CyberbezpieczeństwoPolecane tematy
Cambridge Analytica: w jaki sposób wykorzystano nasze dane osobowe z Facebook’a
Nastąpił wyciek danych osobowych z Facebook’a czy może jednak skorzystano z luki w zabezpieczeniach przez podmiot analizujący trendy i opinie publiczną? Dane 50 mln osób znalazły się w posiadaniu firmy Cambridge Analytica – zewnętrznego podmiotu, który świadczy usługi analizy dużych zbiorów danych Big Data. Niezależnie od tego czy działanie to było legalne czy nie warto przyjrzeć się powodom, dla których takie analizy były prowadzone.
Olbrzymie ilości danych umieszczane przez samych użytkowników na portalach społecznościowych jak również za pośrednictwem powiązanych z nimi aplikacji stanowią bardzo łakomy kąsek nie tylko dla korporacji badających trendy rynkowe, ale również dla polityków w trakcie kampanii wyborczych. Wystarczy poznać kilka do kilkunastu cech charakteru generowanych na podstawie komentarzy i opinii umieszczanych w Internecie, powiązań ze znajomymi czy rodzajem wykonywanej pracy jednej osoby by zakwalifikować ją jako wyborcę „za” lub „przeciw” wybranej opcji politycznej.
Typowanie preferencji politycznych kilku czy kilkudziesięciu osób raczej nie przyniesie żadnych rezultatów jednak 50 mln osób pozwoli już określić prawdopodobny wynik wyborów. Wyżej wymienione działanie to nic innego jak „Data mining”, czyli przeszukiwanie olbrzymich ilości informacji w poszukiwaniu prawidłowości występujących w reakcjach osób, których dane dotyczą.
Najbardziej przerażające z punktu widzenia poszczególnych osób jak i całych społeczeństw jest to co z odnalezionymi prawidłowościami w danych poszczególnych osób mogą zrobić organizacje czy opcje polityczne posiadające wystarczające środki i determinację. Przykładem może być próba manipulowania np. wyborami lub trendami rynkowymi poprzez rozprzestrzenianie mniej lub bardziej wiarygodnych informacji. Innymi słowy pojawia się ryzyko, że prawa i wolności, którymi do tej pory wszyscy się cieszyliśmy staną się powodem zniewolenia i manipulacji, która jednak nie będzie dostrzegalne przez przeciętnego „Kowalskiego”.
Typowanie preferencji politycznych kilku czy kilkudziesięciu osób raczej nie przyniesie żadnych rezultatów jednak 50 mln osób pozwoli już określić prawdopodobny wynik wyborów. Wyżej wymienione działanie to nic innego jak „Data mining”, czyli przeszukiwanie olbrzymich ilości informacji w poszukiwaniu prawidłowości występujących w reakcjach osób, których dane dotyczą. Najbardziej przerażające z punktu widzenia poszczególnych osób jak i całych społeczeństw jest to co z odnalezionymi prawidłowościami w danych poszczególnych osób mogą zrobić organizacje czy opcje polityczne posiadające wystarczające środki i determinację.
Wyciek danych osobowych sugeruje, że w związku z jego wystąpieniem użytkownicy portalu powinni zmienić hasła dostępowe. Jednak co zrobić w sytuacji, gdy nie hasło dostępowe do portalu społecznościowego jest problemem, a autoryzacja z wykorzystaniem całego profilu portalu. W takim przypadku zmiana hasła niestety nic nie da, gdyż sami często umożliwiamy autoryzacje profilem Facebook w innej aplikacji, zapominając o tym. Oczywiście dostawcy takich aplikacji najprawdopodobniej naruszą zasady portalu społecznościowego, jednak blokada aplikacji spowoduje jedynie to, że powstanie kolejna i kolejna aplikacja.
Podsumowując, przykład rzekomego niezabezpieczenia danych przez portal społecznościowy ma szerszy kontekst i nie należy jej rozpatrywać tylko z punktu widzenia jednego podmiotu, a raczej samej koncepcji Big Data i Data Mining.
Czy jednak dostęp do tego, co publikujemy na profilu nie jest de facto publiczny? Sami niejako się odsłaniamy. Prof. Dr Michał Kosiński na podstawie danych z Facebooka – w ramach pracy naukowej na Uniwersytecie Cambridge – oceniał „charaktery” i preferencje użytkowników tego portalu (publikowane posty, polubienia)… Czy jest to więc nielegalne działanie?
W relacji osoba fizyczna vs. osoba fizyczna nie jest to działanie nielegalne, gdyż przepisy RODO w Art. 2 ust. 2 wskazują jednoznacznie, że:
Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: […]
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; […]
W związku z powyższym, jeżeli podmiot, a nie osoba postanowi skorzystać z publicznie dostępnych danych musi zapewnić podstawę prawną do ich przetwarzania zgodnie z treścią Art. 6 RODO.
Innymi słowy przepisy regulują kwestie przetwarzania danych osobowych w relacji osoba vs. podmiot, a nie w relacji osoba vs. osoba.
W oparciu o dane zbierane z naszych profili społecznościowych można dokonywać tzw. mikrotargetowania. Docierać np. z odpowiednią treścią „wyborczą” do konkretnej grupy użytkowników. Czy to jest działanie zgodne z prawem?
Teoretycznie, jeżeli identyfikacja konkretnej osoby w tym procesie nie będzie możliwa na żadnym etapie to takie działanie byłoby zgodne z przepisami o ochronie danych osobowych zgodnie z definicją danych osobowych: „oznaczają one informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Tego typu praktyki wykorzystują też firmy sprzedające produkty np. w ramach tzw. remarketingu. Przeglądam stronę na jakiś temat i potem dostaje reklamy promujące podobne rzeczy, niekoniecznie firmy, której stronę odwiedziliśmy. Czy po 25 maja firmy będą nadal mogły to robić?
Tzw. remarketing jest już regulowany przepisami RODO, które zaczną obowiązywać od dnia 25 maja 2018r. Zgodnie z wyżej wymienioną definicją danych osobowych adres IP stanie się daną osobową w każdym przypadku. Takie działanie jest określone profilowaniem tzw. miękkim, tj. nie powodującym skutków prawnych dla osoby, której dane dotyczą.
„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Warto zaznaczyć, że zalegalizowanie takiego działania może polegać na odebraniu zgody na remarketing np. w formie wyświetlania klauzuli zgody dotyczącej plików cookies przy odwiedzaniu strony internetowej.
Art. 22 RODO stwierdza:
„Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2.Ust. 1 nie ma zastosowania, jeżeli ta decyzja: […]
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Profilowanie użytkowników de facto nie wymaga danych osobowych, dociera się do grupy osób o podobnych preferencjach, poglądach. Czy to narusza więc ochronę naszych danych osobowych?
Zgadza się, ale przy założeniu, że na żadnym etapie tego procesu nie dojdzie do jednoznacznej identyfikacji osoby, a w praktyce wystarczy już adres IP użytkownika portalu, z którego łączy się ze swoim kontem portalu by doszło do przetwarzania danych osobowych.
Konrad Gałaj-Emiliańczyk jest ekspertem ds. ochrony danych, ODO 24. Administrator bezpieczeństwa informacji, prawnik. Wykładowca licznych konferencji i seminariów, autor branżowych szkoleń z zakresu ochrony danych osobowych.
