Skrypty zewnętrzne jako ryzyko naruszeń GDPR dla właścicieli stron internetowych. Case studies

Skrypty zewnętrzne jako ryzyko naruszeń GDPR dla właścicieli stron internetowych. Case studies
O autorze
4 min czytania 2022-11-28

fot. depositphotos.com

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) miały na celu zapewnienie, że firmy prowadzące działalność w internecie zadbają o to, że dane ich użytkowników będą bezpieczne i pod kontrolą osób lub organizacji, do których należą. Niestety, mimo że od wprowadzenia ustawy w życie na poziomie całej Unii Europejskiej minęło kilka lat, wiele firm nadal nie funkcjonuje w pełni zgodnie z wymaganiami GDPR.

Artykuł jest częścią Poradnika Programmatic IAB Polska, który dostępny jest TUTAJ (PDF).

Premierze publikacji towarzyszył webinar, podczas którego eksperci z Grupy Roboczej Programmatic IAB Polska omawiali najbardziej aktualne zagadnienia dotyczące tego obszaru. Nagranie webinaru dostępne jest TUTAJ.

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Na przestrzeni kilkunastu miesięcy pojawiło się w mediach kilka głośnych spraw dotyczących zarządzania danymi przez firmy z różnych sektorów, a duża część tych spraw wiązała się z niewłaściwą ochroną danych przetwarzanych przez zewnętrzne skrypty wpięte na stronach internetowych, bardzo często tych „darmowych”, czyli bardzo popularnych wśród wielu właścicieli serwisów.

Poniżej przedstawię 3 przypadki takich działań, a następnie w kilku zdaniach podsumuję, co warto zrobić, by nie wystawiać siebie i swojej firmy na niepotrzebne ryzyko wielomilionowych kar.

Słuchaj podcastu NowyMarketing

Fashion ID, czyli wtyczki z serwisów społecznościowych

29 lipca 2019 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok stwierdzający, że operatorzy stron internetowych, którzy mają wpięte wtyczki stron trzecich w swoich witrynach, mogą być współadministratorami w zakresie gromadzenia i udostępniania danych osobowych stronie trzeciej. W efekcie operator strony internetowej ponosi wspólną odpowiedzialność za gromadzenie i udostępnianie danych, mimo że może on nie mieć dostępu do przesyłanych danych osobowych.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Sprawa, o której mowa powyżej, dotyczy Fashion ID, niemieckiego internetowego sklepu z odzieżą, który umieścił przycisk „Lubię to” na Facebooku na swojej stronie internetowej. W rezultacie, gdy użytkownicy przeglądali witrynę Fashion ID, ich adresy IP i niektóre inne podstawowe dane były gromadzone i automatycznie udostępniane Facebookowi (niezależnie od tego, czy mieli konto na Facebooku) bez ich zgody.

Swój wyrok zasądzający winę Fashion ID w tej konkretnej sprawie sąd podjął w oparciu o przekonanie, że serwis posiada „decydujący wpływ na wtyczkę ”, ponieważ przeniesienie danych użytkownika do Facebooka nie mogłoby nastąpić bez udziału Fashion ID, a obie strony tej sprawy miały też na celu osiągnięcie zysku. Mimo że Fashion ID nie miało  dostępu do danych udostępnianych Facebookowi, nie zniechęciło to sądu do stwierdzenia, że przetwarzane dane podlegały wspólnej odpowiedzialności. 

W związku z wynikiem tej sprawy stało się bardzo jasne, że witryny umieszczające wszelkiego rodzaju przyciski serwisów społecznościowych powinny upewnić się, że zasady, na których to robią, są wystarczająco przejrzyste dla odwiedzających witrynę, oraz że muszą uzyskać legalną podstawę do przesyłania danych osobowych użytkownika. Jeśli podstawą do tego jest wyraźna zgoda użytkowników, będą musieli oni uzyskać ją przed wdrożeniem przycisku – aby była ważna – w przeciwnym razie dokonają przeniesienia danych, zanim odwiedzający wyrazi zgodę.

MyFonts, czyli niewiedza szkodzi

Innym dobrym przykładem powszechnie używanego bezpłatnego narzędzia, które może stanowić problem i ryzyko dla właścicieli witryn, jest MyFonts. Serwis ten słynie z tego, że zapewnia bezpłatne fonty dla stron internetowych. Czego jednak użytkownicy tego serwisu nie wiedzą lub nie zwracają uwagi, to fakt, że działalność MyFonts opiera się także na przychodach pochodzących z retargetowanych reklam. 

Rys. 1. Zrzut ekranu z Polityki Prywatności MyFonts

Sam MyFonts udostępnia oczywiście te informacje w jasny i klarowny sposób na swojej stronie internetowej, co oznacza, że to właściciel witryny, który wdrożył oferowaną przez nich usługę, odpowiada za sposób, w jaki jej dostawca przetwarza dane osobowe, a także to na nim ciąży obowiązek poinformowania użytkowników o udostępnianiu ich danych temu konkretnemu podmiotowi, a także uzyskanie na to zgody. 

Problem w tym, że skoro wielu użytkowników nie ma świadomości nawet o samym fakcie wykorzystywania takich danych przez MyFonts, to co za tym idzie, nie dopełnia ciążących na nich za sprawą GDPR obowiązków i wystawia się na ryzyko.

British Airways, czyli bezpieczeństwo przede wszystkim

9 lipca 2019 r. Biuro Komisarza ds. Informacji w Wielkiej Brytanii (ICO) ogłosiło, że zamierza nałożyć na British Airways (BA) karę pieniężną w wysokości 183 mln funtów za naruszenie danych, które umożliwiło hakerom wykradnięcie danych osobowych około 500 000 klientów tych linii lotniczych. Kara w wysokości 1,5% globalnego obrotu firmy dotyczyła naruszenia, które było wynikiem złych praktyk bezpieczeństwa w procesowaniu takich danych jak nazwiska, adresy e-mail i numery kart kredytowych pasażerów. 

Winne całego zamieszania w tym konkretnym wypadku było złośliwe oprogramowanie wyłudzające dane kart kredytowych zainstalowane przez hakerów w serwisie British Airways. Zaaplikowali oni bezpośrednio na stronę internetową firmy złośliwy kod, który linia lotnicza udostępniła następnie zarówno na stronie internetowej, jak i w swojej aplikacji mobilnej. 

W wyniku tego, gdy klient klikał w kupione już bilety lotnicze, kod pozyskiwał informacje o karcie kredytowej i przekazywał je dalej do fałszywej witryny prowadzonej przez hakerów z prywatnego serwera w Rumunii.

Rys.2. Zośliwy kod zaimplementowany przez hakerów w serwisie British Airway

Mimo iż samo British Airways może być w tym wypadku postrzegane jako jedna z ofiar hakerów, ICO swoją karę tłumaczyło tym, że… „gdy organizacja nie chroni powierzonych im danych osobowych przed utratą, uszkodzeniem lub kradzieżą, jest to więcej niż niedogodność. Dlatego prawo jest jasne – kiedy przetwarzasz dane osobowe, musisz się nimi odpowiednio zająć. Podmioty, które to robią, mogą być pewne dokładnego sprawdzenia, czy podjęły odpowiednie kroki w celu ochrony podstawowych praw do prywatności”. 

Sprawa ta wyraźnie pokazała, iż naruszenia danych mogą być nie tylko problemem związanym z wizerunkiem firmy i public relations, niszczącym zaufanie konsumentów do organizacji, ale także mogą się wiązać z odpowiedzialnością finansową na ogromną skalę. Ci, którzy uważają, że ICO głównie grozi i straszy, chociażby w przypadku jej raportu i dalszych kroków w temacie niedociągnięć branży reklamowej, jeśli chodzi o przetwarzanie danych, nie mogą się już więc czuć tak pewnie i bezpiecznie.

Co robić, by zmniejszyć ryzyko?

Jednym ze sposobów na zapewnienie bezpieczeństwa jest stworzenie lub zakup crawlera, który odwiedza witrynę i wykrywa połączenia zewnętrzne z niej wykonywane. Należy analizować każde połączenie i sprawdzać, dokąd nas doprowadzi, a następnie dokonać przeglądy wszystkich skryptów jako mapy (przykład poniżej).

Warto też, o ile zasoby firmy na to pozwolą, ustanowić wewnętrzny proces angażujący osoby zajmujące się kwestiami prawnymi, technicznymi i zarządzaniem, który miałby na celu okresową ocenę danych przetwarzanych przez wszystkie skrypty i usług zewnętrznych umieszczonych na stronie internetowej.

 Rys. 3. Przykładowa mapa skryptów zewnętrznych

Ostatnim, ale nie mniej istotnym elementem jest zapewnienie, że w przypadku przetwarzania na serwisie niezwykle wrażliwych danych osobowych, takich jak numery kart kredytowych, pesele czy numery dowodów, wykorzystane zostaną odpowiednie zabezpieczenia i certyfikaty, które uniemożliwiają dostęp do tych danych osobom mającym złe intencje. 

* Ten artykuł nie jest poradą prawną. Ma on na celu jedynie pokazanie, jak ważne jest, aby właściciele witryn znaleźli powtarzający się wewnętrzny proces zapewniający zgodność z GDPR/RODO i innymi obowiązującymi przepisami.

Artykuł jest częścią Poradnika Programmatic IAB Polska, który dostępny jest TUTAJ (PDF).

Premierze publikacji towarzyszył webinar, podczas którego eksperci z Grupy Roboczej Programmatic IAB Polska omawiali najbardziej aktualne zagadnienia dotyczące tego obszaru. Nagranie webinaru dostępne jest TUTAJ.