Instytucje odpowiedzialne za prywatność i ochronę danych osobowych w kilku europejskich krajach (“Grupa Kontaktowa” - Francja, Belgia, Holandia, Hiszpania - nie ma wśród nich Polski ani GIODO) wydały wspólne ogłoszenia o formalnych działaniach ws. firmy Facebook. Podsumowanie ogłoszeń można znaleźć tu. Są one bardzo interesujące.

Kilka lat temu Belgijska Komisja Prywatności rozpoczęła akcję ws. Facebooka. Są w nią zaangażowani ludzie pracujący nad badaniami prywatności z którymi współpracuję.

Kampania Grupy Kontaktowej ma bardzo duże znaczenie - z wielu powodów. Jednym z nich jest zakres działań.

Po pierwsze - pamiętając, że Rozporządzenie Ogólne o Ochronie Danych Osobowych nie jest jeszcze w mocy - Facebook próbował argumentować, że właściwą instytucją kontrolną jest ta w Irlandii. Z dzisiejszej decyzji widać, że instytucje w państwach Europy nie zgadzają się z tą interpretacją.

Po drugie - ciekawe są szczegóły. Tutaj skupiam się na tych wydanych przez francuski CNIL. CNIL nałożył na Facebooka nawet karę - 150,000 tys. euro. Holenderski Autoriteit Persoonsgegevens również rozważa taki krok. Od strony technicznej decyzja CNILu (tutaj) jest też wielce interesująca. I ustawia scenę przed przyszłorocznym GDPR, nad wdrożeniem którego pracuje teraz wiele organizacji, instytucji, firm.

CNIL stwierdza, że:

• Facebook nie dał użytkownikom możliwości kontroli nad danymi udostępnianymi przez Facebooka reklamodawcom, którzy kierują reklamy wykorzystując prywatne dane użytkowników (nie tylko demograficzne)
• Facebook za pomocą ciasteczek (cookies) śledzi użytkowników także wtedy gdy odwiedzają oni inne strony internetowe (za pomocą wtyczki FB osadzanej na stronach przez ich właścicieli) i użytkownik nie ma o tym wiedzy ani kontroli nad tym.

Dalsze punkty są bardziej szczegółowe.

*Facebook nie umożliwia użytkownikom kontroli nad ciasteczkami, przez co użytkownicy nie mogą nie udzielić zgody na ich użycie. *

Wygląda na to, że francuski GIODO może wymóc na stronach internetowych ścisłe honorowanie ustawień preferencji użytkowników dotyczących blokowania ciasteczek, które powinny być traktowane jako opcjonalne. W tym miejscu jestem pewny, że GDPR i ePrivacy ten wymóg znacznie podkreślą.

Innym interesującym punktem podniesionym przez CNIL jest to, że Facebook nie wykazał po co przechowuje adresy IP użytkowników i to w całości, bez anonimizacji.

Z punktu widzenia technologii, ten punkt jest o tyle istotny, że ten wymóg może zostać rozszerzony na inne podmioty (np. gdy wejdzie w życie GDPR i zmodernizowane ePrivacy). W tym przypadku właściciele stron internetowych będą musieli rozważać i analizować proporcjonalność. A zatem: kiedy potrzebujemy przechowywać adres IP i w jakiej formie? Podobnie pytania dotyczą cookies i wielu innych aspektów.