W tej części, wypada, w ślad za raport Fundacji PANOPTYKON, mechanizmy stosowania skryptów śledzących i reklamy targetowanej (behawioralnej) oraz zagrożeń z tym związanych. Najważniejsze być może stwierdzenie tego raportu jest to, że realnym klientem dostawców treści reklamowych w sieci jest „…nie ten, kto odwiedza stronę, ale ten, kto płaci za wyświetlenie na niej reklamy”. Dwa najważniejsze rodzaje reklamy to reklama kontekstowa oraz targetowana (behawioralna). Reklama kontekstowa czyli dopasowana do treści strony, na której się wyświetla (np. w artykule o samochodach użytkownik zobaczy reklamy konkretnych marek). Zaś reklama targetowana (behawioralna) to reklama dopasowana do preferencji użytkownika, który ją odwiedza (przykład: szukamy hotelu np. na stronie booking.com, po czym reklama hoteli z tej strony wyświetla nam się na kolejnych stronach, na które wchodzimy a nie związanych z tematem wyszukiwania). Jakie dane zostawiamy w sieci, dzięki którym taką reklamę możemy otrzymywać? Mogą to być dane, które nieświadomi użytkownicy zostawiają za sobą w internecie: numer IP, logi, informacji o lokalizacji, pojedyncze kliknięcia, transakcje online, historii odwiedzanych stron i pytań zadawanych wyszukiwarce. Mamy też do czynienia z mechanizmem real-time bidding (RTB) czyli pojedyncze wyświetlenia reklam przez potencjalnych odbiorców – użytkowników o określonym profilu, którzy w danym momencie przeglądają stronę. Warto wiedzieć, że nasze tradycyjne dane typu adres czy imię nazwisko raczej pośredników nie interesują. Ważne są dla niego informacje marketingowe czyli zainteresowania, ważny moment w życiu (ślub) czy stan zdrowia. Przy tym pośrednicy posługują indywidualnymi numerami nadawanymi naszym profilom przez reklamodawców, które znajdują się w posiadaniu właściwych platform zarządzania danymi i to one wyszukują użytkowników o określonym profilu. W przypadku smartfonów jest jeden numer dla użytkownika – dla laptopów i komputerów stacjonarnych tych numerów jest wiele. Na giełdę reklam trafia co najmniej kilka kategorii naszych danych (nr IP, zainteresowania, płeć, lokalizacja). I w ciągu kilku sekund nasz profil jest „mielony” przez odpowiednie „platformy popytu”, które sprawdzają czego w sieci szukamy, ile możemy zapłacić, jakie były nasze poprzednie transakcje (Allegro, Olx.pl czy np. bardziej szczegółowe np. księgarnie internetowe). Dostęp do tych danych mogą mieć setki różnych podmiotów ale kto jest największym graczem na tym rynku? Facebook i Google. Tylko jeden z większych brokerów danych zebrał (chyba w ciągu roku) dane 700 mln osób, gdzie średnia danych o jednej osobie to 3000. Druga ważna konkluzja jest taka, że te 2 podmioty regulują i kontrolują rynek reklamy w sieci. System aukcji reklamowych faktycznie ukrywa przepływy danych, dzięki czemu minimalizuje odpowiedzialność poszczególnych uczestników. Zgodnie więc z tytułem raportu –jesteśmy towarem nie zaś klientem. Teraz przejdźmy do skali i głębokości śledzenia bo to chyba najważniejsze – czyli co o nas wiedzą. Prawie wszystko. Adresy, kod pocztowy, płeć, wiek, stan cywilny, poziom wykształcenia, sektor zatrudnienia, dochody, liczba osób pozostających na utrzymaniu użytkownika (i ich wiek), stan posiadania (samochody, nieruchomości etc.), profil etniczny i religijny, szczegółowe dane o lokalizacji ustalone na podstawie współrzędnych GPS, sieci Wi-Fi i adresów IP, dane techniczne (np. rodzaj systemu operacyjnego, ustawienia przeglądarki i rozdzielczość ekranu), które składają się na (coraz bardziej unikatowy) „odcisk palca” urządzenia, historia aktywności na stronie: w co użytkownik kliknął, co skupiło jego uwagę, co i za ile ostatecznie kupił, nawyki, zainteresowania, słabości, ważne momenty z życia (takie jak ślub czy ciąża), cechy osobowościowe i demograficzne użytkowników, styl życia. Fundacja wspomina w raporcie o 3 warstwach naszego cyfrowego profilu – pierwsza to te wyżej wymienione, druga to prędkość pisania, rzeczywistej lokalizacji, sposobu korzystania z urządzeń mobilnych (od ich pozycji w przestrzeni, przez naładowanie baterii, po nacisk i ruch palca na ekranie), „konsumowanych” treści (czyli jakie strony odwiedzany) ale też czas spędzony w danym miejscu i ruchy kursora na ekranie. Przy okazji 2-giej warstwy raport wskazuje co dostawca naszej poczty elektronicznej wie o nas. Są to dokładne godziny logowań, numery IP, przeglądarka, z której korzystał, system operacyjny, ustawienia sprzętu czy z jakich domen przechodził do poczty najczęściej. Godziny logowań wskazywać mogą czy korzysta z niej w pracy czy też dopiero wieczorem. Trzecia warstwa zaś to dane wywnioskowane z 2 poprzednich: ustalenie poglądów religijnych i politycznych, nawyków zakupowych, wzorców poruszania się, siły nabywczej, relacji rodzinnych, ważnych zmian w życiu, stanu zdrowia, nałogów i najdziwniejszych nawet zainteresowań. Ostatnia, trzecia warstwa nie jest przez użytkownika kontrolowana w żaden sposób (choć i w przypadku 2 poprzednich trudno mówić o kontroli). Raport wyraźnie stwierdza, że (cytat za raportem) „Użytkownicy nie mają realnego wpływu na zakres danych, jakie są zbierane lub generowane (na zasadzie predykcji, w oparciu o korelacje statystyczne) na ich temat, szczególnie przez tzw. strony trzecie (np. brokerów danych). Tym bardziej nie mają wpływu na kryteria profilowania, któremu są poddawani.” Tu raport przechodzi do skutków gromadzenia takich danych a więc np. dyskryminacji (cenowej) albo wykorzystywania trudnego położenia (które mogłoby prowadzić do zawarcia niekorzystnych transakcji). Zarzuty stawiane podmiotom uczestniczącym w aukcjach: - na aukcje trafia więcej danych niż jest to konieczne, żeby dopasować reklamę (np. nawet dane wrażliwe, ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne); - podmioty biorące udział w aukcjach reklamowych posiadają dostęp do danych osobowych użytkowników bez ich wiedzy i zgody; - zarówno rozpoczynający aukcję jak i twórcy tych systemów nie mają kontroli nad dalszym wykorzystaniem rozpowszechnionych danych; - użytkownik, którego dane trafiają na giełdę, nie ma do nich dostępu i nie jest w stanie realizować uprawnień, które daje mu np. RODO (np. zażądać korekty czy usunięcia). Teraz przejdę do tego z czego trochę zadrwiłem przy okazji tych słynnych oświadczeń składanych przez użytkowników FB, że nie zgadzają się na wykorzystywanie swoich danych przez największy portal społecznościowy, a więc udziałów w łańcuszkach czy też innej akcji tzn. #10yearschallenge. Zwłaszcza portale społecznościowe starają grać na naszych emocjach, a nawet je generować. Przykład: tu zacytuję w całości raport Fundacji: „W 2014 r. wyszło na jaw, że 700 tys. użytkowników Facebooka wzięło udział – nieświadomie – w eksperymencie badającym wpływ negatywnych i pozytywnych komunikatów na ich zachowanie w sieci. To badanie, przeprowadzone bez wiedzy i zgody użytkowników, wywołało falę niezadowolenia i protesty. A to był tylko początek. W 2017 r. za sprawą wycieku informacji handlowych z biura Facebooka w Australii opinia publiczna dowiedziała się, że portal pozwala na profilowanie reklam i innych targetowanych przekazów w oparciu o stan emocjonalny użytkowników (nawet tych 14-letnich!). Według doniesień dziennika The Australian oferta skierowana do partnerów biznesowych obejmuje szerokie spektrum stanów emocjonalnych nastolatków: od „niepewny swojej wartości”, „zagrożony”, „beznadziejny” i „głupi” po „nieudaczny”, „zestresowany” czy „przechodzący życiowy kryzys””. Dlatego dziwią spekulacje na temat tego jakie dane na nasz temat zbierają wszelkiego rodzaju służby w sytuacji gdy sami i dobrowolnie (często nieświadomie) oddajemy je innym podmiotom. Autor artykułu: Prawnik Tomasz Ptak - dział RODO Więcej ciekawych wpisów odnajdą Państwo śledząc Klub RODO na FB: www.facebook.com/KlubRODO/
Zobacz nasze pozostałe posty z tamatu RODO:
