Dziennikarze ujawnili, że dane lokalizacyjne urzędników UE można było kupić od brokerów. Śledztwo Netzpolitik pokazuje, że RODO nie chroni w pełni prywatności Europejczyków.
To miało być niemożliwe w Europie, gdzie obowiązują jedne z najsurowszych przepisów dotyczących ochrony danych osobowych. A jednak – jak ujawnili dziennikarze śledczy z portalu Netzpolitik, dane lokalizacyjne telefonów należących do najwyższych urzędników Unii Europejskiej można było łatwo kupić od komercyjnych brokerów danych. Wśród ujawnionych informacji znalazły się ślady lokalizacji setek urządzeń należących do pracowników Komisji Europejskiej i Parlamentu Europejskiego.
Miliony punktów lokalizacji w komercyjnych bazach danych
Dziennikarze uzyskali dostęp do próbki danych oferowanej przez jednego z brokerów, obejmującej 278 milionów punktów lokalizacyjnych pochodzących z telefonów użytkowników w Belgii. Newralgiczne dane, gromadzone przez zwykłe aplikacje mobilne zainstalowane na smartfonach, trafiają do pośredników handlujących informacjami, którzy sprzedają je dalej m.in. rządom i armiom. W tej konkretnej próbce, do której dotarli dziennikarze, znalazły się informacje dotyczące urządzeń używanych przez urzędników wysokiego szczebla Unii Europejskiej, pracujących w Brukseli, czyli w samym sercu europejskiej administracji.
Jak działa handel danymi lokalizacyjnymi?
Dla osób, które nie śledzą tematu na co dzień, cały mechanizm może brzmieć jak teoria spiskowa – ale to w pełni legalny (choć dość kontrowersyjny) biznes. Brokerzy danych to firmy, które kupują, gromadzą i sprzedają informacje o użytkownikach – często bez ich świadomej zgody. Źródłem danych są zwykłe aplikacje zainstalowane w naszych telefonach: pogodowe, sportowe, mapowe, a nawet latarki czy gry. Każda z nich może przekazywać dane o lokalizacji do zewnętrznych partnerów w zamian za przychód z reklam.
Brokerzy zbierają te informacje z tysięcy różnych źródeł, łączą je w ogromne bazy danych i sprzedają dalej – najczęściej firmom marketingowym, analitycznym, a także instytucjom publicznym. W praktyce oznacza to, że nasz telefon nieustannie wysyła sygnały GPS, które mogą ujawniać, gdzie mieszkamy, pracujemy czy spędzamy wolny czas.
Tzw. „próbka danych”, jak ta, do której dotarli dziennikarze, to fragment komercyjnej bazy udostępniany potencjalnym klientom w celach promocyjnych. Zawiera on często miliony punktów lokalizacji z setek tysięcy urządzeń, przypisanych do anonimowych identyfikatorów. W teorii dane są „anonimowe”, ale w praktyce wystarczy kilka powtarzających się lokalizacji, by ustalić, kim jest właściciel danego telefonu – np. poprzez analizę miejsc, w których urządzenie najczęściej nocuje lub bywa w godzinach pracy.
Ten model biznesowy działa na całym świecie i w większości przypadków funkcjonuje w szarej strefie prawa: technicznie legalny, ale etycznie bardzo wątpliwy. Właśnie dlatego przypadek opisany przez Netzpolitik pokazuje, jak cienka granica oddziela dziś „anonimowe dane statystyczne” od realnej inwigilacji konkretnych osób.
„Łatwo było ich namierzyć” – dziennikarskie śledztwo obnaża system
Z ustaleń reporterów wynika, że namierzenie urządzeń należących do osób pełniących funkcje publiczne było zaskakująco proste. W danych udało się zidentyfikować setki smartfonów używanych przez pracowników Komisji Europejskiej oraz Parlamentu Europejskiego.
Wśród nich znalazło się:
- 2000 punktów lokalizacji pochodzących z 264 urządzeń należących do urzędników Komisji Europejskiej,
- oraz 5800 punktów lokalizacji z ponad 750 urządzeń w Parlamencie Europejskim.
Każdy z tych rekordów mógł potencjalnie ujawniać, gdzie dana osoba przebywała, gdzie pracuje, a nawet gdzie mieszka.
Sprzedaż danych pomimo RODO
Nasze europejskie rozporządzenie o ochronie danych osobowych (RODO) jest jednymi z najbardziej rygorystycznych na świecie przepisów dotyczących prywatności. To, co zrobili dziennikarze Netzpolitik, pokazuje niestety, że w przypadku brokerów danych egzekwowanie przepisów jest wciąż niewystarczające.
Rynek handlu danymi lokalizacyjnymi urósł do rozmiarów wielomiliardowego biznesu, który – mimo pozornej legalności – w praktyce pozwala na śledzenie milionów obywateli i urzędników w czasie rzeczywistym.
Reakcja instytucji UE: Klasyczne „Jesteśmy zaniepokojeni”
W odpowiedzi na publikację Komisja Europejska przyznała, że jest „głęboko zaniepokojona” skalą handlu danymi lokalizacyjnymi, zarówno obywateli, jak i pracowników unijnych instytucji. W związku z tym wprowadzono nowe wytyczne dotyczące bezpieczeństwa i ochrony prywatności urządzeń mobilnych używanych przez personel.
Eksperci ds. bezpieczeństwa przypominają, że użytkownicy mogą ograniczyć śledzenie, m.in. poprzez regularne resetowanie identyfikatorów urządzenia (na Androidzie) lub anonimizację identyfikatorów reklamowych (na iPhone’ach).
Dane to nowa waluta i nowe pole bitwy o prywatność
Zaledwie rok temu amerykański broker danych Gravy Analytics, padł ofiarą wycieku, który ujawnił dane lokalizacyjne dziesiątek milionów użytkowników. Zdarzenie pokazało, że nawet firmy zarabiające na „anonimowych” informacjach nie są w stanie w pełni ich zabezpieczyć.
Nowe śledztwo przeprowadzone przez europejskich dziennikarzy dowodzi, że nawet w krajach o najwyższych standardach ochrony danych prywatność obywateli jest wciąż krucha. Dane o tym, gdzie przebywamy i z kim się spotykamy, pozostają towarem – kupowanym i sprzedawanym w cieniu aplikacji, z których korzystamy każdego dnia.
źródło: TechCrunch
