Rozporządzenie o Ochronie Danych Osobowych (RODO) wpływa na to, jak Twoja strona może śledzić odwiedzających z UE.
Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy używanie plików cookie przez Twoją stronę i elektroniczny system śledzenia są zgodne z RODO i ePR.
W ostatnich latach, rządy na całym świecie jednomyślnie ustanawiają nowe prawa – od ogólnoeuropejskiego RODO, poprzez kalifornijskie CCPA, aż po brazylijskie LGPD, ustawy dotyczące prywatności danych kształtują się i wyłaniają z fal czegoś, co wygląda na światowy wstrząs technologiczny.
Tymczasem, egzekwowanie RODO w UE cementuje jego status jako heroicznego dzieła prawa, które nareszcie wnosi tak potrzebne regulacje do gorączkowego zbierania danych użytkowników internetu i niezwykle dochodowego przemysłu reklamowego bazującego na inwigilacji.
W tym artykule przyjrzymy się rozwiązaniom RODO – porównamy różne oprogramowania zapewniające zgodność z RODO i przeciwstawimy im technologie samoobrony, które użytkownicy końcowi wykorzystują do ochrony swojej prywatności w internecie, argumentując, dlaczego nie jest to długofalowe rozwiązanie.
Czym jest oprogramowanie RODO?
RODO dosłownie zmienia wygląd komercyjnego Internetu. Staje się to bardzo jasne, gdy porównamy, z jaką ilością śledzenia mamy do czynienia na stronach z wiadomościami w USA, a z jaką w UE.
Co większość powstających praw dotyczących prywatności ma ze sobą wspólnego, to jasne umiejscowienie odpowiedzialności: ochrona swojej prywatności nie jest zadaniem użytkowników – to obowiązek firm technologicznych, stron internetowych, ich właścicieli, administratorów i operatorów.
Co za tym idzie, technologie potrzebne do realizowania przepisów dotyczących prywatności muszą być rozwiązaniem implementowanym przez właścicieli stron internetowych, nie użytkowników – chodzi o oprogramowanie RODO, które dotyczy zmian strukturalnych, tworzonych przez RODO, a nie pomoc w zakresie rozwiązań samoobrony dla każdego użytkownika.
Tak więc oprogramowanie RODO (oprogramowanie zgodności z RODO lub narzędzia zgody RODO) to rozwiązania umożliwiające zaaplikowanie procedur i generalną zgodność z RODO.
RODO ma wiele reguł i wymagań, których firmy i organizacje muszą przestrzegać, i z tego powodu istnieje wiele różnych oprogramowań RODO, które skupiają się na różnych klauzulach przepisów prawa.
Oprogramowania RODO pokrywają zróżnicowane aspekty RODO, takie jak:
- Minimalizacja danych
- Anonimizacja i pseudonimizacja
- Naruszenie danych
- Bezpieczne przechowywanie danych
- Rejestrowanie przetwarzania
- Integralność i poufałość
Przykładem jest Recital 26 RODO, który stanowi, że zasady ochrony danych nie mają zastosowania do anonimowych lub pseudonimizowanych danych, które nie mogą zostać przypisane do możliwej do zidentyfikowania osoby. Innymi słowy, RODO nie dotyczy anonimowych informacji – np. do celów statystycznych lub badawczych.
Oprogramowaniami RODO, które specjalizują się w tym aspekcie, są Boxcryptor – który szyfruje dane z popularnych chmur, takich jak Google Drive i Dropbox – oraz Cloud Tokenization – platforma bezpieczeństwa SaaS, która “zamienia wrażliwe dane na losowy numer” tak, że dane stają się anonimowe.
W ten sposób firmy i organizacje mogą pozostać zgodne z RODO podczas pracy z wrażliwymi informacjami osobowymi.
Kolejnym przykładem jest wymaganie RODO z Artykułu 35, aby firmy przeprowadzały oceny wpływu ochrony danych, gdy pewien rodzaj przetwarzania może spowodować ryzyko dla praw i wolności obywateli UE.
Oprogramowaniem RODO specjalizującym się w zgodności z tą częścią ustawy jest na przykład Logicgate, którzy zajmują się bezpiecznym przechowywaniem danych na potrzeby wymagań ich ochrony, a także zajmują się reakcją firmy na naruszenia danych (dotyczące Artykułu 33).
Trzecim przykładem jest Artykuł 30 RODO, który uściśla, że administratorzy danych muszą prowadzić rejestr działań związanych z przetwarzaniem na swoją odpowiedzialność, zgodnie z celem przetwarzania, kategoriami przetwarzanych danych osobowych oraz odbiorcami, którym dane osobowe zostały lub zostaną ujawnione.
Oprogramowanie RODO stworzone na potrzeby tego konkretnego wymogu to Keepabl, który pozwala firmom tworzyć mapy danych, aby pozostać zgodnymi z Artykułem 30.
Oprogramowanie RODO do wyrażania zgody oraz pliki cookie
Narzędzia zarządzania zgodami są kolejnym istotnym oprogramowaniem RODO. Jeśli prowadzisz stronę, prawdopodobnie będziesz potrzebować narzędzia zarządzania zgodami, aby kontrolować pliki cookie i obecne w nich moduły śledzące oraz do zapewniania odpowiedniej zgody użytkowników.
Części RODO, które dotyczą przetwarzania danych osobowych użytkowników, mają wpływ na sposób, w jaki można wykorzystywać pliki cookie na stronach internetowych.
Wypróbuj nasz darmowy skan strony, aby dowiedzieć się jakie ciasteczka i moduły śledzące działają na Twojej stronie.
Pliki cookie i moduły śledzące stron internetowej zbierają i przetwarzają dane na temat jej użytkowników. Oznacza to, że strona w UE oraz strona przetwarzająca dane obywateli Unii (niezależnie od lokalizacji strony) musi stosować się do jednego z warunków legalnego przetwarzania, określonego w Artykule 5 RODO.
Zgoda jest pierwszym warunkiem na przetwarzanie informacji osobowych w RODO, co oznacza, że strony internetowe muszą uzyskać jasne i jednoznaczne pozwolenie od użytkowników, zanim nastąpi jakiekolwiek zebranie i manipulacja danymi użytkownika.
Istnieje wiele różnych narzędzi zgody RODO w celu uzyskujących zgodność w tym obszarze. Niektóre wymagają ręcznego rozlokowania ich na stronie firmy, inne są oparte na chmurze.
Wybierając narzędzie zarządzania zgodami dla swojej strony, należy upewnić się, że to rozwiązanie zapewnia ważne zgody. Jeśli nie, nie jest zgodne z RODO. Aby zgoda była ważna, trzeba zweryfikować, czy dane rozwiązanie przynajmniej:
- jest zdolne wykryć wszystkie pliki cookie oraz podobne technologie śledzące na Twojej stronie. Jeśli nie, nie może odpowiednio poinformować i ochraniać Twoich użytkowników, a strona nie jest zgodna z RODO;
- powstrzymuje wszystkie pliki cookie i urządzenia śledzące od momentu, kiedy użytkownik trafi na stronę internetową, dopóki nie zostanie poinformowany i nie zostanie przedstawiony mu wybór odnośnie ciasteczek i działających modułów śledzących, spełniając w ten sposób wymaganie o zgodzie “wcześniejszej” niż śledzenie;
- przechowuje uzyskane od użytkowników zgody jako dokumentację, ponieważ to także jest wymaganiem RODO.
Cookiebot to najczęściej używane narzędzie zgody – manager RODO, którego używają strony na całym świecie, aby zapewnić zgodność z unijnym RODO, dyrektywą ePrivacy oraz podobnymi ustawami dotyczącymi zabezpieczenia prywatności użytkowników końcowych i uniknąć wysokich grzywien grożących za niezgodność.
Rozwiązanie Cookiebot działa poprzez:
- skaner wykrywający wszystkie pliki cookie i moduły śledzące obecne na stronie;
- automatyczne blokowanie wszystkich ciasteczek, dopóki nie zostanie uzyskana zgoda użytkownika;
- banery zgody, które pozwalają użytkownikom dać lub wycofać swoją zgodę na moduły śledzące;
- dokumentację zgód użytkowników;
- regularne pytanie o odnowienie zgody.
Ze względu na te podstawowe funkcje produktu, w tym niektóre pionierskie w przemyśle prywatności, Cookiebot może zaoferować prostą i faktyczną zgodność w dużo większym stopniu, niż większość pozostałych rozwiązań zgody RODO.
Wypróbuj Cookiebot za darmo już dziś.
Prywatność nie jest odpowiedzialnością użytkownika
Wszyscy kochamy technologię. Podnosi jakość naszego życia i nie zamierzamy z niej rezygnować. Dlatego ten znajomy, który usunął konto na Facebooku, zakłada nowe niedługo potem.
Technologia nie jest trendem. Kształtuje nowe cyfrowe infrastruktury, które przeobrażają sposób, w jaki się łączymy, spotykamy, jemy, śpimy, żyjemy i umieramy.
Większość użytkowników stron internetowych nie ma czasu lub umiejętności, aby zagłębić się w opcje samoobrony, dlatego argumentujemy, że narzędzia samoobrony (takie jak przeglądarki zwiększające prywatność lub programy blokujące reklamy) nie są realnym rozwiązaniem potrzebnych zmian strukturalnych w porównaniu z oprogramowaniem do ochrony prywatności RODO.
Większość użytkowników nie jest gotowa rzucić technologii, której używają, co powoduje dziwny stan zawieszenia, w którym użytkownicy słusznie obawiają się o swoją prywatność, a mimo to nadal używają tych samych technologii, które zaszczepiają w nich strach.
Narzędzia samodzielnej ochrony prywatności versus prywatność z założenia
Narzędzia umożliwiające użytkownikom wzięcie ochrony prywatności w swoje ręce nie są ciężkie do znalezienia w internecie.
Są to między innymi:
- Przeglądarki wzmacniające prywatność, takie jak Tor, Epic, Brave i Firefox.
- VPNs (virtual privacy networks), które maskują adres IP użytkownika.
- Blokery reklam lub rozszerzenia do przeglądarek, np.Ghostery i AdBlock, które blokują moduły śledzące.
Te narzędzia są pomocne, a ich intencje dobre: umożliwienie ludziom rezygnacji z wszechobecnego śledzenia i nadużywania danych w Internecie.
Problem polega na tym, że narzędzia samoobrony nie wpływają na technologicznych gigantów, tropicieli i osoby nadużywających dane.
Zamiast tego, wzmacniają one pogląd, że to w gestii użytkownika leży “rezygnacja” z bycia śledzonym, zamiast uprzednie wyrażenie na to zgody.
Jest to sprzeczne z pojęciem poszanowania prywatności z założenia (privacy by design) w RODO, które nakazuje firmom rozwijanie oprogramowania, w których prywatność jest domyślnym ustawieniem, tak, że użytkownicy muszą zgodzić się na marketingowe cookies i inne technologie śledzące – nie zrezygnować z tych włączonych domyślnie.
„Im bardziej niezastąpione staje się połączenie internetowe, tym mniej wyboru mamy, co oznacza coraz mniej autonomii, kluczowego elementu, aby być zdolnym kontrolować nasze życie. To trudne oczekiwać, że ktoś zdobędzie kontrolę nad czymś, czego nigdy wcześniej nie miał możliwości kontrolować” – Colin Horgan, piszący dla magazynu technologicznego OneZero.
Nieprzestrzeganie klauzuli prywatności z założenie w RODO i zrzucanie odpowiedzialności za rezygnację ze śledzenia na użytkowników końcowych jest dużym problemem.
Uwalnia firmy technologiczne od konieczności zmiany praktyki i ponoszenia odpowiedzialności, gdy użytkownicy są zmuszeni do samodzielnego działania.
Narzędzia samoobrony nie są także wystarczająco dokładne i solidne w zapewnianej ochronie, ponieważ np. serwisy informacyjne takie jak New York Times wprost omijają ustawienia “nie śledź” w przeglądarkach jak Safari i Firefox.
Te narzędzia często psują stronę i pogarszają wrażenia użytkownika oraz przepływ w domenie, właśnie dlatego, że nie robią rozróżnienia ze względu na szczegółową technologię skanowania.
Dlatego właśnie narzędzia samoobrony są tylko tymczasowymi rozwiązaniami, “plasterkami” – czymś, czego użytkownicy mogą używać dla dodatkowej ochrony, ale nie jest w stanie wprowadzić realnej zmiany w strukturze.
Tu właśnie wchodzą oprogramowania RODO i rozwiązania zachowania zgodności.
Cookiebot istnieje, aby chronić prywatność użytkowników w sieci, na całym świecie. “Robimy to, ponieważ wierzymy, że zapewnienie wolnej, prywatnej przyszłości Internetu jest konieczne i warte tego, aby o nie walczyć”.
Prawa dotyczące prywatności są skomplikowane i trudne do zrozumienia. Cookiebot umożliwia właścicielowi strony internetowej respektowanie i chronienie swoich użytkowników od niechcianego śledzenia.
RODO nie może być ignorowane – dosłowne ustanawia światowy standard, jak powinna wyglądać ochrona prywatności w następnej dekadzie.
Oprogramowanie RODO: monitoring na portalach informacyjnych w USA vs. UE
Perspektywa wpływu RODO na kształt prywatności w Internecie staje się jasna, kiedy patrzymy na to, ile śledzenia odbywa się na stronach z wiadomościami w USA, a ile w UE.
Timothy Libert, twórca otwartoźródłowego skanera modułów śledzących webXray i członek wydziału informatyki na Carnegie Mellon University, użył tego narzędzia, aby przeskanować artykuł w New York Times zatytułowany “Czy aborcja może wpłynąć na twoją płodność?” w Stanach Zjednoczonych i w Europie.
Skan pokazał, że w USA artykuł zawierał ponad 100 plików cookie osób trzecich z blisko 50 różnych firm technologicznych, obecnych i gotowych śledzić czytelników artykułu, w tym firmy takie jak Oracle BlueKai, która gromadzi ogromne ilości danych użytkowników we wrażliwych kategoriach (takich jak “warunki zdrowotne” i “terminy medyczne”), których używają później, aby zaoferować serwisom typu Cambridge Analytica personalizowane i ukierunkowane kampanie marketingowe.
Skan ujawnił także drugie istotne znalezisko: ten sam artykuł załadowany w UE miał “tylko” 28 ciasteczek osób trzecich, pochodzących z 16 różnych firm reklamowych. To wciąż bardzo dużo jak na artykuł tak wrażliwy na ujawnienie politycznych przekonań lub sytuacji medycznej czytelników.
Ale pokazuje także znaczenie, jakie RODO wnosi do zmieniającego się krajobrazu Internetu.
RODO dosłownie zmienia ten krajobraz, a technologią, która za tym podąża, muszą być oprogramowania RODO obsługujące te zmiany strukturalne.
Internet jest zmieniającym się krajobrazem
Internet był jedną rzeczą dwadzieścia lat temu, teraz zaś jest czymś kompletnie innym.
Iskra powszechności, która przenikała Internet lat 90., została zastąpiona przez gęstą komercję i wielowarstwowe struktury, w których użytkownicy są towarem dla wielkich ukrytych maszyn reklamowych, pracujących na niezliczonych podziemnych poziomach, wysysających ich dane dla zysku i innych nieznanych celów.
Ta ewolucja jest prawdopodobnie najlepiej widoczna, gdy porównujemy oryginalną misję Google, sformułowaną w późnych latach 90. jako “organizowanie światowych informacji, czynienie ich powszechnie dostępnymi i użytecznymi” z polityką firmy w 2020 oraz jej praktykami reklam behawioralnych i profilowania – ich głównego źródła dochodu, które zostało uznane za niezgodne z prawem i poza kontrolą przez brytyjski organ ochrony danych ICO.
Ze snu o Internecie równym, nieskończonym i uniwersalnie demokratycznym, weszliśmy w podobny do transu komercyjny Internet pełen masowych nadużyć, naruszeń, dezinformacji i kontrolowanych algorytmicznie “echo chambers”.
Od płaskiego, otwartego krajobrazu po górzysty, niebezpieczny teren; wszyscy użytkownicy noszą teraz w rękach narzędzia do samoobrony, by bronić się na stromych klifach i ostrych kamiennych spadkach, nie wiedząc jakie niebezpieczeństwa mogą się czaić w następnej mijanej jaskini, gotowe pożreć ich prywatność i życie osobiste.
Cookiebot i Internet, który nadejdzie
Nie tak Cookiebot wyobraża sobie przyszłość Internetu.
Widzi raczej wyraźnie, że odpowiedzialność za ochronę życia prywatnego i autonomii spoczywa na osobach, które najbardziej mu zagrażają: branży technologicznej.
Można myśleć o tym w ten sposób, że na tych niebezpiecznych, nierównych ziemiach cyfrowych, na których obecnie żyjemy, obowiązkiem rządów i prawodawców jest regulowanie praktyk i zmuszanie przemysłu technologicznego do ich zmiany. To na nich spoczywa odpowiedzialność zbudowania z tych ostrych, poszarpanych kamieni nowych struktur, które będę chronić użytkowników podróżujących przez te krajobrazy.
Właśnie to robi Rozporządzenie o Ochronie Danych Osobowych, a nadchodzące rozporządzenie o prywatności i łączności elektronicznej (ePrivacy Regulation) – ze szczególnym naciskiem na komunikację elektroniczną – niewątpliwie pójdzie o krok dalej.
RODO jest jednoznaczne w kwestii regulowania odpowiedzialności za ochronę prywatności – nie leży to w gestii samych użytkowników, ale właścicieli stron, operatorów i administratorów, jak również przemysłu reklamowego jako całość, aby dbać o ochronę prywatności jeszcze na etapie planowania.
Ustawy dotyczące prywatności pojawiające się na całym świecie są odbiciem RODO. To właściciele stron internetowych i firmy reklamowe muszą kształtować przyszłość prywatności, nie użytkownicy.
Technologie, które popychają Internet w kierunku prywatności i autonomii, demokracji i uniwersalności muszą więc odbijać te prawa i ich założenia.
Bardzo ciężko stwierdzić, jak dokładnie będzie wyglądał krajobraz internetu za dziesięć lub dwadzieścia lat. Jednak jeśli nic nie zrobimy, łatwo sobie wyobrazić przestrzeń niedostępną dla większości, należącą do nielicznych, kosztowną i niebezpieczną.
Niemniej jednak istnieją inne możliwości przyszłości cyfrowych terenów. Cookiebot aktywnie podąża w ich stronę. Dążenie do szerszych, wolnych i bezpieczniejszych cyfrowych równin jest zapisane w naszym DNA.
Te, w których zagrożenia i nierówności zostały oswojone i wyrównane, aby raz jeszcze odzwierciedlić wczesne dni terenów – płaskie, otwarte i nieskończone.
Te, w których ludzkość może się rozwijać w bezpiecznym cyfrowym środowisku.
Resources
Timothy Libert, created of webXray, on user tracking and the GDPR
Most EU cookie ‘consent’ notices are meaningless or manipulative, study finds.
What does a ‘good’ cookie control look like according to ICO?
I Tried Leaving Facebook. I Couldn’t.
Privacy Is Not Your Responsibility
Tech Isn’t Vulnerable – You Are
Behavioral Advertising Is Out Of Control, Warns UK Watchdog (ICO)