…przynajmniej zdaniem holenderskiego urzędu ochrony danych. Nie każdy ma świadomość, że jego system wysyła do Microsoftu dane o urządzeniu i zainstalowanym oprogramowaniu. Nawet jeśli o tym wiemy, nie wiemy dokładnie jakie kategorie danych i jak są przetwarzane. Tak naprawdę jest to coś więcej niż lokalna ciekawostka.
Nieprzejrzysta telemetria w Windowsie
Holenderski odpowiednik naszego GIODO (Autoriteit Persoonsgegevens) jeszcze przed weekendem opublikował wyniki swojej analizy dotyczącej różnych wydań systemu Windows 10. Te analizy skupiały się na tzw. telemetrii czyli danych zbieranych z różnych urządzeń z Windowsem w celu ustalenia jak wiele osób korzysta z systemu i na jakich urządzeniach. Dane telemetryczne obejmują indywidualny numer identyfikacyjny urządzenia, typ tego urządzenia i zainstalowane na nim oprogramowanie.
Do kwietnia 2017 roku Microsoft oferował trzy poziomy telemetrii: podstawowy, rozszerzony i pełny. Później oferował już tylko podstawowy i pełny. Domyślnym poziomem śledzenia był ten pełny, a poza tym Microsoft sam przyznał sobie prawo do personalizowania reklam i rekomendacji wyświetlanych w przeglądarce Edge. Również inni twórcy aplikacji mogli korzystać z identyfikatora użytkownika w celu wyświetlania spersonalizowanych reklam w przeglądarce.
Na pierwszy rzut oka nie wygląda to groźnie, ale zastanówmy się. Microsoft mógł się dowiedzieć, że użytkownik danego urządzenia korzysta z aplikacji dla kobiet w ciąży, albo z aplikacji adresowanych do wyznawców danej religii lub użytkowników jakiegoś mniejszościowego języka. Microsoft mógł wiedzieć, że dany użytkownik czyta gazety prezentujące jakiś światopogląd. To wszystko mogło być wykorzystane do kierowania kolejnymi wyborami tej osoby. To nie jest bez znaczenia dla prywatności.
Ogólne cele plus niejasne kategorie
Microsoft wskazał powody zbierania danych, ale raczej bardzo ogólne np. pilnowanie aktualności systemu albo kwestie bezpieczeństwa. Zdaniem holenderskiego urzędu firma nie przedstawiła dokładnych wyjaśnień na temat kategorii danych osobowych przetwarzanych przez rozwiązania telemetrii, a chodziło przecież o przetwarzanie w stylu Big Data, gdzie raz zebrane dane mogą być natychmiast uzupełnione kolejnymi.
– Sposób w jaki Microsoft zbiera dane telemetryczne pozostaje nieprzewidywalny (…) Z powodu kombinacji celów, dla których dane są zbierane, połączonych z brakiem przejrzystości, Microsoft nie może uzyskać prawnych podstaw do przetwarzania danych takich jak zgoda (użytkowników – red.) lub uzasadniony prawnie interes. Dlatego powody, dla których Microsoft zbiera dane telemetryczne nie mogą być prawnie uzasadnione – czytamy w analizie holenderskiego urzędu.
Zgodnie z holenderskim prawem zgoda na przetwarzanie danych osobowych powinna być „jednoznaczna”. Zdaniem urzędu skoro Microsoft nie wyjaśnił wszystkiego przejrzyście, nie można mówić o takiej zgodzie. Trudno również być pewnym co do zgody, jeśli domyślne ustawienia telemetrii były „pełne”.
Administrator danych osobowych może przetwarzać dane bez zgody, jeśli leży to w jego uzasadnionym prawnie interesie. Microsoft nie wskazał, które dane odnoszą się do poszczególnych celów przetwarzania.
Microsoft nie musi przestać śledzić, ale…
Co na to Microsoft? Gigant odpowiedział na swoim blogu twierdząc, że realizuje holenderskie prawo i ciągle ulepsza opcje prywatności oferowane użytkownikom. Firma udostępniła swój arkusz informacyjny, który ma przekonywać o przejrzystości jej intencji. Opublikowała także filmiki prezentujące ustawienia prywatności.
Co ważne, nikt nie oczekuje od Microsoftu zaprzestania telemetrii. Według urzędu firma powinna jedynie zapewnić, że użytkownicy dokładnie wiedzą co się dzieje z ich danymi. Na pierwszy rzut oka to nie tak wiele, a jednak… to chyba zbyt wiele.
e-Prywatność = seria niedopowiedzeń
Możemy traktować tę historyjkę jako lokalną ciekawostkę, ale w istocie jest ona odbiciem dość poważnego i powszechnego problemu. Takiego, którego nie będziemy mogli wiecznie tolerować.
Możemy naiwnie zakładać, że Google, Microsoft czy Facebook do duże „poważne” firmy, które zawsze działają w granicach prawa. W istocie od lat podnoszony jest problem ich zbyt swobodnego podejścia do naszej prywatności. Przykładowo polityka prywatności Google niezbyt jasno określa w jaki sposób firma łączy dane z różnych usług. Nawet eksperci od ochrony danych przyznają, że mają problem ze zrozumieniem tego dokumentu. W roku 2014 francuski organ ochrony danych (CNIL) nałożył na Google karę w wysokości 150 tysięcy euro. Problem w tym, że na płacenie takich kar „Google’a” po prostu stać (to się może zmienić gdy wejdą w życie nowe unijne przepisy o prywatności – tzw. GDPR).
Wobec Facebooka było sporo wątpliwości. Przytoczmy dość świeżą sprawę związaną z przejęciem WhatsAppa. Facebook będzie za to ukarany ponieważ oszukał Komisję Europejską w kwestii możliwości połączenia baz danych jego i WhatsAppa. To było naruszenie prawa konkurencji, ale w tle całej sprawy było także oszukanie użytkowników w kwestii prywatności.
Bez Facebooka czy WhatsAppa jeszcze da się żyć. O wiele trudniej jest się obejść bez popularnego systemu operacyjnego takiego jak Windows. Ja osobiście go nie używam, ale znam osoby zmuszone do tego z powodu konkretnych aplikacji. Rozumiem też ludzi, którzy używają Windowsa od wielu lat i są od niego uzależnieni z racji wielu przyzwyczajeń.
Czy tego chcemy czy nie, dzisiejsze systemy operacyjne upodabniają się do aplikacji webowych. Uzależniają się od pobierania danych z sieci i same wysyłają dane. Producenci nie chcą, abyśmy ograniczyli ich funkcjonalność ze strachu o swoją prywatność. Dlatego wszelkie informacje o prywatności są „uładzane”, a sposoby wyrażania zgód są obliczone na zdobywanie potwierdzeń zgód. Trochę się nas okłamuje, ale jakoś to wszystko działa… Holenderski urząd delikatnie daje do zrozumienia, że tolerując taki stan rzeczy zbliżamy się w stronę bardzo niebezpiecznej ingerencji w prywatność.