Amazon GDPR bírsága
Amazon GDPR büntetést kapott, ami a 2020-as árbevételének 4,2%-a, vagyis 746 millió euró. Sem a Luxemburgi adatvédelmi hatóság, aki a büntetést kirótta, sem az Amazon nem magyarázta meg, hogy milyen okból kapta ezt a hatalmas bírságot. Feltételezésem szerint több különálló ügy lehet a háttérben, és így haladhatta meg a törvényben rögzített 4%-os bírság maximumot. A bírság tényét az Amazon jelentette az amerikai tőzsdefelügyeletnek a Q2-es bevételi jelentésében. Tehát a bírság(ok) határozatok, valamikor március és június között keletkeztek, de idáig nem kommunikálta egyik fél sem. Az Amazon kijelentette, hogy a bírságot nem adatszivárgás következtében kapta, és már bejelentette, hogy bíróságon megtámadja a hatóság döntését. Talán a bírósági eljárás során több információt megtudhatunk, hogy miért is kapta ez a hatalmas multi ezt a gigászi bírságot! Viszont, ha nem adatszivárgás történt, akkor könnyen lehet, hogy a belső adatkezelési rendszereiben talált a hatóság valami gyakorlati problémát. Mivel az Amazon, mint a világ egyik legnagyobb online áruháza, felhőszolgáltatója, online könyv szolgáltatója, piactere szintén rengeteg adatot gyűjt vásárlóiról, nem lennék meglepve, ha ezekhez az adatgyűjtési műveletekhez kapcsolódna a bírság.
Ha valaki utána akar olvasni, sok helyen megteheti, de szerintem a legjobban összefoglalva az alábbi cikket javaslom: https://www.theverge.com/2021/7/30/22601661/amazon-gdpr-fine-cnpd-marketplace-antitrust-data
Milyen adatokat osztunk meg az alkalmazások gyártóival informatikai eszközeinkről?
Hangsúlyozni szeretném mindenki számára, hogy nincs ingyen ebéd! Minden szolgáltatás biztosításának költsége van, amit, ha nem fizettetnek meg velük, biztosak lehetünk benne, hogy mi és érdeklődési profilunk az ár, amit fizetünk a szolgáltatások használatáért.
A kiinduló GDPR szempont, hogy mindig különítsük el a céges felhasználást a magán célú felhasználástól. Külön eszközön, külön felhasználói fiókkal végezzük. Ne engedjünk semmilyen hozzáférést, csak ami elengedhetetlen az igénybe vett szolgáltatás működéséhez. Ha lehet kerüljük el a kapcsolataink szinkronizálását.
Az adatgyűjtögető életmód nagy nyertese az Apple, Microsoft, Facebook és a Google. Jelen írás terjedelmi okok miatt a Facebook-kal és a Google-lal foglalkozik, mivel úgy gondolom itt tudjuk a legjobban befolyásolni, hogy milyen adatok megismerését engedjük a gyártóknak.
Viszont ne feledkezzünk meg magáról az internet böngészőről és az operációs rendszerről. A cégek folyamatosan figyelik és tanulnak egymás gyakorlatából, így már kijelenthetjük, hogy minden nagyobb operációs rendszer és böngésző hazatelefonál és adatokat küld tevékenységünkről. Az internet böngészők piaca is teljesen átalakult. A legelterjedtebb böngészők mindegyike rögzíti tevékenységünket, és hogy milyen weboldalt nyitunk meg, majd ezt hazaküldi gazdájának. Ezeket az adatokat azután adatbázisokba rendezik és anonimizálva eladják marketing célból. Befolyásolnak minket, hogy milyen keresőmotort használjunk. A Google rengeteg pénzt fizet különböző gyártóknak, hogy az ő keresője legyen alapértelmezett. További veszélye a böngészőknek az automatikus kitöltés és a szinkronizáció funkciók. Ezek segítségével a gyártók minden űrlap mező kitöltését rögzítik elsőként a saját eszközünkön, de ha bekapcsoljuk a böngészők közötti szinkronizáció funkcióját is, akkor felkerül a gyártó szerverére. Ha valakit bővebben érdekel, javaslom az alábbi link átolvasását: https://unixsheikh.com/articles/choose-your-browser-carefully.html
A cégek sokszor használják a Google és a Facebook felületeit kapcsolattartásra, vagy online hirdetések menedzselésére. Úgy gondolom érdemes megvizsgálni, hogy a két cég milyen módon gyűjt adatokat rólunk és alkalmazottjainkról. Kijelenthetjük, hogy mindegyik cég megoldotta, hogy ne csak a saját környezetükben szerezzen ismeretet a felhasználókról, hanem partner oldalakról is, akik a Google vagy a Facebook technológiáját használja bejelentkeztetésre, hirdetések megjelenítésére, analitikára. Valahol olvastam egy olyan statisztikát, hogy a Földön összesen internetező személyek 90%-a valamilyen módon kapcsolatba kerül a Google-lal. Mivel a Facebook hasonló user és üzleti partnerszámmal rendelkezik, úgy gondolom, hogy helyes feltételezés ha nála is ezt az arányszámot vesszük.
Vizsgáljuk meg külön-külön őket!
A Facebook ecosystem
A Facebook böngésző alapú és okostelefon alapú adatgyűjtést végez. Az Apple már apróbb szigorításokkal rákényszerítették a Facebookot, hogy részletesebben kérjen engedélyt a felhasználóktól a különböző adatgyűjtéshez. A Facebook hozzáférhet a telefonban elmentett kapcsolatok adataihoz, amennyiben engedélyezzük. Ennek segítségével működik az ismerős ajánló rendszere. A hívás és SMS adatokhoz is hozzáfér, különösen ott, ahol az Androidos Facebook Messenger alkalmazást használják.
A telefonunk mozgása miatt ismeri a geolokációkat, ahonnan Facebookozunk és milyen időben, tehát tudja, hogy ahonnan gyakran használjuk a facebook-ot vagy más oldalt, ahol facebook accounttal azonosítottuk magunkat, az az otthonunk vagy a munkahelyünk.
A Facebook saját alkalmazásaiban minden megmozdulásunkat rögzíti. Mit nézünk meg, mennyi ideig. Hol görgetünk bele, mert nem érdekel minket. Mit kommentelünk. Mit kedvelünk és mit nem. Honnan történnek a bejegyzéseink. Ha vásároltunk mit veszünk és miért, stb… .
Vannak külső partner oldalak is, amik a Facebook technológiáját használják, akár hogy ajánlják másnak könnyen, akár hogy egyszerű legyen bejelentkezni egy a böngésző által elmentett Facebook fiókhitelesítéssel, vagy a hirdetések, felhasználó analitikák miatt. Ezeken történő bármilyen interakciót is rögzíteni tud az adott weboldal tulajdonosa és automatikusan megosztja a Facebookkal.
A fentiekből is látszik, hogy a Facebook nem csak egy alkalmazás, hanem egy teljes ecosystem, ami úgy lett kialakítva, hogy nagyon nehéz elkerülni, még nem Facebook felhasználók esetén is.
Ha valaki bővebben olvasna róla, az alábbi linkeket ajánlom:
https://www.wired.com/story/ways-facebook-tracks-you-limit-it/
https://dataethics.eu/facebooks-data-collection-sharelab/
Google ecosystem
A Google szintén úgy alakította ki gazdasági rendszerét, hogy ne lehessen elkerülni. Alkalmazásaival, operációs rendszereivel és a különböző partnerei weboldalak által használt Google technológiákkal, becslések szerint, az internetezők 90%-ról gyűjt adatokat. Jelen információkat nagyrész egy a Vanderbilt Egyetemen készített 2018-as tanulmányból gyűjtöttem. 55 oldalban foglalják össze, mellékletekkel és programok elemzésével, hogy mennyi adatot is gyűjt rólunk a Google. Nem voltak illúzióim, de még számomra is roppant tanulságos volt.
Elsőként hagy hívjam fel a figyelmet a minden Google felhasználó által elérhető felületre, ahol ellenőrizhetjük mit gyűjt rólunk a cég.
My activity:
https://myactivity.google.com/
Takeout:
https://accounts.google.com/signin/v2/usernamerecovery?service=backup&checkedDomains=youtube&checkConnection=youtube%3A1033%3A1&pstMsg=1&hl=en&flowName=GlifWebSignIn&flowEntry=ServiceLogin
Ezt követően érdemes ellátogatnunk az Adatvédelmi áttekintő aloldalra, ami elérhető az Adatkezelés tájékoztatójából.
https://myaccount.google.com/intro/privacycheckup?utm_source=pp&utm_medium=Promo-in-product&utm_campaign=pp_intro&hl=hu
Itt javaslom, hogy állítsuk át a tevékenység előzmények megőrzési idejét, az alapesetben 18 hónapról, valami jelentősen rövidebb időperiódusra, vagy egyszerűen ki is kapcsolhatjuk.
A tanulmányból csak néhány érdekesebb tényt írok le, de szeretném kihangsúlyozni, hogy mindent amit a Google rendszerein belül csinálunk, azt tárolja és profilozza a Google, majd ezt a profilt, anonimizálva eladja jó pénzért hirdetni vágyóknak. A gond, hogy egy anonimizált adat megőrzi személyes jellegét, ha az eredeti adatbázist megőrzik azt a kulcsot valahol, ami alapján bármikor az Érintetthez köthető.
Amikor használatba veszünk egy androidos eszközt, a Google-nál pontos adatokat kell megadni, sőt még esetleg bankkártya adatot is megadhatunk. Rendelkeznünk kell hozzá egy gmail-es fiókkal. Így már a fiókot és a felhasználó azonosítóit hozzá tudja azonnal kötni valós személyes adatokhoz. A tanulmány készítői úgy találták, hogy óránként 14-szer küld haza adatot, egy nem aktívan használt androidos telefon a Google-nak, de ha aktívan használjuk például böngészésre, ez a szám tovább emelkedik.
További fontos állítása a tanulmánynak, hogy bár a Google állítólag a hirdetési cookie azonosítókat anonimizálva kezeli, de egy androidos felhasználónál képes az Érintett személy pontos beazonosítására a készülék azonosítójával, amit megkap a Google szervere.
Hasonló a helyzet a tanulmány szerint, a DoubleClick (újabb nevén Google Ad Manager) Cookie ID használatánál, aminek a feladata a harmadik fél weblapján történő Érintett aktivitás gyűjtése marketing célból „anonim” módon. Ha a valaki belép egy Google szolgáltatásba, egy DoubleClick Cookieval rendelkező böngészővel, ahol mint felhasználó azonosításra kerül, úgy ez a Cookie, és az ott gyűjtött harmadik fél weboldalán történt tevékenységek hozzákötődhetnek az adott Google fiókot használó Érintetthez. Vagyis aki használ Gmail szolgáltatást, vagy más weboldalon Google azonosítást, annak anonimitása elveszik a tanulmány szerint.
Az Android és a Chrome is folyamatosan küldi a Google számára a felhasználó tartózkodási helyét. Nem csak GPS jelekkel, hanem hálózati azonosítók, Bluetooth azonosítók segítségével. Így még az adott Érintett épületen belüli elhelyezkedését is tudják pontosítani. Az okos eszközön egy külön beállítással ezt ki lehet kapcsolni, de alapesetben nem elegendő, ha nincs bekapcsolva a WiFi vagy Bluetooth funkció a telefonon, mert ettől függetlenül végzi a hálózatok keresését és a mi pozíciónk azonosítását. A Wifi és Bluetooth hálózatok keresése funkció nem csak a pozíciónk pontos, akár épületen belüli beazonosításában segít, de a Google, a telefon gyorsulásmérőjének használatával meg tudja határozni, hogy futunk, biciklizünk, sétálunk, tömegközlekedünk vagy autózunk.
A Google Analytics és Google Ad Manager (DoubleClick) eszközét a világ 100.000 legnépszerűbb weboldalának 75%-a használja. Ha egy felhasználó felkeresi az oldalt a Google egy pillanatképet készít a felhasználó böngészőjének beállításairól és az adott weboldal címével, amit meglátogatott. Ezt követően a Google egy böngésző és user specifikus ID cookie-t helyez el a felhasználó böngészőjében, ami pl Google Analytics esetén 2 évig marad élő a böngészőben, vagy amíg a felhasználó manuálisan törli. Amikor ez a felhasználó meglátogat egy olyan weboldalt, ahol fut a Google Analytics, akkor a felhasználó aktivitását rögzíti a Google és ebből is érdeklődési adatbázisokat tud építeni.
Van még számos technológiája és alkalmazása, ami folyamatosan gyűjt rólunk adatot, de nem akarom tovább részletezni, ami számomra ijesztő volt az az arcfelismerő technológiájának érzelmi felismerés része. Vagyis azt is meg tudja mondani egy képről, hogy az ott szereplő milyen érzelmi állapotban van.
Ha valaki szeretné elolvasni a tanulmányt bővebben, az alábbi linken megteheti:
https://digitalcontentnext.org/wp-content/uploads/2018/08/DCN-Google-Data-Collection-Paper.pdf
Mivel csökkenthetjük ezen adatgyűjtések hatásosságát? Milyen kötelezettségem van a GDPR szempontjából?
Még egyszer hangsúlyoznám, hogy ingyen szolgáltatás nincs, ezért mint cég ne használjak ingyenes szolgáltatást, vagy nagyon olvassam át, hogy milyen adatkezelés vonatkozik rá. GDPR szempontjából, egy 3. fél által biztosított szolgáltatás GDPR sértése miatt is, jó eséllyel, az azt használó cég, mint adatkezelő tartja a hátát, mert az ő felelőssége, hogy milyen szolgáltatókat használ a kívánt cél elérése érdekében. Gyakorlati tanácsként néhány már korábban szerepelt, de összefoglalva az alábbiakat javaslom:
- Legyen egy dedikált eszköz, amin használjuk a Google és Facebook szolgáltatásokat. Ez legyen elkülönítve a céges környezettől, kifejezetten, csak ezen szolgáltatásokra tartsuk fenn. pl: céges hirdetések menedzselése.
- Ne kapcsoljuk be a Chrome szinkronizációs képességét. Amennyire lehet, ne engedjük a telefonunk kontakt listáját szinkronizálni a Facebook-kal.
- Ne használjunk ingyenes Google szolgáltatást, mert az igazából nem ingyenes, hanem a személyes adatainkkal fizetünk, ami könnyen GDPR sértéshez vezethet.
- A Facebook profilunkon belül a beállítások menüt nagyon alaposan nézzük át. Ne hagyjuk az alap beállításban, és minden biztonsági és adatmegosztási beállítást szigorítsunk meg. Különösen figyeljünk a hirdetések alpontra.
- A Google adatkezelési tájékoztatójában a hirdetések kezelésénél kapcsoljuk ki a személyre szabást.
- Az operációs rendszerekben kapcsoljuk ki a hirdetések személyre szabását/tevékenységek figyelését.
- Telepítsük fel a Google Analytics Opt-out böngésző kiegészítőt. Ennek segítségével tudunk kijelentkezni a Google Analytics elemzése alól. (https://tools.google.com/dlpage/gaoptout )
- A tevékenység adatok menüben (myactivities) csökkentsük le 18 hónapról a tevékenységünk megőrzési idejét legalább 3 hónapra vagy egyszerűen kapcsoljuk ki.
- Válasszunk olyan kereső motort, ami nem egy nagy céghez kapcsolódik és megfelelő adatvédelmet kínál pl :DuckDuckGo. (https://duckduckgo.com/?t=ffab )
- Ne használjuk a Facebook vagy Google fiókunkat más, 3. fél által üzemeltetett weboldalakra történő regisztrációhoz, bejelentkezéshez.
- A böngészőnkben használjunk reklám és követés blokkoló kiegészítőt.
A fenti tanácsok betartásával jelentősen csökkenthetjük a marketingből és targetingből élő nagy multik nyomkövetési képességét!
Cégünk ezen megfigyelések csökkentése érdekében, már évekkel ezelőtt létrehozta a GDPR-nak megfelelő Email- Naptár- Fájltárolási- és Fájlmegosztási szolgáltatását, mely bármely szervezet számára elérhető áron és kényelmesen garantálja, hogy a szolgáltatásunkban tárolt adatokhoz csak Ön férhet hozzá és semmilyen gazdasági érdekcsoport nem figyeli ezen belüli tevékenységei!
Bízom benne, hogy írásommal segítettem, hogy ezt a fontos témát körbejárjuk. Ha bármilyen kérdés felmerülne, örömmel állok rendelkezésre.
Üdvözlettel,
Földvári György
adatvédelmi szakértő
Email: info@beszerzokozpont.hu Webcím: www.beszerzokozpont.hu
Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor az adott időpontban, és nem tekinthető jogi állásfoglalásnak!