Strona WWW zgodna z RODO? Poradnik Fundacji Panoptykon
Niedawno znów zrobiło się głośno o Facebooku, który udostępnił swoim użytkowniczkom i użytkownikom historię aktywności poza portalem. Ale nie tylko Facebook wie, jakie strony odwiedzamy codziennie w sieci. Informacje o użytkownikach stron trafiają do rozwiązań chmurowych, narzędzi analizujących ruch kursora, a aż 2/3 stron WWW zasila danymi firmę Google – najczęściej za pomocą statystyk (Google Analytics) i narzędzi reklamowych. Robią to też organizacje społeczne, np. wtedy, kiedy korzystają z grantu reklamowego Google dla organizacji.
Prowadzisz fanpage na Facebooku lub stronę WWW? Chcesz to robić z szacunkiem do wyborów dokonanych przez swoich użytkowników? Jak sprawić, żeby słowa „Twoja prywatność jest dla nas ważna” nie były tylko pustym hasłem na banerze powitalnym na stronie? Zainspirowani pytaniami naszych czytelników, wyjaśniamy, jak prowadzić stronę internetową i fanpage, szanując prywatność użytkowników i pozostając w zgodzie z RODO.
Facebook przypomina o ochronie danych
Ale najpierw dygresja. Kilka tygodni temu użytkownicy i użytkowniczki Facebooka, którzy administrują stronami na tym portalu, otrzymali maila z powiadomieniem o aktualizacji „załącznika do Statystyk stron”.
Wiadomość, choć krótka, zawierała sformułowania typu: „załącznik Statystyk stron stanowi część Zasad dotyczących stron, grup i wydarzeń” czy „sprawowanie wspólnej kontroli zgodnie z rozporządzeniem o ochronie danych osobowych UE”. Dlatego też podejrzewamy, że 99% odbiorców i odbiorczyń skasowało go natychmiast. U niektórych zaś wzbudził obawę, że Facebook znów coś kombinuje i przerzuca odpowiedzialność na osoby prowadzące fanpage. Czy jest ku temu powód?
W lipcu 2019 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, który powinien skłonić do zainteresowania się ochroną danych wszystkich tych, którzy prowadzą swoje strony w Internecie, a do tej pory ignorowali ten aspekt.
W największym uproszczeniu: wyrok TSUE w sprawie Fashion ID, bo o nim mowa, uznaje, że administrator strony internetowej, na której znalazły się śledzące wtyczki społecznościowe Facebooka, wraz z firmą Facebook są – przynajmniej w pewnym zakresie – współadministratorami danych osobowych. A to dlatego, że właściciel strony, decydując się na umieszczenie przycisku „Lubię to” pod tekstem na swojej stronie WWW, sprawia, że dane osób odwiedzających stronę są gromadzone i przekazywane Facebookowi, który następnie przetwarza je w swoich własnych celach. Administrator strony też ma w tym interes: jeśli poza stroną WWW z wtyczkami śledzącymi prowadzi też fanpage na Facebooku i wykupuje na tej platformie reklamy, te reklamy będą miały większy zasięg.
To dlatego Trybunał uznał, że właściciel strony internetowej wspólnie z Facebookiem ponosi odpowiedzialność za przetwarzanie danych w zakresie gromadzenia ich przez wtyczki społecznościowe. A co za tym idzie: musi przestrzegać przepisów RODO. Facebook, aktualizując swój załącznik do statystyk stron – i wysyłając maila z informacją, że to zrobił – przypominał o tym obowiązku administratorom fanpage’ów.
Nie tylko wtyczki społecznościowe. Na co jeszcze zwrócić uwagę, jeśli masz stronę internetową?
Odwiedzenie strony internetowej wiąże się z przekazaniem jej informacji o użytkowniku: co najmniej jego IP, ale też szeregu informacji o urządzeniu, języku etc. Jedne strony zbierają tylko te informacje, które są niezbędne do jej prawidłowego wyświetlenia, większość – również informacje statystyczne, czas spędzony na stronie, historię przeglądania, przypisując te dane do konkretnego użytkownika czy użytkowniczki. To informacje, które są zbierane bez udziału użytkownika. Warto też pamiętać o tych, które podają sami, np. wpisując słowa kluczowe do formularza w wyszukiwarce, wskazując adres dostawy w sklepie internetowym czy klikając odpowiedzi w internetowym quizie. Przy okazji na urządzeniu instalowane są pliki cookie. Po identyfikatorze pliku cookie (a także po adresie IP) można dotrzeć do konkretnego użytkownika lub użytkowniczki. A skoro tak, wszystkie zbierane przez stronę informacje są danymi osobowymi.
Nawet jeśli nie wykorzystujesz na swojej stronie wtyczek społecznościowych Facebooka, niekoniecznie zatrzymujesz zbierane dane tylko dla siebie. Na większości stron internetowych działają narzędzia, które z jednej strony odpowiadają za konkretną zamówioną przez administratorów funkcję, ale poza tym wykorzystują dane osób odwiedzających do celów biznesowych firm, które te narzędzia dostarczają. Tak jest ze statystykami Google’a (Google Analytics) czy narzędziami reklamowymi Google’a i Facebooka. Jeśli na stronie osadzone są filmy z YouTube’a czy Vimeo, grafiki bezpośrednio z zewnętrznych stron, wykorzystywane jest narzędzie umożliwiające interakcje ze stroną (Disqus), zewnętrzne formularze do obsługi klienta – to dane użytkowników trafiają na serwery kolejnych firm. Do rzadkości należą strony, które udostępniają tego typu narzędzia w ramach własnej infrastruktury.
Wyrok TSUE w sprawie Fashion ID można interpretować tak, że jeśli strona internetowa korzysta z takich zewnętrznych narzędzi, może dochodzić do współadministrowania danymi osobowymi – przez podmiot prowadzący stronę oraz podmiot dostarczający zewnętrzne narzędzie. Trzeba więc o tym poinformować użytkowników. Ale żeby poinformować, najpierw konieczne jest określenie celu przetwarzania danych i podstaw prawnych przetwarzania. Należy też umożliwić użytkownikom realizację ich praw. Jeśli np. dane przetwarzane są na podstawie prawnie uzasadnionego interesu administratora, użytkownicy muszą mieć możliwość sprzeciwienia się (czy administrator musi uwzględnić sprzeciw – to już temat na osobny poradnik). Jeśli na podstawie zgody – nie może być ona domyślna ani „obowiązkowa” (więcej o nieprawidłowej zgodzie).
Co to wszystko oznacza dla administratorów stron i fanpage’ów?
Przede wszystkim to, że zanim wepną zewnętrzne skrypty, wtyczki społecznościowe i pliki cookie w swoje strony, powinni zastanowić się, komu i jakie dane w ten sposób przekażą. Zgodnie z zasadami privacy by design i by default powinni wybrać takie narzędzia i tak je skonfigurować, żeby w jak największym stopniu szanować prywatność użytkowników. Następnie zaś: zrealizować wynikający z RODO obowiązek informacyjny, czyli napisać w polityce prywatności, jakie dane i w jakich celach są przetwarzane oraz komu są przekazywane. Ma to też zastosowanie w przypadku fanpage’ów – i właśnie na to zwrócił uwagę Facebook w swojej wiadomości.
Wyjątek: obowiązki wynikające z RODO nie dotyczą tylko tych osób, które prowadzą strony „w celach osobistych lub domowych”. Ale nawet jeśli strona czy fanpage nie mają charakteru zarobkowego, to jeśli nie są prowadzone w celach czysto prywatnych, wymogi z RODO obowiązują.
Co ma zatem zrobić osoba prowadząca stronę? Po pierwsze sprawdzić, czy działają na niej zewnętrzne narzędzia (pomoże w tym wtyczka do przeglądarki Privacy Badger lub NoScript). Jeśli tak, warto zastanowić się, czy w ogóle są potrzebne. Czy dostarczają realnej wiedzy o osobach ją odwiedzających? Czy gromadzone dane są wykorzystywane do jej ulepszania? Pamiętaj: nawet jeśli za te narzędzia nie płaci osoba prowadząca stronę, płacą osoby, które ją odwiedzają – swoimi danymi. Dlatego jeśli z nich nie korzystasz, odepnij je czym prędzej.
Panoptykon uczula: korzystaj z narzędzi, które nie śledzą
Większość odwiedzających konfesjonał czy gabinet psychoanalityka oczekuje prywatności i dyskrecji. W Panoptykonie uważamy, że osoby odwiedzające wybrane miejsca w Internecie mogą oczekiwać, że nikt poza odwiedzaną stroną nie ogląda ich aktywności. Niestety – jak pokazują wspomniane wyżej wtyczki Privacy Badger i NoScript, których używamy w naszych przeglądarkach – takie podejście jest rzadkością. Informacjami o swoich użytkownikach dzielą się strony urzędów, bez wystawienia się na widok Google’owej Captchy nie można zajrzeć do księgi wieczystej ani KRS-u online, a podatnicy generują indywidualne rachunki podatkowe na podstawie swoich PESEL-i i NIP-ów pod czujnym okiem Google’a i Cloudflare’a.
Nie jest to problem tylko polski: analiza Privacy International pokazuje, jak śledzeni są użytkownicy stron o depresji, a serwis Zeit Online za śledzenie poglądów politycznych użytkowników otrzymał w 2019 r. Big Brother Award.
Swoim przykładem staramy się pokazać, że możliwe są inne rozwiązania. Na panoptykon.org korzystamy z Matomo – darmowego narzędzia do analizowania ruchu na stronie, które można umieścić na własnym serwerze. Dzięki temu tylko my wiemy, kto i jak korzysta z naszej strony. Nie zamieszczamy też filmów z YouTube’a – jeśli chcemy zareklamować film z zewnętrznego serwisu hostingowego, wstawiamy obrazek i linkujemy go do tego serwisu. Nie umieszczamy śledzących wtyczek do mediów społecznościowych, a jedynie ikonki podlinkowane do nich bezpośrednio.
Podobną uważnością wykazują się strony Rzecznika Praw Obywatelskich, Urzędu Ochrony Danych Osobowych czy organizacji społecznych Bits of Freedom i European Digital Rights, a wśród popularnych sieci społecznościowych – Reddit, który serwuje skrypty z dwóch domen: reddit.com i redditstatic.com.
Krótka instrukcja dla prowadzących strony WWW
- Sprawdź, czy na Twojej stronie działają narzędzia stron trzecich (skorzystaj z wtyczki Privacy Badger lub NoScript). Sprawdź, do czego one służą i jak działają.
- Zastanów się, czy z wszystkich korzystasz. Które z nich są potrzebne, a które nie?
- Usuń te, z których nie korzystasz. Jeśli używasz zewnętrznych narzędzi dostarczanych przez firmy, które opierają swój model biznesowy na gromadzeniu masowych ilości informacji, sprawdź, czy możesz je zastąpić alternatywami szanującymi prywatność.
- Zamieść odpowiednie informacje w polityce prywatności strony.
Tekst "Strona WWW zgodna z RODO?" opublikowany został 30 stycznia na stronie panoptykon.org
Źródło: panoptykon.org