Захист даних і пазли: що спільного між ними? Більше, ніж очікувалося

Класичне головоломка для вирішення може мати наслідки щодо захисту даних. Читайте далі, чому.!

Нещодавно я прийшов до деяких важливих і далекосяжних усвідомлень щодо захисту даних в Інтернеті. Для мене це було найдивовижнішим з того, що я особисто зміг зрозуміти за останній час. Наскільки мені відомо, деякі з цих ідей не відомі взагалі або відомі дуже мало.

Що це були за усвідомлення і як вони прийшли?

Висновки

Ден початок зробив моя довга дослідження інструментів щодо згоди. Я піддав усіх подібних інструментів практичному випробуванню. Останній документ налічує понад 90 сторінок формату DIN A4. Для цього я вивчив вебсторінки, які використовують так звані вікно-куки. При цьому мені було важко здійснити правову оцінку. Однак такі багато висновків були зроблені, що легко можна вважати ними помилками, що я назвав результатом Cookiegeddon.

Дослідження я відправив до громадської організації noyb, яка займається захистом даних. noyb — це скорочення від None Of Your Business, що означає «це тобі нічого не стосується». Невдовзі мене запитали, чи можлива відеоконференція. Команда noyb, до якої входять також юристи, потребувала допомоги щодо оцінки технічних умов, які є звичайними на вебсторінках.

Юрист запитав мене, які дані зберігаються у кінцевому пристрої користувача. Відповідь на цю питання є фундаментальним, бо згідно з директивою про захист даних в статті 5, абз. 3, це є критерієм обов'язку отримання згоди. З цієї короткої дискусії та подальших досліджень виникли А-мигани. Після цього мені стало легко виконувати технічну правову оцінку важливих питань на вебсторінках.

Усвідомлення: файли cookie не є текстовими файлами

Cookies не є текстовими файлами: ця заява здається досить короткою, але говорить багато про ринок захисту даних у Німеччині. Деякі люди, яких вважають фахівцями, роблять рекомендації або роблять заяви. Всі інші, здається, майже безумовно вірять цим "експертам" і пишуть те, що їм вказують.

Так було також із кукі. У майже кожній політиці захисту даних можна ще читати помилкову інформацію щодо кукі: кукі порівнюються з текстовими файлами. Що ніколи не було правдою і сьогодні вже зовсім ні, підтверджує мій Beitrag до кукі. Cookies не є текстовими файлами. Cookies – це набори даних.

Хоча я довів там, що файли cookie не є текстовими файлами, мені довелося вступити в дискусію з людиною, яка все ще чіпляється за це переконання. Людина, яку я знаю наполовину з тривалої телефонної розмови та кількох електронних листів, вірить у це, я припускаю, лише тому, що це зручно. Занадто багато неправильних декларацій про захист даних довелося б виправити, якби визнали цю помилку. Я вважаю, що визнати помилку – це нормально. Зрештою, я теж скопіював її неправильно. Щоб переконатися, що це не станеться зі мною знову, я вже деякий час проводжу власне інтенсивне дослідження і викриваю неправдиву інформацію за допомогою доказів. Доказовий підхід також пов'язаний з тим, що я більше не хочу брати участь у виснажливих дискусіях і виступати в ролі заявника, коли хтось скоює правопорушення у сфері захисту персональних даних.

Інсайт: інформація, що зберігається на кінцевому пристрої користувача

Директива про приватність в статті 5, абз. 3 посилається на те, що для доступу до інформації, яка зберігається у кінцевому пристрої користувача, необхідна згода користувача. Це стосується тих випадків, коли немає підстави вважати, що таке звернення має місце, наприклад при управлінні зареєстрованими користувачами або подібними основовими функціями системи. ([1])

Моїм бажанням було визначити, які дані зберігаються у приставці користувача. У цьому процесі я встановив, що це не адреса IP, принаймні згідно з директивою про захист даних. У цей час я також встановив, що файли cookie не є текстовими файлами та чому директива про захист даних називається також директивою про файли cookie.

Реалізація: катастрофа з печивом

Катастрофа з файлами cookie призведе до краху популярних інструментів згоди, принаймні я на це сподіваюся. Відомі постачальники інструментів згоди регулярно роблять вигляд, що за допомогою їхніх чудо-інструментів веб-сайти можна зробити сумісними з GDPR. Це може бути правдою в дуже рідкісних випадках. Ці випадки в першу чергу характеризуються тим, що використовується дуже мало інструментів, якими легко керувати. Одним із прикладів такого простого в управлінні інструменту є Matomo, бажано в локальній інсталяції.

Швидше за все, коли вебсайт використовує інструменти Google, Facebook, Vimeo, Adobe чи інших подібних підприємств, ці інструменти не зможуть працювати надійно. Причини цього навіть можна довести та читайте про це у моїй статті щодо Cookie Popups . ([1])

Надалі від цієї теоретичної доведення я виконав експеримент щодо невдачі всіх відомих мені інструментів отримання згоди також у практиці та Кукіснікастрофа назвав. У своєму тесті блокування cookie в практиці, зокрема, були вивчені вебсторінки великих компаній та сайти їхніх розробників подібних інструментів отримання згоди. Всі вони провалилися дуже погано, – такий був моїй висновок, який підтверджується (в основному тому, що ніхто не радий, коли я щось таке публікую).

Хто хоче знати, скільки складно або навіть неможливо створити згоду згідно з законодавством, повинен переглянути мої список перевірок для запитань щодо згоди на вебсторінках.

Хто хоче побачити практичний приклад невдачі відоміших послуг та юристів, яким вважають вірогідними, повинен прочитати мої статті про Google Tag Manager. Там я доводжу, навіть з допомогою відео, що Google Tag Manager не є доменом без cookies. Насправді він є інструментом – на це можна було прийти і без мене. Крім того, він не є без cookies – це вже трохи складніше зрозуміти, але мав би бути відомим для фахівців із захисту даних вебсайтів. Чому юристам вважають експертами у цьому питанні, мені завжди було великим загадкою.

Інсайт: Вимога згоди для численних інструментів від Google & Co.

Об'єктивно можна показати, що багато інструментів Google, зокрема Google Maps, а також Google reCAPTCHA, але й інтегровані відео Vimeo, вимагають обов'язкової згоди. Це не моя особиста думка, а технічна і правова виведена висновок. Я підтвердив свій висновок у фахівця з інформаційних технологій. Також Google Analytics в стандартній версії обов'язково підпадає під вимогу згоди. Ви більше не повинні виправдовувати свої дії посиланнями на думку органів захисту даних. Просто перевірте це після вивчення моїх статей.

Інсайт: Вимога згоди на використання шрифтів Google та інших допоміжних файлів

Є обов'язок отримання згоди для Google Fonts, який можна вивести з статті 5 ДЗПВ, щодо мінімалізації даних, єдиновитості. Кому буде вигідно використовувати аргумент швидкості, йому слід було встановити власний сервер файлів або взяти в оренду CDN згідно із ДЗПВ. Теж саме стосується будь-якої іншої допомоги файлу, яка не знаходиться на сервері третього боку, з яким був укладений чинний договір про обробку даних тощо. Під допоміжними файлами я розумію такі зовнішні файли:

• Шрифти
• Зображення
• Файли стилів (CSS)
• Відео
• JavaScript-Bibliotheken

Також відео на YouTube без cookies потребують згоди через принцип мінімізації даних. Ніщо не можна серйозно пояснити, що вже без відтворення вбудованого відео відбувається багато передач даних до декількох адрес (доменів). Просто це можна підтвердити, якщо відео на YouTube буде імпортоване за допомогою скрипту.

Підсумок

Мої висновки за останні кілька тижнів такі:

• Файли cookie – це не текстові файли. Таким чином, я спростовую дуже поширену помилку
• Інструменти згоди не працюють на практиці. Це спростовує те, у що вірять сотні тисяч операторів веб-сайтів
• Інструменти згоди не працюють в теорії
• У розумінні Директиви про електронну конфіденційність файли cookie зберігаються насамперед на кінцевому пристрої користувача, а не на його IP-адресі
• Кожен інструмент потенційно може бути залежним від файлів cookie. Достатньо лише одного веб-сайту в усьому світі, щоб такий файл cookie почав діяти
• Більшість популярних інструментів для веб-сайтів вимагають обов'язкової згоди
• Передача даних до небезпечних третіх країн зазвичай не використовується як аргумент при вирішенні питання про необхідність згоди на використання інструменту
• Запити на отримання згоди навряд чи можна зробити юридично безпечними

Я вважаю це чудовим. Якщо ви бачите це інакше, будь ласка, напишіть мені! Я відкритий до аргументів.

Шлях до реалізації

Що це має спільне з пазлів? Ніщо, зовсім ніщо. Питання, яке виникло у мене: як мені потрапити до цих висновків та відповідних доказів чи чому саме зараз і не раніше? Урешті-урсі я займаюся цифровим захистом даних вже декілька років дуже інтенсивно.

Є довга робота над тим, щоб зрозуміти всі юридичні вимоги. Серед іншого мені потрібно було вивчити деякі Навички використання інструментів, як наприклад Google reCAPTCHA, щоб продовжувати далі.

Очевидно, що зі складною темою доводиться мати справу довше, перш ніж з'являються нові думки та інсайти.

Оскарження з третьою стороною, яка хоче точно знати

Безумовно, корисною була дискусія з юристом з noyb, який розпитав мене, щоб я краще розібрався в технічних аспектах веб-сайтів. Це було важливо для нього, щоб підготувати скаргу проти порушника захисту даних. Ми були однаково налаштовані: вірити в щось і мати можливість щось довести – це дві різні речі. Тому я взявся за його запитання про відеозв'язок і відповів на нього якнайкраще. Цього було достатньо, щоб поставити крапку в питанні.

Як спеціаліст із захисту персональних даних або особа, зацікавлена в захисті даних, ви, мабуть, знайомі з такою ситуацією: ви особисто впевнені, що щось не так і порушує правила захисту даних, але не можете донести це до свого візаві (клієнта, партнера по діалогу, опонента по захисту даних, …).

Ми довго очікували подібного розвитку подій. Тепер досягнута стадія, коли більше не потрібно обговорювати цю проблему. Ситуація дуже складна. Залишається лише чекати, чим запропонує новела про директиву щодо захисту конфіденційності користувачів мережі інтернет, яка частково свідчить про позитивні зміни, а частково – і деякі негативні наслідки. Але поки що потрібно чекати, коли буде затверджена нова версія директиви та вона набуде чинності.

Але навіть після цього деякі факти залишаються актуальними:

• Прозора, зрозуміла та вичерпна інформація повинна надаватися про всі операції з обробки.
• Доступ до інформації на кінцевому пристрої користувача (зазвичай через файли cookie) дозволений лише у вузьких межах.
• Файли cookie – це не текстові файли і ніколи ними не будуть.
• Для того, щоб інструменти від популярних провайдерів могли використовувати файли cookie, а отже, потенційно вимагати згоди лише з цієї причини, достатньо, щоб у домені інструменту існував єдиний веб-сайт у всьому світі, який генерує файли cookie. Про це не можна говорити досить часто, тому що наслідки такого твердження потрясають весь ринок файлів cookie.

Пазли загострюють сприйняття та навички комбінування

Тепер до пазлів і зв'язку із захистом даних.

Чим довше ви працюєте над певним пазлом, тим більша ймовірність того, що ви зможете безпосередньо розпізнавати найтонші кольорові відмінності. Те, що здавалося немислимим на початку, через кілька годин стає само собою зрозумілим. Так було і зі мною, коли я намагався вивести зобов'язання отримати згоду на використання Google Analytics та інших інструментів у водонепроникний спосіб, що мені врешті-решт вдалося зробити. Мені знадобилося кілька тижнів і понад 100 сторінок тексту формату А4, щоб представити результати мого дослідження.

Я не впевнений, чи було це випадковістю, чи наполегливою працею, що загострила моє чуття, коли я складав пазли. У будь-якому випадку, я впевнений, що пазли дуже допомагають загострювати розум і навички сприйняття. У будь-якому випадку, я можу настійно рекомендувати таке додаткове заняття.

Якщо ви теж цікавитесь чимось крім захисту даних і хочете почати розв'язувати пазли, тут кілька Рад щодо розгадування пазлів:

• Насправді, пазл – це розбиття складної проблеми на керовані підпроблеми. Скласти пазл означає навмисно розбити його на частини, а потім зібрати назад.
• При дуже хорошому освітленні інтуїція часто бере гору над механічними спробами і помилками (аналогічно до гри в гольф).
• Спочатку знайдіть крайні частини.
• Крайні частини можна знайти швидше, якщо перевернути пазл.
• Сортуйте шматочки пазла за кольором або площею.
• Поглянувши на кілька фрагментів, ви побачите, які кольори та візерунки зустрічаються досить часто, але не надто часто, щоб скласти їх у купу (або поруч один з одним; купа – погана ідея для фрагментів пазла).
• Напевно, тільки абсолютні професіонали здатні виконати складний процес сортування майже безпомилково. Ось чому я рекомендую зосередитися на одному-двох критеріях за раз, щоб не заплутатися. Наприклад, спочатку знайдіть крайні частини, а потім сортуйте за кольором, а не за обома критеріями одночасно. Це, безумовно, неправильна стратегія для чемпіонату світу з головоломок. Для пересічного смертного це веселіше і призводить до меншої кількості помилок, які б знищили спочатку досягнуту продуктивність.
• Для сортування підходять пластикові контейнери, а також кришки від пазлів (не використовуйте кришку з обкладинкою поточного пазла, якщо тільки ви не любите складні завдання).
• Частини пазла найкраще розпізнаються на білих аркушах паперу. Формат А3 або більше.
• Якщо шматочок пазла підходить напрочуд добре, навіть якщо він не вписується в загальну картину, існує велика ймовірність того, що він знайде своє остаточне місце неподалік від передбачуваного місця.
• Залежно від якості пазла, може навіть статися так, що крайні частини, здається, підходять лише в одному положенні.
• Незавершені пазли можна перевозити на аркушах паперу з художнього приладдя. Для цього покладіть пазл на такий аркуш, або використовуйте картон чи полотно для малювання. Килимки для пазлів часто занадто дорогі.
• Лампа денного світла – найкращий вибір після денного світла. Якщо у вас є лише торшер, поставте його на стіл так, щоб відстань між лампою і поверхнею пазла була якомога більшою.
• Почніть зі складання пазлів на 500 частин, потім на 1000 частин. Або почніть одразу в парі з пазла на 1000 частин
• Окрім кольору деталі, хорошим розпізнавальним критерієм часто є дизайн опуклостей і виступів. Іноді деталь можна знайти лише завдяки її особливо виразній формі.
• У фіналі гри, коли залишиться лише кілька шматочків, це допоможе відсортувати їх відповідно до їхньої базової форми. Існує шість основних форм для частин пазла.

Ви також складаєте пазли? Я був би радий почути від вас про це, а також про ваш досвід захисту даних або пропозиції щодо статей. Незабаром буде опублікована стаття про те, коли може бути корисно використовувати інструменти згоди. Однак, вам слід утриматися від використання добре відомих інструментів cookie. Незабаром я надам безкоштовний інструмент, який є більш ефективним і чесним, ніж рекламні обіцянки, з якими ви, напевно, всі знайомі.

До речі, я б порекомендував більш відомим магазинам пазлів дуже критично поглянути на свої веб-сайти з точки зору законодавства про захист даних. Цілком можливо, що хтось незабаром зв'яжеться з ними і, в кращому випадку, захоче отримати інформацію про процедури обробки даних. Незабаром для цього буде доступний інструмент, за допомогою якого такі запити можна буде створювати майже автоматично для багатьох веб-сайтів.

Також цікаво

• Google Analytics працює за згодою, хоча використовуються сторонні файли cookie, але навіть якщо вони не використовуються
• Використання Карт Google можливе лише за згодою
• Крайня кількість людей потребує справжніх інструментів Google на своїй вебсторінці. Дивіться Альтернативи