Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Propozycje zmian w regulacji ePrivacy już oficjalnie znane. Analiza

Komisja Europejska ogłosiła dziś propozycje zmian dyrektywy ePrivacy. Poprzednio analizowałem szkic tych zmian, który wyciekł w grudniu. W tym tekście zajmę się najważniejszymi zmianami zaproponowanymi w dzisiejszym, oficjalnym już dokumencie.

Nowa regulacja ePrivacy wciąż zapewnia wysokie gwarancje integralności i poufności komunikacji (które obejmują też komunikatory takie jak Facebook Messenger, WhatsApp, Google Hangout i inne). To dobrze. Jednakże, porównując z treścią grudniowego wycieku, zawiera pewne - być może kontrowersyjne - zmiany. Dla niektórych ekspertów proponowane zmiany w ePrivacy zapewniają znacząco słabsze i mniej precyzyjne gwarancje ochrony - w stosuku do dokumentu z grudnia. Co wydarzyło się w ciągu tych kilku tygodni? Oficjalny dokument został opublikowany w pośpiechu; widać to po zmianach formatowania, które są widoczne gołym okiem (nie widać jednak tego, kto jest za nie odpowiedzialny).

Jedną z pozytywnych zmian w regulacji ePrivacy jest ta dotycząca zgody użytkowników na przetwarzanie danych. Zgoda ta zaczyna być ograniczana czasowo, a odnawiać trzeba ją co pół roku.

Zacznę od najbardziej znaczącej zmiany.

Metodologia Privacy by Design pominięta

W grudniowym wycieku, artykuł 10 zawierał bardzo ścisłe ramy regulacyjne dotyczące metodologii Privacy by Design (metodologia ta to jedno z podejść do rozwoju produktów i projektów, które zapewnia dobrą ochronę prywatności). Oficjalna wersja zmian dyrektywy ePrivacy już tego nie zawiera.

Artykuł 10 wciąż jednak proponuje interesujące rozwiązania. Wymaga istnienia “opcji, która uniemożliwiałaby stronom trzecim przechowywanie informacji na urządzeniach użytkowników końcowych, bądź przetwarzanie informacji już na tych urządzeniach przechowywanych”. Oznacza to, że ingerowanie (zdalnie) w dane przechowywanymi przez komunikatory i inne tego typu aplikacje nie jest możliwe. W praktyce chodzi m.in. o możliwość wyłączenia zapisywania historii (logów) lokalnie oraz zdalnie.

Dodatkowo, przy instalacji, oprogramowanie będzie musiało oferować użytkownikami wybór opcji ustawień prywatności. Ma to ścisłe znaczenie dla produktów:

  • ustawienia prywatności MUSZĄ być obecne w produktach
  • użytkownik będzie proszony o przejrzenie ustawień i konfigurację swojego oprogramowania
  • użytkownik musi wyrazić zgodę na przetwarzanie danych
    istniejące produkty (np. aplikacje) muszą zostać zaktualizowane by spełniać te wymagania, w terminie do maja 2018.

ePrivacy mówi “nie” śledzeniu użytkowników

Regulacja rozpoznaje ryzyka związane z identyfikowaniem i śledzeniem użytkowników oraz ich urządzeń za pomocą różnych narzędzi; ciasteczek, fingerprintingu i innych rozwiązań i skryptów śledzących. Jakiekolwiek użycie tego typu technologii poddane zostaje ścisłej zgodzie ze strony użytkownika poinformowanego o ich działaniu. Wiąże się również ze ściśle określonymi celami.

Ten punkt dotyczy także metod wiązania (wykrywania) wielu urządzeń z konkretnym użytkownikiem.

Przetwarzanie metadanych wymaga zgody użytkownika

Dostawcy komunikacji elektronicznej będą zobowiązani do uzyskiwania wyraźnej, świadomej zgody użytkownika na analizę jego metadanych. Oznacza to, że analiza bazująca na wzorach behawioralnych (czasami są to np. “listy odwiedzanych stron”) będzie zabroniona bez wyraźnej zgody użytkownika.

Regulacja oferuje użytkownikom również możliwość udziału w analizie metadanych ze względów takich, jak np. wykrywanie nadużyć. Udział ten jest objęty bardzo ścisłymi wymogami dobrowolnego wyrażenia przez użytkownika świadomej zgody.

Ocena Skutków dla Ochrony Danych

Nowa wersja dyrektywy ePrivacy wymaga wykonania Oceny Skutków dla Ochrony Danych (ang. Data Protection Impact Assessment) w przypadku “przetwarzania metadanych komunikacji elektronicznej, w szczególności z użyciem nowych technologii, biorąc pod uwagę jego naturę, zakres, kontekst i cel. Przetwarzanie takie może wiązać się z dużym ryzykiem dla praw i wolności osób”. Ma to zastosowanie na przykład przy agregacji danych śledzenia ruchu pieszego (na przykład w londyńskim Metrze, co praktykował Transport for London, nie zrobiwszy uprzednio Oceny). Wymaganie dotyczące Oceny Skutków dla Ochrony Danych jest sformułowane bardzo szeroko i będzie egzekwowane.

To bardzo dobrze, gdyż Ocena Skutków dla Prywatności oraz Ocena Skutków dla Ochrony Danych są uznane jako wartościowe narzędzia do pomiaru ryzyk związanych z prywatnością i rozwoju adekwatnych rozwiązań oraz standardów. Pytanie, które pozostaje, dotyczy zakresu wymagań stawianych przez ePrivacy - czy są wystarczająco szerokie?

Zgoda na ciasteczka niepotrzebna przy śledzeniu jednorazowych sesji

Zgoda użytkownika na ciasteczka nie będzie potrzebna, gdy są one wykorzystywane podczas pojedynczej sesji do celów takich, jak np. mierzenie ruchu na stronie.
Istnieje jednak ryzyko związane z tym rozwiązaniem; mniej jasne staje się, gdy ciasteczka wykorzystywane są bez zgody użytkownika. Może to mieć następujące konsekwencje:

  • komunikat zgody na ciasteczka nie zniknie, właściciele stron internetowych będą wciąż utrzymywać komunikaty dotyczące wykorzystania cookies, by “na wszelki wypadek” spełniać wymogi
  • komunikat zgody na ciasteczka nie będzie używana tam, gdzie powinna
  • ciasteczka będą wykorzystywane bez zgody użytkownika, być może z użyciem technik pozwalających na ominięcie wymogu uzyskania zgody na ich użycie

Przeglądarki internetowe bramą do usług cyfrowych

Nowa wersja dyrektywy ePrivacy rozpoznaje uprzywilejowaną pozycję, jaką mają przeglądarki internetowe. Zachęca więc ich dostawców, by w swoich produktach umieszczali łatwe zrozumiałe ustawienia kontroli prywatności. Na przykład, według nowej wersji dyrektywy, przeglądarki muszą oferować przejrzyste ustawienia zarządzania ciasteczkami. Dużo więcej niestety tu nie ma; prywatność przeglądarek jest w oficjalnej wersji dokumentu znacznie mniej obecna, niż w grudniowym wycieku.

Proponowana wersja dyrektywy ePrivacy w rzeczywistości sankcjonuje status quo; wszystkie duże przeglądarki internetowe oferują już kontrolę ciasteczek.

Dyrektywa nie bierze pod uwagę obecnych trendów rozwoju technologii, ani też nie próbuje odnieść się do przyszłości (nawet tej niedalekiej). Przykładowo, nie porusza w ogóle problemu związanego z faktem, że wkrótce przeglądarki internetowe będą udostępniały użytkownikom znacznie bardziej zaawansowane funkcje i możliwości, takie jak odczyty danych z sensorów czy też nawet możliwość parowania fizycznych urządzeń użytkownika (na przykład przez Bluetooth). ePrivacy również najwyrażniej jednoznacznie nie traktuje rozwiązania Do Not Track jako możliwości udzielenia zgody użytkownika na przetwarzanie danych.
Chociaż Artykuł 9 (p. 2) przewiduje możliwość wyrażania zgody za pomocą "odpowiednich technicznych ustawień oprogramowania umożliwiającego dostęp do Interneti". To mogłoby oznaczać mechanizm Do Not Track. Ale co z honorowaniem tych ustawień?

Śledzenie przez WiFi

Miejsca, w których wykorzystywane jest śledzenie za pomocą identyfikatorów, na przykład bazujące na adresie MAC 9wifi), IMEI lub IMSI, muszą być oznaczone w widoczny sposób.

Podsumowanie

W porównaniu do grudniowego wycieku, oficjalny dokument proponujący zmiany dla dyrektywy ePrivacy nie wnosi tak wiele nowego. Zdecydowanie też nie wybiega w przyszłość.

ePrivacy jednak wciąż proponuje ciekawe rozwiązania, chociażby konieczność przeprowadzania Oceny Skutków dla Ochrony Danych, wzmocnienie wymogu dotyczącego zgody użytkownika na przetwarzanie danych, oraz precyzyjne definicje.

Comments is loading...

Comments is loading...