Fejsbuk i praćenje korisnika putem dodataka za društvene mreže

Fejsbuk i praćenje korisnika putem dodataka za društvene mreže

Belgijska Komisija za zaštitu privatnosti je nedavno objavila Preporuke društvenoj mreži Fejsbuk koje se odnose na zaštitu privatnosti belgijskih korisnika interneta, u vezi sa tzv. Dodacima za povezivanje sa društvenim mrežama (eng. Social Network Plugins) koji se koriste na drugim belgijskim internet stranicama.

Preporuke se zasnivaju na delu velikog istraživanja koje su za potrebe belgijskog regulatornog tela uradili profesori Univerziteta u Luvenu i Slobodnog Univerziteta u Briselu (flamanski Vrije Universiteit Brussel), a koje predstavlja analizu izmena pravila društvene mreže Facebook vezanih za privatnost koja su stupila na snagu 31. januara 2015. godine. Izveštaj sadrži i tehničko objašnjenje praćenja, putem dodataka za društvene mreže koje koristi ova društvena mreža.

Social Network Plugins – definicija

Social Network Plugins se mogu definisati kao dodaci koji se „umeću“ u internet stranice i čija je uloga da omoguće da se sadržaj tih stranica lakše deli na društvenim mrežama, i koji se najčešće javljaju u vidu Share ili Like dugmeta. Suštinski se radi o vrsti kolačića (eng. cookies): malom paketu podataka, koji se instalira u računar korisnika i koji potom beleži razne podatke o korisniku, od njegove IP adrese, preko pretraživača koji koristi, pa do njegovih „navika na mreži“, što je naročito zanimljivo sa aspekta korišćenja ciljanog marketinga.

Belgijsko regulatorno telo za zaštitu privatnosti je ispitivalo da li ovi dodaci ugrožavaju privatnost korisnika i na koji način to čine. Nalazi izveštaja su više nego zabrinjavajući, posebno što mogu podjednako da se primene na sve korisnike interneta, čak i na one koji nisu korisnici Fesjbuka, i to bez obzira na to iz koje zemlje dolaze.

Neizbežna pravna borba oko jurisdikcije

U periodu sastavljanja pomenutog izveštaja, vodila se uobičajena borba oko nadležnosti nad poslovnim aktivnostima društvene mreže Facebook, o čemu je bilo reči i u tekstu koji se bavio nadležnošću francuskog suda u slučaju slike „Poreklo sveta“.

Za razliku od pomenutog slučaja, ovde se nije radilo o sporu oko primene Community Standards, nego se postavilo pitanje o tome ko brine o privatnosti evropskih korisnika. Kao i većina IT kompanija koji imaju centrale u Sjedinjenim američkim državama, za evropske operacije Facebook je osnovao ćerku-firmu sa sedištem u Republici Irskoj. Razlozi zašto je to učinjeno su pre svega u domenu pogodne poreske politike ove ostrvske zemlje, ali se i politika i aktivnost regulatornog tela koje se bavi zaštitom podataka o ličnosti nekako uklopila jer se beleži nešto „mekši regulatorni pristup“ prema IT kompanijama. Pored toga, Fejsbuk koristi činjenicu da kompanija registrovana u nekoj od država članica ima slobodu obavljanja delatnosti u celoj EU, pa uporno insistira na tome da je irski regulator nadležan za sve njegove korisnike u EU. Po toj logici, regulator čija služba ima ukupno 30-oro zaposlenih treba da vodi računa o privatnosti blizu 300 miliona korisnika u EU. Belgijski regulator je primenio član 4. paragraf 1, tačka a) Direktive 95/46 EU o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i slobodnom protoku takvih podataka i koristeći činjenicu da Facebook obavlja određene poslovne operacije preko kompanije Facebook Belgium SPRL, koja je registrovana u Belgiji, utvrdio da se primenjuje belgijsko pravo i da je nadležan za pitanje privatnosti belgijskih korisnika. Sa druge strane Fejsbuk gotovo da nije sarađivao sa belgijskim regulatorom, ali je ipak javno odgovorio na neke nalaze iz njihovog izveštaja.

Fejsbuk i praćenje sopstvenih korisnika

Izveštaj je prilično detaljno analizirao nekoliko opcija praćenja (trekinga) korisnika te društvene mreže. Podsetićemo, radi se o situaciji kada je neko posetio stranicu koja sadrži dodatak (a ne facebook.com). Dodatak tada beleži koju je stranicu posećivao konkretni korisnik i informaciju o tome šalje na Fesjbukov server, koji onda ukrštanjem podataka može da sazna gotovo sve o korisniku, naročito zbog toga što već ima veliki broj njegovih/njenih ličnih podataka, što krši jedan od osnovnih principa zaštite podataka o ličnosti – srazmernost obrade podataka u odnoosu na svrhu za koju se podaci prikupljaju. Treba posebno napomenuti da do tog „ukrštanja podataka“ dolazi bez obzira da li su korisnici ulogovani na Facebook ili ne.

Fejsbuk i praćenje korisnika Interneta uopšte

Ono što je naročito zanimljivo je da su beležene i posete sajtovima drugih korisnika interneta koji nisu korisnici Fejsbuka, i to samo zahvaljujući tome što je makar jednom posećen domen facebook.com. Tako i slučajna ili kratkotrajna poseta Fejsbuku može dovesti do toga da se instalira „treking“ kolačić, koji potom, posetom drugoj stranici na kojoj je bio prisutan dodatak za društvene mreže, može da otkrije Fejsbuku podatke kao što su IP adresa, internet pretraživač koji koristi ovakav korisnik i stranica koja se posećuje. U vezi sa ovim navodom izveštaja Fejsbuk je odgovorio da nije njihova praksa da koriste kolačiće da bi pratili korisnike interneta koji nisu korisnici Fejsbuka, ali da su „istraživači zaista našli “bag” za koji je moguće da je slao kolačiće i ljudima koji nisu na Fejsbuku“. Naveli su još da to nije bilo namerno, i da se već radi na ispravljanju ovog tehničkog problema.

Pravo da se bude obavešten i neophodnost saglasnosti za obradu podataka

Bez obzira da li se radi o obradi podataka korisnika Fejsbuka ili onih koji to nisu, i bez obzira da li se radi o „irskoj“ kompaniji ili kompaniji koja ima svoje prisustvo i u drugim zemljama EU, na sve njih se primenjuju odredbe Direktive EU 2002/58 o privatnosti u oblasti elektronskih komunikacija koja je usvojena 2002. godine, a dopunjena 2009. godine Direktivom EU 2009/136 koja je deo Regulatornog okvira za elektronske komunikacije, i koji su sve države EU imale obavezu da implementiraju u svoje zakonodavstvo. Član 5. te direktive, između ostalog, predviđa da su države članice dužne da obezbede da „pohranjivanje podataka ili uspostavljanje pristupa već pohranjenim podacima u terminalnoj opremi korisnika ili pretplatnika, bude dozvoljeno samo pod uslovom da je konkretni korisnik ili pretplatnik dao svoj pristanak, nakon što je sveobuhvatno i razumljivo, u skladu sa Direktivom EU 95/46, između ostalog, obavešten o svrsi postupka obrade.

Pored toga, isti član navodi da gore navedene odredbe ne sprečavaju „nikakav oblik tehničkog pohranjivanja ili pristupa u svrhe izvršavanja prenosa komunikacije putem mreže elektronskih komunikacija, ili ako je to strogo potrebno, kako bi pružalac usluge informacionog društva mogao pružati uslugu koju je tražio pretplatnik ili korisnik.“

Dakle, citirani član se direktno odnosi na kolačiće koji se instaliraju u računare korisnika. Generično obaveštenje svim korisnicima Fejsbuka, koje se nalazi u njihovoj Politici privatnosti, sa aspekta citiranih evropskih dokumenata nikako ne zadovoljava pravni standard zaštite podataka o ličnosti koji je dostignut u EU u odnosu na obaveštavanje o obradi. Takođe, pitanje je da li su svi podaci koji se prikupe putem dodataka za povezivanje sa društvenim mrežama zaista neophodni za pružanje usluge korisnicima, pa se zato ovakva obrada teško može podvesti pod dozvoljeni izuzetak koji predviđa direktiva.

Preporuke belgijskog regulatora

Belgijska Komisija za zaštitu privatnosti se nije zadržala na preporukama Fejsbuku, nego je određene mere preporučila i internet sajtovima koji sadrže dodatke za povezivanje sa društvenim mrežama, kao i korisnicima.

Fesjbuku je naloženo da obezbedi „punu transparentnost u vezi sa korišćenjem kolačića“, a koja se odnosi na to da obavesti korisnike o njihovom sadržaju i svrsi. Fejsbuk mora da spreči mogućnost da se u terminalnoj opremi korisnika interneta koji nisu korisnici Fejsbuka beleže „dugotrajni kolačići“ i kolačići koji predstavljaju „jedinstvene identifikatore korisnika“, osim ako takvi korisnici interneta nisu dali nedvosmisleni pristanak za takvu obradu. Na kraju Fejsbuku se preporučuje korišćenje „privacy friendly“ verzije dodataka za povezivanje sa društvenim mrežama koji će omogućiti nedvosmisleni pristanak korisnika, poput alata Social Share Policy.

Internet sajtovima koji koriste dodatke za društvene mreže se nalaže obaveza adekvatnog informisanja njihovih posetilaca i tehnička nadogradnja dodataka za društvene mreže kojima će se omogućiti posetiocima da prihvate ili odbiju prikupljanje kolačića.

Posetiocima sajtova koji sadrže dodatke za društvene mreže je preporučeno da instaliraju dodatke koji će blokirati praćenje kao što su: Privacy Badger, Ghostery i Disconnect, ili da iskoriste mogućnosti koje njihovi internet pretraživači imaju u pogledu postavki privatnosti, odnosno da redovno uklanjaju kolačiće iz tih pretraživača.

Ono što je evidentno je da bi sami korisnici, bez obzira iz koje zemlje dolaze, morali da se upoznaju sa razmerama obrade njihovih podataka onlajn, te da postoji velika mogućnost da se njihovi podaci na neki način monetizuju, jer se ustupaju različitim kompanijama koje ih koriste u različite svrhe. Preporuke belgijskog regulatora se mogu podjednako primeniti i na ostale korisnike, pa i srpske, te ne treba čekati ishod pravnih bitaka ili očekivati od nacionalnog regulatora da reaguje, kada već postoje efikasni mehanizmi zaštite.

Miloš Stojković

Saradnik u Advokatskoj kancelariji Živković Samardžić, član radne grupe za izradu Nacrta zakona o oglašavanju, član pravnog tima ANEM-a i eksterni konsultant SHARE DEFENSE.

  • linkedin

One Comment

  1. Koristite „Noscript, Flashblock, Ghostery , Self-destcucting cookies“ dodatke za Fajefoks.
    i izbrišite da podrazumevano dozvoljava bilo čije u podešavanjima.
    Tako će kolačići preživljavati samo jedno uključenje pregledača, spoljne skripte koje niste odobrili se neće izvršavati a one koje ne vidite biće zaustavljane.

Comments are closed.