Wszystkie nazwy w poniższym tekście są fikcyjne, a podobieństwa są niezamierzone.
Dzwoni do mnie Lena.
– „Marek… ja mam wrażenie, że ktoś wie za dużo. O mnie. Nie chodzi o reklamy. Chodzi o to, że serwis przewiduje moje zachowanie, jakby stał obok.”
Takich historii słyszałem setki. Zwykle to po prostu marketing, zwykle to „cookies”, zwykle to brak higieny cyfrowej. Ale Lena mówi dalej:
– „Poprosiłam o informacje z RODO. Dostałam odpowiedź. Jest poprawna. I… nic z niej nie wynika.”
Zaczynam od miejsca, które widzi każdy. Polityka prywatności. Wyszukuję w tekście słowo: odbiorcy. Potem: podmioty przetwarzające. Potem: dostawcy. I widzę to, co zobaczyła również Lena, kiedy pewnego dnia kliknęła „Załóż konto”. Przeczytała politykę prywatności tak, jak większość ludzi: zerknięciem. Zobaczyła to zdanie, które brzmiało poprawnie i uspokajająco:
„Dane mogą być przekazywane naszym zaufanym dostawcom usług IT, analityki i bezpieczeństwa.”
Zaufanym dostawcom. Kategoria. Nie nazwy.
Firma Front-X-House (tak ją nazwijmy) wyglądała na porządną. Logo, regulamin, kontakt, inspektor ochrony danych. Wszystko jak trzeba. Front-X-House mówiła: „My decydujemy, po co dane są zbierane”. Czyli: administrator. I to jest ważne, bo administrator jest tym, który powinien wiedzieć, co dzieje się dalej. Przynajmniej w teorii. W praktyce administrator jest często jak właściciel kamienicy, który wynajmuje sprzątanie zewnętrznej firmie i zakłada, że reszta „jest w standardzie”.
Front-X-House wynajęła procesora — firmę PipeCloudWorks (tak ją nazwijmy). PipeCloudWorks dostarczała „platformę”, „chmurę”, „narzędzia do obsługi klientów”. Świetnie. Umowa powierzenia. Klauzule o bezpieczeństwie. Wszystko brzmi jak porządek. Ale jest jeden detal, który w tej historii działa jak wejście do kanałów. PipeCloudWorks ma w umowie zapis:
„Administrator udziela ogólnej zgody na korzystanie z dalszych podwykonawców, a PipeCloudWorks będzie informować o zmianach.”
„Ogólna zgoda” to jak przepustka na budowę: nie mówi, kto wejdzie, tylko że „ktoś będzie wchodził”.
PipeCloudWorks bierze kolejnego podwykonawcę: CloudCrane (hosting). CloudCrane bierze kolejnego: LogHarbor (logi i monitoring). LogHarbor bierze kolejnego: NightWatch (ochrona przed nadużyciami). NightWatch bierze kolejnego: SignalMint (telemetria).
Każdy element ma „uzasadnienie”: stabilność, bezpieczeństwo, wydajność, walka z botami, analiza błędów. Łańcuch nie wygląda jak przestępstwo. Wygląda jak nowoczesna architektura. I tu zaczyna działać mechanika cebuli: im dalej w dół, tym mniej kto widzi.
Front-X-House widzi PipeCloudWorks. PipeCloudWorks widzi CloudCrane. CloudCrane widzi LogHarbor. LogHarbor widzi NightWatch.
A Lena? Lena widzi „kategorie odbiorców”. Stąd, gdy Lena pyta, kto ma jej dane, dostaje odpowiedź:
- dostawcy IT,
- dostawcy analityki,
- dostawcy bezpieczeństwa,
- podmioty wspierające obsługę klienta.
To nie jest kłamstwo. To jest opis. Opis, który nie pozwala iść tropem. To jak w kryminale, w którym świadek mówi: „to był mężczyzna w kurtce”.
Pewnego dnia PipeCloudWorks zmienia podwykonawcę od telemetrii. Wysyła do administratora maila:
„Zmieniamy dostawcę usług — brak sprzeciwu w ciągu 14 dni oznacza akceptację.”
To jest legalne brzmienie świata, w którym wszystko dzieje się szybko. To jest też miejsce, gdzie kontrola przegrywa z tempem. Front-X-House ma sto takich maili w roku. Kto to przeanalizuje? Kto połączy kropki? Kto sprawdzi, czy nowy podwykonawca nie „robi czegoś więcej”?
Załóżmy, że gdzieś w głębi łańcucha pojawia się praktyka półlegalna albo nielegalna, np.:
- łączenie sygnałów o użytkowniku w celu profilowania,
- „wzbogacanie” danych,
- dłuższe przechowywanie logów niż potrzeba,
- użycie danych do własnych celów.
Lena widzi tylko efekt końcowy: reklamy „jakby skrojone”, dziwną pewność systemu, nietypowe decyzje antyfraudowe. Front-X-House może szczerze powiedzieć: „nie wiemy”. PipeCloudWorks może powiedzieć: „to robi podwykonawca w ramach bezpieczeństwa”. Podwykonawca może powiedzieć: „to robi kolejny podwykonawca”. A tamten: „to automatyczny komponent w naszej infrastrukturze”.
W kryminale nazwalibyśmy to łańcuchem alibi. W ochronie danych to jest łańcuch odpowiedzialności, który formalnie istnieje — ale praktycznie rozmywa się w dół, bo:
- nie ma pełnej listy „kto dokładnie” w prostym miejscu dla osoby,
- sub-procesorzy mogą się zmieniać,
- kontrola bywa „adekwatna do ryzyka”, a nie „pełna zawsze”.
Dlaczego to działa nawet wtedy, gdy nikt nie planował oszustwa? Najmroczniejsze historie bywają takie, gdzie nie ma „złego geniusza”. Jest system. Wystarczy, że każda firma: optymalizuje koszty, deleguje, bierze „najlepszych dostawców”, dokłada narzędzia bezpieczeństwa i analityki, podpisuje umowy „zgodne ze standardem”. Wynik: sieć tak gęsta, że osoba, której dane dotyczą, nie jest w stanie jej prześwietlić — nawet dla administratora jest to trudne. I dokładnie w tym miejscu pojawia się przestrzeń dla podmiotu, który już celowo wybiera takie relacje, żeby „mgła” była elementem modelu biznesowego.
To nie jest luka typu „haker wchodzi przez błąd”. To jest luka typu: prawo dopuszcza złożony łańcuch przetwarzania oraz opis „kategorie odbiorców”, więc przy wielu ogniwach rośnie trudność prześledzenia i udowodnienia nadużyć — a dodatkowo sub-procesorzy mogą się zmieniać szybciej, niż ktokolwiek to realnie kontroluje.
Ten mechanizm, ta luka, jest prawdziwa, a używając Google możesz samodzielnie znaleźć wiele podmiotów, które mówią o „zaufanych dostawcach” lub „zaufanych partnerach”. Sam zobacz, tego jest tysiące:
https://www.google.com/search?q=%22polityka+prywatno%C5%9Bci%22+%22zaufanym+dostawcom%22
A czy naprawdę udzielana jest „ogólna zgoda na podpowierzenie”? Oczywiście, że tak, jest bardzo wygodna. Nie chcemy używać wprost nazw firm, ale spójrz chociażby na to wyszukiwanie w Google:
Znajdziesz tam m.in. integratora usług SMS oraz wzór umowy powierzenia przetwarzania danych osobowych z tym integratorem. Jakie dane osobowe są przetwarzane? O takie:
- Numery telefonów odbiorców i nadawców wiadomości SMS, MMS
- Podstawowe dane identyfikacyjne odbiorców i nadawców (imię i nazwisko)
- Dane nieustrukturyzowane związane z treścią komunikacji — kontent o potencjalnej i prawdopodobnej zawartości danych osobowych (jak np. treść wiadomości, dokumenty tekstowe, obrazy, SMS, MMS, email, FAX itp.)
Administrator udziela podmiotowi przetwarzającemu (integratorowi) zgody ogólnej:
Administrator udziela ogólnej zgody na dalsze podpowierzenie Powierzonych danych osobowych podmiotom, za pomocą których Podmiot przetwarzający świadczy usługę (tzw. dalszym podmiotom przetwarzającym). Podmiot przetwarzający będzie utrzymywał pełną i kompletną listę dalszych podmiotów przetwarzających, która jest dostępna do wglądu w siedzibie Podmiotu przetwarzającego.
Fakt, że podmiot przetwarzający będzie utrzymywał „kompletną listę”, nie zmienia wiele. W naszej historii wyżej taką listę przedstawiało też PipeCloudWorks. Problemy mogą zacząć się głębiej.