#CyberMagazyn: nie czujemy wartości swoich danych, dlatego jesteśmy obojętni wobec nadużyć BigTechów

Ostatnie orzeczenie austriackiego organu ochrony danych osobowych DSB (Datenschutzbehörde) teoretycznie delegalizujące użycie pakietu analitycznego Google Analytics, to pierwsze rozstrzygnięcie, które zapadło w związku ze 101 pozwami złożonymi przez organizację NOYB (skrót od None Of Your Business, tłum. Nie Twoja Sprawa), zajmującą się ochroną cyfrowych praw człowieka, w tym prawa do prywatności.

Jej założycielem jest Max Schrems - aktywista i prawnik. Zasłynął z działań przeciwko Facebookowi (dziś Mecie) w związku z naruszeniami europejskich regulacji ochrony danych osobowych, których od wielu lat dopuszcza się ten koncern.

Schrems zarzucał firmie Zuckerberga również transfer danych użytkowników z Europy do USA, gdzie były one według niego wykorzystywane przez Agencję Bezpieczeństwa Narodowego (NSA) w ramach niesławnego programu inwigilacji PRISM.

Amerykańskie usługi cyfrowe nielegalne?

W myśl orzeczenia DSB, korzystanie z Google Analytics w UE jest nielegalne, gdyż usługa ta transferuje dane użytkowników internetu z państw członkowskich do USA. To pierwsze rzeczywiste odbicie orzeczenia Trybunału Sprawiedliwości Unii Europejskiej , w którym stwierdzono, że tzw. Tarcza Prywatności (Privacy Shield), regulująca zasady ochrony danych i transferów ich pomiędzy UE a USA, nie daje należytych gwarancji i w rzeczywistości nie spełnia swojej roli.

Dlaczego?

Wgląd do danych, które usługi takie jak Google Analytics czy Facebook transferują do USA, mogą mieć amerykańskie służby. Jeśli istotnie tak jest, to zgodnie z unijnymi przepisami RODO, przekazywanie danych do państwa trzeciego, jeśli nie daje ono odpowiednich gwarancji ich ochrony, nie może mieć miejsca.

Jeśli natomiast państwa trzecie nie są w stanie zagwarantować, że dane są przez nie należycie chronione, ich przekazywanie może zostać zawieszone, a nawet zakazane.

Według Piotra Korzeniowskiego - dyrektora ds. operacyjnych w firmie PIWIK PRO oferującej alternatywne rozwiązania analityczne względem tych, które dominują na rynku - orzeczenie DSB to pozytywne zaskoczenie.

"Jestem pozytywnie zaskoczony, że lokalne urzędy ochrony danych osobowych jako pierwsze wzięły na tapetę Google Analytics, a nie, jak przypuszczałem, jakieś narzędzia z branży finansowej, czy do zarządzania zasobami ludzkimi" - mówi nam Korzeniowski.

Masowy eksport danych do USA z pominięciem prawa do prywatności

Jego zdaniem sprawa przekazywania przez to oprogramowanie danych do USA jest warta uwagi regulatorów, gdyż "Google Analytics jest zainstalowany na 9 z 10 stron internetowych w Europie. Mamy więc do czynienia z masowym eksportem danych behawioralnych obywateli UE do USA, z zupełnym pominięciem ich prawa do prywatności" - twierdzi Korzeniowski.

Jego zdaniem, wybór Google Analytics jako przykładu dla DSB mógł być wyborem czysto politycznym. "To szeroko zakrojony element działań Unii Europejskiej, które wymierzone są przeciwko amerykańskiemu Big Techowi" - mówi COO PIWIK PRO. Jak wskazuje, "sytuacja będzie się zaostrzać, bo żadna z potęg nie ma zamiaru zreformować swojego podejścia do ochrony danych oraz zakresu, w jakim mogą korzystać z nich służby".

"Wydaje mi się, że ukaranie któregoś z gigantów technologicznych jest jednym z ambicjonalnych celów Brukseli na najbliższe lata" - ocenia Korzeniowski.

Europejskie branże uregulowane odchodzą od eksportu danych za ocean

Korzeniowski - pracujący w spółce oferującej alternatywne względem Google Analytics rozwiązania dla analityki internetowej, działające według deklaracji firmy, w oparciu o poszanowanie prywatności - twierdzi, że na rynku widać jaskółki zmian.

"Na pewno nie jest tak, że tych decyzji nikt nie czyta i nie stosuje" - mówi, pytany przez nas o to, jak duża jest świadomość problemu legalności transferu danych za Ocean wśród firm korzystających z analityki internetowej.

"Codziennie przychodzą do nas biznesy z całej Europy, które otrzymały decyzję od swoich władz, by zaprzestały korzystania z Google Analytics. Największe zainteresowanie naszym produktem wykazują branże uregulowane, jak ochrona zdrowia, rządowa czy finansowa, bo ochrona danych była i jest tam ważna od zawsze" - mówi.

"Sprawa nie ucichnie"

Korzeniowski zwraca uwagę, że wśród 100 innych skarg złożonych przez Schremsa, są również podmioty z Polski - koncerny medialne.

"Spodziewam się, że kolejne lokalne urzędy, jak polski Urząd Ochrony Danych Osobowych, będą wydawać decyzje zbieżne z linią nakreśloną przez austriacki organ w koordynacji z Europejską Radą Ochrony Danych" - uważa.

COO PIWIK PRO podkreśla, że co drugi dolar wydany na reklamę online na świecie trafia do Google'a i Mety dzięki sprzedaży naszych danych osobowych.

Dane te gromadzone są przez różne usługi cyfrowe, z których użytkownicy korzystają, przekonani, że jest to bezpłatne. "Z tego powodu uważają, że dane nie są tam zabierane. To opłata, np. za dostęp do kręgów znajomych na portalu społecznościowym. Absolutnie nie można tego traktować jako równoprawną wymianę. Giganci technologiczni wyciskają nieproporcjonalnie więcej korzyści ze zgromadzonych danych, niż my z korzystania z ich usług" - zwraca uwagę nasz rozmówca.

Bagatelizujemy wartość naszych danych

"Wartość naszych danych online jest niejednokrotnie bagatelizowana. Wydaje mi się, że tu tkwi źródło obojętności na ten temat" - ocenia Korzeniowski.

"Zadajmy sobie jednak następujące pytanie: skoro te dane są tak mało istotne, to dlaczego na ich fundamencie zbudowane są największe firmy tego świata?" - pyta retorycznie nasz rozmówca.

Jego zdaniem "społeczeństwo nie czuje, że dane mają taką samą lub większą wartość niż inne rzeczy, które posiadamy, jak np. dom, auto czy komputer".

"Jeśli ktoś bez naszej wiedzy zabrałby nasze auto i wykorzystał je do zarabiania olbrzymich pieniędzy, to na pewno poczulibyśmy się obrażeni lub chcieli otrzymać jakąś rekompensatę" - zwraca uwagę Piotr Korzeniowski.

Google Analytics to nie Facebook

Pytany o to, czy podobne orzeczenie może zapaść np. względem Facebooka, Korzeniowski zwraca uwagę, że w przypadku Google Analytics, to administrator strony zobowiązany jest do zebrania zgód na transfer danych do USA.

"Facebook jest w pozycji, by poprosić użytkowników o dodatkową zgodę na eksport danych poza Europejski Obszar Gospodarczy" - mówi i zwraca uwagę, że zgód na przetwarzanie danych udziela się, akceptując regulamin najpopularniejszej usługi Mety.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.