Stručnjak za zaštitu privatnosti: Ne veruj Guglu ni kad darove nosi

Opšta uredba o zaštiti podataka (GDPR) i drugi zakoni kojima se štiti privatnost naterali su globalne tehnološke igrače da promene taktiku. Prodajom podataka o interesovanjima korisnika Gugl je pre svega opsluživao industriju oglašivača. Ipak, novim pravilima već se nekoliko godina u tom tehnološkom divu pripremaju na ukidanje kolačića (eng. Cookies). Dok su se oni pripremali, Safari i Firefox su ih ukinuli. No, sve se događa s razlogom. U Guglovoj kuhinji pripremalo se alternativno rešenje.

“Kad pričamo o privatnosti, najprigodnije je malo izmeniti poznatu latinsku izreku: “Ne veruj Guglu ni kad darove nosi”. Dok ukidanje kolačića trećih strana zvuči kao načelno pozitivan potez za zaštitu privatnosti, dobro znamo da je ova kompanija svoje poslovno carstvo izgradila upravo na nezakonitom i netransparentnom prikupljanju masovnih količina naših osnovnih podataka. Bilo bi naivno očekivati da će sada pucati sama sebi u nogu i tek tako ostati bez svog najvrednijeg resursa”, kaže za Forbes Hrvatska Duje Kozomara, konsultant za zaštitu ličnih podataka i osnivač platforme Regula.

Gugl je predstavio novu metodu praćenja korisnika u svrhu oglašavanja koja se, ističe Kozomara, već u naslovu diči privatnošću. Privacy Sandbox je sada deo globalno najkorišćenijeg internet pretraživača Chrome, a funkcioniše tako da prati našu istoriju pretraživanja interneta (eng. browsing history) pa kreira listu oglasnih “tema” kojima pripadamo, u zavisnosti od toga koji tip stranica posećujemo. Postoje stotine oglasnih kategorija – od guma za automobile do roditeljstva i kreditnih pozajmica. Internet stranica koja podržava Privacy Sandbox onda nam prikazuje oglase u zavisnosti od toga kojoj kategoriji Gugl kaže da pripadamo.

“Blokiranjem kolačića trećih strana u Chrome-u uz uvođenje Sandboxa, Gugl u principu govori: ‘Omogući ćemo da vas na internetu niko ne može pratiti- osim nas’. Tim potezom zapravo su dodatno ojačali svoju poziciju u ekosistemu oglašavanja koji su odavno praktično monopolizovali”, analizira jedan od retkih stručnjaka za zaštitu ličnih podataka u Hrvatskoj.

Saglasnost za kolačiće ostaju

Iskustvo guglanja i surfovanja neće se puno promeniti. Štaviše, saglasnost za prikupljanje kolačića ostaje s nama. Zakon o elektronskim komunikacijama kojim su implementirane obaveze iz ePrivacy direktive ne razlikuje kolačiće prve i treće strane. Dok god internet stranica ili aplikacija na uređaj korisnika skladišti podatke ili pristupa već skladišćenim podacima, saglasnost korisnika je obavezna, tumači Kozomara.

Dodaje kako su izuzetak situacije kada je ta datoteka neophodna da bi stranica funkcionisala. Na primer, onlajn trgovina ne mora tražiti dozvolu za kolačić koji će pamtiti šta ste spakovali u “korpu” da biste mogli da nastavite da pregledate druge proizvode. Međutim, ako želi da vam udeli kolačić koji će omogućiti da vas kasnije označava kao svog posetioca oglasima na Fejsbuku, to ne može bez saglasnosti, objašnjava osnivač platforme za upravljanje dozvolama za kolačiće Regula.

Nove metode špijuniranja

Adtech industriji, koja živi od praćenja ponašanja u onlajn svetu, već je neko vreme jasno da kolačići trećih strana izumiru. Stoga su krenuli da razvijaju različite nove metode kako bi neometano nastavili sa svojim poslom. Trenutno najpopularnija metoda za identifikaciju pojedinačnih uređaja ili korisnika i praćenje njihovog ponašanja preko različitih internet stranica naziva se fingerprinting.

Kao što naziv sugeriše, prilikom poseta određene stranice stvara se “otisak prsta” našeg uređaja. Kozomara objašnjava kako se skupljaju podaci poput naziva i verzije internet pretraživača, rezolucije ekrana, popisa fontova i dodataka, IP adrese koji služe kao jedinstveni identifikator pomoću kojeg kompanije mogu da nastave da nas prepoznaju dok surfujemo internetom.

“Fingerprinting je zapravo invazivniji od običnog praćenja temeljenog na kolačićima i komplikovanije ga je blokirati. Ova metoda omogućava kompanijama da prate naše ponašanje po internetu mesecima, čak i kada počistimo istoriju pretraživača ili koristimo “privatni/incognito” način korišćenja. Korisno je znati da ipak postoje internet pretraživači koji automatski blokiraju fingerprinting u određenoj meri, uglavnom na način da zaustavljaju zahteve koje internet stranica uputi prema određenim trećim stranama koje su prepoznate kao fingerprinting kompanije. Moj favorit među privacy-focused pretraživačima je Brave, ali i Firefox radi izvrstan posao”, obrazlaže mladi pravnik kojem je GDPR odredio poslovni put.

GDPR preduzetnička priča

Moja priča je kombinacija znatiželje, uz malo preduzetničkog duha i izuzetno dobar tajming, koji svakako možemo nazvati i srećom, kaže Kozomara. “Završavao sam Pravni fakultet u Splitu i bilo mi je potpuno jasno da ne želim da radim u advokatskoj kancelariji. Uvek sam strastveno pratio razvoj tehnologije, zbog čega sam od prijatelja dobio preporuku da bacim oko na tu novu Uredbu Evropske unije od koje, navodno, strepe najveće tehnološke kompanije čiji poslovni model zavisi od obrade ličnih podataka. GDPR me jako brzo zainteresovao pa sam odlučio da napišem magistarski rad baš na tu temu. Spomenuo sam kvalitetan tajming: rad sam branio u prvoj polovini famozne 2018. godine, baš uz sveopšte prisustvo medijskog dizanja panike oko GDPR kazni”.

U to je vreme, kako prepričava Kozomara, kolega njegovog prijatelja pokretao webshop. Kako mu se ideja o velikim novčanim kaznama nije suviše dopadala, zamolio je za pomoć oko usklađivanja te internet trgovine sa Uredbom. Nije se obazirao ni na objašnjenja o neiskustvu. Verovatno nije poznavao nikog drugog ko bi o tome nešto znao.

“Bacio sam se na posao, a koju nedelju kasnije je stigao drugi upit, od manje javne ustanove kojoj je bilo potrebno savetovanje. S ova dva klijenta očito sam nešto dobro napravio, jer zahvaljujući njihovim preporukama počele su se javljati i druge organizacije, a nakon pet, šest klijenata postajalo mi je jasno da će to biti ono čime ću se baviti”, rekao je Kozomara koji je 2019. godine otvorio firmu Consent.

Budući da je želeo da se razlikuje od knjigovodstvenih servisa i malih-od-suseda-koji-znaju-taj-GDPR, odmah je pokrenuo postupak za dobijanje sertifikata Međunarodnog udruženja profesionalaca za zaštitu privatnosti (The International Association of Privacy Professionals – IAPP). Iako je GDPR groznica posustala, potražnja za uslugama Consenta nije.

“Količina upita koju trenutno primamo verovatno je najveća otkad sam krenuo s konsultantskim poslom. Rekao bih da je delom reč o tome da smo s godinama uspeli da stvorimo određenu prepoznatljivost u ovom području, a veliku ulogu sigurno igraju i preporuke zadovoljnih klijenata. Ipak, ključni faktor u osvešćivanju organizacija koliko je važna zaštita ličnih podataka kojima rukuju definitivno je rad nadzornog tela za zaštitu podataka“, kaže Kozomara.

Više kaznenih evra, manje katastrofe u dozvolama

Do danas je Consent pomogao više od 50 organizacija različitih veličina i branši oko GDPR i ePrivacy glavobolja, ali i u opširnijem procesu stvaranja organizacione kulture privatnosti. U odnosu na početne godine, kada je stanje s dozvolama za kolačiće na hrvatskim internet stranicama bilo “katastrofalno”, stanje je danas mnogo bolje, kaže naš sagovornik. Delimično je u tome pomogla i njegova platforma Regula koja je olakšala preduzetnicima usklađivanje politike prikupljanja kolačića s GDPR-om.

“Iako broj internet stranica koje ne odrađuju taj deo kako treba, što namerno, što iz neznanja, još uvek nije malen, svakako idemo na bolje. Svest kontinuirano raste, kupci i klijenti postavljaju sve više pitanja o praksama zaštite podataka, a AZOP je izdao i niz smernica za kolačiće, kao i dve novčane kazne baš na tu temu”, kaže Kozomara.

Nezakonito je ako nas neka stranica prisiljava da po svaku cenu prihvatimo kolačiće, a kako bismo ih odbili moramo da ugasimo monitor, upalimo osam sveća poslaganih u krug i izgovorimo čarobne reči na latinskom, slikovit je Kozomara koji kaže kako je AZOP lani zbog toga propisao dve kazne u ukupnom iznosu od 50.000 evra. Glavna kršenja GDPR-a bila su nedostatak pravne osnove za obradu putem kolačića, nedostatak informacija za valjanu saglasnost i nedostatak transparentnosti.

Potencijalni udari na privatnost iz EU

Budući da je privatnost u umreženom društvu postala izrazito velika tema, da ne kažemo opasnost za koju nisu sazidani bedemi odbrane, frontova na kojima se valja boriti je mnogo. “U EU nikad nije dosadno, čak i nama koji aktivno pratimo legislativne procese, neretko je teško sve pohvatati. Niz je pravnih akata povezanih s privatnošću koji su već u međuinstitucijskim pregovorima”, navodi splitski stručnjak za zaštitu privatnosti.

Ističe kako je među njima i ePrivacy uredba koja bi, između ostalog, trebalo da reši problem bombardovanja cookie bannerima. Međutim, ta je uredba u procesu od 2017. godine i zbog intenzivnog lobiranja big tech kompanija postoje ozbiljne sumnje da nikada neće ni biti usvojena.

Problematičan je predlog Evropske komisije iz maja 2022. godine za European Health Data Space (EHDS), naglašava Kozomara. Kao član Evropske mreže nevladinih organizacija, stručnjaka i aktivista za digitalna prava (European Digital Rights – EDRi) navodi kako sadašnji predlog forsira komercijalizaciju i monetizaciju svakog aspekta našeg zdravlja, bez našeg pristanka. EDRi inicijativa dala je preporuke kako poboljšati predlog zbog rizika za privatnost.

Jedan od njih je i taj što bi, kako se navodi na stranici EDRi-ja, prema predlogu Komisije, lekari i bolnice morali medicinske podatke da ustupe nacionalnim vlastima. One bi ih pak mogle proslediti bilo kome ko iskaže interes za istraživanje, bez obzira na to jesu li u pitanju akademske ustanove, farmaceutske kuće ili tehnološke korporacije koje bi te podatke koristile za svoje AI modele.

Sada kada se o tome vodi računa, pretnje privatnosti iskaču sa svih strana, a uloga regulatornog tela je neizmerno važna. Taj pas čuvar sada nikako ne sme zaspati. To pokazuje i ovaj primer.

“U prošlog godini smo se borili protiv predloga Uredbe CSA (Child Sexual Abuse), poznatog i kao chat-control. Predlog je bio izuzetno opasan i podrazumevao je opšti nadzor privatne komunikacije te značio praktično ukidanje funkcije. Predložena rešenja predstavljala su nesrazmerno narušavanje prava na privatnost, uticala na slobodu izražavanja te podrivala koncept presumpcije nevinosti. Aktivna pobuna civilnog društva, ali i stručnjaka rezultirala je time da je Evropski parlament odbacio predlog”, ispričao je Kozomara.

Lični podaci kao nova valuta?

Bliska budućnost je što se tiče privatnosti poprilično složena. Već sada neki tvrde kako je besmisleno i samozavaravajuće govoriti o privatnosti nakon gotovo dve decenije društvenih mreža i dvostruko toliko vremena otkad “živimo” na internetu. Ipak, neki futurolozi predviđaju kako će privatnost i lični podaci biti način segregacije društvenih klasa. Deo populacije neće moći sebi da priušti privatnost te će im lični podaci služiti kao valuta. Jedan od onih koji predviđaju takvu budućnost je izraelski istoričar Yuval Noah Harari kojeg nazivaju i mračnim futuristom.

“Ne moramo izmišljati neke futurističke scenarije kada govorimo o plaćanju ličnim podacima. Loyalty programi brojnih brendova funkcionišu upravo na premisi da kompanijama omogućimo uvid u vlastite potrošačke navike i ponašanje, a zauzvrat dobijemo jeftiniji proizvod ili uslugu”, kaže Kozomara podsećajući kako je budućnost već stigla.

Važno je razumeti da su privatnost i zaštita ličnih podataka zaštićeni kao temeljna ljudska prava Poveljom EU-a o temeljnim pravima. Temeljna prava ne mogu biti na prodaju i zbog toga ih, uprkso ovim pokušajima, ne možemo poistovetiti s valutom, tumači Kozomara.

Prema sadašnjem pravnom okviru, futurističke crne slutnje o ukidanju privatnosti siromašnijih slojeva društva ne bi se mogle obistiniti, jer bi se u tom slučaju bile prisiljene odreći temeljnog ljudskog prava kako bi nešto dobile zauzvrat.

Također, navodi kako je već u toku i rasprava o takvim praksama, pogotovo otkako je Meta povukla kontroverzan potez. Korisnici Facebooka i Instagrama morali su odlučiti hoće li davati 9,99 ili 12,99 evra mesečno kako bi zadržali privatnost ili će Zakerbergovoj kompaniji omogućiti detaljne uvide o svom ponašanju i interakcijama na platformi.

“Što se tiče Fejsbukovog consent-or-pay modela, niz pritužbi za njihov potez već je poslat nadzornim telima za zaštitu podataka. Neću biti iznenađen ako čitav slučaj završi na Sudu Evropske unije koji ima poprilično pozitivne rezultate kad je reč o presudama za zaštitu ličnih podataka kao ljudskog prava”, zaključuje Kozomara.

Nikolina Oršulić, novinarka Forbes Hrvatska