Stručnjak za zaštitu privatnosti: Ne vjeruj Googleu ni kad darove nosi
Google je ukinuo kolačiće trećih strana tek za jedan posto korisnika. Do prvog srpnja trebao bi posve dokinuti prosljeđivanje informacija o korisnicima trećim stranama. Međutim, to neće značiti “i onda su svi živjeli sretno i zaštićene privatnosti do kraja života”. Naivno bi bilo vjerovati tvrtki koja je izgradila poslovno carstvo na nezakonitom prikupljanju naših podataka, tvrdi Duje Kozomara, konzultant za zaštitu osobnih podataka i osnivač platforme Regula. Za Forbes Hrvatska objasnio je što nas sada očekuje
Opća uredba o zaštiti podataka (GDPR) i drugi zakoni kojima se štiti privatnost nagnali su globalne tehnološke igrače da promjene taktiku. Prodajom podataka o interesima korisnika Google je prije svega opskrbljivao oglašivačku industriju. Ipak, novim pravilima već se nekoliko godina u tom tehnološkom divu pripremaju na ukidanje kolačića (eng. Cookies). Dok su se oni pripremali Safari i Firefox su ih ukinuli. No, sve se događa s razlogom. U Googleovoj kuhinji pripremalo se alternativno rješenje.
“Kad pričamo o privatnosti, najprigodnije je malo izmijeniti poznatu latinsku izreku: “Ne vjeruj Googleu ni kad darove nosi”. Dok ukidanje kolačića trećih strana zvuči kao načelno pozitivan potez za zaštitu privatnosti, dobro znamo da je ova tvrtka svoje poslovno carstvo izgradila upravo na nezakonitom i netransparentnom prikupljanju masovnih količina naših osobnih podataka. Bilo bi naivno očekivati da će sada pucati sami sebi u koljeno i tek tako ostati bez svog najvrjednijeg resursa”, kaže za Forbes Hrvatska Duje Kozomara, konzultant za zaštitu osobnih podataka i osnivač platforme Regula.
Google je predstavio novu metodu praćenja korisnika u oglašivačke svrhe koja se, ističe Kozomara, već u naslovu diči privatnošću. Privacy Sandbox je sada dio globalno najkorištenijeg internet preglednika Chromea, a funkcionira tako da prati našu povijest pregledavanja interneta (eng. browsing history) pa kreira listu oglasnih “tema” kojima pripadamo, ovisno o tome koje vrste stranica posjećujemo. Postoje stotine oglasnih kategorija – od guma za automobile do roditeljstva i kreditnih zajmova. Internetska stranica koja podržava Privacy Sandbox onda nam prikazuje oglase ovisno o tome kojoj kategoriji Google kaže da pripadamo.
“Blokiranjem kolačića trećih strana u Chromeu uz uvođenje Sandboxa, Google u principu govori: ‘Omogućit ćemo da vas nitko više ne može pratiti na internetu – osim nas’. Tim potezom zapravo su dodatno ojačali svoju poziciju u oglašivačkom ekosustavu koji su odavno praktički monopolizirali”, analizira jedan od rijetkih stručnjaka za zaštitu osobnih podataka u Hrvatskoj.
Privole za kolačiće ostaju
Iskustvo guglanja i surfanja neće se puno promijeniti. Dapače, privole za prikupljanje kolačića ostaju s nama. Zakon o elektroničkim komunikacijama kojim su implementirane obveze iz ePrivacy direktive ne razlikuje kolačiće prve i treće strane. Dok god internetska stranica ili aplikacija na uređaj korisnika pohranjuju podatke ili pristupa već pohranjenim podacima, obvezna je privola korisnika, tumači Kozomara.
Dodaje kako su iznimka situacije kada je ta datoteka neophodna da bi stranica funkcionirala. Na primjer, online trgovina ne mora tražiti privolu za kolačić koji će zapamtiti što ste spremili u “košaricu” da biste mogli nastaviti pregledavati druge proizvode. Međutim, ako vam želi udijeliti kolačić koji će omogućiti da vas kasnije označava kao svog posjetitelja oglasima na Facebooku, to ne može bez privole, objašnjava osnivač platforme za upravljanje privolama za kolačiće Regula.
Nove metode špijuniranja
Adtech industriji, koja živi od praćenja ponašanja u online svijetu, već je neko vrijeme jasno da kolačići trećih strana izumiru. Stoga su krenuli razvijati različite nove metode kako bi neometano nastavili sa svojim poslom. Trenutno najpopularnija metoda za identifikaciju pojedinačnih uređaja ili korisnika i praćenje njihovog ponašanja preko različitih internetskih stranica naziva se fingerprinting. Kao što naziv sugerira, prilikom posjeta određene stranice stvara se “otisak prsta” našeg uređaja. Kozomara pojašnjava kako se skupljaju podaci poput naziva i verzije internet preglednika, rezolucije zaslona, popisa fontova i dodataka, IP adrese koji služe kao jedinstveni identifikator pomoću kojega nas tvrtke mogu nastaviti prepoznavati dok surfamo internetom.
“Fingerprinting je zapravo invazivniji od običnog praćenja temeljenog na kolačićima i kompliciranije ga je blokirati. Ova metoda omogućuje tvrtkama da prate naše ponašanje po internetu mjesecima, čak i kada počistimo pohranu browsera ili koristimo “privatni/incognito” način korištenja. Korisno je znati da ipak postoje internet preglednici koji automatski blokiraju fingerprinting u određenoj mjeri, uglavnom na način da zaustavljaju zahtjeve koje internetska stranica uputi prema određenim trećim stranama koje su prepoznate kao fingerprinting tvrtke. Moj favorit među privacy-focused browserima je Brave, ali i Firefox radi izvrstan posao”, obrazlaže mladi pravnik kojem je GDPR odredio poslovni put.
GDPR poduzetnička priča
Moja priča je kombinacija znatiželje, uz malo poduzetničkog duha i iznimno dobar tajming, koji svakako možemo nazvati i srećom, kaže Kozomara. “Završavao sam Pravni fakultet u Splitu i bilo mi je potpuno jasno da ne želim raditi u odvjetničkom uredu. Uvijek sam strastveno pratio razvoj tehnologije, zbog čega sam od prijatelja dobio preporuku da bacim oko na tu novu Uredbu Europske unije od koje, navodno, strepe najveće tehnološke tvrtke čiji poslovni model ovisi o obradi osobnih podataka. GDPR me jako brzo zainteresirao pa sam odlučio napisati magistarski rad baš na tu temu. Spomenuo sam kvalitetan tajming: rad sam branio u prvoj polovici famozne 2018. godine, baš uz sveopće prisustvo medijskog dizanja panike oko GDPR kazni.”
U to je vrijeme, kako prepričava Kozomara, kolega njegovog prijatelja pokretao webshop. Kako mu se ideja o golemim novčanim kaznama nije suviše dopadala, zamolio je za pomoć oko usklađivanja te internetske trgovine s Uredbom. Nije se obazirao ni na objašnjenja o neiskusnosti. Vjerojatno nije poznavao nikog drugog tko bi o tome nešto znao.
“Bacio sam se na posao, a koji tjedan kasnije je stigao drugi upit, od manje javne ustanove koja je trebala savjetovanje. S ova dva klijenta očito sam nešto dobro napravio, jer se zahvaljujući njihovim preporukama krenulo se javljati još organizacija, a nakon pet, šest klijenata postajalo mi je jasno da će to biti ono čime ću se baviti”, rekao je Kozomara koji je 2019. godine otvorio tvrtku Consent.
Budući da se želio razlikovati od knjigovodstvenih servisa i malih-od-susjeda-koji-znaju-taj-GDPR, odmah je pokrenuo postupak za dobivanje certifikata od Međunarodne udruge profesionalaca za zaštitu privatnosti (The International Association of Privacy Professionals – IAPP). Iako je GDPR groznica posustala, potražnja za uslugama Consenta nije.
“Količina upita koju trenutno primamo vjerojatno je najveća otkad sam krenuo s konzultantskim poslom. Rekao bih da je dijelom riječ o tome da smo s godinama uspjeli stvoriti određenu prepoznatljivost u ovom području, a veliku ulogu sigurno igraju i preporuke zadovoljnih klijenata. Ipak, ključan faktor u osvještavanju organizacija koliko je važna zaštita osobnih podataka kojima rukuju definitivno je rad nadzornog tijela za zaštitu podataka. Hrvatska Agencija za zaštitu osobnih podataka u posljednjem periodu značajno je intenzivirala svoje napore, što je vidljivo po brojnim besplatnim edukacijama za male poduzetnike, izdavanju novih smjernica za različite sektore kojima odgovaraju i na učestala pitanja, a poseban značaj ima povećan broj provedenih nadzora. Naravno, povećan nadzor rezultira i rastom broja dodijeljenih novčanih kazni za kršenje Uredbe. To, nažalost, još uvijek najviše motivira donositelje odluka u tvrtkama da poduzmu korake za usklađivanje vlastitog poslovanja”, ustvrdio je Kozomara kojem se lani u tvrtki pridružio i njegov imenjak Duje Prkut s kojim je do tada surađivao u udruzi Politiscope.
Više kaznenih eura, manje katastrofe u privolama
Do danas je Consent pomogao više od pedeset organizacija različitih veličina i branši oko GDPR i ePrivacy glavobolja, ali i u opširnijem procesu stvaranja organizacijske kulture privatnosti. U odnosu na početne godine, kada je stanje s privolama za kolačiće na hrvatskim internetskim stranicama bilo “katastrofalno”, stanje je danas mnogo bolje, kaže naš sugovornik. Djelomično je u tome pomogla i njegova platforma Regula koja je olakšala poduzetnicima usklađivanje politike prikupljanja kolačića s GDPR-om.
“Iako broj internetskih stranica koje ne odrađuju taj dio kako treba, što namjerno, što iz neznanja, još uvijek nije malen, svakako idemo na bolje. Svijest kontinuirano raste, kupci i klijenti postavljaju sve više pitanja o praksama zaštite podataka, a AZOP je izdao i niz smjernica za kolačiće, kao i dvije novčane kazne baš na tu temu”, kaže Kozomara.
Na što obratiti pažnju pri dopuštanju kolačića Ako je cookie banner zaista zakonit, trebao bi nam dati jasne i potpune informacije o tome s kime tvrtka dijeli podatke prikupljene putem kolačića i u koje svrhe. Tada možemo samostalno donijeti odluku je li nam u redu da se naši podaci dijele u neku svrhu. Primjerice, možda i nemate problem s tim da konkretna stranica koju posjećujemo otkrije tu informaciju nekoj marketinškoj tvrtki kako biste kasnije dobivali oglase povezane sa stranicom. Temeljni problem je kada uopće nismo svjesni da se to događa, pogotovo kod internetskih stranica koje mogu otkriti i dijeliti naše osjetljive podatke. Jedno istraživanje je otkrilo da internetske stranice većine američkih bolnica s Facebookom dijele podatak da je osoba rezervirala termin kod liječnika. Ako zamijetimo da cookie banner nema adekvatne informacije ili ne daje mogućnost odbijanja kolačića (ako moramo poduzeti veći broj koraka za odbijanje kolačića nego za prihvaćanje, ni to nije zakonito) znači da stranica jasno krši zakon i imamo je pravo prijaviti AZOP-u, tumači Duje Kozomara. |
Nezakonito je ako nas neka stranica prisiljava da pod svaku cijenu prihvatimo kolačiće, a kako bismo ih odbili moramo ugasiti monitor, upaliti osam svijeća poslaganih u krug i izgovoriti čarobne riječi na latinskom, slikovit je Kozomara koji kaže kako je AZOP lani zbog toga propisao dvije kazne u ukupnom iznosu od 50 tisuća eura. Glavna kršenja GDPR-a bila su nedostatak pravne osnove za obradu putem kolačića, nedostatak informacija za valjanu privolu i nedostatak transparentnosti.
Sustav sankcioniranja je profunkcionirao, a i tržište koje nudi usluge vezane uz GDPR također je zrelije. Kad se prije šest godina počeo primjenjivati GDPR, na vlak su se ukrcali više-manje svi. Obrasce su nudili raznoliki knjigovodstveni servisi, edukacije su prodavale osobe bez dana iskustva u praksi, a raznovrsni influenceri dijelili su na svojim blogovima hrpe pogrešnih savjeta. S vremenom su se ipak isprofilirali profesionalci koji su ozbiljno posvećeni zaštiti osobnih podataka te imaju znanje, iskustvo i ozbiljne reference, kaže Kozomara. Prema njegovoj procjeni, u Hrvatskoj djeluje četiri do pet kvalitetnih konzultantskih tvrtki specijaliziranih za to područje koje bez zadrške preporučuje klijentima kad ih sam nije u mogućnosti primiti. To se često događa, tvrdi.
“S obzirom na to da nas nema puno, međusobno se dobro poznajemo i podržavamo, tako da si bez problema prosljeđujemo klijente u trenutcima kada smo pretrpani postojećim projektima. Osobno ću uvijek radije poslati klijenta osobi u čiju sam stručnost siguran, nego da preuzimamo projekt kojem se ne možemo adekvatno posvetiti. Osim kolega s vlastitim konzultantskim tvrtkama te onih u odvjetničkim društvima, u Hrvatskoj postoji i niz profesionalaca zaposlenih u velikim korporacijama čiji rad i mišljenje također jako cijenim”, analizira poslovno okruženje Kozomara koji je prošle godine postao i mentor u Ziceru i ACT Grupi koji podupiru startupove.
Zabrana biometrijskog nadzora
To je samo dio njegovih aktivnosti. Udruga Politiscope, čiji je suosnivač, sa zakladom SHARE sudjelovala je u najvećoj globalnoj studiji o biometrijskom nadzoru. Rezultat toga je knjiga “Beyond the Face: Biometrics and Society” koja na više od tristo stranica pruža uvid u globalne sukobe između ljudskih prava i profitom vođene industrije biometrijskog nadzora. Nakon Berlina i Bruxellesa, promociju te knjige održat će i u Zagrebu.
Zapravo je do sudjelovanja u studiji došlo zbog toga što je udruga bila aktivna u projektu čiji je cilj bio da umjetna inteligencija poštuje ljudska prava.
“U tom procesu aktivno smo radili na tome da AI Act zabrani korištenje AI sustava u svrhu štetnih i diskriminatornih oblika nadzora. Zajednički napori civilnog društva doveli su do toga da je Europski parlament izglasao zabranu biometrijskog nadzora na javnim površinama, prepoznavanja emocija (u najbitnijim sektorima), biometrijske kategorizacije, prediktivnog rada policije i društvenog bodovanja. Zaštite u konačnoj verziji teksta ipak su značajno slabije od onoga što smo zagovarali”, kazao je Kozomara te napomenuo kako budno prate daljnji razvoj situacije, pogotovo implementaciju AI Acta u Hrvatskoj.
Potencijalni udari na privatnost iz EU
Budući da je privatnost u umreženom društvu postala izrazito velika tema, da ne kažemo opasnost za koju nisu sazidani bedemi obrane, frontova na kojima se valja boriti je mnogo. “U EU nikad nije dosadno, čak i nama koji aktivno pratimo legislativne procese, nerijetko je teško sve pohvatati. Niz je pravnih akata povezanih s privatnošću koji su već u međuinstitucijskim pregovorima”, navodi splitski stručnjak za zaštitu privatnosti.
Ističe kako je među njima i ePrivacy uredba koja bi, između ostalog, trebala riješiti problem bombardiranja cookie bannerima. Međutim, ta je uredba u procesu od 2017. godine i zbog intenzivnog lobiranja big tech tvrtki postoje ozbiljne sumnje da nikada neće ni biti usvojena.
Problematičan je prijedlog Europske komisije iz svibnja 2022. godine za European Health Data Space (EHDS), naglašava Kozomara. Kao član Europske mreže nevladinih organizacija, stručnjaka i aktivista za digitalna prava (European Digital Rights – EDRi) navodi kako sadašnji prijedlog forsira komercijalizaciju i monetizaciju svakog aspekta našeg zdravlja, bez našeg pristanka. EDRi inicijativa dala je preporuke kako poboljšati prijedlog zbog rizika za privatnost.
Jedan od njih je i taj što bi, kako se navodi na stranici EDRi-ja, prema prijedlogu Komisije, liječnici i bolnice morali medicinske podatke ustupiti nacionalnim vlastima. One bi ih pak mogle proslijediti bilo kome tko iskaže interes za istraživanje, neovisno jesu li u pitanju akademske ustanove, farmaceutske tvrtke ili tehnološke korporacije koje bi te podatke koristile za svoje AI modele.
Sada kada se o tome vodi računa, prijetnje privatnosti iskaču odasvud, a uloga watchdoga je neizmjerno važna. Taj pas čuvar sada nikako ne smije zaspati. To pokazuje i ovaj primjer.
“U prošlog godini smo se borili protiv prijedloga Uredbe CSA (Child Sexual Abuse), poznatog i kao chat-control. Prijedlog je bio iznimno opasan i podrazumijevao je opći nadzor privatne komunikacije te značio praktično ukidanje enkripcije. Predložena rješenja predstavljala su nesrazmjerno narušavanje prava na privatnost, utjecala na slobodu izražavanja te podrivala koncept presumpcije nevinosti. Aktivna pobuna civilnog društva, ali i stručnjaka, rezultirala je time da je Europski parlament odbacio prijedlog”, ispričao je Kozomara.
Osobni podaci kao nova valuta?
Bliska budućnost je što se tiče privatnosti, može se zaključiti, poprilično složena. Već sada neki tvrde kako je besmisleno i samozavaravajuće govoriti o privatnosti nakon gotovo dva desetljeća društvenih mreža i dvostruko toliko vremena otkad “živimo” na internetu. Ipak, neki futurolozi predviđaju kako će privatnost i osobni podaci biti način segregacije društvenih klasa. Dio populacije neće si moći priuštiti privatnost te će im osobni podaci služiti kao valuta. Jedan od onih koji predviđaju takvu budućnost je izraelski povjesničar Yuval Noah Harari kojeg nazivaju i mračnim futuristom.
“Ne moramo izmišljati neke futurističke scenarije kada govorimo o plaćanju osobnim podacima. Loyalty programi brojnih brendova funkcioniraju upravo na premisi da tvrtkama omogućimo uvid u vlastite potrošačke navike i ponašanje, a zauzvrat dobijemo jeftiniji proizvod ili uslugu”, kaže Kozomara podsjećajući kako je budućnost već stigla.
Važno je razumjeti da su privatnost i zaštita osobnih podataka zaštićeni kao temeljna ljudska prava Poveljom EU-a o temeljnim pravima. Temeljna prava ne mogu biti na prodaju i zbog toga ih, unatoč ovim pokušajima, ne možemo poistovjetiti s valutom, tumači Kozomara.
Prema sadašnjem pravnom okviru, futurističke crne slutnje o dokidanju privatnosti siromašnijih slojeva društva ne bi se mogle obistiniti jer bi se u tom slučaju bile prisiljene odreći temeljnog ljudskog prava kako bi nešto dobile zauzvrat.
Također, navodi kako je već u tijeku i rasprava o takvim praksama, osobito otkako je Meta povukla kontroverzan potez. Korisnici Facebooka i Instagrama morali su odlučiti hoće li davati 9,99 ili 12,99 eura mjesečno kako bi zadržali privatnost ili će Zuckerbergovoj tvrtki omogućiti detaljne uvide o svom ponašanju i interakcijama na platformi.
“Što se tiče Facebookovog consent-or-pay modela, niz pritužbi za njihov potez već je poslan nadzornim tijelima za zaštitu podataka. Neću biti iznenađen ako čitav slučaj završi na Sudu Europske unije koji ima poprilično pozitivne rezultate kad je riječ o presudama za zaštitu osobnih podataka kao ljudskog prava”, zaključuje Kozomara.