Objavljeno: 27.6.2018 | Avtor: Miran Varga | Monitor Julij-avgust 2018

Zajezimo apetite spletnih velikanov

Uredba GDPR je podjetja pa tudi spletne velikane prisilila k spremembam ravnanja z našimi osebnimi podatki. Razkrivamo, kako so se odzvali spletni giganti, in svetujemo, kako se ponovno polastiti zasebnosti oziroma svojih podatkov.

Kratica GDPR predstavlja novo Splošno uredbo EU o varstvu podatkov, ki določa nova pravila varstva osebnih podatkov. Veljati je začela 25. maja letos, še preden je Slovenija dobila prenovljen Zakon o varovanju osebnih podatkov (ZVOP-2), ki bo podrobneje urejal to področje. Preverili smo, kako se z uredbo GDPR soočajo spletni velikani in kaj lahko ob novih pravicah na področju ravnanja z našimi osebnimi podatki ukrenemo sami.

Facebook

Družba Facebook v povprečju premore bržkone največ osebnih podatkov o posamezniku na svetu. Njen izvršni direktor Mark Zuckerberg se je pred Evropsko komisijo zavezal, da bo podjetje delovalo v duhu uredbe GDPR, kar pomeni, da bo državljanom evropskih držav priznal iz omenjene uredbe izvirajoče pravice. A še pred tem je poskrbel za potezo, ki kaže, da se zbranim podatkom in njihovi obdelavi še zdaleč ne namerava odpovedati. Družba je namreč podatke o uporabnikih, ki niso prebivalci ZDA, hranila na svojih strežnikih v podatkovnem centru na Irskem, a ker je ta pristal na teritoriju, za katerega veljajo nove pravice varovanja osebnih podatkov, se je Facebook (nepresenetljivo) odločil, da bo prenesel podatke 1,5 milijarde uporabnikov (tako rekoč vseh, ki ne domujejo v državah EU) na območje zunaj pristojnosti EU – na strežnike v ZDA, kjer še vedno veljajo bistveno manj strogi zakoni o zasebnosti in obdelavi podatkov.

Aprila je Facebook posodobil svoje splošne pogoje in podatkovno politiko (newsroom.fb.com/news/2018/04/new-privacy-protections/) ter jih uskladil z določili uredbe GDPR. Ob tem je pozval vse svoje uporabnike, naj se odločijo, ali želijo imeti prikazane oglase na podlagi podatkov partnerjev družbe Facebook in še naprej deliti občutljive informacije (kot jih določa GDPR) v svojih profilih. Pomembna sprememba je tudi sprejem odločitve, ali želi uporabnik vklopiti funkcijo prepoznavanja obrazov, ki omogoča, da se ga identificira na fotografijah in videoposnetkih, za namene hitrega označevanja pri prijateljih. Prej je bila ta funkcija v Evropi prepovedana zaradi pravil zasebnosti, vendar pa nova uredba daje izbiro uporabniku. To možnost pa je Facebook takoj izkoristil in ponudil možnost vklopa omenjene funkcionalnosti, pri čemer jasno navaja, katere podatke obdeluje in za katere namene.

Kako povrniti osebne podatke? Facebook že sicer uporabniku omogoča, da prenese vse podatke, ki jih ta ima o njem (navodila najdemo na povezavi www.facebook.com/help/1701730696756992). Njegovo novo orodje za dostop do podatkov pa nam omogoča nadaljnje pregledovanje podatkov, ki smo jih objavili ali delili z drugimi, na primer všečke, komentarje, videoposnetke, lokacijo in zgodovino iskanja. V svojem računu lahko pregledamo in upravljamo stvari, ki jih damo v svoj dnevnik dnevnikov, in izbrišemo vse, kar nam ni všeč. Izbrišemo lahko tudi celoten Facebook račun in vse podatke, ki jih vsebuje. Vse naštete možnosti so zdaj tudi precej bolj dostopne, prikličemo jih tako, da kliknemo puščico navzdol v zgornjem desnem kotu Facebooka in izberemo Nastavitve (settings), potem pa Moji Facebook podatki (Your Facebook Information). Zdi se, da je za povečano preglednost še najbolj zaslužna afera Cambridge Analytice, bolj kot pa uredba GDPR, vendar smo veseli, da se Facebook končno ukvarja z vsaj nekaj skrbmi na področju zasebnosti. Podjetje je objavilo tudi načrt za možnost Izbrisa zgodovine, ki uporabniku omogoča, da s klikom na gumb (https://www.facebook.com/zuck/posts/10104899855107881) odstrani podatke o vseh vsebinah, ki smo si jih ogledali, spletnih mestih, ki smo jih obiskali, in drugih aktivnostih.

Za večjo zasebnost v družabnem omrežju Facebook velja izklopiti možnost samodejnega prepoznavanja obraza.

Google

Pregovorno podatkovno lačni (požrešni?) Google je prav tako moral opraviti številne spremembe, da je dosegel skladnost z uredbo GDPR, vključno z omejevanjem obdelave podatkov uporabnikov, ki še niso dopolnili 16. leta starosti, in pri podpori podjetjem, ki želijo na spletu prikazovati nepersonalizirane oglase. V e-poštni storitvi Gmail je dodal možnost zaščite zaupne e-pošte z geslom, ki omeji e-sporočila na »branje in odgovarjanje«, preden jih izbriše po v nastavitvah določenem času. Ko gre za pridobitev izrecnega soglasja, se zdi, da je Google to možnost prepustil oglaševalcem in založnikom, kot je pojasnil v spletnem dnevniku (adwords.googleblog.com/2018/03/changes-to-our-ad-policies-to-comply-with-the-GDPR.html). Tako bodo morali ti uvesti dodatne korake pri pridobivanju soglasja svojih uporabnikov za prikaz različnih vsebin.

Kako povrniti osebne podatke? V nadzorni plošči (Dashboard) uporabniškega računa Google (myaccount.google.com/dashboard) si lahko ogledamo vse podatke, ki jih je Google hrani o nas, vključno z zgodovino iskanja, shranjenimi lokacijami, sinhroniziranimi zaznamki, napravami Android in še veliko drugih stvari. Na isti strani lahko onemogočimo zbiranje določenih podatkov tako, da izklopimo Zgodovino lokacij (Location History), dejavnosti v spletu in aplikacijah (Web&App Activity) ter zgodovino ogledov na spletišču YouTube (YouTube Watch History). Prav tako lahko vse ali izbrane podatke prenesemo v svoj računalnik v obliki datoteke s končnico ZIP ali TGZ. Če želimo izbrisati določene podatke, ki jih je Google zbral, se odpravimo na povezavo myactivity.google.com/myactivity in izberemo možnost Izbriši dejavnost (Delete activity by). Na povezavi myaccount.google.com/deleteaccount pa imamo na voljo možnost izbrisa celotnega računa.

Microsoft

Za uskladitev z uredbo GDPR je tudi Microsoft posodobil svojo pogodbo o nudenju storitev. Ta je po novem precej bolj pregledna in informativna glede podatkov, ki jih velikan iz Redmonda zbira o nas. Prav tako je uvedel preverjanje soglasja staršev za otroške račune. Novi postopek preverjanja pristnosti od staršev in skrbnikov zahteva, da uporabnikom, mlajšim od 16 let, dovolijo, da odprejo Microsoftov račun, zato je mogoče podatke o otroku zakonito obdelovati v skladu z novimi pravili EU. Preverjanje lahko vključuje zaračunavanje majhne nevračljive pristojbine, plačljive s kreditno ali debetno kartico (podrobnosti najdete na support.microsoft.com/en-us/help/4090274/microsoft-account-parental-consent-and-child-accounts). Microsoft je prav tako pripravil orodje za upravljanje skladnosti, poimenovano Compliance Manager, namenjeno predvsem podjetjem. Storitvi Office 365 in Azure pa sta prejšnji mesec pridobili tudi zavihka, poimenovana Zasebnost podatkov (Data Privacy), v katerih programski gigant podrobneje razlaga, kaj in zakaj počne z našimi osebnimi podatki.

Kako povrniti osebne podatke? Če želimo znova pridobiti podatke, ki jih je Microsoft pridobil z orodji, kot sta Bing in Cortana, obiščite zavihek Zasebnost (Privacy) na povezavi account.microsoft.com/privacy. To stran je Microsoft zagnal že lani, torej se je na uredbo GDPR temeljito pripravil. Nadzorna plošča deluje podobno kot Googlova rešitev in omogoča ogled ter izbris vseh podatkov, ki jih je podjetje zbralo o naših dejavnostih, vključno z zgodovino brskanja in iskanja, lokacijami, ki smo jih prejeli (zbranih prek GPS), glasovnimi ukazi, ki smo jih uporabili, in celo podatke o naših interesih. Če želimo izdelati arhiv teh osebnih podatkov, na vrhu strani kliknemo možnost Prenos podatkov (Download your data). Nadzorna plošča ponuja tudi podrobnosti o tem, kako prilagoditi nastavitve zasebnosti za Microsoftove izdelke, kot so Windows, Skype in Xbox, ter nam omogoča izklop spletnih oglasov, ki so »prilagojeni vašim interesom na podlagi prejšnjih dejavnosti, iskanja in obiskov na spletnem mestu«.

Microsoft je združljivosti z uredbo GDPR namenil dveri, prek katerih uporabniki in podjetja natančno urejajo zbiranje ter obdelavo podatkov.

WhatsApp

Tudi WhatsApp je moral dvigniti najnižjo starostno mejo za soglasje na 16 let (prej 13), saj uredba GDPR navaja, da je obdelava otrokovih podatkov zakonita šele, ko je ta star vsaj 16 let. V nasprotju s Facebookom, ki od mladih, starih od 13 do 15 let, zahteva dovoljenje skrbnika za deljenje podatkov, WhatsApp ne zahteva dodatnih pravic za zbiranje osebnih podatkov. Namesto tega bodo morali evropski uporabniki potrditi, da so stari 16 let ali več, preden bodo lahko začeli uporabljati aplikacijo za sporočanje. Najnižja starost bo sicer ostala enaka za uporabnike v drugih delih sveta. WhatsApp je v luči GDPR posodobil svoje pogoje zagotavljanja storitve in politiko zasebnosti (www.whatsapp.com/legal?eea=1#terms-of-service). Ta je zdaj jasnejša in opredeljuje, katere podatki WhatsApp zbira o nas in zakaj. Podatki državljanov EU se po novem hranijo na Irskem. Kot zanimivost velja omeniti, WhatsApp trdi, da trenutno ne posreduje naših osebnih podatkov Facebooku, a v isti sapi dodaja, da se to v prihodnje lahko spremeni.

Kako povrniti osebne podatke? WhatsApp je v svojo aplikacijo implementiral funkcijo, poimenovano Zahteva za informacije o računu (Request Account Info), ki nam omogoča pregled in prenos podatkov ter nastavitev o računu. Do nje dostopamo tako, da v zgornjem desnem kotu aplikacije kliknemo na ikono s tremi pikami, izberemo možnost Nastavitve (Settings), Račun (Account) ter Zahteva za informacije o računu (Request Account Info). Zatem kliknemo na možnost Zahtevaj poročilo (Request report). Naše poročilo naj bi bilo na voljo v treh dneh, nato pa ga lahko prenesemo in izvozimo v drugo aplikacijo (datoteke ne bomo mogli odpreti v WhatsAppu). Če nam vsebina poročila ni všeč, nam ostane le ena možnost – izbris WhatsApp računa (to lahko storimo v nastavitvah računa).

Twitter

Tudi Twitter je bil primoran znatno spremeniti svojo politiko in nastavitve zasebnosti v luči sveže evropske uredbe. Skladno z zahtevo, da morajo podjetja svoje politike zasebnosti pojasniti z uporabo preprostega jezika, je Twitter razširil in spremenil vsebino ter pojasnila o rabi podatkov o naši lokaciji in podatkov, ki jih Twitter deli z oglaševalskimi partnerji. 25. maja smo uporabniki, ki domujemo v državah EU, prejeli sporočilo, ki pojasnjuje spremembe pogojev rabe storitve in politike zasebnosti ter novo pravno podlago obdelavo osebnih podatkov. Za uporabnike v ZDA pa se pričakovano ni spremenilo nič.

Kako povrniti osebne podatke? Konec maja nas je Twitter usmeril na svojo stran Nastavitve in zasebnost in nas prosil za pregled trenutnih nastavitev – na primer kdo nas lahko označuje na fotografijah, poišče z e-poštnim naslovom ali s telefonsko številko pa tudi cilje s prilagojenimi spletnimi oglasi. Po novem lahko pregledamo in prenesemo podatke, ki jih družba Twitter premore o nas. Nahajajo se v razdelku Vaši Twitter podatki (Your Twitter data) na strani Nastavitve in zasebnost. Ti vključujejo spol (ocenjen na podlagi našega profila in dejavnosti), lokacije, ki smo jih uporabljali za tvitanje, podatke o brskalnikih in napravah, ki jih uporabljamo, ter tudi Twitterjevo »sodbo« o naših interesih. Vse zbrane podatke lahko tudi prekličemo. Na dnu strani se nahaja tudi gumb Zahtevaj podatke (Request data), ki sproži zahtevek za osebne podatke. Te bomo prejeli kot prilogo e-pošte. Podobno zahtevo lahko sprožimo tudi za vse oglaševalce, ki so z oglasi merili (in še merijo) na nas.

Zgodnje delo na skladnosti z uredbo GDPR je številnim uporabnikom storitve Twitter za omejen čas onemogočilo dostop do računov.

Instagram

Po škandalu Cambridge Analytice so nekateri uporabniki Instagrama zahtevali, da storitev za izmenjavo fotografij ponudi enakovredno orodje za prenos podatkov s svojega računa, kot ga nudi Facebook. Instagram je storil prav to, uporabnikom je dal na voljo orodje, s katerim lahko zberejo vse svoje slike in osebne podatke ter jih celo prenesejo v druge spletne storitve.

Kako povrniti osebne podatke? Če želimo prenesti svoje fotografije, videoposnetke, podatke o profilu, sporočila in druge podatke iz storitve Instagram, obiščemo povezavo www.instagram.com/accounts/login/?next=/download/request/. Nato se prijavimo v storitev in izberemo možnost Zahtevaj prenos podatkov (Request Download). Instagram bo ustvaril datoteko, ki vsebuje vse vsebine, ki smo jih dali v skupno rabo, in nam prek e-pošte poslal povezavo za prenos. Kot navaja ponudnik, priprava podatkov lahko traja do 48 ur. Možnost prenosa je na voljo tudi v Instagram aplikacijah za Android in iOS.

Instagram je podobno kot številne druge aplikacije uporabnikom precej grobo vsilil branje novih pogojev uporabe storitve.

eBay

Spletna tržnica eBay je bila sprva zelo skrivnostna glede tega, kako bo uredila področje osebnih podatkov, da bo skladno z GDPR. Forumska skupnost uporabnikov je že videla vrsto teorij zarote, a v začetku maja le dočakala spremenjena pravila zasebnosti. Spremembe vključujejo jasnejše informacije o tem, kdaj eBay izbriše naše podatke, in povečuje preglednost različnih namenov, za katere uporablja naše osebne podatke. »Vaše osebne podatke uporabljamo za uresničevanje naših legitimnih interesov, če vaše pravice in svoboščine ne prevladajo nad temi interesi,« še vedno trdi precej grozljiv del novih pogojev uporabe storitve. V zadnjem času so nekateri uporabniki odkrili, da se e-poštni naslovi kupcev ne pojavljajo več pri plačilih s storitvijo PayPal, kar je morebiti lahko povezano z uredbo GDPR.

Kako povrniti osebne podatke? Ne bo lahko. eBay se je namreč odločil, da bo zahtevke obravnaval posamezno v okviru t. i. središča za zasebnost (Privacy Centre), zato želi prejeti e-pošto na naslov privacy.office@ebay.com. V nastavitvah računa si v omenjenem središču sicer lahko ogledamo podrobnosti podatkov, ki jih eBay hrani o vas, kaj počne z njimi in komu jih posreduje. Omogočena je odjava od neposrednega oglaševanja in oglaševanja tretjih oseb. Spletna tržnica sicer že dolgo omogoča prodajalcem možnost prenosa aktivnih oglasov in evidenc o prodaji ter zgodovini za zadnje tri mesece. S klikom na gumb Ustvari zahtevo za prenos (Create a Download Request) se bo odprl padajoči meni, kjer bomo lahko izbrali podatke, ki jih želimo prenesti.

Z uredbo GDPR so se zadnje leto ukvarjala skoraj vsa podjetja v državah EU.

Amazon

Če uporabljate storitve Amazon Web Services (AWS), že veste, da so te skladne z GDPR. To vključuje šifriranje osebnih podatkov, posodobljene sporazume za obdelavo podatkov in izboljšane procese za ocenjevanje varnosti podatkov. Amazon je prejšnji mesec še podrobneje opisal učinek sprememb skladnosti z GDPR za stranke, ki uporabljajo njegova spletna mesta, aplikacije in naprave, kot je npr. pametni zvočnik Echo. Mimogrede, edina omemba pametnih zvočnikov v dokumentaciji GDPR je točka, ki pravi: »Oseba, na katero se podatki nanašajo, ima pravico, da ne bo predmet odločitve, ki temelji samo na samodejni obdelavi, vključno s profiliranjem.« To pomeni, da morajo pametni zvočniki, kot sta Echo in Google Home, »sami« poiskati soglasje uporabnikov (morda med namestitvijo) za obdelavo njihovih podatkov.

Kako povrniti osebne podatke? Nekaj podatkov si lahko ogledamo že v zgodovini brskanja (Your Browsing History), ki se nahaja na povezavi /www.amazon.co.uk/gp/history – vključno z nedavno ogledanimi predmeti, naročili in javnim profilom. Če želimo ponovno pridobiti določeno stopnjo zasebnosti, izbrišimo zgodovino brskanja in izključimo njeno funkcijo, prav tako pa velja vklopiti možnost Ne uporabljaj za priporočila (Don’t use for recommendations) poleg predmetov, ki smo jih kupili. Svoje zgodovine naročil v trgovini Amazon ne moremo izbrisati, saj jo trgovina obravnava kot transakcijski zapis, podobno kot to počne naša banka za kreditne kartice. Edina možnost za popolni »mrk« je izbris računa.

Apple

Apple se že dlje časa hvali kot podjetje, ki veliko da na zasebnost uporabnikov. Potem ko je uredba GDPR stopila v veljavo, bomo uporabniki ob zagonu nove naprave Apple (velja za iPhone, iPad, MacBook ali Apple TV) videli novo obvestilo o rabi podatkov in zagotavljanju zasebnosti, kjer bo natančno navedeno, kako Apple obdeluje naše podatke. Tehnološki velikan pravi: »Ko uporabljamo podatke za ustvarjanje boljših izkušenj za vas, si težko prizadevamo, da to storimo na način, ki ne ogroža vaše zasebnosti.«

Kako povrniti osebne podatke? S prijavo v svoj Apple račun (Apple ID) lahko v nastavitvah poiščemo možnost, ki nam omogoča prenos kopije vseh osebnih podatkov, ki jih o nas hrani družba Apple. To vključuje stike, fotografije, koledar, skladbe, ki jih predvajamo prek Apple Music in osebne preference. Spletno mesto nam omogoča tudi popravke določenih osebnih podatkov in začasen izklop računa pa tudi njegov popolni izbris.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji