczona na język angielski znajduje się o tutaj.

Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

7 minut

Pamiętasz jak w poprzednim artykule dotyczącym haseł pisałem o tym, że do każdego z serwisów, absolutnie wszędzie, trzeba mieć różne hasła? Pisałem też, że wyjaśnię dlaczego potrzebne są te wszystkie hasła (i to w dodatku różne!) oraz jak je wszystkie spamiętać. No więc (nie zaczyna się zdania od “no więc”)… 

Myślę, że warto rozpocząć od dwóch pytań, na które postaram się odpowiedzieć w tym artykule:

❓Czy muszę mieć różne hasła do różnych serwisów? 

❓Jak zapamiętać te wszystkie hasła?

Wzorem poprzedniego wpisu z serii, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerdów *ekhem* bardziej zainteresowanych. ← te standardowo będą oznaczone symbolem 🤓

Tysiąc haseł? A na co to komu…

Otóż to, po co różne hasła do każdego serwisu? I to jeszcze w dodatku, każde musi być skomplikowane (o tym, jak sobie ułatwić życie i tworzyć proste do zapamiętania hasła odsyłam do poprzedniego artykułu). Po co mi inne hasło do Facebook’a, inne do banku, inne do jednego e-maila, jeszcze inne do drugiego, inne do Instagrama, inne do YouTube’a itd…?

Odpowiedź na to pytanie jest bardzo prosta – jeżeli będziesz posiadał/a jedno to samo (lub takie samo) hasło wszędzie, to wystarczy, że wycieknie ono raz i tym samym utracisz dostęp do wszystkich swoich serwisów.

To trochę tak, jakby do domu, samochodu, garażu czy sejfu mieć jeden i ten sam zamek, który można otworzyć jednym kluczem. O fizycznych zabezpieczeniach naszego domu myślimy automatycznie, prawda? Dlaczego więc nie potraktować naszych kont w portalach społecznościowych, w banku, czy na poczcie tak samo? 

Pamiętaj, że możesz mieć najbardziej skomplikowane hasło na świecie, ale dojdzie do sytuacji, w której dobrowolnie je komuś przekażesz (o tym, jak można od każdego wyciągnąć dane – przeczytasz w innym artykule na temat inżynierii społecznej, jak już ten artykuł powstanie) albo co gorsza, nie przechowujesz swojego hasła w odpowiedni, bezpieczny sposób. Niestety do wycieków czy ataków na dane do logowania (w żargonie security/privacy mówimy na nie “kredki”, od ang. credentials) dochodzi coraz częściej, co więcej, ich liczba będzie tylko rosnąć. Dlatego właśnie, nawet jedno super-ekstra-skomplikowane hasło nie wystarczy żeby chronić swoje dane i utrzymać je w poufności, w prywatności. Twoje dane mają ogromną wartość, nie tylko dla przestępców, ale też (a może i przede wszystkim?) dla reklamodawców, czy wreszcie – państw.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Tutaj sprawa nie jest jakoś wielce skomplikowana. Jeżeli Twoje hasło wycieknie, to zostanie ono dodane do jednej z wielu baz w Internecie, które można kupić lub po prostu znaleźć. W zależności od tego, kto skorzysta z tej bazy, działania mogą być różne. Jednak pewne jest to, że przestępcy, korzystając z programów komputerowych mogą próbować logować się do różnych serwisów używając Twoich danych do logowania. I to, w zależności od tego, gdzie próbują się zalogować i jakie mają intencje, może mieć różny wymiar. Może to być wysyłanie spamu z Twojej poczty, może to być rozprzestrzenianie złośliwego oprogramowania (z ang. malware), ale wreszcie, może to być również kradzież tożsamości prowadząca do narobienia Tobie ogromnej ilości problemów (np. wyłudzenia pożyczek czy uczestnictwo w przestępstwach).

## Koniec części technicznej 🤓 ##

Potraktuj każde ze swoich kont, gdzie wpisujesz login i hasło, jako taką niezłą patodeweloperkę. W każdym z tych mikroapartamentów spędzasz trochę czasu, a jak go wyłączysz lub minimalizujesz, to go zamykaj na klucz – czyli korzystaj z różnych haseł.

Ale jak to wszystko spamiętać?!

I to jest bardzo dobre pytanie. Pewnie zauważyłeś/aś, że lubię obrazować niektóre kwestie memami, o tu jest kolejny:

Tak. Menadżer haseł (z ang. password manager). Pewnie słyszałeś/aś to już ode mnie nie raz, nie dwa, jak namawiałem Cię do tego żeby z niego skorzystać. Dlaczego?

Wersja krótka:

👉Nie musisz znać wszystkich swoich haseł.

👉Menadżer haseł przechowuje Twoje hasła w bezpiecznym “skarbcu”, który jest zaszyfrowany.

👉Wystarczy, że pamiętasz “tylko” o haśle do skarbca.

👉Menadżer haseł może generować skomplikowane, trudne do złamania hasła.

👉Współczesne menedżery haseł są proste i intuicyjne w użytku.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Menadżer haseł to program, który:

🔐służy do przechowywania określonych danych (najczęściej danych do logowania) w bezpiecznej, zaszyfrowanej formie;

🔐 służy do generowania losowych, skomplikowanych haseł.

Menadżer haseł przechowuje Twoje dane w tzw. sejfie, który korzysta z silnego szyfrowania takiego jak Blowfish, AES lub przechowuje hasła w formie skrótu / hasha (funkcja haszująca / funkcja skrótu = matematyczna, jednostronna funkcja mająca na celu przekształcenie jednego ciągu znaków w inny; każdy ciąg znaków ma swój unikatowy skrót. Więcej na temat funkcji skrótu znajdziesz tutaj ). Obecnie, uważanym za najbezpieczniejszy do przechowywania haseł jest algorytm Argon2id.

Aby dostać się do takiego sejfu, najpierw konieczne jest utworzenie tzw. “master-password”, czyli nadrzędnego hasła, które będzie nie tylko umożliwiało Tobie dostęp do bazy haseł, ale także utrudni hakerom wykradzenie Twoich danych.

Taki sposób przechowywania oznacza, że hasła nie są dostępne od razu i są chronione przez silne środki zabezpieczeń, które zasadniczo raczej nie są obecnie możliwe do złamania. Oczywiście nie dotyczy to jednak sytuacji, kiedy menadżer haseł jest źle skonfigurowany i korzysta ze zbyt słabej kryptografii. Wtedy dochodzi do takich sytuacji, jak w przypadku tego menadżera – LastPass. Pod tym linkiem znajdziesz artykuł na Sekurak’u gdzie opisana jest właśnie sytuacja, gdy menadżer haseł był źle skonfigurowany, co finalnie doprowadziło do uzyskania przez hakerów dostępu do baz haseł użytkowników.

Większość menedżerów haseł posiada również funkcję tworzenia skomplikowanych, losowych haseł, więc wtedy nie musisz się już martwić wymyślaniem ich. Program robi to za Ciebie.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Zatem korzystanie z menedżera haseł ogranicza konieczność pamiętania miliona haseł do wszystkich portali, stron, kont itd. Wystarczy, że utworzymy jedno, super-ekstra silne hasło do sejfu, a reszta jest tworzona i przechowywana za nas. 

Plusy dodatnie i plusy ujemne korzystania z menadżerów haseł

Brzmi ekstra prawda? Można się pozbyć całego problemu z tworzeniem i zapamiętywaniem haseł, bo program będzie to robił za nas!… Jednak nie do końca jest to takie super, bo takie rozwiązanie ma kilka wad:

  1. jeśli jest to menedżer haseł w chmurze (taki jak np. Norton Password Manager, LastPass, 1Pass, Bitwarden itd.), to oznacza to, że “dajesz” właścicielom tych programów potencjalny dostęp do wszystkich Twoich danych. Niezbyt to prywatne, prawda?
  2. jeśli zapomnisz nadrzędnego hasła, to może się okazać, że nie masz dostępu do żadnego ze swoich serwisów, kont itd.
  3. ze względu na swój charakter, bazy danych i bazy haseł są łakomym kąskiem dla tych złych hakerów, więc takie ataki na menedżery haseł będą coraz częstsze (patrzę na Ciebie Nortonie i LastPassie).

Czy to oznacza, że nie powinniśmy z nich korzystać? 

Współczesne rozwiązania technologiczne w dużej mierze opierają się na “zaufaniu”, że ten, kto zapewnia jakieś rozwiązanie, mówi prawdę i nie wykorzysta tego w innym celu niż zadeklarował. Odpowiedź na to pytanie pozostawiam więc każdemu z Was. Ja osobiście uważam, że jest to taki kompromis, na który warto pójść. Przykładowo pierwszą z trzech wątpliwości można wyeliminować korzystając z menedżerów haseł offline (jak np. KeePassXC). Zatem, ja bardzo serdecznie zachęcam do eksperymentowania z różnymi rozwiązaniami. Nie musisz od razu wpisywać wszystkich swoich haseł do jednego menedżera, wypróbuj różne rozwiązania.

🍏 🍏🍏 Dla wielbicieli urządzeń z jabłuszkiem np. mogę zdecydowanie polecić korzystanie z wbudowanego Pęku Kluczy, który dodatkowo jest zsynchronizowany z naszym kontem Apple, więc możemy z haseł korzystać na Mac’u, iPadzie, iPhonie itd. Dodatkowo, Apple nie przechowuje naszego klucza prywatnego (czegoś jak master-password o którym pisałem wcześniej, ale wyjaśnię w innym wpisie o co chodzi z kluczami publicznymi i prywatnymi) na swoich serwerach, a tylko lokalnie, na urządzeniach użytkowników. 🍏🍏🍏

Jak widzisz, menedżer haseł daje bardzo dużo możliwości i możemy na niego przenieść dużą część zmartwień dotyczących bezpieczeństwa i prywatności naszych danych. Niestety jest to okupione różnymi minusami jak m.in. przekazanie wszystkich swoich dostępów jednemu podmiotowi (no chyba, że jesteś paranoikiem, wtedy możesz korzystać z 3 różnych menedżerów, jak ja 🙃). 

Pamiętajmy jednak, że całą bazę szlag trafi, jeśli nasze master-password będzie brzmiało np. tak: MenadzerHasel2023! Tutaj już trzeba skorzystać z jakiegoś rozwiązania do stworzenia skomplikowanego hasła, o których wspominałem w poprzednim wpisie. Można do tego wykorzystać np. techniki mnemoniczne. Zatem, bądźcie prywatni i bezpieczni! Cheers! ✌️


(Dla wytrwałych) bardzo przydatna lista menadżerów haseł z opisem i odnośnikami jest np. tutaj 👉 https://www.privacyguides.org/passwords/

USA nie są państwem zapewniającym odpowiedni stopień ochrony danych – czyli o masowej inwigilacji (część 1 z… wielu)

5 minut

O co chodzi z tym całym “transferem” danych z Unii Europejskiej do Stanów Zjednoczonych i dlaczego ci od RODO robią z tego takie wielkie “halo”?

Kilkukrotnie na blogu już wspominałem (np. w kontekście kary dla Mety), że transfer danych z Unii Europejskiej do Stanów Zjednoczonych jest… nie chcę powiedzieć zakazany, ale bardzo mocno utrudniony. Kwestia jest tylko taka, że ten transfer jest “utrudniony” w teorii, bo w praktyce dane sobie śmigają w jedną i w drugą stronę bez jakichkolwiek ograniczeń, a Google, Microsoft, Meta, Tiktok, Paypal, Amazon i tacy tam inni duzi gracze, za bardzo się tym nie przejmują. 

Ten wpis, będzie pierwszym z cyklu jak to jest, że “najbardziej demokratyczne państwo na świecie” nie zapewnia swoim obywatelom (ale nie tylko im) prawa do prywatności i ochrony danych. 

Co nam szepcze RODO?

Żeby jednak w ogóle rozpocząć całą tę dyskusję na temat prywatności w UE/USA i masowej inwigilacji (uuuu, teorie spiskowe i konspiracje!), potrzebne jest małe wprowadzenie do europejskiej regulacji ochrony danych, czyli legendarnego już RODO. 

RODO mówi tak (w bardzo, BARDZO uproszczony sposób):

Pierwsze primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek, to masz to robić zgodnie z prawem.

Drugie primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek to te dane mają być bezpieczne (zarówno pod kątem technicznym, jak i organizacyjnym).

Trzecie primo → jeśli przetwarzasz dane osobowe Europejczyków i Europejek, a do tego chcesz je wysyłać (dane, nie Europejki) poza Europejski Obszar Gospodarczy (innymi słowy UE + Islandia + Norwegia + Liechtenstein) to musisz mieć pewność, że przepisy tego kraju są co najmniej takie same jak przepisy RODO. Jeśli ten kraj nie daje odpowiedniego stopnia ochrony danych to nie możesz ich wysyłać do tego kraju.

Dodatkowo, żeby ułatwić sprawę administratorom, to może wydać specjalne decyzje, które mówią “ten kraj zapewnia odpowiedni poziom ochrony, więc administratorze o to się nie martw”. I tak jest np. ze Szwajcarią czy z Japonią.

Tak też było ze Stanami Zjednoczonymi, chociaż związek UE i USA można określić jako „to skomplikowane”. 

Historię czas zacząć…

Ok, skoro już wiemy “co i jak” to teraz czas na telegraficzny skrót ostatnich 20 lat. Spokojnie, spokojnie. Ten skrót to “tylko” kwestie związane z ochroną danych w UE i USA.

Spójrzmy na tę oś czasu:

Kolorek zielony to okres stosowania Bezpiecznej Przystani (2000-2015), kolorek pomarańczowy to okres stosowania Tarczy Prywatności (2016-2020), a czerwony to okres od uchylenia Tarczy do dziś. 

Teraz możecie zapytać:

  • o co chodzi z tymi poszczególnymi kamieniami milowymi? 
    • Czym jest Bezpieczna Przystań, czym jest Tarcza? 
  • Kim jest Snowden, kim jest Schrems? 

Ok, po kolei.

Przystanek pierwszy – Safe Harbor

Statki w porcie są bezpieczne, co w takim razie z administratorami danych osobowych pod rządami Bezpiecznej Przystani? 🤔

Bezpieczna Przystań – decyzja Komisji Europejskiej określająca zasady przekazywania danych osobowych do USA. W skrócie polegało to na tym, że jeśli jakiś podmiot mający siedzibę w USA mógł się wpisać na specjalną listę prowadzoną przez Federalną Komisję Handlu (organ w USA) i stwierdzał “jeśli przekażesz mi podmiocie z Unii Europejskiej jakieś dane, to ja potwierdzam, że są one bezpieczne”. Innymi słowy, spółki z USA same określały (oczywiście w oparciu o Bezpieczną Przystań), że przetwarzają dane zgodnie z prawem i wszystko jest “w pytkę”.

Przystanek drugi – “coming-out” Snowdena

W tzw. międzyczasie, przychodzi rok 2013 i zaczyna się dziać ciekawie. W sieci (m.in. w the Guardian czy Washington Post) pojawiają się informacje, że organy USA gromadzą dane osobowe praktycznie wszystkich ludzi na świecie (tzw. masowa inwigilacja) i to w sposób niemal nieograniczony. A skąd oni mają te dane? Ano od Edwarda Snowdena. Kto to?

Edward Snowden, pracował w CIA, ale w pewnym momencie coś go ruszyło i postanowił “zostać sygnalistą”, czyli kimś kto zawiadamia o nieprawidłowościach. 

I tak,jako sygnalista ujawnił dziennikarzom m.in., że:

  • operatorzy telekomunikacyjni są zobowiązani codziennie przekazywać do Agencji Bezpieczeństwa Narodowego (NSA) Stanów Zjednoczonych wszystkie metadane rozmów krajowych i międzynarodowych;
  • w Stanach Zjednoczonych istnieje program PRISM, który umożliwia NSA niemal nieograniczony dostęp do wszystkich danych przekazywanych za pośrednictwem telefonu czy internetu (do programu miały należeć m.in. Microsoft, Google, Facebook, Apple, Yahoo.

[Fun fact] Po całej tej akcji Snowden stał się oczywiście jednym z najbardziej poszukiwanych ludzi na całym świecie. I znalazł schronienie w… Rosji. Co jeszcze “zabawniejsze” w grudniu 2022 (czyli już po inwazji Rosji na Ukrainę), Snowden otrzymał rosyjskie obywatelstwo.

Przystanek trzeci – narodziny austriackiego… prawnika

Ta sytuacja była jedną z przyczyn, które wzbudziły zainteresowanie pewnego austriackiego prawnika, niejakiego Maxa Schrems’a. W tym samym roku, w którym Snowden ujawnił dokumenty, Schrems złożył skargę do Irlandzkiego organu ochrony danych (Data Protection Commissioner) zwracając uwagę, że przetwarzanie danych osobowych przez Metę (wcześniej Facebook) jest niezgodne z przepisami, bo umożliwia wgląd do jego danych amerykańskim służbom (tematowi amerykańskiego prawa będzie poświęcona kolejna część).

Jakiś czas później, wskutek całego szumu spowodowanego m.in. ujawnieniem programu masowej inwigilacji przez Snowdena oraz skargą Maxa Schremsa, decyzja ws. Bezpiecznej Przystani została uchylona (rok 2015).

Przystanek czwarty – z tarczą, na tarczy, ale w sumie bez Tarczy (Prywatności)

Ze względu na konieczność zachowania pewnego statusu quo, w 2016 r. wchodzi w życie kolejna decyzja KE, która miała “naprawić” błędy poprzedniczki i uwzględnić kwestie ujawnione przez Snowdena. A nazywało się to ustrojstwo Tarczą Prywatności. Zgodnie z tą decyzją, transfer do Stanów Zjednoczonych jest zgodny z prawem (są oczywiście określone warunki jakie muszą zostać spełnione, ale zasadniczo to był “po prostu papier”).

I tak sobie działa ta tarcza, przychodzi rok 2018, rozpoczyna się stosowanie RODO i… Max Schrems cały czas walczy (postępowanie przed DPC, zainicjowane w 2013 r., jeszcze się nie skończyło).

I tak przychodzi rok 2020, wskutek skarg Maxa Schremsa Trybunał Sprawiedliwości Unii Europejskiej stwierdza NIEWAŻNOŚĆ decyzji ws. Tarczy Prywatności, wskazując m.in., że amerykańskie prawo NIE ZAPEWNIA odpowiednich gwarancji prywatności i ochrony danych Europejczykom i Europejkom. Co to oznacza? Ten wyrok to kolejny sygnał, że program masowej inwigilacji w USA ma się dobrze.

Przystanek piąty – quo vadis

W 2023 r., po 10 latach walki, skarga Maxa Schremsa zostaje rozpoznana. Wniosek? Transfer danych przez Metę do Stanów Zjednoczonych jest bez podstawy prawnej (więcej na ten temat możesz przeczytać w tym news’ie).

Koniec wersji historycznej i jednocześnie koniec części pierwszej cyklu o tym, jak to najbardziej demokratyczne państwo nie zapewnia obywatelom (ale nie tylko) prawa do prywatności i ochrony danych. 

That’s all for today folks! Do zobaczenia (przeczytania) w kolejnym wpisie!🙂

Mąka, mleko i dane osobowe – czyli przepis na ciasteczka

4 minuty

Zapewne każdego z nas irytują wszechobecne komunikaty o „wykorzystywaniu na stronie ciasteczek”. Czy jednak wiesz czym one rzeczywiście są i dlaczego Max Schrems (to ten prawnik odpowiedzialny za uchylenie Tarczy Prywatności) prowadzi przeciwko Wielkiej Piątce „krucjatę”? Poniżej postaram się przybliżyć Tobie, Czytelniku, ten temat abyś mógł bardziej świadomie decydować o „odklikiwaniu” zgód na ciasteczka..

🍪 Przepis na ciasteczka 🍪

Ciasteczka (z ang. cookies) to dane zapisywane w pliku tekstowym na Twoim komputerze, gdy próbujesz połączyć się z jakąś stroną internetową (np. ze sklepem internetowym, swoim kontem na portalu społecznościowym). Te pliki mogą zawierać różne dane na Twój temat, na przykład:

  • unikalny identyfikator nadany przez stronę internetową
  • Twój login i hasło
  • listę produktów, które wybrałeś w sklepie internetowym

oraz dane urządzenia z którego korzystasz (tak, ciasteczka zapisują się też na Twoim smartfonie), na przykład:

  • Twój adres IP
  • numer seryjny urządzenia
  • ustawienia Twojej przeglądarki.

Dzięki temu, że takie ciasteczko z Twoim loginem i hasłem jest zapisane, to gdy ponownie wchodzisz na tę stronę internetową to ona „wie, że Ty to Ty” i nie musisz znowu wpisywać tych danych. Takie ciasteczko nazywane jest personalizacyjnym lub autoryzacyjnym. Przydatne prawda?

🔍 Szczypta inwigilacji jako jeden ze składników 🔍

Co jednak w sytuacji, gdy ciasteczko nie tylko pozwala Ci ominąć ponowne logowanie, ale także śledzi każdy z Twoich ruchów nie tylko na tej stronie z której korzystasz, ale także na innych stronach? Takie ciasteczka, zwane inaczej ciasteczkami stron trzecich (z ang. Third-party cookies) lub śledzącymi (z ang. tracker) mają za zadanie zapisywać Twoje wybory na tej stronie i… przesyłać je do reklamodawców.

To właśnie z powodu takich ciasteczek widzisz w Internecie reklamy produktów lub usług, o których np. pisałeś na swoim profilu społecznościowym lub które wcześniej „googlowałeś”. O ile pojedyncze ciasteczko może nie być tak ingerujące w prywatność, o tyle jednak w sytuacji, gdy ten, kto zarządza ciasteczkami ma dostęp do kilkunastu, kilkudziesięciu czy tysięcy Twoich danych, to sprawa komplikuje się o wiele bardziej.

Ciasteczka śledzące są bardzo często wykorzystywane lub dostarczane właśnie przez podmioty z tzw. Wielkiej Piątki (Google, Amazon, Apple, Microsoft i Facebook/Meta). Dzięki temu, że te podmioty dysponują dziesiątkami, setkami, tysiącami informacji o każdym z nas, mogą odtworzyć nasz profil. To, co lubimy i co może nam się spodobać, to jakie mamy poglądy, to gdzie ostatnio byliśmy i to, gdzie może nam się spodobać itd. Teoretycznie odbywa się to w oparciu o naszą zgodę, ale nierzadko elementy śledzące (tak, niestety są też inne narzędzia niż cookie – trackery, jak np. pixel śledzący) wykorzystują zgodę domyślną (np. automatycznie zaznaczone okienko zgody) lub wykorzystują naszą nieuwagę (np. gdy pomimo „odhaczenia” zgód klikniemy i tak „Zaakceptuj wszystko”, bo przycisk jest bardziej intuicyjny).

„W porządku autorze, a może przydaje mi się to, że widzę reklamy produktów, które chcę kupić?” – oczywiście, nie wykluczam tego, że jest to przydatne. Zwróć jednak uwagę, że w sytuacji, gdy jakiś podmiot jest w stanie kontrolować to, co widzisz, to czy nie oznacza to jednak ingerencji w Twoją sferę prywatną?

Wyobraź sobie Czytelniku, że jak co tydzień w sobotę (bo przecież nie w niedzielę niehandlową 😊 ) idziesz na zakupy do centrum handlowego. W pewnym momencie zauważasz, że ktoś wchodzi za Tobą do każdego sklepu i patrzy na to, co przeglądasz. W końcu podchodzi do Ciebie i mówi, że przeanalizował Twoje preferencje i pokaże Ci rzeczy, które mogą Ci się bardziej spodobać. A co, jeśli ta osoba będzie też podążać za Tobą do szkoły, pracy, urzędu?

⚖️ Kara administracyjna zamiast wypieków⚖️

Takie praktyki gigantów technologicznych stanowią istotną ingerencję w prywatność osób fizycznych korzystających z Internetu i w ocenie władz europejskich (zarówno unijnych jak i większości z państw członkowskich) powinny zostać ograniczone.

Od momentu wejścia w życie w Unii Europejskiej RODO organy nadzorcze (takie jak polski Prezes Urzędu Ochrony Danych Osobowych, francuska Commission Nationale de l’Informatique et des Libertés czy irlandzka Data Protection Commission) zyskały narzędzia do walki z systemami umożliwiającymi profilowanie i inwigilację użytkowników Internetu. Czytelniku, pamiętaj jednak, że RODO nakłada obowiązek na wszystkie podmioty, które wykorzystują dane osobowe w swojej działalności. Jeśli zatem prowadzisz działalność gospodarczą, masz stronę Internetową, na której znajduje się narzędzie zewnętrzne do zbierania i analizowania danych to przeprowadź analizę ryzyka. Może się bowiem okazać, że Twoją stroną również zainteresuje się organ nadzorczy.

Na zakończenie nagroda dla tych, którzy dotrwali do końca: jeśli interesuje Cię jak to wszystko działa od strony technicznej, koniecznie zerknij na tego 👉  bloga. Autor w świetny i bardzo przystępny sposób rozkłada na czynniki pierwsze ciasteczka, referery, przekierowania, adresy IP i inne internetowe kwestie o których słyszeliśmy, ale boimy się zapytać. 😎

Dzień, w którym umarła prywatność – kilka słów o wpływie social mediów na naszą prywatność

6 minut

TikTok. Platforma, która zaliczyła jeden z najlepszych startów w historii aplikacji, ever. Aplikacja, która jest najczęściej pobieraną aplikacją na świecie. Aplikacja, która ma ponad miliard użytkowników na całym świecie. Aplikacja, która jest realnym konkurentem dla Mety (Instagram, Facebook) czy Google’a. Aplikacja, która… jest zagrożeniem dla prywatności?

Ten artykuł nie będzie tylko o TikTok’u. Będzie o wszystkich scentralizowanych mediach społecznościowych jak właśnie Instagram, Facebook, YouTube czy rzeczony – TikTok.

O tutaj, w tym news’ie napisałem, że w Montanie, w Stanach Zjednoczonych Ameryki wzięli i zakazali, na szczeblu stanowym, TikTok’a. To jest pierwszy taki ogólny, generalny ban w krajach tzw. zachodnich, bo jak narazie ograniczały się one “tylko” do zakazu instalowania TikTok’a na urządzeniach służbowych pracowników administracji publicznej.

Co ciekawe, Montana to jednak nie pierwszy przypadek, kiedy TikTok został zbanowany. Taki krok podjął też Afganistan w kwietniu 2022 r., Pakistan w 2020 r., a także Iran (chociaż w tej sytuacji blokada jest “dwustronna”, bo TikTok nie oferuje tam swoich usług ze względu na sytuację polityczną🙃 ) zwracając uwagę, że aplikacja jest źródłem “niemoralnych, obscenicznych i wulgarnych” treści, a także powoduje demoralizację dzieci i młodzieży.

But wait! There is more! 

Co jeszcze ciekawsze, w 2020 r. TikTok został zbanowany w kraju o największej (w 2023 r.) liczbie ludności na świecie! W Indiach. Ten kraj już wtedy zwrócił uwagę, że chińska aplikacja może być zagrożeniem dla bezpieczeństwa narodowego, ale także dla samych użytkowników.

Dlaczego tak się dzieje?

Przyczyn jest kilka, ale głównymi, wskazywanymi przez rządzących wszystkich krajów są:

  • bezpieczeństwo publiczne,
  • rywalizacja technologiczna.

Czyli nic innego jak geopolityczna batalia o kontrolę i prawo do rozprzestrzeniania informacji. Mamy tutaj zatem nic innego, jak rywalizację dwóch “obozów” (skąd my to znamy, huh?) – Zachodu pod światłym przewodnictwem USA, a po drugiej stronie Chin.

TikTok jest aplikacją stworzoną pierwotnie na rynek chiński (tam, nazywa się DouYin), która następnie została sprzedana na nasz tzw. rynek zachodni. Z informacji, którymi dzielą się Stany Zjednoczone czy Komisja Europejska, głównym zagrożeniem jest to, że dostęp do wszystkich danych przetwarzanych przez TikTok’a mają Chiny, a ściślej – Komunistyczna Partia Chin. Dotyczy to nie tylko danych „zwykłych” użytkowników, ale również dziennikarzy, pracowników administracji, pracowników korpusu dyplomatycznego. To by oznaczało, że Chiny (KPCh) gromadzą masowo dane o wszystkich użytkownikach, a następnie wykorzystują je do własnych, niecnych celów.

*ekhem* Globalna inwigilacja *ekhem* Sojusz Pięciorga Oczu *ekhem* Snowden

Czy tak jest? Lubię mawiać:

Może tak być, a może też tak nie być. Takie są, zasadniczo, możliwości. 

i tego też się będę tutaj trzymał. Aczkolwiek ten powód nie jest moim zdaniem najważniejszy. Jest inny, który powinien być zdecydowanie bardziej nagłaśniany, ale jednocześnie bardzo, BARDZO trudny, mianowicie… 

Social mediów wpływ na prywatność

…wpływ tej aplikacji (i innych social mediów takich jak Instagram, Facebook czy YouTube) na użytkowników, na nas. Na nasze zdrowie psychiczne, na naszą zdolność poznawczą.

Tak, otwieram właśnie na tym blogu puszkę Pandory (czy może „puszkę z Pandorą”, jak wolą niektórzy 🤭). Możecie zapytać dlaczego mówię (piszę) o wpływie social mediów na nas, a przecież to jest blog o prywatności!

Paradoksalnie, oba tematy są ze sobą powiązane. Czym jest prywatność? W skrócie (bo artykuł na ten temat „się pisze”) to m.in. stan w którym kontrolujemy nasze informacje, nasze dane (w tym dane na nasz temat). Dzielimy się tymi danymi tylko na „naszych zasadach”.

I tutaj wchodzą media społecznościowe, a ściślej, algorytmy na których opierają się te media. 

Jak to się dzieje, że tak precyzyjnie są w stanie dopasować nam konkretne produkty, usługi, grupy zainteresowań? Odpowiedź jest prosta – bo im na to pozwalamy, za każdym razem, gdy klikamy „Lubię to”, gdy wyszukujemy kogoś lub coś, gdy dajemy serduszka pod zdjęciami znajomych, gdy scrollujemy przez kolejne newsy. Takie „karmienie” algorytmów sprawia, że są one coraz lepsze, coraz precyzyjniejsze.

Oczywiście:

  • jest to dla nas wygodne, 
  • często upraszcza nam życie podrzucając nam np. informacje o książce czy filmie, który może nam się spodobać; 
  • jest to też dla nas źródłem uśmiechu i radości, np. gdy widzimy kolejnego mema czy inny zabawny filmik; 
  • jest to dla nas źródłem wiedzy o świecie, np. gdy widzimy kolejnego news’a o posunięciach wojsk ukraińskich czy o nowych przepisach drogowych. 

A to wszystko, każdy z tych elementów, w ciągu kilkunastu sekund, „za jednym pociągnięciem palca”. 

To sprawia, że jesteśmy wystawieni (a w zasadzie wystawiamy się sami, tylko nie do końca to rozumiemy) na kolejne silnie angażujące, ale rzadko jakościowe treści, które z kolei powodują wyrzuty dopaminy, dającą nam tymczasowe poczucie spełnienia. Problem jednak jest taki, że jesteśmy tylko ludźmi, a nasz mózg bardzo lubi dopaminę i potrafi być bardzo „zachłanny” oczekując coraz to kolejnych jej dawek (tak właśnie działa uzależnienie). 

Filmiki na TikTok’u, reels’y na Instagramie, shorts’y na YouTubie mają kilka cech wspólnych:

  • są krótkie (im dłuższa treść, tym szybciej stajemy się znużeni)
  • przykuwają oko (treści są krzykliwe, szokujące, oddziałujące na emocje)
  • są generowane bez końca (nie ma możliwości “przescrollowania” do samego końca, algorytm cały czas podpowiada coś nowego).

To bezpośrednio oddziałuje na nasze zdolności poznawcze, w szczególności za ośrodek odpowiedzialny za spełnienie oraz aktywuje system nagród. Krótkie filmiki, o różnych treściach są bardzo angażujące i sprawiają, że “odczuwamy” w tym bardzo krótkim czasie różne skrajne emocje, od śmiechu do łez, przez wzruszenie aż po przygnębienie. To natomiast, może powodować przewlekły stres związany z przeładowaniem informacyjnym, przebodźcowaniem.

Badania wskazują, że media społecznościowe mają ogromny wpływ na to jak się zachowujemy, jak odbieramy innych, aż w końcu jak się czujemy

Nie pomaga w tym wszystkim fakt, że człowiek mimo wszystko jest “zwierzęciem stadnym”, a w zasadzie – boi się wykluczenia, czy to wykluczenia z grupy, z towarzystwa czy… wykluczenia z “bycia na czasie”. To ostatnie, to pojęcie naszych czasów, FOMO (fear of missing out), strach przed tym, co nas omija. Okay, ale jak to się ma do prywatności? 

Wiedza o człowieku, jest poza człowiekiem

jak pisze Dukaj w swoim (fenomenalnym IMO) eseju Po piśmie.

Tymczasem, karmiąc algorytmy oddajemy wiedzę o nas samych nie zdając sobie z tego sprawy. Zgodziliśmy się na to akceptując politykę Facebook’a, politykę Instagram’a, politykę TikTok’a. Zgadzamy się na to każdego dnia akceptując każdą politykę prywatności czy politykę cookies na stronach XYZ. Facebook, Instagram, TikTok – social media w ogóle, są nie tylko na tych stronach, ale też na stronach naszych ulubionych sklepów z książkami, ubraniami, zabawkami. Akceptując wszystkie ciasteczka (taki fajny artykuł o ciasteczkach napisałem – o tutaj, tutaj możesz go przeczytać), gdy chcemy kupić kolejną rzecz, karmimy ten sam algorytm. Algorytm, który nie tylko odtwarza naszą osobę, ale decyduje za nas, co może być dla nas dobre podrzucając nam kolejne produkty, kolejne filmiki.

Te mityczne „algorytmy” wiedzą o nas bardzo dużo, wiedzą o nas więcej niż my sami o sobie wiemy. Co więcej, sam Facebook zdaje sobie z tego sprawę.

***

W tym dniu, gdy zgodziliśmy się skorzystać z Internetu, w tym dniu zgodziliśmy się poświęcić naszą prywatność. Czy to dobrze? Czy to źle? Czy było / jest warto?

Nie mnie to oceniać. Pozostawiam to każdemu z Was. Moim zadaniem tutaj jest tylko zatrzymanie na chwilę i skłonienie do refleksji.

Trzymajcie się ciepło i uważajcie na siebie.

5 lat RODO – drewniane gody, czyli kiedy to minęło?

4 minuty

25 maja 2018 r. to chyba już historyczna data. Wtedy zaczęliśmy stosować RODO, czyli Ogólne Rozporządzenie o Ochronie Danych. I o ile np. w Polsce nie była to za duża rewolucja pod kątem zasad jakimi się rządziła ochrona danych osobowych, o tyle była to już rewolucja jeśli chodzi o możliwości nakładania kar.

To jest coś, co wszystkich przerażało. Widmo 20.000.000 kary w euraskach, albo nawet do 4% obrotu za ubiegły rok (zależy co wyższe).

Do tego, przez to, że RODO było „nowym” aktem, który regulował kwestię ochrony danych na tak wysokim poziomie, bo na poziomie unijnym, to stało się jednym z najbardziej niezrozumianych aktów w historii. Wszyscy pamiętamy chyba tzw. absurdy RODO jak:

  • szafki zgodne z RODO 🧰
  • niszczarki zgodne z RODO 🖨️
  • wywoływanie w kolejce po pseudonimie zamiast po nazwisku 🧸🪅 🤠
  • odmawianie udzielenia informacji „bo RODO”  🤐

Przykłady można mnożyć.


***

Co się zmieniło po tych 5 latach? Jak to wpłynęło na ochronę danych w UE? Czy miało to wpływ na to co się dzieje z danymi poza UE?

Krótkie odpowiedzi na każde pytania po kolei:

  • dużo
  • mocno
  • tak

Nieco dłuższe odpowiedzi:

Co się zmieniło?

Przede wszystkim podejście nie tylko administratorów i podmiotów przetwarzających, ale przede wszystkim nas – podmiotów danych. Zaczęliśmy zwracać więcej uwagi na to, co się dzieje z naszymi danymi, dlaczego ciągle dostajemy maile, mimo że nie chcemy. 

Jak to wpłynęło na ODO w Unii?

Rozpoczęło harmonizację całego systemu ochrony danych. Pozwoliło na wymianę informacji pomiędzy różnymi organami ochrony danych z różnych krajów UE, wymianę doświadczeń. Dzięki „temu RODU” możemy oczekiwać, jako obywatele UE, że nasze dane będą chronione w całej Unii, bez względu na to w którym kraju jesteśmy, ani bez względu na to w którym kraju są przetwarzane nasze dane.

Czy miało to wpływ na to co się dzieje poza Unią?

Zdecydowanie. Wejście w życie RODO i rozpoczęcie jego stosowania sprawiło, że Europa stała się de facto prekursorem w zakresie regulacji ochrony danych. Wyznaczyliśmy swego rodzaju „framework” na skalę światową. Przecież na bazie RODO tworzone są zagraniczne ustawy o ochronie danych (*ekhem* UK GDPR, *ekhem* chińskie RODO, *ekhem* CCPA). Każdy gracz, czy jest to jakiś John Smith prowadzący mały sklepik online i sprzedający towary Europejkom i Europejczykom, czy to spółka o wielomiliardowym zysku – wszyscy oni muszą się liczyć z tym, że jest takie coś jak RODO, i jak się nie dostosują to dostaną karę, w tym finansową.


Dobra, koniec tego dobrego. Czas na kubeł dziegciu. 

Po 5 latach stosowania RODO widzimy przede wszystkim, że:

  • administratorzy nauczyli się je ignorować lub obchodzić
  • organy nadzorcze prowadzą sprawy tak jakby chciały, a nie mogły
    • w zasadzie każdy kraj UE ma z tym problem, jedne bardziej (Irlandzki DPC… Polski PUODO…) inne trochę mniej (francuski CNIL)
  • decyzje wydawane przez organy nadzorcze nie są wykonywane
  • w niektórych krajach (np. Irlandia) rozpoczęcie dyskusji z organem nadzorczym jest tak drogie, że wręcz niemożliwe dla przeciętnego obywatela
  • każdy kraj, a co za tym idzie, każdy organ ma swoją procedurę, co powoduje że harmonizację trafia szlag.

Po tych 5 latach, na naszym własnym, polskim poletku widać też, że PUODO sobie nie radzi:

  • większość jego decyzji jest uchylanych przez sądy administracyjne
  • PUODO ma problemy z ustalaniem stanu faktycznego
  • PUODO nakłada kary na podmioty, które nie miały możliwości wdrożenia środków (spoglądam na Ciebie  decyzjo ws. Rzecznika Dyscyplinarnego Izby Adwokackiej…)
  • PUODO nie radzi sobie ze sprawami bardziej technicznymi

i w końcu – choć nie jest to najmniej ważne – są poważne wąptliwości co do niezależności obecnego PUODO (decyzja ws. KRS??? decyzja ws. wyborów kopertowych???).


Ehhh, quo vadis Polonia? Quo vadis Europa?

Nie wiem. Jest dużo „ale” w kontekście RODO, ALE jedno co wiem na pewno to to, że jednak się cieszę, że mamy ten akt, że możemy (i powinniśmy) być z tego dumni. A co najważniejsze, powinniśmy korzystać z praw, które nam przysługują, a które RODO tylko potwierdziło. O jakie prawa chodzi?

  1. prawo do informacji o tym czy i jakie dane są przetwarzane
  2. prawo do poprawienia swoich danych
  3. prawo do dostępu do swoich danych
  4. prawo do bycia zapomnianym

I co najważniejsze, RODO wzmocniło nasze podstawowe, przyrodzone prawo:

PRAWO DO PRYWATNOŚCI

Meta z historyczną karą – 1.200.000.000 euro – za transfer danych do USA!

3 minuty

Mamy nowy rekord! Meta Ireland oberwała największą dotychczas karą za naruszenie RODO. Irlandzki organ ochrony danych (DPC) w końcu wydał decyzję i W KOŃCU (nie z własnej woli, ale o tym później) nałożył na firmę Marc’a Zuckerberg’a administracyjną karę pieniężną w wysokości 1.200.000.000 Euro. Najlepsze w tym wszystkim, że to nie wszystko, to tylko 1 z 3 obowiązków wskazanych w decyzji. Pozostałe dwa obowiązki to:

  • zawieszenie przyszłego transferu (z UE do Stanów Zjednoczonych) danych użytkowników przebywających w UE w terminie 5 miesięcy;
  • zapewnienie zgodnego z prawem przetwarzania danych, w szczególności poprzez zaprzestanie niezgodnego z prawem przetwarzania i przechowywania danych w Stanach Zjednoczonych, w terminie 6 miesięcy.

Co to oznacza dla Mety? 

Innymi słowy Meta (Facebook, Instagram, WhatsApp) muszą zaprzestać przesyłania danych z Unii Europejskiej do Stanów Zjednoczonych oraz de facto zwrócić wszystkie dane, które już trafiły do USA, z powrotem do Unii Europejskiej. No i oczywiście dodatkowo zapłacić 1.200.000.000 Euro (o rany, podoba mi się to ile tam jest zer 🥰🥰🥰).

Byłoby idealnie, gdyby ta kara została wykonana, ale… Mam jednak poważne wątpliwości żeby tak się stało. Powodów jest wiele, a w skrócie chodzi o to, że to jest „dopiero” decyzja. Meta się może od niej odwołać, chociaż będzie jej ciężko zbić wszystkie argumenty, bo ta sprawa przeszła już dotychczas przez chyba wszystkie instancje. Ten case był już częściowo rozpatrywany przez irlandzki sąd najwyższy, przez Trybunał Sprawiedliwości Unii Europejskiej [uchylenie Bezpiecznej Przystani ⛵ i Tarczy Prywatności 🛡️], a także przez Europejską Radę Ochrony Danych [to ona powiedziała DPC, że MUSI nałożyć karę]. Znając Metę, będą się bronić nogami i rękoma, więc to dopiero początek (mam nadzieję, że początek końca).

Co to oznacza dla prywatności w ogóle? 

To jest ogromny krok w kierunku zabezpieczenia danych nas wszystkich. To znak dla innych podmiotów (Google, Microsoft, TikTok i inni, którzy wysyłają dane do USA), że Europa zaczyna stawiać na swoim pod kątem prywatności. Niestety… problem jest mega szeroki i nie da się tego sprowadzić do prostego stwierdzenia „wystarczy żeby dane Europejczyków i Europejek były przetwarzane w UE”. Ale o tym… już niedługo. 😋

Na zakończenie (niestety) czas na łyżkę dziegciu. Od dawna powtarzam, że RODO jest dobrze napisanym aktem. To, co jest jednak problemem, to wykonywanie decyzji, które wydają organy ochrony danych. Administratorzy (szczególnie duzi gracze właśnie pokroju Mety) nauczyli się ignorować RODO (tutaj odsyłam do ostatniego news’a o Clearview AI) i wykorzystywać formalności do omijania przepisów. Ja wiem, to jest już klasyka gatunku jeśli chodzi o prawo (believe me I know… been there, done that…), ale po prostu mam wątpliwości. Przykładowo, Meta po nałożeniu tej kary prawie w ogóle nie odczuła tego na giełdzie (wartość akcji wahała się w granicach do 1% za akcję).

Znaczy, inaczej… 

Nie uważam, że jest źle z „tym RODEM”. Wręcz przeciwnie akurat RODO wywarło realny wpływ na sposób myślenia o przetwarzaniu danych. Bez RODO prawdopodobnie nie mielibyśmy takich dyskusji na poziomie globalnym dotyczących m.in. cookies’ów🍪, czy wpływu przetwarzania danych przez AI 🤖. I okay, ja zdaję sobie sprawę, że to proces, a co gorsza, proces międzynarodowy, co jeszcze bardziej spowalnia jego wdrażanie. Czego mi jednak brakuje, to realnej sprawczości organów ochrony danych i egzekwowalności ich decyzji.

Dla wytrwałych, na koniec ciekawy raport dotyczący właśnie pracy organów ochrony danych. A jeśli chcesz poczytać trochę i dowiedzieć się więcej o przesyłaniu danych z UE do USA, to ostatnio (tutaj) dodałem nowy wpis na ten temat.