Nie takie ciasteczka "słodkie" czyli pierwsze analizy w kontekście RODO
#1
Kilka dni temu ukazały się wyniki ciekawych badań przeprowadzonych przez naukowców z Instytutu Reutersa z Uniwersytetu Oksfordzkiego, które dotyczyły zmian w ilości śledzących ciasteczek firm trzecich pt. "Changes in Third-Party Content on European News Websites aft er GDPR". Chwila o samych badaniach:
-  przeprowadzono je porównawczo w dwóch etapach - pierwszy w kwietniu, drugi w lipcu 2018
 - objęto nimi 7 krajów UE zróżnicowanych pod względem populacji i rynku mediów....były to Finlandia, Francja, Niemcy, Włochy, Hiszpania, Wielka Brytania i Polska
- przedmiotem badań były największe serwisy internetowe prezentujące wiadomości (średnio 30 w każdym kraju)...w Polsce było to 29 stron
- analiza szczegółowo dotyczyła ciasteczek firm trzecich, których główną rolę w kontekście RODO całkiem dobrze opisano w tym tekście

Cytat:Najważniejszą zmianą jest to, że nie będzie już wymagana zgoda użytkownika końcowego na instalację ciasteczek, które nie wkraczają w sferę prywatności użytkownika, czyli taką, która ma na celu np. zapamiętanie wybranego przez użytkownika języka strony lub zawartości koszyka w sklepie internetowym, a która przechowywana jest w pamięci podręcznej przeglądarki. Co więcej, zgody nie będą także wymagane przy instalacji ciasteczek używanych do celów analitycznych (np. na potrzeby programu Google Analytics) w celu liczenia użytkowników odwiedzających daną stronę internetową lub sprawdzenia, jakie kategorie, podstrony użytkownicy odwiedzają. Dopóki te dane są zanimizowane, dopóty użytkownik nie będzie musiał wyrażać zgody na ciasteczka (zanimizowane, tzn. takie, których nie da się powiązać wprost z danym konkretnym użytkownikiem, czyli jego adresem e-mail lub jakąkolwiek inną daną osobową).
Źródło

https://przewodnikporodo.pl/article/kome...d/cookies/

Polska nas interesuje nie tylko ze względu na fakt, że to nasz kraj, ale też dlatego, że dla samych badaczy chyba mało zrozumiały jest wynik naszego kraju zwłaszcza w kontekście wyników pozostałych 6 krajów - tylko w Polsce nastąpił wzrost ilości ciasteczek na domenę (29%) oraz na jedną stronę (20%). Wszystkie innej kraje zanotowały spadek ilości ciasteczek, przy czym największy, bo 45% spadek, zanotowano w Wielkiej Brytanii. Szczegóły na wybranej grafice

[Obrazek: Reuters-country-percentages.png] 

Badacze sugerują, że wynik ten może wynikać z poważnego wzrostu danych na 4 portalach, przy czym pozostałe 25 nie wykazują specjalnych zmian w okresach porównawczych. 
Info źródłowe (także dla załączonej grafiki)
https://www.bleepingcomputer.com/news/te...post-gdpr/
Pełny raport
https://reutersinstitute.politics.ox.ac....GDPR_0.pdf

Dla zainteresowanych jeszcze cytat z lipcowego podsumowania opublikowanego przez Fundację Panoptykon
Cytat:Granice tego, co na gruncie RODO może być uznane za uzasadniony interes administratora (wydawcy strony internetowej, administratora strony) związany z marketingiem i targetowaną reklamą, będą się jeszcze ucierać w orzecznictwie sądów i decyzjach Prezesa UODO. Serwisy internetowe będą zapewne próbowały obronić to, że personalizacja treści (również reklamowych) na ich stronach mieści się w ich uzasadnionym interesie, bo bez niej ich model zarabiania pieniędzy się nie spina. Nawet jeśli zgodzimy się na ten argument, pozostaje spór o to, jakie są dziś racjonalne oczekiwania użytkowników związane z profilowaniem i gdzie się zaczyna to, co RODO uznaje za nadmierną ingerencję w prywatność.
Naszym zdaniem stałe śledzenie i analizowanie działań podejmowanych przez użytkowników (w tym na innych stronach internetowych czy nawet poza siecią, dzięki dostępowi do lokalizacji) przekracza granicę uzasadnionego interesu. Na terytorium, które wymaga świadomej i dobrowolnej zgody, wkraczamy również wtedy, kiedy w grę wchodzi przekazywanie danych innym podmiotom (brokerom danych, agencjom interaktywnym etc.).
Jak do wdrożenia RODO podeszły polskie portale internetowe? Przygotowując ten tekst, sprawdziliśmy kilka portali, serwujących treści o różnym charakterze (od informacyjnych po rozrywkowe). Z tego przeglądu wyłania się dość niski standard ochrony danych osobowych:
  • Mimo tego, że większość portali traktuje przekazywanie danych innym podmiotom (zwykle określanym jako Zaufane Podmioty) w celach marketingowych jako coś, co wymaga zgody użytkownika, standard pozyskiwania tej zgody jest niski. Za świadomą zgodę uważane jest nawet odruchowe zamknięcie okienka z informacją na temat przetwarzania danych (po przykłady odsyłamy do subiektywnego przeglądu złych i dobrych praktyk).

  • Niektóre portale jeszcze przed wyrażeniem zgody serwują ciasteczka pochodzące od innych podmiotów (m.in. brokerów danych), mimo że najprawdopodobniej mają one funkcję śledzącą, a więc trudno je obronić w oparciu o uzasadniony interes. Rekordzistą w tej konkurencji okazał się Super Express, który zaserwował nam aż 161 takich ciastek.

  • Skrypty i ciasteczka Google Analytics (służące do monitorowania ruchu na stronie) są standardowo serwowane jeszcze przed wyrażeniem zgody, a więc w oparciu o uzasadniony interes portali. Mimo że wolimy narzędzia analityczne, które da się obsługiwać samodzielnie (jak Mamoto czy OpenWebAnalytics), taką wykładnię uzasadnionego interesu jesteśmy w stanie zaakceptować.

  • Wiele stron wyświetla informację o cookies nawet tym użytkownikom, którzy mają zupełnie zablokowane przyjmowanie ciasteczek. Uważamy, że to zła i irytująca praktyka. Sprawdzenie tego, że przeglądarka nie pozwala ustawić żadnych ciasteczek, z pewnością nie wykracza poza techniczne możliwości komercyjnych portali. Apelujemy: nie informujcie bez sensu!
Źródło
https://panoptykon.org/wiadomosc/cookies...dzace-rodo
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
No zamieszanie i wcale to nie ziwekszyło prywatności
Odpowiedz
#3
cookies od samego początku były groźne i raczej nie wiele się w tej dziedzinie zmieni
izolacja przeglądarki i tyle
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
Sama izolacja nie załatwia sprawy wg mnie...blokuje tylko dostęp do fizycznego dysku i systemu. Konieczne są raczej ograniczenia typu blokery albo filtrowanie ruchu sieciowego.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Jak ichito pisze. Web to platforma - wiele osób już tak przywykło do webaplikacji, że wszystkie programy uruchamia w przeglądarce i nie potrzebuje tych zwykłych, lokalnych programów (Win32, Windows Store, pakiety w Gnu/Linuksie) - pomijając oczywiście niezbędne: przeglądarka i program wyświetlający ikonkę przeglądarki.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości