W najśmielszych snach nie sądziłam, że wprowadzenie GDPR (RODO) może mi przynieść tyle radości – czytałam, sprawdzałam, słuchałam, oglądałam, klęłam i rzucałam to w diabły ładnych parę razy, żeby zaraz do tego wrócić i katować się kolejną porcją tych bzdur.
A potem zobaczyłam, że moja ulubiona strona internetowa opublikowała swoją wersję polityki prywatności i – o klękajcie narody! – jest jeszcze lepsza niż ich regulaminy, które od lat trzymają poziom.
Chodzi oczywiście o wizaż, gdzie banda jajcarzy przez dwa lata opracowuje regulamin, który standardowo zaczyna od szumnej deklaracji, że rasistowskie treści nie będą tolerowane:
Po czym przyznaje moderaturę rasistce, która obnosi się ze swoimi zacnymi poglądami, tworząc metafory o których nikt poza sympatykami Kuk Klux Klanu nigdy nie słyszał.
(Metaforycznie biały) człowiek nie zrywa z dziewczyną przez komunikator.
(Metaforycznie) biały człowiek ma odwagę cywilną.
(Metaforycznie) biały człowiek nie zachowuje się jak dupek.
Delicje. Wielkie nic w porównaniu z tym, co w mniemaniu firmy Edipresse mieści się w granicach nie-antysemityzmu, ale i tak wyborne.
Ale nie o tym – wlazłam i uraczyło mnie mini okienkiem z informacją o nowej polityce prywatności.
Borze mój, warto było ślęczeć nad tymi analizami.
Sądzę że i bez tego można z łatwością docenić walory rozrywkowe tego tekstu, ale PO tym wszystkim były jak miód na serce.
Zaczyna się niewinnie:
“25 maja 2018 roku wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane jako „RODO”, „ORODO”, „GDPR” lub „Ogólne Rozporządzenie o Ochronie Danych”).”
“Niefortunne sformułowanie” pozwala przypuszczać, że mianem “RODO” określa się dyrektywę 95/46/WE (która z dniem 25 maja przestaje obowiązywać) a nie 2016/676 – na razie nic ciekawego.
“Dowiedz się więcej o zasadach przetwarzania Twoich danych, które wejdą w życie 25 maja 2018. Zebraliśmy dla Ciebie najważniejsze informacje, które z pewnością rozwieją wszystkie Twoje wątpliwości. Jeżeli masz więcej pytań – skontaktuj się z nami.”
Nadal nic ciekawego, ale – dla niewtajemniczonych – łatwiej załapać się na osobistą audiencję u papieża niż skontaktować się z osobą lub osobami, które zarządzają tym burde… serwisem internetowym.
“Dane osobowe – jak je zbieramy?
Twoje dane osobowe zbieramy w momencie, gdy korzystasz z naszych usług (np. serwisów internetowych). Dane osobowe mogą być zapisywane np. w plikach cookies, które instalujemy lub instalują nasi zaufani partnerzy na naszych stronach oraz urządzeniach, które wykorzystujesz do korzystania z naszej oferty.”
Pierwszy smakołyk i pierwsze odstępstwo od nakazów rozporządzenia (to akurat zrozumiałam).
Polityka prywatności ma informować o tym KIEDY (to jest) i GDZIE DOKŁADNIE będą zapisywane i o JAKIE dokładnie dane osobowe chodzi – żadne tam “np.” czy “m.in”. Użytkownik nie ma się domyślać ani zgadywać, ma zostać o tym poinformowany.
“Administrator danych – kto nim będzie
Oczywiście my – Edipresse Polska S.A. z siedzibą w Warszawie przy ul. Wiejskiej 19, ale także inne podmioty z naszej grupy kapitałowej oraz nasi zaufani partnerzy – czyli podmioty, z którymi stale współpracujemy (przede wszystkim w zakresie dostosowywania naszych treści oraz reklam do Twoich potrzeb oraz zainteresowań), ale które nie należą do Edipresse Polska S.A. . Oczywiście możesz sprawdzić listę naszych zaufanych partnerów – opublikujemy ją nie później niż 25 maja 2018.”
Tu zaczyna się impreza.
Administratorem ktoś BĘDZIE? – znaczy, że aktualnie żadnego konkretnego administratora nie ma?
Pierwsze nadużycie – wymaganie zgody na przetwarzanie danych przed dostarczeniem użytkownikom pełnej wiedzy o tym, kto będzie tymi danymi dysponował (już są, ale sądząc po sformułowaniu ewidentnie ich nie było w momencie publikowania tego tekstu – niewykluczone też, że nadal nie podano pełnej listy, wszak nie jest “później niż 25 maja 2018”).
Oczywiście nie ma to specjalnie wielkiego znaczenia zważywszy na to, że do danych osobowych będzie miała dostęp cała znana część Wszechświata z dostępem do komputera.
“Gemius Polska Sp. z o.o.; Netsprint S.A.; FreshMail Sp. z o.o.; APPVERK Sp. z o.o.; GOOGLE POLAND Sp. z o.o.; YOC Central Eastern Europe GmbH; Groupm M Sp. z o.o.; Adrino; Teads; Yieldriser Sp. z o.o.; AdForm Sp. z o.o.; Pubmatic; SAS Smartadserwer; RTB House SA”
Tak wygląda ta lista w dniu 17 maja 2018:
“Przetwarzanie Twoich danych – w jakim celu?
Zależy nam na tym, by przetwarzać Twoje dane osobowe w kilku celach:– by świadczone przez nas usługi były odpowiedzią na to, co Cię interesuje
– by treści ukazujące się w naszych serwisach były dopasowane do Twoich zainteresowań
– również by publikowane przez nas reklamy odpowiadały Twoim potrzebom i upodobaniom
– by świadczone przez nas usługi były odpowiedzią na to, co Cię interesuje
– by świadczone przez nas usługi nie były polem do nadużyć i oszustw – bezpieczeństwo Twoich danych jest nas najważniejsze.”
Pierwsze cztery “cele” to ten sam “cel”, ujęty innymi słowami (z wyjątkiem celu czwartego, który brzmi identycznie jak pierwszy) – z tego co widzę maksymalnie pięć firm (z 14 wymienionych) zajmuje się zaspokajaniem potrzeb użytkownika, inne dostarczają narzędzi i usprawniają mechanizmy zarabiania na reklamach… co nie byłoby niczym zdrożnym, gdyby było zwyczajnie wymienione jako jeden z celów. Naturalnych i oczywistych celów właścicieli portali internetowych: zarabiania pieniędzy.
Niektóre portale normalnie o tym piszą i nikt się nie oburza. Wizaż (i prawdopodobnie całe Edipresse) potrzebuje złudzenia, że wszystko co robi, robi dla dobra użytkownika, praktycznie charytatywnie – w związku z czym żaden fraje… tzn. użytkownik nie ma moralnego prawa krytykowania niczego co robią.
W jaki sposób udostępnianie danych jakimś szemranym firmom i przetwarzanie ich przez Bóg wie kogo po przekazaniu ich nieistniejącej spółce zwiększa bezpieczeństwo danych użytkowników jest chyba jedną z większych tajemnic Wszechświata.
Co z tego, że SAS Smartserver jest raczej porządną firmą, która dba o dane, skoro na pełnym luzaku przekazują je takim (tu mogłoby się pojawić brzydkie słowo, z którego wyjątkowo zrezygnuję) jak Freshmail?
Poza tym z tej deklaracji wynika, że w momencie kiedy pierwsza osoba dostanie maila o nowościach na stronie lub zasubskrybowanym wątku dojdzie do złamania prawa, bo firma deklaruje przetwarzanie danych wyłącznie w celu zadowolenia użytkownika, ale ani słowem nie wspomina, że będzie go zadowalać m.in. przez wysyłanie wiadomości e-mail.
Oni chyba naprawdę nie przeczytali ani jednej marnej sugestii względem tego, jak to powinno wyglądać – nie wspominając już o tym, że TEGO tekstu nikt nie sprawdził przed podsunięciem go do zaakceptowania dla tysięcy użytkowników.
“Możliwość przekazywania Twoich danych – komu?
W większości dane dotyczące ruchu naszych użytkowników gromadzone są przez naszych zaufanych partnerów. Prawo daje nam także możliwość przekazania danych podmiotom, które będą je przetwarzać na nasze zlecenie. Mogą to być na przykład podwykonawcy naszych usług, agencje marketingowe oraz oczywiście organy typu sądy czy policja, które mogą żądać danych na podstawie obowiązującego prawa.”
Dane gromadzone są przez ich zaufanych partnerów. Mają ich około 20.000. Albo pół miliona. Kto to wie ;-)
& nie. Prawo nie daje im możliwości przekazania danych podmiotom, które będą je przetwarzać na ich zlecenie.
Prawo daje im możliwość UDOSTĘPNIENIA danych innym podmiotom, które będą je przetwarzać na ich zlecenie JEŚLI użytkownicy udzielą na to świadomej zgody. Nie ma mowy o świadomej zgodzie jeśli akapit poświęcony celowości przetwarzania danych jest nic nie wnoszącym bełkotem o zaspokajaniu potrzeb bez żadnych konkretów.
Poza tym – kolejny smakołyk – “przetwarzanie danych” po udostępnieniu ich podmiotowi realizującemu usługę (np. targetowania czy personalizacji reklam) to nie to samo co PRZEKAZYWANIE danych podmiotom, które będą je przetwarzać.
Do “przetwarzania udostępnionych danych” dochodzi w momencie, kiedy informatyk z zewnętrznej firmy instaluje nowe oprogramowanie, umożliwiające automatyczne odpalanie reklam i filmików na pełnym ekranie dla wszystkich, którzy mają literkę “r” w adresie mailowym.
Do “przekazania” zaś w momencie, kiedy dane zostają skopiowane i podarowane firmie FreshMail, która wysyła jakiś reklamowy badziew i dzieli się adresami z rzeszą nigeryjskich książąt, bo ich polityka prywatności tego nie zabrania. To nie użytkownik ma się tym martwić.
“Twoje prawa w stosunku do danych
Pamiętaj, że w każdej chwili masz prawo do wycofania udzielonej zgody na przetwarzanie danych osobowych przez Edipresse Polska S.A. i jego zaufanych partnerów. Możesz również zażądać dostępu do swoich danych – w dowolnym momencie możesz je usunąć, sprostować, ograniczyć ich przetwarzanie, przenieść czy wnieść skargę do organu nadzorczego – GIODO.”
Otóż nie, nie, nie, nie, nie (…) i NIE. To wszystko bzdury.
Wycofanie udzielonej zgody na przetwarzanie danych jest równoznaczne z koniecznością usunięcia ich z baz danych i baz danych partnerów.
Ograniczenie przetwarzania danych – w kontekście dotychczasowej polityki serwisu, który ma użytkowników tak głęboko, że aż ich w gardle łechcą… ach, zgrywusy.
I na deser – organem nadzorczym GDPR/RODO jest nie GIODO a UODO, które zostanie powołane z dniem wejścia ustawy.
“Podstawy prawne przetwarzania Twoich danych
Nie zapominaj, że w każdym przypadku przetwarzanie Twoich danych musi być oparte na podstawie prawnej na bazie obowiązujących przepisów. Jedną z nich może być konieczność przetwarzania danych do wykonania lub zawarcia umowy, której jesteś stroną. Taką umowę może stanowić regulamin jednego z naszych serwisów www, który odwiedzasz. W przypadku marketingu, w tym profilowania podstawą prawną jest Twoja dobrowolna zgoda. W przypadku pozostałych celów, takich jak analityka ruchu lub zapobieganie nadużyciom, podstawą prawną jest uzasadniony interes administratora danych.”
No, drodzy użytkownicy – nie ma się czego bać.
Z pewnością serwis, który przez trzy miesiące nie zauważył, że współpracuje z nieistniejącą firmą, napisał politykę prywatności na kolanie i sugeruje kierowanie skarg do instytucji, która nie będzie się tym zajmować na pewno ma na celu wasze dobro.
Że się tak wyrażę – to nie użytkownik ma pamiętać tym, że przetwarzanie jego danych ma być zgodne z prawem – to wy, barany macie o to zadbać.
I nie, nie ma czegoś takiego, jak “konieczność przetwarzania danych do wykonania lub zawarcia umowy“, o której ma pamiętać użytkownik. Wcześniej zresztą też nie było. To w ich gestii leży zadbanie o to, by użytkownik został o tym każdorazowo poinformowany. Nie z wyprzedzeniem i “na wszelki wypadek”, a w momencie, kiedy zechce tę umowę zawrzeć.
“W przypadku marketingu, w tym profilowania podstawą prawną jest Twoja dobrowolna zgoda” – prawie dobrze. Dobrowolna i ŚWIADOMA. Co znaczy, że w regulaminie każdego serwisu www musi być wyłożone jak krowie na rowie: co, komu, kiedy, po co – najlepiej wraz z informacją o tym jak wygląda polityka prywatności podmiotu, któremu będą przekazywać dane.
Ostatnie zdanie – NIE.
Analityka ruchu nie ma żadnej podstawy prawnej, nie jest formalną oczywistością. Leży w interesie administratora danych i jej brak czyniłby działalność internetową nieopłacalnym nonsensem, ale – ponownie – to nie jest coś, o czym użytkownik ma “nie zapominać”.
Użytkownik powinien być o tym poinformowany – np. w tym punkcie, w którym zamiast konkretów wymieniono synonimiczne bzdury o zaspokajaniu upodobań i zadowalaniu.
“Wyraź zgodę na przechowywanie 25 maja 2018 roku, w Twoim urządzeniu plików cookies, jak też na przetwarzanie w celach marketingowych, w tym profilowania, Twoich danych osobowych pozostawianych przeze mnie w ramach korzystania oferowanych przez nas i naszych zaufanych partnerów usług. Wyraź zgodę na przetwarzanie danych po 25 maja 2018 roku w ramach korzystania z oferowanych przez nas i naszych zaufanych partnerów usług. Dzięki temu będziemy trafiać jeszcze lepiej w Twoje preferencje poprzez nasze treści i reklamy. Pamiętaj, że wyrażenie zgody jest dobrowolne.”
W tym miejscu warto przywołać powiedzenie “nie wiem, co oni biorą, ale lepiej niech biorą pół“.
Wyraź zgodę na to, żeby 25 maja 2018 przechowywali w Twoim urządzeniu pliki cookies.
Wyraź zgodę na to, żeby 25 maja 2018 roku przetwarzali pliki cookies w celach marketingowych.
Wyraź zgodę na to, żeby 25 maja 2018 roku… kto to jest “MNIE” na litość Boską?
Kim jest to tajemnicze “MNIE”, które 25 maja 2018 roku będzie pozostawiało dane osobowe użytkowników (gdzie? komu? tajemnica?)?!
Będzie je pozostawiało w ramach korzystania oferowanych przez nich (MNIE w liczbie mnogiej? – staropolszczyzną lecimy, czy pretensjonalnością?) i ich (jego? jej? was?) zaufanych partnerów usług. Usługi mają zaufanych partnerów?
Czy chodzi o burdel?
I żeby nie było – to DOKŁADNE cytaty, słowo w słowo cały ten utwór liryczny – nie uroniłam ani słowa z tego wiekopomnego dzieła.
No, może tylko tradycyjnie “wyjęłam wszystko z kontekstu” odnosząc się po kolei do każdego akapitu.
Jest jeszcze wisienka na torcie:
“Jeszcze więcej informacji o przetwarzaniu Twoich danych znajduje się w Polityce Prywatności serwisów Edipresse.“
I… brak linku do tej polityki prywatności.
W zamian bezczelne stwierdzenie, że więcej informacji o przetwarzaniu znajduje się w polityce prywatności serwisów Edipresse. Jakich serwisów? Wizaz.pl jest jednym z tych serwisów, dlaczego więc czegokolwiek miałoby tu brakować? Czemu tego nie ma?
Dane użytkowników serwisu będą przetwarzane zgodnie z politykami prywatności INNYCH serwisów? Z jakąś polityką prywatności firmy, z którą można się zapoznać Bóg wie gdzie?
Te pierdoły nie są zgodne z wytycznymi GDPR. Ten strumień świadomości nawet nie nosi znamion dobrej woli i próby poinformowania użytkowników o tym, co faktycznie będzie się działo z ich danymi.
